CN105429944A - 一种arp攻击自动识别调整的方法及路由器 - Google Patents

一种arp攻击自动识别调整的方法及路由器 Download PDF

Info

Publication number
CN105429944A
CN105429944A CN201510714969.XA CN201510714969A CN105429944A CN 105429944 A CN105429944 A CN 105429944A CN 201510714969 A CN201510714969 A CN 201510714969A CN 105429944 A CN105429944 A CN 105429944A
Authority
CN
China
Prior art keywords
router
main frame
arp
address
gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510714969.XA
Other languages
English (en)
Inventor
苏雷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Anhui Wanwei Network Technology Co Ltd
Original Assignee
Anhui Wanwei Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anhui Wanwei Network Technology Co Ltd filed Critical Anhui Wanwei Network Technology Co Ltd
Priority to CN201510714969.XA priority Critical patent/CN105429944A/zh
Publication of CN105429944A publication Critical patent/CN105429944A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

本发明公开了一种ARP攻击自动识别调整的方法,该方法包括实时更新ARP表、动态IP地址转换静态IP地址、路由器与接入设备双向绑定、隔离目标病毒主机和恢复后解除双向绑定,承载该方法的为一种路由器,该路由器具有智能分析和决策的能力,减轻传统网络攻击的人工负担。本发明通过自动转换静态IP,检索和监控局域网络,隔离疑似主机的步骤,使得路由器在无需人为操作的情况下,具有自动分析、监控和隔离ARP病毒主机的能力,智能化程度高,使用方便。

Description

一种ARP攻击自动识别调整的方法及路由器
技术领域
本发明涉及网络通信技术领域,特别是一种ARP攻击自动识别调整的方法及路由器。
背景技术
随着我国信息技术的快速发展,计算机网络几乎已经是人们生活中必不可少的一部分,在有人的地方,就存在信息网络。然而,随着网络信息文化的渗透,一些非法分子利用自身技术手段,对他人的网络进行攻击。其中,ARP攻击是目前用户用网安全的最大隐患。
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络种产生大量的ARP通信量,使得网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包,即可更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要存在局域网网络种,局域网中若有一台主机感染ARP木马,则感染该ARP木马的系统将会试图通过ARP欺骗手段截获所在网络内其他计算机的通信信息,并因此造成网内其他计算机的通信故障。
发明内容
本发明的目的在于克服现有技术的不足,提供一种ARP攻击自动识别调整的方法及路由器,该路由器能实时刷新路由器的ARP表,若发生异常,则通过自动转换静态IP,检索和监控局域网络,隔离疑似主机的步骤,使得路由器在无需人为操作的情况下,具有自动分析、监控和隔离ARP病毒主机的能力,智能化程度高,使用方便。
本发明的目的是通过以下技术方案来实现的:一种ARP攻击自动识别调整的方法,包括:
建立路由器ARP表,实时记录并更新与路由器相连的设备地址信息以及与该设备相关联的网关地址信息,所述地址信息包括IP地址信息和MAC地址信息;
发生疑似ARP攻击状况时,路由器立即锁定所有动态IP地址,并将锁定的动态IP地址与对应的MAC地址信息绑定,转换成静态IP地址,且拒绝新的IP地址生成和接入;
发送路由器的网关地址信息给已接入路由器的设备,并主动将该网关地址信息与已接入路由器的设备绑定;
检索与路由器关联的局域网中是否有假主机和假网关的出现,若发现则发送木马查杀软件包给事故主机,且断开该事故主机与局域网之间的接入;
断联事故主机后,五分钟内无疑似ARP攻击的状态再次发生,则解锁静态IP地址,解锁接入路由器的设备的绑定网关地址信息。
优选地,检索与路由器关联的局域网中是否有假主机和假网关的出现的步骤,还包括:
检索是否有主机进行数据包截取;
检索是否有主机冒用网关地址;
检索是否有主机发送大量垃圾数据包给另一主机;
获取事故主机的真实IP地址和真实MAC地址。
优选地,路由器的ARP表连续5次无法更新某一主机的信息,则检索路由器的历史ARP表,将该主机的MAC地址和IP地址绑定为静态地址。
优选地,当路由器出现疑似ARP攻击时,路由器采用网络底层协议,穿透各主机防火墙并对网络中的每台主机、网关设备进行监控,若发现非法设备,立即与局域网进行隔离。
优选地,若路由器发现有状态主机向另一主机发送大量数据包,则立即采集分析该数据包是否为垃圾数据包,若为垃圾数据包,则立即将该状态主机隔离。
优选地,若检索到多个不同的IP地址指向同一MAC地址,则立即将该MAC地址的主机隔离。
一种路由器,具有以上任一所述的电子设备装置。
本发明的有益效果是:本发明能实时刷新路由器的ARP表,若发生异常,则通过自动转换静态IP,检索和监控局域网络,隔离疑似主机的步骤,使得路由器在无需人为操作的情况下,具有自动分析、监控和隔离ARP病毒主机的能力,智能化程度高,使用方便。
附图说明
图1为本发明的ARP攻击自动识别调整的方法流程图;
图中,S001~S005为步骤。
具体实施方式
这里将详细地对示例性实施例进行说明,其实例表示在附图中,下面的描述涉及附图时,除非另有表示,不同附图中的数字表示相同或相似的要素,以下示例性实施例中所描述的实施例方法并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的,本公开的一些方面相一致的装置和方法的例子。
在本公开使用的术语是仅仅处于描述特定实施例的目的,而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其含义,还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的例出项目的任何或所有可能的组合。
如图1所示,图1是ARP攻击自动识别调整的方法流程图,包括以下步骤:
步骤001、建立路由器ARP表,实时记录并更新与路由器相连的设备地址信息以及与该设备相关联的网关地址信息,所述地址信息包括IP地址信息和MAC地址信息。
ARP欺骗木马程序的攻击,攻击发作时,其症状表现为计算机网络连接正常,却打开网页时断时通,或由于ARP欺骗的木马程序发作时,发出大量的数据包,导致用户上网不稳定,极大地影响用户的正常使用,给网络安全也带来隐患。
这两种ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,在网络中产生大量的数据包,造成网络堵塞。
本发明所述的路由器ARP表,是将历史ARP表与实时ARP表相对应,对比分析ARP表更新出的新IP-MAC地址是否为可疑地址,如多个不同的IP地址对应同一个MAC地址,亦或是多个MAC地址对应同一个IP地址。
步骤002、发生疑似ARP攻击状况时,路由器立即锁定所有动态IP地址,并将锁定的动态IP地址与对应的MAC地址信息绑定,转换成静态IP地址,且拒绝新的IP地址生成和接入。
由于ARP攻击的欺骗主要通过伪造IP地址和MAC地址上实现的,因此,当出现ARP攻击时,传统的动态IP就给ARP攻击一个绝好的隐藏方法,ARP病毒主机可通过变换不同的IP地址,使得无法锁定它的具体位置。
本发明实现动态IP到静态IP地址的自动转换,该步骤将接入路由器的每一个设备的IP地址锁定,不允许再变换IP地址,再通过历史ARP表和当前ARP表的对照结果,分析出疑似病毒主机。
步骤003、发送路由器的网关地址信息给已接入路由器的设备,并主动将该网关地址信息与已接入路由器的设备绑定。
本发明将路由器和接入主机双向绑定,防止病毒主机伪造网关,使得正常主机无法将数据包发送到路由器,路由器无法发送数据包给正常主机。
步骤004、检索与路由器关联的局域网中是否有假主机和假网关的出现,若发现则发送木马查杀软件包给事故主机,且断开该事故主机与局域网之间的接入。
本发明对病毒主机主要采取隔离和断开连接的措施,使得整个局域网无法接收该病毒主机发送的数据包,无法对整个局域网带来破坏性影响。
步骤005、断联事故主机后,五分钟内无疑似ARP攻击的状态再次发生,则解锁静态IP地址,解锁接入路由器的设备的绑定网关地址信息。
本发明为防止路由器自动与接入主机双向绑定,接入主机接入其他路由器时出现无法联网的故障,因此,在恢复网络的同时,路由器自动与接入主机解除绑定。
进一步地,检索与路由器关联的局域网中是否有假主机和假网关的出现的步骤,还包括:
检索是否有主机进行数据包截取;
检索是否有主机冒用网关地址;
检索是否有主机发送大量垃圾数据包给另一主机;
获取事故主机的真实IP地址和真实MAC地址。
以上为ARP攻击最常用的方法以及最常出现的现象,路由器根据该几种ARP出现的方式,自动检索和判定,减少了人工判定和分析的工序,提高了效率,也减轻了人们的维护负担。
优选地,路由器的ARP表连续5次无法更新某一主机的信息,则检索路由器的历史ARP表,将该主机的MAC地址和IP地址绑定为静态地址。
优选地,当路由器出现疑似ARP攻击时,路由器采用网络底层协议,穿透各主机防火墙并对网络中的每台主机、网关设备进行监控,若发现非法设备,立即与局域网进行隔离。
优选地,若路由器发现有状态主机向另一主机发送大量数据包,则立即采集分析该数据包是否为垃圾数据包,若为垃圾数据包,则立即将该状态主机隔离。
优选地,若检索到多个不同的IP地址指向同一MAC地址,则立即将该MAC地址的主机隔离。
以上所述实施例仅表达了本发明的具体实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。

Claims (7)

1.一种ARP攻击自动识别调整的方法,其特征在于,包括:
建立路由器ARP表,实时记录并更新与路由器相连的设备地址信息以及与该设备相关联的网关地址信息,所述地址信息包括IP地址信息和MAC地址信息;
发生疑似ARP攻击状况时,路由器立即锁定所有动态IP地址,并将锁定的动态IP地址与对应的MAC地址信息绑定,转换成静态IP地址,且拒绝新的IP地址生成和接入;
发送路由器的网关地址信息给已接入路由器的设备,并主动将该网关地址信息与已接入路由器的设备绑定;
检索与路由器关联的局域网中是否有假主机和假网关的出现,若发现则发送木马查杀软件包给事故主机,且断开该事故主机与局域网之间的接入;
断联事故主机后,五分钟内无疑似ARP攻击的状态再次发生,则解锁静态IP地址,解锁接入路由器的设备的绑定网关地址信息。
2.根据权利要求1所述一种ARP攻击自动识别调整的方法,其特征在于,检索与路由器关联的局域网中是否有假主机和假网关的出现的步骤,还包括:
检索是否有主机进行数据包截取;
检索是否有主机冒用网关地址;
检索是否有主机发送大量垃圾数据包给另一主机;
获取事故主机的真实IP地址和真实MAC地址。
3.根据权利要求1所述一种ARP攻击自动识别调整的方法,其特征在于,路由器的ARP表连续5次无法更新某一主机的信息,则检索路由器的历史ARP表,将该主机的MAC地址和IP地址绑定为静态地址。
4.根据权利要求1所述一种ARP攻击自动识别调整的方法,其特征在于,当路由器出现疑似ARP攻击时,路由器采用网络底层协议,穿透各主机防火墙并对网络中的每台主机、网关设备进行监控,若发现非法设备,立即与局域网进行隔离。
5.根据权利要求1所述一种ARP攻击自动识别调整的方法,其特征在于,若路由器发现有状态主机向另一主机发送大量数据包,则立即采集分析该数据包是否为垃圾数据包,若为垃圾数据包,则立即将该状态主机隔离。
6.根据权利要求1所述一种ARP攻击自动识别调整的方法,其特征在于,若检索到多个不同的IP地址指向同一MAC地址,则立即将该MAC地址的主机隔离。
7.一种路由器,其特征在于,具有权利要求1~6中任一项所述的电子设备装置。
CN201510714969.XA 2015-10-29 2015-10-29 一种arp攻击自动识别调整的方法及路由器 Pending CN105429944A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510714969.XA CN105429944A (zh) 2015-10-29 2015-10-29 一种arp攻击自动识别调整的方法及路由器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510714969.XA CN105429944A (zh) 2015-10-29 2015-10-29 一种arp攻击自动识别调整的方法及路由器

Publications (1)

Publication Number Publication Date
CN105429944A true CN105429944A (zh) 2016-03-23

Family

ID=55507886

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510714969.XA Pending CN105429944A (zh) 2015-10-29 2015-10-29 一种arp攻击自动识别调整的方法及路由器

Country Status (1)

Country Link
CN (1) CN105429944A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106888282A (zh) * 2017-04-28 2017-06-23 新华三技术有限公司 一种地址解析协议arp表更新方法、板卡及分布式设备
CN107483478A (zh) * 2017-09-08 2017-12-15 绵阳西真科技有限公司 一种arp攻击主动防御方法
CN109428862A (zh) * 2017-08-29 2019-03-05 武汉安天信息技术有限责任公司 一种在局域网内检测arp攻击的方法和装置
CN110061977A (zh) * 2019-03-29 2019-07-26 国网山东省电力公司邹城市供电公司 一种有效监控并防范arp病毒的系统
CN110912928A (zh) * 2019-12-11 2020-03-24 百度在线网络技术(北京)有限公司 一种防火墙实现方法、装置以及电子设备

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106888282A (zh) * 2017-04-28 2017-06-23 新华三技术有限公司 一种地址解析协议arp表更新方法、板卡及分布式设备
CN106888282B (zh) * 2017-04-28 2021-01-01 新华三技术有限公司 一种地址解析协议arp表更新方法、板卡及分布式设备
CN109428862A (zh) * 2017-08-29 2019-03-05 武汉安天信息技术有限责任公司 一种在局域网内检测arp攻击的方法和装置
CN107483478A (zh) * 2017-09-08 2017-12-15 绵阳西真科技有限公司 一种arp攻击主动防御方法
CN110061977A (zh) * 2019-03-29 2019-07-26 国网山东省电力公司邹城市供电公司 一种有效监控并防范arp病毒的系统
CN110912928A (zh) * 2019-12-11 2020-03-24 百度在线网络技术(北京)有限公司 一种防火墙实现方法、装置以及电子设备
CN110912928B (zh) * 2019-12-11 2022-01-28 百度在线网络技术(北京)有限公司 一种防火墙实现方法、装置以及电子设备

Similar Documents

Publication Publication Date Title
CN105429944A (zh) 一种arp攻击自动识别调整的方法及路由器
KR101070614B1 (ko) 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법
CN101589595B (zh) 用于潜在被污染端系统的牵制机制
CN101567888B (zh) 网络反馈主机安全防护方法
CN100435513C (zh) 网络设备与入侵检测系统联动的方法
CN108809970B (zh) 一种智能家居安全网关的安全防护方法
JP2015050767A (ja) ホワイトリスト基盤のネットワークスイッチ
KR101553264B1 (ko) 네트워크 침입방지 시스템 및 방법
CN101616131A (zh) 一种防御Arp病毒攻击的方法
CN101951367A (zh) 一种校园网防范arp病毒入侵的方法
CN102882894A (zh) 一种识别攻击的方法及装置
Elgargouri et al. Analysis of cyber-attacks on IEC 61850 networks
KR20090090641A (ko) 능동형 보안 감사 시스템
CN110636086A (zh) 网络防护测试方法及装置
KR101209214B1 (ko) 세션 상태 추적을 통한 서비스 거부 공격 방어 장치 및 방법
CN107483478A (zh) 一种arp攻击主动防御方法
JP2002124996A (ja) 高速パケット取得エンジン・セキュリティ
CN106357661A (zh) 一种基于交换机轮换的分布式拒绝服务攻击防御方法
Hwang et al. NetShield: Protocol anomaly detection with datamining against DDoS attacks
CN106878338B (zh) 远动设备网关防火墙一体机系统
Ye et al. Research on network security protection strategy
JP2006099590A (ja) アクセス制御装置、アクセス制御方法およびアクセス制御プログラム
CN210444303U (zh) 网络防护测试系统
Mudgal et al. Spark-Based Network Security Honeypot System: Detailed Performance Analysis
KR101335293B1 (ko) 내부 네트워크 침입 차단 시스템 및 그 방법

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20160323

WD01 Invention patent application deemed withdrawn after publication