CN106453308A - 一种防止arp欺骗的方法 - Google Patents
一种防止arp欺骗的方法 Download PDFInfo
- Publication number
- CN106453308A CN106453308A CN201610885655.0A CN201610885655A CN106453308A CN 106453308 A CN106453308 A CN 106453308A CN 201610885655 A CN201610885655 A CN 201610885655A CN 106453308 A CN106453308 A CN 106453308A
- Authority
- CN
- China
- Prior art keywords
- arp
- message
- address
- enters
- credible
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种防止ARP欺骗的方法,该方法通过对网络设备接收到的合法ARP报文启用合法性、可信性验证过程进行验证,确保学习到的ARP条目都是静态、可信的,将ARP动态和静态的机制结合起来,既克服了传统静态机制不便于网络扩展的弊端,又克服了传统网络设备上ARP动态学习容易受到ARP欺骗的弊端,保证了网络的稳定运行可信的保证了网络的稳定运行。
Description
技术领域
本发明涉及计算机网络技术领域,特别是涉及一种防止ARP欺骗的方法。
背景技术
ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(也就是相当于OSI的第三层)地址解析为数据链路层(也就是相当于OSI的第二层)的物理地址。
ARP协议工作的机制是某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则A广播一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。这就是ARP欺骗。
从影响网络连接通畅的方式来看,ARP欺骗有两种攻击可能,一种是对ARP表的欺骗;另一种是对内网电脑ARP表的欺骗,当然也可能两种攻击同时进行。不管理怎么样,欺骗发送后,电脑和路由器之间发送的数据可能就被送到错误的MAC地址上,从表面上来看,就是“上不了网”,“访问不了路由器”,“路由器死机了”,因为一重启路由器,ARP表会重建,如果ARP攻击不是一直存在,就会表现为网络正常,但是危害更大。ARP攻击的具体危害有:1.网络异常。具体表现为:掉线、IP冲突等。2.数据窃取。具体表现为:个人隐私泄漏(如MSN聊天记录、邮件等)、账号被盗用(如QQ账号、银行账号等)。3.数据篡改。具体表现为:访问的网页被添加了恶意内容,俗称“挂马”。4.非法控制。具体表现为:网络速度、网络访问行为(例如某些网页打不开、某些网络应用程序用不了)受第三者非法控制。
现有的应对方法是将网管地址配置成静态地址,不做动态更新,但是这种方案太死板,不方面网络扩展,尤其对于大型网络是致命的。
本发明可以动态验证和更新arp地址列表,确保arp列表的合法性。
发明内容
本发明的目的是提供一种防止ARP欺骗的方法。
本发明的目的可以通过以下技术方案实现:
一种防止ARP欺骗的方法,包括以下步骤:
步骤S101,接收报文,从网络中接收发送至本机的ARP报文;
步骤S102,验证报文的合法性,验证接收到的ARP报文是否是合法报文,如果报文合法,进入步骤S104,如果报文不合法进入步骤S103;
步骤S103,丢弃不合法报文,将步骤S102中验证不合法的ARP报文丢弃;
步骤S104,验证报文的可信性,验证接收的到ARP报文是否可信,如果不可信,进入步骤S105,如果是可信ARP报文,进入步骤S106;
步骤S105,丢弃不可信报文,将步骤S104中验证不通过的ARP报文丢弃;
步骤S106,将可信报文的IP和MAC地址成对梳理出来,梳理出通过步骤S104可信验证的ARP报文里包含的IP地址和MAC地址,并对应起来;
步骤S107,将梳理出来的可信IP和MAC地址添加到ARP列表。
进一步地,所述的ARP报文的合法性验证根据由互联网工程任务组在1982年11月发布的RFC 826中描述ARP的标准协议格式验证。
进一步地,所述的ARP报文的可信性验证,包括以下步骤:
步骤S201,验证ARP报文格式是否符合规范,如果不符合规范,进入步骤S208,如果符合规范,进入步骤S202;
步骤S202,验证源MAC地址和发送端MAC地址是否一致,如果不一致,进入步骤S208,如果一致,进入步骤S203;
步骤S203,验证发送端IP地址是否在ARP列表中,如果存在,进入步骤S208,如果不存在,进入步骤S204;
步骤S204,判断ARP报文是否为免费ARP报文,如果是免费ARP报文,进入步骤S205,如果不是免费ARP报文,进入步骤S206;
步骤S205,判断源IP和目的IP地址是否一致,如果不一致,进入步骤S208,如果一致,进入步骤S209;
步骤S206,判断目的IP地址和本机IP地址是否在同一网段,如果不在同一网段,进入步骤S208,如果在同一网段,进入步骤S207;
步骤S207,判断ARP报文是否为响应报文,如果ARP报文不是响应报文,进入步骤S205,如果ARP报文是响应报文,进入步骤S209;
步骤S208,判断该ARP报文为不可信ARP报文,并丢弃该报文;
步骤S209,判断该ARP报文为可信ARP报文。
本发明的有益效果:
本发明所提供的一种防止ARP欺骗的方法,通过对网络设备接收到的合法ARP报文启用可信验证过程进行验证,确保学习到的ARP条目都是静态、可信的,克服了传统网络设备上ARP动态学习容易受到ARP欺骗的弊端,保证了网络的稳定运行可信的保证了网络的稳定运行。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1是本发明的工作方法示意图。
图2是本发明的可信报文的判断流程图。
具体实施方式
本发明的核心是提供一种防止ARP欺骗的方法。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供了一种防止ARP欺骗的方法,该方法包括如下步骤:
步骤S101,接收报文,从网络中接收发送至本机的ARP报文;
步骤S102,验证报文的合法性,验证接收到的ARP报文是否是合法报文,如果报文合法,进入步骤S104,如果报文不合法进入步骤S103;
步骤S103,丢弃不合法报文,将步骤S102中验证不合法的ARP报文丢弃;
步骤S104,验证报文的可信性,验证接收的到ARP报文是否可信,如果不可信,进入步骤S105,如果是可信ARP报文,进入步骤S106;
步骤S105,丢弃不可信报文,将步骤S104中验证不通过的ARP报文丢弃;
步骤S106,将可信报文的IP和MAC地址成对梳理出来,梳理出通过步骤S104可信验证的ARP报文里包含的IP地址和MAC地址,并对应起来;
步骤S107,将梳理出来的可信IP和MAC地址对添加到ARP列表。
其中,需要说明的是,所述的ARP报文的合法性验证根据由互联网工程任务组(IETF)在1982年11月发布的RFC826中描述ARP的标准协议格式验证。
其中,所述的ARP报文的可信性验证,包括以下步骤:
步骤S201,验证ARP报文格式是否符合规范,如果不符合规范,进入步骤S208,如果符合规范,进入步骤S202;
步骤S202,验证源MAC地址和发送端MAC地址是否一致,如果不一致,进入步骤S208,如果一致,进入步骤S203;
步骤S203,验证发送端IP地址是否在ARP列表中,如果存在,进入步骤S208,如果不存在,进入步骤S204;
步骤S204,判断ARP报文是否为免费ARP报文,如果是免费ARP报文,进入步骤S205,如果不是免费ARP报文,进入步骤S206;
步骤S205,判断源IP和目的IP地址是否一致,如果不一致,进入步骤S208,如果一致,进入步骤S209;
步骤S206,判断目的IP地址和本机IP地址是否在同一网段,如果不在同一网段,进入步骤S208,如果在同一网段,进入步骤S207;
步骤S207,判断ARP报文是否为响应报文,如果ARP报文不是响应报文,进入步骤S205,如果ARP报文是响应报文,进入步骤S209;
步骤S208,判断该ARP报文为不可信ARP报文,并丢弃该报文;
步骤S209,判断该ARP报文为可信ARP报文。
本发明所提供的一种防止ARP欺骗的方法,通过对网络设备接收到的合法ARP报文启用可信验证过程进行验证,确保学习到的ARP条目都是静态、可信的,克服了传统网络设备上ARP动态学习容易受到ARP欺骗的弊端,保证了网络的稳定运行可信的保证了网络的稳定运行。
以上内容仅仅是对本发明结构所作的举例和说明,所属本技术领域的技术人员对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,只要不偏离发明的结构或者超越本权利要求书所定义的范围,均应属于本发明的保护范围。
Claims (3)
1.一种防止ARP欺骗的方法,其特征在于,包括以下步骤:
步骤S101,接收报文,从网络中接收发送至本机的ARP报文;
步骤S102,验证报文的合法性,验证接收到的ARP报文是否是合法报文,如果报文合法,进入步骤S104,如果报文不合法进入步骤S103;
步骤S103,丢弃不合法报文,将步骤S102中验证不合法的ARP报文丢弃;
步骤S104,验证报文的可信性,验证接收的到ARP报文是否可信,如果不可信,进入步骤S105,如果是可信ARP报文,进入步骤S106;
步骤S105,丢弃不可信报文,将步骤S104中验证不通过的ARP报文丢弃;
步骤S106,将可信报文的IP和MAC地址成对梳理出来,梳理出通过步骤S104可信验证的ARP报文里包含的IP地址和MAC地址,并对应起来;
步骤S107,将梳理出来的可信IP和MAC地址添加到ARP列表。
2.根据权利要求1所述的一种防止ARP欺骗的方法,其特征在于,所述的ARP报文的合法性验证根据由互联网工程任务组在1982年11月发布的RFC826中描述ARP的标准协议格式验证。
3.根据权利要求1所述的一种防止ARP欺骗的方法,其特征在于,所述的ARP报文的可信性验证,包括以下步骤:
步骤S201,验证ARP报文格式是否符合规范,如果不符合规范,进入步骤S208,如果符合规范,进入步骤S202;
步骤S202,验证源MAC地址和发送端MAC地址是否一致,如果不一致,进入步骤S208,如果一致,进入步骤S203;
步骤S203,验证发送端IP地址是否在ARP列表中,如果存在,进入步骤S208,如果不存在,进入步骤S204;
步骤S204,判断ARP报文是否为免费ARP报文,如果是免费ARP报文,进入步骤S205,如果不是免费ARP报文,进入步骤S206;
步骤S205,判断源IP和目的IP地址是否一致,如果不一致,进入步骤S208,如果一致,进入步骤S209;
步骤S206,判断目的IP地址和本机IP地址是否在同一网段,如果不在同一网段,进入步骤S208,如果在同一网段,进入步骤S207;
步骤S207,判断ARP报文是否为响应报文,如果ARP报文不是响应报文,进入步骤S205,如果ARP报文是响应报文,进入步骤S209;
步骤S208,判断该ARP报文为不可信ARP报文,并丢弃该报文;
步骤S209,判断该ARP报文为可信ARP报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610885655.0A CN106453308A (zh) | 2016-10-10 | 2016-10-10 | 一种防止arp欺骗的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610885655.0A CN106453308A (zh) | 2016-10-10 | 2016-10-10 | 一种防止arp欺骗的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106453308A true CN106453308A (zh) | 2017-02-22 |
Family
ID=58173302
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610885655.0A Pending CN106453308A (zh) | 2016-10-10 | 2016-10-10 | 一种防止arp欺骗的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106453308A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109617920A (zh) * | 2019-01-23 | 2019-04-12 | 新华三信息安全技术有限公司 | 一种报文处理方法、装置、路由器及防火墙设备 |
CN112383559A (zh) * | 2020-11-25 | 2021-02-19 | 杭州迪普信息技术有限公司 | 地址解析协议攻击的防护方法及装置 |
US11277442B2 (en) * | 2019-04-05 | 2022-03-15 | Cisco Technology, Inc. | Verifying the trust-worthiness of ARP senders and receivers using attestation-based methods |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101888329A (zh) * | 2010-04-28 | 2010-11-17 | 北京星网锐捷网络技术有限公司 | 地址解析协议报文的处理方法、装置及接入设备 |
CN102571579A (zh) * | 2011-12-30 | 2012-07-11 | 奇智软件(北京)有限公司 | Arp报文处理方法及装置 |
CN103152335A (zh) * | 2013-02-20 | 2013-06-12 | 神州数码网络(北京)有限公司 | 一种网络设备上防止arp欺骗的方法及装置 |
CN104883360A (zh) * | 2015-05-05 | 2015-09-02 | 中国科学院信息工程研究所 | 一种arp欺骗的细粒度检测方法及系统 |
-
2016
- 2016-10-10 CN CN201610885655.0A patent/CN106453308A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101888329A (zh) * | 2010-04-28 | 2010-11-17 | 北京星网锐捷网络技术有限公司 | 地址解析协议报文的处理方法、装置及接入设备 |
CN102571579A (zh) * | 2011-12-30 | 2012-07-11 | 奇智软件(北京)有限公司 | Arp报文处理方法及装置 |
CN103152335A (zh) * | 2013-02-20 | 2013-06-12 | 神州数码网络(北京)有限公司 | 一种网络设备上防止arp欺骗的方法及装置 |
CN104883360A (zh) * | 2015-05-05 | 2015-09-02 | 中国科学院信息工程研究所 | 一种arp欺骗的细粒度检测方法及系统 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109617920A (zh) * | 2019-01-23 | 2019-04-12 | 新华三信息安全技术有限公司 | 一种报文处理方法、装置、路由器及防火墙设备 |
CN109617920B (zh) * | 2019-01-23 | 2021-07-20 | 新华三信息安全技术有限公司 | 一种报文处理方法、装置、路由器及防火墙设备 |
US11277442B2 (en) * | 2019-04-05 | 2022-03-15 | Cisco Technology, Inc. | Verifying the trust-worthiness of ARP senders and receivers using attestation-based methods |
CN112383559A (zh) * | 2020-11-25 | 2021-02-19 | 杭州迪普信息技术有限公司 | 地址解析协议攻击的防护方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10819697B1 (en) | Authenticated name resolution | |
Jackson et al. | Protecting browsers from DNS rebinding attacks | |
Lootah et al. | TARP: Ticket-based address resolution protocol | |
CN106034104B (zh) | 用于网络应用访问的验证方法、装置和系统 | |
US8239549B2 (en) | Dynamic host configuration protocol | |
EP2154858A1 (en) | Method and device of preventing arp address from being cheated and attacked | |
US20110047610A1 (en) | Modular Framework for Virtualization of Identity and Authentication Processing for Multi-Factor Authentication | |
US20090070582A1 (en) | Secure Network Location Awareness | |
CN101534192B (zh) | 一种提供跨域令牌的系统和方法 | |
Hijazi et al. | Address resolution protocol spoofing attacks and security approaches: A survey | |
Song et al. | DS‐ARP: A New Detection Scheme for ARP Spoofing Attacks Based on Routing Trace for Ubiquitous Environments | |
Duangphasuk et al. | Design and implementation of improved security protocols for DHCP using digital certificates | |
Tripathi et al. | Analysis of various ARP poisoning mitigation techniques: A comparison | |
CN101599967A (zh) | 基于802.1x认证系统的权限控制方法及系统 | |
WO2015174100A1 (ja) | パケット転送装置、パケット転送システム及びパケット転送方法 | |
CN102255916A (zh) | 接入认证方法、设备、服务器及系统 | |
Lu et al. | An SDN‐based authentication mechanism for securing neighbor discovery protocol in IPv6 | |
CN106453308A (zh) | 一种防止arp欺骗的方法 | |
CN101637004A (zh) | 用于通信系统中的前缀可达性的方法 | |
CN106330948A (zh) | 一种报文控制方法及装置 | |
Tripathi et al. | An ICMP based secondary cache approach for the detection and prevention of ARP poisoning | |
US11784993B2 (en) | Cross site request forgery (CSRF) protection for web browsers | |
KR100856918B1 (ko) | IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템 | |
Ahmed et al. | Improving security for IPv6 neighbor discovery | |
CN101945053A (zh) | 一种报文的发送方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170222 |
|
RJ01 | Rejection of invention patent application after publication |