CN105262738B - 一种路由器及其防arp攻击的方法 - Google Patents

一种路由器及其防arp攻击的方法 Download PDF

Info

Publication number
CN105262738B
CN105262738B CN201510617397.3A CN201510617397A CN105262738B CN 105262738 B CN105262738 B CN 105262738B CN 201510617397 A CN201510617397 A CN 201510617397A CN 105262738 B CN105262738 B CN 105262738B
Authority
CN
China
Prior art keywords
address
mac address
attack
message
arp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510617397.3A
Other languages
English (en)
Other versions
CN105262738A (zh
Inventor
张德黎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qinghai Luoman Information Technology Co.,Ltd.
Original Assignee
Shanghai Feixun Data Communication Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Feixun Data Communication Technology Co Ltd filed Critical Shanghai Feixun Data Communication Technology Co Ltd
Priority to CN201510617397.3A priority Critical patent/CN105262738B/zh
Publication of CN105262738A publication Critical patent/CN105262738A/zh
Application granted granted Critical
Publication of CN105262738B publication Critical patent/CN105262738B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1073Registration or de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Abstract

本发明提供了一种路由器防ARP攻击的方法,其包括步骤:接收ARP报文;解析接收的所述ARP报文中的发送者的MAC地址和IP地址;将所述解析得到的MAC地址和IP地址同预先存储的名单链表比对,并判断所述解析得到的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则丢弃所述ARP报文;如果不是攻击地址,则放行所述ARP报文。本发明还提供了一种路由器,其包含可执行指令的模块,以执行上述方法。通过本发明能够有效防止ARP的攻击。

Description

一种路由器及其防ARP攻击的方法
技术领域
本发明涉及网络安全领域,尤指一种路由器及其防ARP攻击的方法。
背景技术
随着互联网技术的高速发展,网络安全已经变得越来越重要,有很多敏感信息,难免会吸引某些人的攻击,像网吧这种场所,总有一些不法分子常常窃取正常上网用户的个人信息,如网上银行密码、论坛账号密码等。局域网ARP攻击就是常见的一种方式,为了保证用户的合法利益,需要首先从局域网就阻止这些非法操作。
ARP攻击就是局域网攻击者通过伪造IP地址和MAC地址(物理地址)实现ARP欺骗,攻击主机只要持续不断的发出伪造的ARP响应包就能使目标主机更改自己ARP缓存中的MAC-IP条目,造成目标主机误认为攻击者的MAC地址和IP地址就是信任的网络地址,从而将数据发往攻击者伪造的地址,这样攻击主机就能窃取目标主机的机密信息(通过第三方工具解析)。ARP攻击通常发生在大型局域网内,比如校园网、网吧等场所。
当前预防ARP攻击的方案主要是在路由模式下进行的。一种方式是利用路由器在路由模式下DHCPserver分配给接入路由器的终端设备IP地址,另一种方式是路由器管理人员静态配置MAC地址和IP地址,这种方式需要终端用户在计算机上静态配置IP地址及其网关等信息,然后利用linux自带的arp命令或是arptables命令实施终端设备的MAC地址和IP地址绑定。但是,arp命令、arptables命令及其附属命令只能在linux用户空间使用。尤其是当路由器工作在桥模式下的时候,路由器本身没有设置DHCPserver来分配IP地址,而是需要从上一级路由器或是第三方DHCP server分配IP地址,不能由路由器直接获得IP地址,进而也就无法通过路由器有效防止ARP的攻击。
发明内容
本发明的目的是提供一种路由器及其防ARP攻击的方法,能够有效防止ARP的攻击。
本发明提供的技术方案如下:
本发明提供了一种路由器防ARP攻击的方法,其包括步骤:
接收ARP报文;
解析接收的所述ARP报文中的MAC地址和IP地址;
将所述解析得到的MAC地址和IP地址同预先存储的名单链表比对,并判断所述解析得到的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则丢弃所述ARP报文;如果不是攻击地址,则放行所述ARP报文。
优选地,所述预先存储的名单链表为白名单链表;
所述判断所述解析得到的MAC地址和IP地址是否为攻击地址进一步包括:
判断所述解析得到的MAC地址和IP地址是否与所述白名单链表中的一对MAC地址和IP地址一致,当一致时,判断所述解析得到的MAC地址和IP地址不是攻击地址,并放行所述ARP报文;当不一致时,判断所述解析得到的MAC地址和IP地址是攻击地址,并丢弃所述ARP报文。
优选地,所述预先存储的名单链表为黑名单链表;
所述判断所述解析得到的MAC地址和IP地址是否为攻击地址进一步包括:
判断所述解析得到的MAC地址和IP地址是否与所述黑名单链表中的一对MAC地址和IP地址一致,当一致时,判断所述解析得到的MAC地址和IP地址是攻击地址,并丢弃所述ARP报文;当不一致时,判断所述解析得到的MAC地址和IP地址不是攻击地址,并放行所述ARP报文。
优选地,当监测到任一终端在预设时间内并未作出响应后,从所述预先存储的名单链表中删除该终端所对应的MAC地址和IP地址。
优选地,在所述接收ARP报文的步骤之前,还包括步骤:
创建并存储所述名单链表。
优选地,在所述创建并存储所述名单链表的步骤之后,还包括步骤:
接收DHCP报文;
解析所述DHCP报文中的MAC地址和IP地址;
将所述解析得到的DHCP报文中的MAC地址和IP地址同预先存储的所述名单链表比对,并判断所述解析得到的DHCP报文中的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则丢弃所述DHCP报文;如果不是攻击地址,则放行所述DHCP报文。
优选地,在所述创建并存储所述名单链表的步骤之后,还包括步骤:
接收DHCP报文;
人工配置DHCP报文中的MAC地址和IP地址;
将所述DHCP报文中的MAC地址和IP地址同预先存储的所述名单链表比对,并判断所述DHCP报文中的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则丢弃所述DHCP报文;如果不是攻击地址,则放行所述DHCP报文。
进一步优选地,创建的所述名单链表为白名单链表;
所述判断所述DHCP报文中的MAC地址和IP地址是否为攻击地址进一步包括:
判断所述DHCP报文中的MAC地址和IP地址是否与所述白名单链表中的一对MAC地址和IP地址一致,当不一致时,判断所述DHCP报文中的MAC地址和IP地址是攻击地址,并丢弃所述DHCP报文;当一致时,判断所述DHCP报文中的MAC地址和IP地址不是攻击地址,将该MAC地址和IP地址存入所述白名单链表中,并放行所述DHCP报文。
进一步优选地,所述路由器防ARP攻击的方法应用于路由器桥模式下的内核netfilter。
进一步优选地,在所述创建并存储所述名单链表步骤之前,还包括步骤:
注册内核钩子函数。
本发明还提供了一种路由器,其应用如前述的路由器防ARP攻击的方法,所述路由器包括:
第一获取模块,其用于接收ARP报文;
第一解析模块,其用于解析ARP报文中的MAC地址和IP地址;
存储模块,其用于预先存储名单链表;
第一比对模块,其用于将所述解析得到的MAC地址和IP地址同预先存储的所述名单链表比对;
控制模块,其用于判断所述解析得到的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则控制丢弃所述ARP报文;如果不是攻击地址,则控制放行所述ARP报文。
优选地,所述的路由器还包括:
创建模块,其用于创建所述名单链表。
进一步优选地,所述的路由器还包括:
第二获取模块,其用于接收DHCP报文;
第二解析模块,其用于解析DHCP报文中的MAC地址和IP地址;
第二比对模块,其用于将所述解析得到的DHCP报文中的MAC地址和IP地址同预先存储的所述名单链表比对;
所述控制模块进一步用于判断所述解析得到的DHCP报文中的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则控制丢弃所述DHCP报文;如果不是攻击地址,则控制放行所述DHCP报文。
进一步优选地,所述的路由器还包括:
第三获取模块,其用于接收DHCP报文;
第三比对模块,其用于将人工配置的DHCP报文中的MAC地址和IP地址同预先存储的所述名单链表比对;
所述控制模块进一步用于判断所述人工配置的DHCP报文中的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则控制丢弃所述DHCP报文;如果不是攻击地址,则控制放行所述DHCP报文。
进一步优选地,所述的路由器还包括:
注册模块,其用于注册内核钩子函数。
通过本发明提供的路由器及其防ARP攻击的方法,能够带来以下至少一种有益效果:
1、本发明能够对接收的ARP报文解析其所包含的MAC地址和IP地址,并同预先存储的名单链表(地址名单链表)比对,以判断所述的MAC地址和IP地址是否为攻击地址。当为攻击地址时,丢弃所述ARP报文;如果不是攻击地址,则放行所述ARP报文。这样,就通过对地址的判断实现对ARP报文是否为欺骗报文的判断。
2、前述的预先存储的名单链表是通过对DHCP报文的不断处理所创建的名单链表。可以在判断DHCP报文中的MAC地址和IP地址为新地址时,将该地址添加至所述的名单链表。随着对更多DHCP报文的处理,名单链表中的地址也在不断的更新。通过这样的方法,可以持续且动态的创建名单链表,进而也能够对ARP报文中的MAC地址和IP地址做出更实时和准确的判断。
3、本发明可以主要应用于无法通过路由器直接分配IP地址的路由器桥模式。在路由器桥模式下,通过在内核netfilter下注册内核钩子函数,以实现对DHCP报文的抓取,并解析和判断DHCP报文中的MAC地址和IP地址。将安全的DHCP报文中的MAC地址和IP地址持续的添加至一名单链表,并将该名单链表作为判断ARP报文是否为欺骗报文的依据。通过这种方法,有效解决了在路由器桥模式下防止ARP攻击的问题。
附图说明
下面将以明确易懂的方式,结合附图说明优选实施方式,对一种路由器及其防ARP攻击的方法的上述特性、技术特征、优点及其实现方式予以进一步说明。
图1是本发明路由器防ARP攻击的方法的一种流程图;
图2是本发明路由器防ARP攻击的方法的另一种流程图;
图3是本发明路由器防ARP攻击的方法的另一种流程图;
图4是本发明路由器防ARP攻击的方法的另一种流程图;
图5是本发明路由器防ARP攻击的方法的另一种流程图;
图6是本发明路由器防ARP攻击的方法的另一种流程图;
图7是本发明路由器防ARP攻击的方法的另一种流程图;
图8是本发明路由器防ARP攻击的方法的另一种流程图;
图9是本发明路由器防ARP攻击的方法的另一种流程图;
图10是本发明路由器的一种结构示意图;
图11是本发明路由器的另一种结构示意图;
图12是本发明路由器的另一种结构示意图;
图13是本发明路由器的另一种结构示意图。
具体实施方式
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对照附图说明本发明的具体实施方式。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图,并获得其他的实施方式。
为使图面简洁,各图中只示意性地表示出了与本发明相关的部分,它们并不代表其作为产品的实际结构。另外,以使图面简洁便于理解,在有些图中具有相同结构或功能的部件,仅示意性地绘示了其中的一个,或仅标出了其中的一个。在本文中,“一个”不仅表示“仅此一个”,也可以表示“多于一个”的情形。
首先,需要对本发明中出现的本领域知识进行说明:
ARP(AddressResolutionProtocol,地址解析协议)是一个位于TCP/IP协议栈中的网络层,负责将某个IP地址解析成对应的MAC地址。ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
DHCP(DynamicHostConfigurationProtocol,动态主机配置协议)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段。DHCPServer(DHCP服务器),指在一个特定的网络中管理DHCP标准的一台计算机。DHCP服务器的职责是当工作站登录进来时分配IP地址,并且确保分配给每个工作站的IP地址不同,DHCP服务器极大地简化了以前需要用手工来完成的一些网络管理任务。
IP地址是指互联网协议地址(英语:InternetProtocolAddress,又译为网际协议地址),是IPAddress的缩写。IP地址是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。
MAC(MediaAccessControl或者MediumAccessControl)地址,意译为媒体访问控制,或称为物理地址、硬件地址,用来定义网络设备的位置。在OSI模型中,第三层网络层负责IP地址,第二层数据链路层则负责MAC地址。因此一个主机会有一个MAC地址,而每个网络位置会有一个专属于它的IP地址。MAC地址是网卡决定的,是固定的。
netfilter是由RustyRussell提出的Linux2.4内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用中的许多功能,如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(NetworkAddressTranslation,NAT),以及基于用户及媒体访问控制(MediaAccessControl,MAC)地址的过滤和基于状态的过滤、包速率限制等。netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理(如包过滤,NAT等,甚至可以是用户自定义的功能)。
在本发明路由器防ARP攻击的方法的实施例一中,参照图1,包括如下步骤:
步骤101:接收ARP报文;
步骤102:解析接收的ARP报文中的MAC地址和IP地址;
步骤103:将解析得到的MAC地址和IP地址同预先存储的名单链表比对;
步骤104:判断解析得到的MAC地址和IP地址是否为攻击地址;当判断为攻击地址时执行步骤105;当判断不是攻击地址时执行步骤106;
步骤105:丢弃ARP报文;
步骤106:放行ARP报文。
在本实施例中,名单链表是包括MAC地址和IP地址成对出现的地址名单链表。预先存储的名单链表可以是静态存储的,也可以是实时更新的名单链表。在判断ARP报文中的MAC地址和IP地址是否为攻击地址时,可以将解析ARP报文得到的发送者的MAC地址、IP地址同名单链表中的地址进行比对,(1)当名单链表为白名单链表时,如果解析ARP报文得到的发送者的MAC地址、IP地址在名单链表中,则表示ARP报文的MAC地址、IP地址为安全地址,ARP报文为可信任报文,对ARP报文予以放行;反之则判断ARP报文为欺骗报文,并丢弃ARP报文。(2)当名单链表为黑名单链表时,如果解析ARP报文得到的发送者的MAC地址、IP地址在名单链表中,则表示ARP报文的发送者的MAC地址、IP地址为欺骗地址,ARP报文为欺骗报文,对ARP报文予以丢弃;反之则判断ARP报文为可信任报文,并放行ARP报文。
在本发明路由器防ARP攻击的方法的实施例二中,参照图2,包括如下步骤:
步骤201:接收ARP报文;
步骤202:解析接收的ARP报文中的MAC地址和IP地址;
步骤203:将解析得到的MAC地址和IP地址同预先存储的白名单链表比对;
步骤204:判断解析得到的MAC地址和IP地址是否与所述白名单链表中的一对MAC地址和IP地址一致;当判断一致时执行步骤205;当判断不一致时执行步骤206;
步骤205:放行ARP报文;
步骤206:丢弃ARP报文。
相较于方法的实施例一,本实施例将预先存储的名单链表细化为白名单链表。将解析ARP报文得到的发送者的MAC地址、IP地址同白名单链表中的地址进行比对,当发送者的MAC地址、IP地址在白名单链表中,则表示ARP报文的MAC地址、IP地址为安全地址,ARP报文为可信任报文,对ARP报文予以放行;当发送者的MAC地址、IP地址不在白名单链表中,则表示ARP报文的MAC地址、IP地址为欺骗地址,ARP报文为欺骗报文,并丢弃ARP报文。
在本实施例中,判断解析得到的发送者的MAC地址和IP地址是否与所述白名单链表中的一对MAC地址和IP地址一致时,可以理解为当解析得到的发送者的MAC地址、IP地址存在于白名单链表中,且解析得到的发送者的MAC地址和IP地址的对应关系也存在于白名单链表中时,可以认为是一致的。
在本发明路由器防ARP攻击的方法的实施例三中,参照图3,包括如下步骤:
步骤301:接收ARP报文;
步骤302:解析接收的ARP报文中的MAC地址和IP地址;
步骤303:将解析得到的MAC地址和IP地址同预先存储的黑名单链表比对;
步骤304:判断解析得到的MAC地址和IP地址是否与所述黑名单链表中的一对MAC地址和IP地址一致;当判断一致时执行步骤305;当判断不一致时执行步骤306;
步骤305:丢弃ARP报文;
步骤306:放行ARP报文。
相较于方法的实施例一,本实施例将预先存储的名单链表细化为黑名单链表。将解析ARP报文得到的发送者的MAC地址、IP地址同黑名单链表中的地址进行比对,当发送者的MAC地址、IP地址不在黑名单链表中,则表示ARP报文的MAC地址、IP地址为安全地址,ARP报文为可信任报文,对ARP报文予以放行;当发送者的MAC地址、IP地址在黑名单链表中,则表示ARP报文的MAC地址、IP地址为欺骗地址,ARP报文为欺骗报文,并丢弃ARP报文。
在本实施例中,判断解析得到的发送者的MAC地址和IP地址是否与所述黑名单链表中的一对MAC地址和IP地址一致时,可以理解为当解析得到的发送者的MAC地址、IP地址存在于黑名单链表中,且解析得到的发送者的MAC地址和IP地址的对应关系也存在于黑名单链表中时,可以认为是一致的。
在本发明路由器防ARP攻击的方法的实施例四中,参照图4,包括如下步骤:
步骤401:创建并存储名单链表;
步骤402:接收ARP报文;
步骤403:解析接收的ARP报文中的MAC地址和IP地址;
步骤404:将解析得到的MAC地址和IP地址同预先存储的名单链表比对;
步骤405:判断解析得到的MAC地址和IP地址是否为攻击地址;当判断为攻击地址时执行步骤406;当判断不是攻击地址时执行步骤407;
步骤406:丢弃ARP报文;
步骤407:放行ARP报文。
相较于方法的实施例一,本实施例增加了创建并存储名单链表的步骤,可以直接创建一静态名单链表,也可以先创建一空白链表,并根据DHCP服务器分配的地址或处理DHCP报文时解析的地址筛选出可信任地址或欺骗地址,不断地添加至名单链表中,使名单链表为实时更新的状态。之后将解析的ARP报文中的发送者的MAC地址和IP地址同名单链表进行比对,以判断ARP报文是否为欺骗报文。
在本发明路由器防ARP攻击的方法的实施例五中,参照图5,包括如下步骤:
步骤501:创建并存储名单链表;
步骤502:接收DHCP报文;
步骤503:解析DHCP报文中的MAC地址和IP地址;
步骤504:将解析得到的DHCP报文中的MAC地址和IP地址同预先存储的名单链表比对;
步骤505:判断解析得到的DHCP报文中的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则执行步骤506;如果不是攻击地址,则执行步骤507;
步骤506:丢弃DHCP报文;
步骤507:放行DHCP报文。
本实施例是根据DHCP报文的处理对创建的名单链表进行更新。在对DHCP报文处理时,需要将DHCP报文中的MAC地址和IP地址同创建的名单链表进行比对,由于MAC地址是唯一的,因而可以通过MAC地址的唯一性,来判断当DHCP报文中的MAC地址、IP地址在名单链表中出现或未出现所决定的DHCP报文中的MAC地址和IP地址是否为可信任的地址。并对名单链表进行智能更新,添加新的地址。而当DHCP报文中的MAC地址和IP地址为可信任的地址时,DHCP报文为可信任报文,放行该报文;当DHCP报文中的MAC地址和IP地址为欺骗地址时,DHCP报文为欺骗报文,予以丢弃。
在本实施例中,可以是先创建一空白名单链表,并根据对DHCP报文的处理来对创建的名单链表进行更新。在处理DHCP报文时,将DHCP报文中的MAC地址和IP地址智能添加至空白名单链表中。
在本发明路由器防ARP攻击的方法的实施例六中,参照图6,包括如下步骤:
步骤601:创建并存储白名单链表;
步骤602:接收DHCP报文;
步骤603:解析接收的DHCP报文中的MAC地址和IP地址;
步骤604:将解析得到的DHCP报文中的MAC地址和IP地址同预先存储的白名单链表比对;
步骤605:判断解析得到的DHCP报文中的MAC地址和IP地址一致是否与白名单链表中的一对MAC地址和IP地址一致;当判断不一致时,执行步骤606;当判断一致时,执行步骤607;
步骤606:丢弃DHCP报文;
步骤607:将该MAC地址和IP地址存入所述白名单链表中;
步骤608:放行DHCP报文。
在本实施例中,将方法实施例五中的名单链表细化为白名单链表,即都为安全地址的名单链表。根据MAC地址的唯一性,当接收到的DHCP报文中的MAC地址、IP地址在名单链表中出现时,则判断该接收到的DHCP报文中的MAC地址、IP地址为欺骗地址,DHCP报文为欺骗报文,并丢弃DHCP报文;而当接收到的DHCP报文中的MAC地址、IP地址并未出现在名单链表中时,则判断该接收到的DHCP报文中的MAC地址、IP地址为可信任地址,DHCP报文为可信任报文,将该DHCP报文中的MAC地址、IP地址添加至名单链表中,并放行该报文。
在本实施例中,创建的白名单链表可以是空白名单,并根据对DHCP报文的不断处理,将可信任地址不断添加至空白名单中,实现对名单链表的实时更新。
在本实施例中,判断解析得到的MAC地址和IP地址是否与所述白名单链表中的一对MAC地址和IP地址一致时,可以理解为当解析得到的MAC地址、IP地址存在于白名单链表中,且解析得到的MAC地址和IP地址的对应关系也存在于白名单链表中时,可以认为是一致的。
在本发明路由器防ARP攻击的方法的实施例七中,参照图7,包括如下步骤:
步骤701:创建并存储名单链表;
步骤702:接收DHCP报文;
步骤703:人工配置DHCP报文中的MAC地址和IP地址;
步骤704:将DHCP报文中的MAC地址和IP地址同预先存储的名单链表比对;
步骤705:判断DHCP报文中的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则执行步骤706;如果不是攻击地址,则执行步骤707;
步骤706:丢弃DHCP报文;
步骤707:放行DHCP报文。
相较于方法的实施例五,本实施例的不同在于DHCP报文中的MAC地址和IP地址是人工配置的,可以由用户自行配置。提供了不同的执行方式,便于在特殊情况下使用。
在本发明路由器防ARP攻击的方法的实施例八中,参照图8,包括如下步骤:
步骤801:创建并存储白名单链表;
步骤802:接收DHCP报文;
步骤803:人工配置DHCP报文中的MAC地址和IP地址;
步骤804:将DHCP报文中的MAC地址和IP地址同预先存储的白名单链表比对;
步骤805:判断配置的DHCP报文中的MAC地址和IP地址一致是否与白名单链表中的一对MAC地址和IP地址一致;当判断一致时,执行步骤806;当判断不一致时,执行步骤807;
步骤806:丢弃DHCP报文;
步骤807:将该MAC地址和IP地址存入所述白名单链表中;
步骤808:放行DHCP报文。
在本实施例中,将方法实施例七中的名单链表细化为白名单链表,即都为安全地址的名单链表。根据MAC地址的唯一性,当接收到的DHCP报文中的MAC地址、IP地址在名单链表中出现时,则判断该DHCP报文中人工配置的MAC地址、IP地址为欺骗地址,DHCP报文为欺骗报文,并丢弃DHCP报文;而当接收到的DHCP报文中的MAC地址、IP地址并未出现在名单链表中时,则判断该DHCP报文中人工配置的MAC地址、IP地址为可信任地址,DHCP报文为可信任报文,将该DHCP报文中的MAC地址、IP地址添加至名单链表中,并放行该报文。
在本实施例中,创建的白名单链表可以是空白名单,并根据对DHCP报文的不断处理,将可信任地址不断添加至空白名单中,实现对名单链表的实时更新。
在本实施例中,判断人工配置的MAC地址和IP地址是否与所述白名单链表中的一对MAC地址和IP地址一致时,可以理解为当解析得到的MAC地址、IP地址存在于白名单链表中,且解析得到的MAC地址和IP地址的对应关系也存在于白名单链表中时,可以认为是一致的。
在本发明路由器防ARP攻击的方法的实施例九中,参照图9,包括如下步骤:
步骤901:注册内核钩子函数;
步骤902:创建并存储白名单链表;
步骤903:接收DHCP报文;
步骤904:解析接收的DHCP报文中的MAC地址和IP地址;
步骤905:将解析得到的DHCP报文中的MAC地址和IP地址同预先存储的白名单链表比对;
步骤906:判断解析得到的DHCP报文中的MAC地址和IP地址一致是否与白名单链表中的一对MAC地址和IP地址一致;当判断不一致时,执行步骤907;当判断一致时,执行步骤908;
步骤907:丢弃DHCP报文;
步骤908:将该MAC地址和IP地址存入所述白名单链表中;
步骤909:放行DHCP报文。
本实施例的路由器防ARP攻击的方法应用于路由器桥模式下的内核netfilter,其设有多个检测点,可用于数据包的抓取和过滤。因而,本实施例需要进一步增加注册内核钩子函数的步骤,用于抓取DHCP报文。
在本发明方法的一个实施例中,还可以当监测到任一终端在预设时间内并未作出响应后,从所述预先存储的名单链表中删除该终端所对应的MAC地址和IP地址。当任一终端在预设时间内并未作出响应时,即可认为该终端用户已离线,则之前为其配置的MAC地址和IP地址不再使用,可从预先存储的名单链表中删除该终端所对应的MAC地址和IP地址,并在终端用户下次上线时重新配置MAC地址和IP地址。
在本实施例中,判断解析得到的MAC地址和IP地址是否与所述白名单链表中的一对MAC地址和IP地址一致时,可以理解为当解析得到的MAC地址、IP地址存在于白名单链表中,且解析得到的MAC地址和IP地址的对应关系也存在于白名单链表中时,可以认为是一致的。
本发明还提供了一种应用前述防ARP攻击方法的路由器。
在本发明路由器的实施例一中,参照图10,路由器包括:
第一获取模块1,其用于接收ARP报文;
第一解析模块2,其用于解析接收到的ARP报文中的发送者的MAC地址和IP地址;
存储模块3,其用于预先存储名单链表;
第一比对模块4,其用于将所述解析得到的MAC地址和IP地址同预先存储的所述名单链表比对;
控制模块5,其用于判断所述解析得到的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则控制丢弃所述ARP报文;如果不是攻击地址,则控制放行所述ARP报文。
在本实施例中,第一获取模块、第一解析模块、存储模块、第一比对模块、控制模块均可以通过写入程序的功能模块实现。
本实施例在应用时,通过第一获取模块1接收ARP报文,再通过第一解析模块2解析第一获取模块1接收到的ARP报文中的发送者的MAC地址和IP地址。之后通过第一比对模块4将第一解析模块2解析得到的MAC地址和IP地址同存储模块3中预先存储的名单链表进行比对。再由控制模块5判断第一解析模块2解析得到的发送者的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则控制模块5控制丢弃所述ARP报文;如果不是攻击地址,则控制模块5控制放行所述ARP报文。
在本发明路由器的实施例二中,参照图11,路由器包括:
第一获取模块1,其用于接收ARP报文;
第一解析模块2,其用于解析接收到的ARP报文中的发送者的MAC地址和IP地址;
存储模块3,其用于预先存储名单链表;
第一比对模块4,其用于将所述解析得到的MAC地址和IP地址同预先存储的所述名单链表比对;
控制模块5,其用于判断所述解析得到的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则控制丢弃所述ARP报文;如果不是攻击地址,则控制放行所述ARP报文;
创建模块6,其用于创建所述名单链表;
第二获取模块7,其用于接收DHCP报文;
第二解析模块8,其用于解析DHCP报文中的MAC地址和IP地址;
第二比对模块9,其用于将所述解析得到的DHCP报文中的MAC地址和IP地址同预先存储的所述名单链表比对;
所述控制模块5进一步用于判断所述解析得到的DHCP报文中的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则控制丢弃所述DHCP报文;如果不是攻击地址,则控制放行所述DHCP报文。
在本实施例中,第一获取模块、第一解析模块、存储模块、第一比对模块、控制模块、创建模块、第二获取模块、第二解析模块、第二比对模块均可以通过写入程序的功能模块实现。
本实施例在应用时,首先需要创建模块6创建名单链表。之后,对ARP报文的处理过程包括:通过第一获取模块1接收ARP报文,再通过第一解析模块2解析第一获取模块1接收到的ARP报文中的MAC地址和IP地址。之后通过第一比对模块4将第一解析模块2解析得到的MAC地址和IP地址同存储模块3中预先存储的名单链表进行比对。再由控制模块5判断第一解析模块2解析得到的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则控制模块5控制丢弃所述ARP报文;如果不是攻击地址,则控制模块5控制放行所述ARP报文。
本实施例在应用时,还包括如下对DHCP报文的处理过程,用于对创建的名单链表进行更新:首先通过第二获取模块7抓取或接收DHCP报文;再由第二解析模块8解析DHCP报文中的MAC地址和IP地址;之后通过第二比对模块9将所述解析得到的DHCP报文中的MAC地址和IP地址同存储模块3中预先存储的所述名单链表比对;再由控制模块5进一步判断所述解析得到的DHCP报文中的MAC地址和IP地址是否为攻击地址。由于MAC地址是唯一的,因而控制模块5可以通过MAC地址的唯一性,来判断当DHCP报文中的MAC地址、IP地址在名单链表中出现或未出现所决定的DHCP报文中的MAC地址和IP地址是否为可信任的地址。并对名单链表进行智能更新,添加新的地址。如果为攻击地址,则控制丢弃所述DHCP报文;如果不是攻击地址,则控制放行所述DHCP报文。
在本实施例中,可以是先创建一空白名单链表,并根据对DHCP报文的处理来对创建的名单链表进行更新。在处理DHCP报文时,将DHCP报文中的MAC地址和IP地址智能添加至空白名单链表中。
在本发明路由器的实施例三中,参照图12,路由器包括:
第一获取模块1,其用于接收ARP报文;
第一解析模块2,其用于解析接收到的ARP报文中的发送者的MAC地址和IP地址;
存储模块3,其用于预先存储名单链表;
第一比对模块4,其用于将所述解析得到的MAC地址和IP地址同预先存储的所述名单链表比对;
控制模块5,其用于判断所述解析得到的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则控制丢弃所述ARP报文;如果不是攻击地址,则控制放行所述ARP报文;
创建模块6,其用于创建所述名单链表;
第三获取模块10,其用于接收DHCP报文;
第三比对模块11,其用于将人工配置的DHCP报文中的MAC地址和IP地址同预先存储的所述名单链表比对;
所述控制模块5进一步用于判断所述人工配置的DHCP报文中的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则控制丢弃所述DHCP报文;如果不是攻击地址,则控制放行所述DHCP报文。
在本实施例中,第一获取模块、第一解析模块、存储模块、第一比对模块、控制模块、创建模块、第三获取模块、第三比对模块均可以通过写入程序的功能模块实现。
本实施例在应用时,首先需要创建模块6创建名单链表。之后,对ARP报文的处理过程包括:通过第一获取模块1接收ARP报文,再通过第一解析模块2解析第一获取模块1接收到的ARP报文中的发送者的MAC地址和IP地址。之后通过第一比对模块4将第一解析模块2解析得到的MAC地址和IP地址同存储模块3中预先存储的名单链表进行比对。再由控制模块5判断第一解析模块2解析得到的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则控制模块5控制丢弃所述ARP报文;如果不是攻击地址,则控制模块5控制放行所述ARP报文。
本实施例在应用时,还包括如下对DHCP报文的处理过程,用于对创建的名单链表进行更新:首先通过第三获取模块10抓取或接收DHCP报文;再由第三比对模块11将人工配置的DHCP报文中的MAC地址和IP地址同存储模块3中预先存储的所述名单链表比对;之后控制模块5进一步用于判断所述人工配置的DHCP报文中的MAC地址和IP地址是否为攻击地址。由于MAC地址是唯一的,因而控制模块5可以通过MAC地址的唯一性,来判断当DHCP报文中的MAC地址、IP地址在名单链表中出现或未出现所决定的DHCP报文中的MAC地址和IP地址是否为可信任的地址。并对名单链表进行智能更新,添加新的地址。如果为攻击地址,则控制丢弃所述DHCP报文;如果不是攻击地址,则控制放行所述DHCP报文。
在本实施例中,可以是先创建一空白名单链表,并根据对DHCP报文的处理来对创建的名单链表进行更新。在处理DHCP报文时,将DHCP报文中的MAC地址和IP地址智能添加至空白名单链表中。
在本发明路由器的实施例四中,参照图13,路由器包括:
注册模块12,其用于注册内核钩子函数;
第一获取模块1,其用于接收ARP报文;
第一解析模块2,其用于解析接收到的ARP报文中的发送者的MAC地址和IP地址;
存储模块3,其用于预先存储名单链表;
第一比对模块4,其用于将所述解析得到的MAC地址和IP地址同预先存储的所述名单链表比对;
控制模块5,其用于判断所述解析得到的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则控制丢弃所述ARP报文;如果不是攻击地址,则控制放行所述ARP报文;
创建模块6,其用于创建所述名单链表;
第二获取模块7,其用于接收DHCP报文;
第二解析模块8,其用于解析DHCP报文中的MAC地址和IP地址;
第二比对模块9,其用于将所述解析得到的DHCP报文中的MAC地址和IP地址同预先存储的所述名单链表比对;
所述控制模块5进一步用于判断所述解析得到的DHCP报文中的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则控制丢弃所述DHCP报文;如果不是攻击地址,则控制放行所述DHCP报文。
本实施例是在路由器实施例二的基础上增加了注册模块12,用于注册内核钩子函数。本实施例的路由器可以应用路由器桥模式下的内核netfilter,其设有多个检测点,可用于数据包的抓取和过滤。因而,本实施例需要进一步增加注册模块,通过注册内核钩子函数,抓取DHCP报文。
在本发明的一个具体实施例中,主要应用于桥模式下的防ARP攻击。首先需要注册内核钩子函数,当然这是基于内核netfileter包过滤,钩子函数注册到NF_INET_FORWARD链,然后在钩子函数中只处理DHCP报文和ARP报文。直接抓取终端设备和上一级路由器或是第三方DHCPserver通讯的DHCP报文,首先在内核空间创建一个带有MAC地址、IP地址字段的白名单链表,然后解析出DHCP报文中的MAC地址和IP地址,接着根据IP地址去链表中查询是否存在与此IP地址是否已经和其它MAC地址一一对应的项,如果存在说明此报文为欺骗报文,直接将此报文丢弃(内核处理为DROP),如果查询不存在和其它MAC地址一一对应项,那么说明是新的终端接入,为合法报文,将其存入此白名单链表,然后放行此报文(内核处理为ACCEPT);管理人员也可手动配置MAC地址和IP地址,然后经路由器桥模式下管理页面通过用户空间设置到内核空间,内核空间查询白名单链表此地址对是否已经存在,如果不存在则直接存储,否则放弃存储并返回错误给管理人员提示。
当系统检测到终端用户离线后,将白名单链表中对应的MAC地址和IP地址条目删除。维护好此白名单链表后,当局域网出现非法用户发送ARP欺骗报文时,内核空间解析ARP报文中的MAC地址和IP地址,然后去查询我们维护的链表,如果MAC地址和IP地址不和白名单链表中的一致,说明是攻击报文,此时在内核中直接丢弃此报文,此时路由器ARP表里就不会出现非法终端设备的ARP信息,否则放行。
应当说明的是,上述实施例均可根据需要自由组合。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (10)

1.一种路由器防ARP攻击的方法,其特征在于,包括步骤:
创建并存储名单链表;
接收DHCP报文;
解析所述DHCP报文中的MAC地址和IP地址;
将所述解析得到的DHCP报文中的MAC地址和IP地址同预先存储的所述名单链表比对,并判断所述解析得到的DHCP报文中的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则丢弃所述DHCP报文;如果不是攻击地址,则放行所述DHCP报文;
接收ARP报文;
解析接收的所述ARP报文中的MAC地址和IP地址;
将所述解析得到的MAC地址和IP地址同预先存储的所述名单链表比对,并判断所述解析得到的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则丢弃所述ARP报文;如果不是攻击地址,则放行所述ARP报文;
所述路由器防ARP攻击的方法应用于路由器桥模式下的内核netfilter。
2.根据权利要求1所述的一种路由器防ARP攻击的方法,其特征在于:
所述预先存储的名单链表为白名单链表;
所述判断所述解析得到的MAC地址和IP地址是否为攻击地址进一步包括:
判断所述解析得到的MAC地址和IP地址是否与所述白名单链表中的一对MAC地址和IP地址一致,当一致时,判断所述解析得到的MAC地址和IP地址不是攻击地址,并放行所述ARP报文;当不一致时,判断所述解析得到的MAC地址和IP地址是攻击地址,并丢弃所述ARP报文。
3.根据权利要求1所述的一种路由器防ARP攻击的方法,其特征在于:
所述预先存储的名单链表为黑名单链表;
所述判断所述解析得到的MAC地址和IP地址是否为攻击地址进一步包括:
判断所述解析得到的MAC地址和IP地址是否与所述黑名单链表中的一对MAC地址和IP地址一致,当一致时,判断所述解析得到的MAC地址和IP地址是攻击地址,并丢弃所述ARP报文;当不一致时,判断所述解析得到的MAC地址和IP地址不是攻击地址,并放行所述ARP报文。
4.根据权利要求1所述的一种路由器防ARP攻击的方法,其特征在于,在所述创建并存储所述名单链表的步骤之后,还包括步骤:
接收DHCP报文;
人工配置DHCP报文中的MAC地址和IP地址;
将所述DHCP报文中的MAC地址和IP地址同预先存储的所述名单链表比对,并判断所述DHCP报文中的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则丢弃所述DHCP报文;如果不是攻击地址,则放行所述DHCP报文。
5.根据权利要求1或4所述的一种路由器防ARP攻击的方法,其特征在于:
创建的所述名单链表为白名单链表;
所述判断所述DHCP报文中的MAC地址和IP地址是否为攻击地址进一步包括:
判断所述DHCP报文中的MAC地址和IP地址是否与所述白名单链表中的一对MAC地址和IP地址一致,当不一致时,判断所述DHCP报文中的MAC地址和IP地址是攻击地址,并丢弃所述DHCP报文;当一致时,判断所述DHCP报文中的MAC地址和IP地址不是攻击地址,将该MAC地址和IP地址存入所述白名单链表中,并放行所述DHCP报文。
6.根据权利要求1或4所述的一种路由器防ARP攻击的方法,其特征在于:
当监测到任一终端在预设时间内并未作出响应后,从所述预先存储的名单链表中删除该终端所对应的MAC地址和IP地址。
7.根据权利要求1所述的一种路由器防ARP攻击的方法,其特征在于,在所述创建并存储所述名单链表步骤之前,还包括步骤:
注册内核钩子函数。
8.一种路由器,其特征在于,所述路由器包括:
第一获取模块,其用于接收ARP报文;
第一解析模块,其用于解析ARP报文中的MAC地址和IP地址;
存储模块,其用于预先存储名单链表;
第一比对模块,其用于将所述解析得到的MAC地址和IP地址同预先存储的所述名单链表比对;
控制模块,其用于判断所述解析得到的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则控制丢弃所述ARP报文;如果不是攻击地址,则控制放行所述ARP报文;
创建模块,其用于创建所述名单链表;
第二获取模块,其用于接收DHCP报文;
第二解析模块,其用于解析DHCP报文中的MAC地址和IP地址;
第二比对模块,其用于将所述解析得到的DHCP报文中的MAC地址和IP地址同预先存储的所述名单链表比对;
所述控制模块进一步用于判断所述解析得到的DHCP报文中的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则控制丢弃所述DHCP报文;如果不是攻击地址,则控制放行所述DHCP报文;
所述路由器防ARP攻击的方法应用于路由器桥模式下的内核netfilter。
9.根据权利要求8所述的一种路由器,其特征在于,还包括:
第三获取模块,其用于接收DHCP报文;
第三比对模块,其用于将人工配置的DHCP报文中的MAC地址和IP地址同预先存储的所述名单链表比对;
所述控制模块进一步用于判断所述人工配置的DHCP报文中的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则控制丢弃所述DHCP报文;如果不是攻击地址,则控制放行所述DHCP报文。
10.根据权利要求8-9任一所述的一种路由器,其特征在于,还包括:
注册模块,其用于注册内核钩子函数。
CN201510617397.3A 2015-09-24 2015-09-24 一种路由器及其防arp攻击的方法 Active CN105262738B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510617397.3A CN105262738B (zh) 2015-09-24 2015-09-24 一种路由器及其防arp攻击的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510617397.3A CN105262738B (zh) 2015-09-24 2015-09-24 一种路由器及其防arp攻击的方法

Publications (2)

Publication Number Publication Date
CN105262738A CN105262738A (zh) 2016-01-20
CN105262738B true CN105262738B (zh) 2019-08-16

Family

ID=55102243

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510617397.3A Active CN105262738B (zh) 2015-09-24 2015-09-24 一种路由器及其防arp攻击的方法

Country Status (1)

Country Link
CN (1) CN105262738B (zh)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107690004B (zh) * 2016-08-04 2021-10-08 中兴通讯股份有限公司 地址解析协议报文的处理方法及装置
CN106488458B (zh) * 2016-12-21 2020-04-24 锐捷网络股份有限公司 检测网关arp欺骗的方法及装置
CN107295020A (zh) * 2017-08-16 2017-10-24 北京新网数码信息技术有限公司 一种地址解析协议攻击的处理方法及装置
CN109428862A (zh) * 2017-08-29 2019-03-05 武汉安天信息技术有限责任公司 一种在局域网内检测arp攻击的方法和装置
CN107483514A (zh) * 2017-10-13 2017-12-15 北京知道创宇信息技术有限公司 攻击监控设备及智能设备
CN107707486A (zh) * 2017-10-26 2018-02-16 锐捷网络股份有限公司 一种基于openflow通道的报文处理方法和装置
CN110113290B (zh) * 2018-02-01 2021-01-05 华为技术有限公司 网络攻击的检测方法、装置、主机及存储介质
CN108418806B (zh) * 2018-02-05 2021-09-24 新华三信息安全技术有限公司 一种报文的处理方法及装置
CN108234522B (zh) * 2018-03-01 2021-01-22 深圳市共进电子股份有限公司 防止地址解析协议arp攻击方法、装置、计算机设备和存储介质
CN110401616A (zh) * 2018-04-24 2019-11-01 北京码牛科技有限公司 一种提高mac地址和ip地址安全性和稳定性的方法和系统
CN110401617A (zh) * 2018-04-24 2019-11-01 北京码牛科技有限公司 一种防止arp欺骗的方法和系统
CN110505176B9 (zh) 2018-05-16 2023-04-11 中兴通讯股份有限公司 报文优先级的确定、发送方法及装置、路由系统
CN110661799B (zh) * 2019-09-24 2020-11-20 北京安信天行科技有限公司 一种arp欺骗行为的检测方法及系统
CN111083154A (zh) * 2019-12-24 2020-04-28 北京网太科技发展有限公司 一种安全防护方法、装置及存储介质
CN111431912B (zh) * 2020-03-30 2021-12-28 上海尚往网络科技有限公司 用于检测dhcp劫持的方法和设备
CN112822148B (zh) * 2020-08-17 2023-02-21 北京辰信领创信息技术有限公司 物联网感知层终端arp中间人攻击防护设计
CN113839889B (zh) * 2021-09-18 2024-04-05 深圳震有科技股份有限公司 一种报文处理方法、终端及计算机可读存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1466341A (zh) * 2002-06-22 2004-01-07 ��Ϊ�������޹�˾ 一种动态地址分配中防止ip地址欺骗的方法
CN1612537A (zh) * 2003-10-29 2005-05-04 华为技术有限公司 防范网际协议以太网中假冒主机的方法
CN101370019A (zh) * 2008-09-26 2009-02-18 北京星网锐捷网络技术有限公司 防止地址解析协议报文欺骗攻击的方法及交换机
CN101488951A (zh) * 2008-12-31 2009-07-22 成都市华为赛门铁克科技有限公司 一种地址解析协议攻击防范方法、设备和通信网络
CN101635713A (zh) * 2009-06-09 2010-01-27 北京安天电子设备有限公司 一种防止局域网arp欺骗攻击的方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101110821B (zh) * 2007-09-06 2010-07-07 华为技术有限公司 防止arp地址欺骗攻击的方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1466341A (zh) * 2002-06-22 2004-01-07 ��Ϊ�������޹�˾ 一种动态地址分配中防止ip地址欺骗的方法
CN1612537A (zh) * 2003-10-29 2005-05-04 华为技术有限公司 防范网际协议以太网中假冒主机的方法
CN101370019A (zh) * 2008-09-26 2009-02-18 北京星网锐捷网络技术有限公司 防止地址解析协议报文欺骗攻击的方法及交换机
CN101488951A (zh) * 2008-12-31 2009-07-22 成都市华为赛门铁克科技有限公司 一种地址解析协议攻击防范方法、设备和通信网络
CN101635713A (zh) * 2009-06-09 2010-01-27 北京安天电子设备有限公司 一种防止局域网arp欺骗攻击的方法及系统

Also Published As

Publication number Publication date
CN105262738A (zh) 2016-01-20

Similar Documents

Publication Publication Date Title
CN105262738B (zh) 一种路由器及其防arp攻击的方法
CN104853003B (zh) 一种基于Netfilter的地址、端口跳变通信实现方法
CN104468624B (zh) Sdn控制器、路由/交换设备及网络防御方法
CN103283202B (zh) 用于针对恶意软件的网络级保护的系统和方法
Mirkovic et al. A taxonomy of DDoS attack and DDoS defense mechanisms
CN103650436B (zh) 业务路径分配方法、路由器和业务执行实体
CN105119930B (zh) 基于OpenFlow协议的恶意网站防护方法
CN105721457B (zh) 基于动态变换的网络安全防御系统和网络安全防御方法
WO2008151321A2 (en) Systems, methods, and media for enforcing a security policy in a network including a plurality of components
CN106657025A (zh) 网络攻击行为检测方法及装置
CN109756512A (zh) 一种流量应用识别方法、装置、设备及存储介质
JP2003527793A (ja) ネットワークにおける、自動的な侵入検出及び偏向のための方法
CA2297341A1 (en) System for monitoring network for cracker attack
CN105743878A (zh) 使用蜜罐的动态服务处理
CN105812318B (zh) 用于在网络中防止攻击的方法、控制器和系统
CN106657035B (zh) 一种网络报文传输方法及装置
CN100438427C (zh) 网络控制方法和设备
CN109413088A (zh) 一种网络中的威胁处置策略分解方法及系统
Priyadharshini et al. Prevention of DDOS attacks using new cracking algorithm
CN106411852B (zh) 一种分布式终端准入控制方法和装置
CN1326365C (zh) 使用基于硬件的模式匹配的蠕虫阻击系统和方法
Clayton Anonymity and traceability in cyberspace
CN101141396B (zh) 报文处理方法和网络设备
CN107360178A (zh) 一种使用白名单控制网络访问的方法
CN106790073A (zh) 一种Web服务器恶意攻击的阻断方法、装置及防火墙

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20201119

Address after: Room 10242, No. 260, Jiangshu Road, Xixing street, Binjiang District, Hangzhou City, Zhejiang Province

Patentee after: Hangzhou Jiji Intellectual Property Operation Co.,Ltd.

Address before: 201616 Shanghai city Songjiang District Sixian Road No. 3666

Patentee before: Phicomm (Shanghai) Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20201221

Address after: 8319 Yanshan Road, Bengbu City, Anhui Province

Patentee after: Bengbu Lichao Information Technology Co.,Ltd.

Address before: Room 10242, No. 260, Jiangshu Road, Xixing street, Binjiang District, Hangzhou City, Zhejiang Province

Patentee before: Hangzhou Jiji Intellectual Property Operation Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20210311

Address after: 313000 room 1019, Xintiandi commercial office, Yishan street, Wuxing District, Huzhou, Zhejiang, China

Patentee after: Huzhou YingLie Intellectual Property Operation Co.,Ltd.

Address before: 8319 Yanshan Road, Bengbu City, Anhui Province

Patentee before: Bengbu Lichao Information Technology Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20231222

Address after: Room 1213, Building A5, No. 8 Haihu Road, Chengxi District, Xining City, Qinghai Province, 810000

Patentee after: Qinghai Luoman Information Technology Co.,Ltd.

Address before: 313000 room 1019, Xintiandi commercial office, Yishan street, Wuxing District, Huzhou, Zhejiang, China

Patentee before: Huzhou YingLie Intellectual Property Operation Co.,Ltd.