CN104796423A - Arp双向主动防御方法 - Google Patents

Arp双向主动防御方法 Download PDF

Info

Publication number
CN104796423A
CN104796423A CN201510205157.2A CN201510205157A CN104796423A CN 104796423 A CN104796423 A CN 104796423A CN 201510205157 A CN201510205157 A CN 201510205157A CN 104796423 A CN104796423 A CN 104796423A
Authority
CN
China
Prior art keywords
arp
main frame
packet
hosts
gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510205157.2A
Other languages
English (en)
Other versions
CN104796423B (zh
Inventor
王�琦
黄可臻
刘坤朋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fuzhou Fenglin Tianbao Information Technology Co.,Ltd.
Original Assignee
FUJIAN LIUREN NETWORK SECURITY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by FUJIAN LIUREN NETWORK SECURITY Co Ltd filed Critical FUJIAN LIUREN NETWORK SECURITY Co Ltd
Priority to CN201510205157.2A priority Critical patent/CN104796423B/zh
Publication of CN104796423A publication Critical patent/CN104796423A/zh
Application granted granted Critical
Publication of CN104796423B publication Critical patent/CN104796423B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种ARP双向主动防御方法,包括设有网关端防护模块的网关服务器和设有主机端防护模块的主机,所述网关服务器和主机按如下步骤进行ARP攻击防御:(1)主机主动获取网关MAC并绑定,然后通过加载内核模块对进入本机的ARP数据包进行过滤;(2)网关服务器抽取DHCP确认包中主机的信息并储存,同时限制主机只能以DHCP方式获取IP,并通过实时ARP流量分析,对网内异常情况进行分析检测并进行日志记录;(3)主机通过过滤各种异常ARP数据包以及内核态和用户态的交互,防御多种ARP攻击。该方法不仅能够有效防护主机与网关的安全,而且易于实现,实施成本低。

Description

ARP双向主动防御方法
技术领域
本发明涉及局域网中ARP攻击防御技术领域,特别涉及一种ARP双向主动防御方法。
背景技术
在现有技术中,局域网中的ARP攻击问题一直难以得到根本解决,原因在于目前多种ARP防范措施都有各自的局限性。双绑措施防范能力有限,管理太麻烦;ARP个人防火墙不能保证获取的网关一定正确,而且无法防御对网关的攻击;VLAN和交换机端口绑定没有对网关的任何保护,不管如何细分VLAN,网关一旦被攻击,照样会造成全网上网的掉线和瘫痪,而且管理死板成本高;PPPoE方式下局域网间无法互访,这是逃避了ARP攻击而非解决。
发明内容
本发明的目的在于提供一种ARP双向主动防御方法,该方法不仅能够有效防护主机与网关的安全,而且易于实现,实施成本低。
为实现上述目的,本发明的技术方案是:一种ARP双向主动防御方法,包括设有网关端防护模块的网关服务器和设有主机端防护模块的主机,所述网关服务器和主机按如下步骤进行ARP攻击防御:
(1) 主机主动获取网关MAC并绑定,然后通过加载内核模块对进入本机的ARP数据包进行过滤;
(2) 网关服务器抽取DHCP确认包中主机的信息并储存,同时限制主机只能以DHCP方式获取IP,并通过实时ARP流量分析,将单位时间内ARP请求包和应答包数量超过设定值的情况判定为异常流量,然后进行日志记录;
(3) 主机通过过滤各种异常ARP数据包,使内核态获取用户态输入的IP和MAC,并绑定ARP缓存表,防御多种ARP攻击。
进一步的,所述主机通过发送ARP请求包然后分析接收到的ARP回复包的方法,获取指定IP的网关MAC。
进一步的,主机按如下方法对ARP数据包进行过滤:
(101) 主机为协议栈的ARP协议定义钩子函数:ARP接收包过滤函数和ARP发送包过滤函数,所述ARP接收包过滤函数和ARP发送包过滤函数在ARP数据包流过协议栈被调用;
(102) 在内核模块对ARP接收包过滤函数和ARP发送包过滤函数进行注册,并分别挂接一个处理函数;
(103) 当本机收到ARP数据包,ARP数据包被传递到ARP接收包过滤函数时,内核调用挂接在ARP接收包过滤函数上的处理函数,对ARP数据包进行处理;当本机发送ARP数据包,ARP数据包被传递到ARP发送包过滤函数时,内核调用挂接在ARP发送包过滤函数上的处理函数,对ARP数据包进行过滤。
进一步的,当受保护主机接收到来自远端主机的ARP请求包时,向远端主机发送一个ARP请求包,若受保护主机无法接收来自远端主机的回复包,则判定远端主机的IP存在ARP欺骗攻击;当受保护主机没有事先发起对远端主机IP的ARP请求包,却收到来自远端主机的回复包,则直接过滤并用攻击标志通知用户;当一个欺骗主机A持续向受保护主机发送多个回复包,试图欺骗受保护主机自己是合法主机B,此时受保护主机正好向合法主机B发送一个ARP请求包,则受保护主机将收到合法主机B的一个应答包和欺骗主机A的多个回复包,用信息标志通知用户;用户进程若收到的是带有攻击标志的消息,则显示并做好记录,若收到的是带有信息标志的消息,则提取消息中的IP信息,主动获取对应的MAC,则其即为网关MAC。
相较于现有技术,本发明的有益效果是:
(1) 网关端的防护覆盖整个局域网,能对虚假ARP数据包进行过滤,同时网关也成为局域网信息中心,可为主机提供ARP信息查询。
(2) 主机端即使在已经遭受攻击时开启防护依然有效,实时保护本机缓存表安全。
(3) 针对中间人欺骗攻击的双向欺骗特点,在主机端对无请求回复包、重复回复包、虚假回复包进行过滤,破坏双向欺骗的实现。
(4) 结合内核态和用户态交互,实时保护本机ARP缓存。
(5) 解决现有防火墙不断发包给网关,加重网络负担的问题。
(6) 不依赖高端交换机的功能,节约成本。
(7) 友好的用户交互界面,使用方便。
附图说明
图1是本发明实施例实施的结构示意图。
图2是本发明实施例对ARP数据包进行过滤的流程图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步的详细说明。
本发明ARP双向主动防御方法,如图1所示,包括设有网关端防护模块的网关服务器和设有主机端防护模块的主机,所述网关服务器和主机按如下步骤进行ARP攻击防御:
(1) 主机主动获取网关MAC(物理地址)并绑定,然后通过加载内核模块对进入本机的ARP数据包进行过滤;
(2) 网关服务器抽取DHCP ACK包(DHCP确认包,用于获得主机的真实IP和MAC信息)中主机的信息并储存,同时限制主机只能以DHCP方式获取IP,并通过实时ARP流量分析,将单位时间内ARP请求包和应答包数量超过设定值的情况判定为异常流量,然后进行日志记录;
(3) 主机通过过滤各种异常ARP数据包,使内核态获取用户态输入的IP-MAC(IP和MAC,一个局域网内一个IP对应一个独一无二的MAC地址,用户输入真实可信的IP和MAC,在内核态中对此IP-MAC信任,不进行拦截),并绑定ARP缓存表,防御多种ARP攻击。
所述主机通过发送ARP请求包然后分析接收到的ARP回复包的方法,获取指定IP的网关MAC。
如图2所示,主机按如下方法对ARP数据包进行过滤:
(101) 主机为协议栈的ARP协议定义钩子函数NF_ARP_IN(ARP接收包过滤函数,所有接收到的ARP包都要经过该ARP接收包过滤函数的处理)和NF_ARP_OUT(ARP发送包过滤函数,所有发送的ARP包都要经过该ARP发送包过滤函数的处理),所述钩子函数NF_ARP_IN和NF_ARP_OUT在ARP数据包流过协议栈被调用;
(102) 在内核模块对NF_ARP_IN和NF_ARP_OUT钩子进行注册,并分别挂接一个处理函数;
(103) 当本机收到ARP数据包,ARP数据包被传递到NF_ARP_IN钩子时,内核调用挂接在NF_ARP_IN钩子上的处理函数,对ARP数据包进行处理;当本机发送ARP数据包,ARP数据包被传递到NF_ARP_OUT钩子时,内核调用挂接在NF_ARP_OUT钩子上的处理函数,对ARP数据包进行过滤。
当受保护主机接收到来自远端主机的ARP请求包时,向远端主机发送一个ARP请求包,若受保护主机无法接收来自远端主机的回复包,则判定远端主机的IP存在ARP欺骗攻击;当受保护主机没有事先发起对远端主机IP的ARP请求包,却收到来自远端主机的回复包,则直接过滤并用ATTACK_FLAG标志(攻击标志)通知用户;当一个欺骗主机A持续向受保护主机发送多个回复包,试图欺骗受保护主机自己是合法主机B,此时受保护主机正好向合法主机B发送一个ARP请求包,则受保护主机将收到合法主机B的一个应答包和欺骗主机A的多个回复包,用INFORM_FLAG标志(信息标志)通知用户;用户进程若收到的是带有ATTACK_FLAG标志的消息,则显示并做好记录,若收到的是带有INFORM_FLAG标志的消息,则提取消息中的IP信息,主动获取对应的MAC,则其即为网关MAC。
以上是本发明的较佳实施例,凡依本发明技术方案所作的改变,所产生的功能作用未超出本发明技术方案的范围时,均属于本发明的保护范围。

Claims (4)

1.一种ARP双向主动防御方法,其特征在于,包括设有网关端防护模块的网关服务器和设有主机端防护模块的主机,所述网关服务器和主机按如下步骤进行ARP攻击防御:
 (1) 主机主动获取网关MAC并绑定,然后通过加载内核模块对进入本机的ARP数据包进行过滤;
(2) 网关服务器抽取DHCP确认包中主机的信息并储存,同时限制主机只能以DHCP方式获取IP,并通过实时ARP流量分析,将单位时间内ARP请求包和应答包数量超过设定值的情况判定为异常流量,然后进行日志记录;
(3) 主机通过过滤各种异常ARP数据包,使内核态获取用户态输入的IP和MAC,并绑定ARP缓存表,防御多种ARP攻击。
2.根据权利要求1所述的ARP双向主动防御方法,其特征在于,所述主机通过发送ARP请求包然后分析接收到的ARP回复包的方法,获取指定IP的网关MAC。
3.根据权利要求2所述的ARP双向主动防御方法,其特征在于,主机按如下方法对ARP数据包进行过滤:
(101) 主机为协议栈的ARP协议定义钩子函数:用于处理接收到的ARP包的ARP接收包过滤函数和用于处理发送的ARP包的ARP发送包过滤函数,所述ARP接收包过滤函数和ARP发送包过滤函数在ARP数据包流过协议栈被调用;
(102) 在内核模块对ARP接收包过滤函数和ARP发送包过滤函数进行注册,并分别挂接一个处理函数;
(103) 当本机收到ARP数据包,ARP数据包被传递到ARP接收包过滤函数时,内核调用挂接在ARP接收包过滤函数上的处理函数,对ARP数据包进行处理;当本机发送ARP数据包,ARP数据包被传递到ARP发送包过滤函数时,内核调用挂接在ARP发送包过滤函数上的处理函数,对ARP数据包进行过滤。
4.根据权利要求2所述的ARP双向主动防御方法,其特征在于,当受保护主机接收到来自远端主机的ARP请求包时,向远端主机发送一个ARP请求包,若受保护主机无法接收来自远端主机的回复包,则判定远端主机的IP存在ARP欺骗攻击;当受保护主机没有事先发起对远端主机IP的ARP请求包,却收到来自远端主机的回复包,则直接过滤并用攻击标志通知用户;当一个欺骗主机A持续向受保护主机发送多个回复包,试图欺骗受保护主机自己是合法主机B,此时受保护主机正好向合法主机B发送一个ARP请求包,则受保护主机将收到合法主机B的一个应答包和欺骗主机A的多个回复包,用信息标志通知用户;用户进程若收到的是带有攻击标志的消息,则显示并做好记录,若收到的是带有信息标志的消息,则提取消息中的IP信息,主动获取对应的MAC,则其即为网关MAC。
CN201510205157.2A 2015-04-28 2015-04-28 Arp双向主动防御方法 Active CN104796423B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510205157.2A CN104796423B (zh) 2015-04-28 2015-04-28 Arp双向主动防御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510205157.2A CN104796423B (zh) 2015-04-28 2015-04-28 Arp双向主动防御方法

Publications (2)

Publication Number Publication Date
CN104796423A true CN104796423A (zh) 2015-07-22
CN104796423B CN104796423B (zh) 2018-04-20

Family

ID=53560935

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510205157.2A Active CN104796423B (zh) 2015-04-28 2015-04-28 Arp双向主动防御方法

Country Status (1)

Country Link
CN (1) CN104796423B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106302525A (zh) * 2016-09-27 2017-01-04 黄小勇 一种基于伪装的网络空间安全防御方法及系统
CN106470127A (zh) * 2015-08-18 2017-03-01 中兴通讯股份有限公司 一种网络异常流量的检测方法及系统
CN108512816A (zh) * 2017-02-28 2018-09-07 中国移动通信集团广东有限公司 一种流量劫持的检测方法及装置
CN109981603A (zh) * 2019-03-07 2019-07-05 北京华安普特网络科技有限公司 Arp攻击监测系统及方法
CN110022303A (zh) * 2019-03-07 2019-07-16 北京华安普特网络科技有限公司 Arp双向防御系统及方法
CN111181850A (zh) * 2019-08-12 2020-05-19 腾讯科技(深圳)有限公司 数据包泛洪抑制方法、装置和设备及计算机存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040078485A1 (en) * 2002-10-18 2004-04-22 Nokia Corporation Method and apparatus for providing automatic ingress filtering
CN101179566A (zh) * 2007-11-24 2008-05-14 华为技术有限公司 一种防御arp报文攻击的方法和装置
CN102546658A (zh) * 2012-02-20 2012-07-04 神州数码网络(北京)有限公司 一种防止网关arp欺骗的方法和系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040078485A1 (en) * 2002-10-18 2004-04-22 Nokia Corporation Method and apparatus for providing automatic ingress filtering
CN101179566A (zh) * 2007-11-24 2008-05-14 华为技术有限公司 一种防御arp报文攻击的方法和装置
CN102546658A (zh) * 2012-02-20 2012-07-04 神州数码网络(北京)有限公司 一种防止网关arp欺骗的方法和系统

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106470127A (zh) * 2015-08-18 2017-03-01 中兴通讯股份有限公司 一种网络异常流量的检测方法及系统
CN106302525A (zh) * 2016-09-27 2017-01-04 黄小勇 一种基于伪装的网络空间安全防御方法及系统
CN106302525B (zh) * 2016-09-27 2021-02-02 黄小勇 一种基于伪装的网络空间安全防御方法及系统
CN108512816A (zh) * 2017-02-28 2018-09-07 中国移动通信集团广东有限公司 一种流量劫持的检测方法及装置
CN108512816B (zh) * 2017-02-28 2021-04-27 中国移动通信集团广东有限公司 一种流量劫持的检测方法及装置
CN109981603A (zh) * 2019-03-07 2019-07-05 北京华安普特网络科技有限公司 Arp攻击监测系统及方法
CN110022303A (zh) * 2019-03-07 2019-07-16 北京华安普特网络科技有限公司 Arp双向防御系统及方法
CN110022303B (zh) * 2019-03-07 2021-11-16 北京华安普特网络科技有限公司 Arp双向防御系统及方法
CN111181850A (zh) * 2019-08-12 2020-05-19 腾讯科技(深圳)有限公司 数据包泛洪抑制方法、装置和设备及计算机存储介质
CN111181850B (zh) * 2019-08-12 2022-03-11 腾讯科技(深圳)有限公司 数据包泛洪抑制方法、装置和设备及计算机存储介质

Also Published As

Publication number Publication date
CN104796423B (zh) 2018-04-20

Similar Documents

Publication Publication Date Title
CN104796423A (zh) Arp双向主动防御方法
WO2021008028A1 (zh) 网络攻击源定位及防护方法、电子设备及计算机存储介质
WO2017148263A1 (zh) 网络攻击的防控方法、装置及系统
JP5826920B2 (ja) 遮断サーバを用いたスプーフィング攻撃に対する防御方法
CN104639504B (zh) 网络协同防御方法、装置和系统
CN101415012B (zh) 一种防御地址解析协议报文攻击的方法和系统
EP3355514B1 (en) Method and device for transmitting network attack defense policy and method and device for defending against network attack
CN105721457B (zh) 基于动态变换的网络安全防御系统和网络安全防御方法
CN101483515B (zh) Dhcp攻击防护方法和客户端设备
KR100996288B1 (ko) 가상 mac 주소를 이용하여 arp 스푸핑 공격에 대응하는 방법
CN105812318B (zh) 用于在网络中防止攻击的方法、控制器和系统
Foroushani et al. TDFA: traceback-based defense against DDoS flooding attacks
CN104247332A (zh) 涉及虚拟机流量防火墙的系统和处理与虚拟机流量防火墙相关的信息的方法
WO2011079669A1 (zh) 网络攻击防护方法、设备及系统
CN106453376B (zh) 一种基于tcp包特征的无状态扫描过滤方法
CN101257450A (zh) 网络安全防护方法、网关设备、客户端及网络系统
CN106302525B (zh) 一种基于伪装的网络空间安全防御方法及系统
CN101383812A (zh) 基于活动IP记录的IP欺骗DDoS攻击防御方法
CN101459653A (zh) 基于Snooping技术的防止DHCP报文攻击的方法
JP4602158B2 (ja) サーバ装置保護システム
JP6932375B2 (ja) 通信装置
CN101494536B (zh) 一种防arp攻击的方法、装置和系统
CN109005164A (zh) 一种网络系统、设备、网络数据交互方法及存储介质
CN113014530B (zh) Arp欺骗攻击防范方法及系统
Salim et al. Preventing ARP spoofing attacks through gratuitous decision packet

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
EXSB Decision made by sipo to initiate substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: Fourth Mawei District, Fujian, Mawei District, the library of the second floor (FTA test area), 350000, Fuzhou

Applicant after: FUJIAN LIUREN NETWORK SECURITY Co.,Ltd.

Address before: No. 188 Taiwan AD Creative Park in Fuzhou city of Fujian Province, Xiufeng road 350012 4 Building 3 layer

Applicant before: FUJIAN LIUREN NETWORK SECURITY Co.,Ltd.

COR Change of bibliographic data
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20240321

Address after: F7-118, 6th Floor, Shenya Building, No. 47 Guomao Road, Longhua District, Haikou City, Hainan Province, 570100

Patentee after: Haikou Bomei Network Technology Co.,Ltd.

Country or region after: China

Address before: 350000 floor 4, Mawei library, Mawei District, Fuzhou City, Fujian Province (in the pilot Free Trade Zone)

Patentee before: FUJIAN LIUREN NETWORK SECURITY Co.,Ltd.

Country or region before: China

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20240710

Address after: Store No. 01, Shuxiang Lingyu, No.8 Qiuyang East Road, Shangjie Town, Minhou County, Fuzhou City, Fujian Province, China 350100

Patentee after: Fuzhou Fenglin Tianbao Information Technology Co.,Ltd.

Country or region after: China

Address before: F7-118, 6th Floor, Shenya Building, No. 47 Guomao Road, Longhua District, Haikou City, Hainan Province, 570100

Patentee before: Haikou Bomei Network Technology Co.,Ltd.

Country or region before: China

TR01 Transfer of patent right