CN106982234A - 一种arp攻击防御方法及装置 - Google Patents
一种arp攻击防御方法及装置 Download PDFInfo
- Publication number
- CN106982234A CN106982234A CN201710386924.3A CN201710386924A CN106982234A CN 106982234 A CN106982234 A CN 106982234A CN 201710386924 A CN201710386924 A CN 201710386924A CN 106982234 A CN106982234 A CN 106982234A
- Authority
- CN
- China
- Prior art keywords
- corresponding relation
- address
- main frame
- list item
- mac address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种ARP攻击防御方法及装置。本发明实施例中,网络设备在接收到ARP报文后,可根据ARP报文中的源IP地址和源MAC地址,确定对应关系表中,是否存在与ARP报文匹配的对应关系表项,其中,对应关系表记录了主机的IP地址和MAC地址的对应关系;若对应关系表中不存在与ARP报文匹配的对应关系表项,即ARP报文中的源IP地址与源MAC地址的对应关系不能匹配到任何一条对应关系表项,则将该ARP报文丢弃。由此实现对于ARP攻击报文丢弃,从而及时防御了ARP攻击。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种ARP攻击防御方法及装置。
背景技术
通信过程中,请求设备一般使用ARP(Address Resolution Protocol,地址解析协议)来获取待通信目标设备的MAC(Media Access Control,媒体访问控制)地址。而针对ARP协议缺乏安全防护措施的不足,也存在着不同类型的ARP攻击,威胁着用户设备以及网络环境的安全。
目前,ARP攻击主要包括ARP欺骗攻击和ARP泛洪攻击。其中,ARP欺骗攻击下,攻击设备不仅可以通过伪造源MAC地址,发送虚假的ARP应答报文来欺骗请求设备;还可以通过发送虚假的ARP请求报文,来使网络中的各个设备学习到错误的ARP表项,扰乱网络的正常通信。而在ARP泛洪攻击下,攻击设备则可通过发送大量的虚假ARP请求报文,来占用网络带宽和各个设备的处理器资源,并同时使得各个设备过度学习ARP表项,导致ARP表项溢出,从而无法学习到正常的ARP表项,其中,虚假ARP请求报文中的源IP地址和/或源MAC地址为伪造地址。
发明内容
有鉴于此,本发明提供一种ARP攻击防御方法及装置,以解决现有技术中,因ARP协议安全防护措施的不足而导致的无法抵御ARP攻击的问题。
根据本发明实施例的第一方面,提供一种ARP攻击防御方法,所述方法应用于网络设备,所述方法包括:
接收ARP报文;
根据所述ARP报文中源IP地址和源MAC地址的对应关系,确定对应关系表中,是否存在与所述ARP报文匹配的对应关系表项;其中,所述对应关系表记录了主机的IP地址和MAC地址的对应关系;
若不存在,则将所述ARP报文丢弃。
根据本发明实施例的第二方面,提供一种ARP攻击防御装置,所述装置应用于网络设备,所述装置包括:
接收单元,用于接收ARP报文;
确定单元,用于根据所述ARP报文中源IP地址和源MAC地址的对应关系,确定对应关系表中,是否存在与所述ARP报文匹配的对应关系表项;其中,所述对应关系表记录了主机的IP地址和MAC地址的对应关系;
丢弃单元,用于在所述确定单元的确定结果为否时,将所述ARP报文丢弃。
本发明实施例中,网络设备在接收到ARP报文后,可根据ARP报文中的源IP地址和源MAC地址,确定对应关系表中,是否存在与ARP报文匹配的对应关系表项,其中,对应关系表记录了主机的IP地址和MAC地址的对应关系;若对应关系表中不存在与ARP报文匹配的对应关系表项,即ARP报文中的源IP地址与源MAC地址的对应关系不能匹配到任何一条对应关系表项,则将该ARP报文丢弃。由此可见,不论上述ARP报文是ARP欺骗攻击下虚假的ARP应答报文或ARP请求报文,还是ARP泛洪攻击下虚假的ARP请求报文,都会因为其无法匹配到任何一条对应关系表项而被丢弃,从而及时防御了ARP攻击。
附图说明
图1是本发明一种ARP攻击防御方法的第一个组网示意图;
图2是本发明一种ARP攻击防御方法的第一个实施例的流程图;
图3是本发明一种ARP攻击防御方法的第二个组网示意图;
图4是本发明一种ARP攻击防御装置的第一种结构图;
图5是本发明一种ARP攻击防御装置的第二种结构图;
图6是本发明一种ARP攻击防御装置的第三种结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
参见图1,图1是本发明一种ARP攻击防御方法的第一个组网示意图,本示意图可以包括网关设备、接入设备、主机、管理设备以及PORTAL认证服务器等。其中,网关设备与各接入设备相连、各接入设备分别与多个主机相连;且管理设备分别与网关设备、接入设备以及PORTAL认证服务器建立有网络连接;网关设备与认证服务器也建立有网络连接。
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。
参见图2,图2是本发明一种ARP攻击防御方法的第一个实施例的流程图,该流程图可以包括以下步骤:
步骤201:接收ARP报文。
本实施例应用于网络设备,本实施例中,网络设备可以为接入设备或者网关设备。
步骤202:根据所接收ARP报文中源IP地址和源MAC地址的对应关系,确定对应关系表中,是否存在与所接收ARP报文匹配的对应关系表项,若不存在,则执行步骤203。
本实施例中,上述对应关系表记录主机的IP地址和MAC地址的对应关系。具体地,
若网络设备为接入设备,则在步骤202之前,接入设备可以通过以下3种方式,获得对应关系表中记录的主机的IP地址和MAC地址的对应关系:
在第1种方式中,接入设备可以从管理设备获得主机的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,上述对应关系表项记录上述主机的IP地址和MAC地址的对应关系,其中,上述主机的IP地址和MAC地址的对应关系是PORTAL认证服务器在对上述主机认证成功后,发送给上述管理设备的;
在第2种方式中,接入设备可以从网关设备获得主机的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,上述对应关系表项记录上述主机的IP地址和MAC地址的对应关系,其中,上述主机的IP地址和MAC地址的对应关系是PORTAL认证服务器在对上述主机认证成功后,发送给上述网关设备的;
在第3种方式中,接入设备可以监听主机向PORTAL认证服务器发送的用于进行PORTAL认证的认证请求报文,或者,监听上述PORTAL认证服务器向上述主机发送的认证成功报文,从上述认证请求报文或者认证成功报文中获得上述主机的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,上述对应关系表项记录上述主机的IP地址和MAC地址的对应关系。
作为一个实施例,接入设备还可以获得网关设备的IP地址和MAC地址对应关系,以对企图仿冒网关设备的攻击设备所发送的攻击报文进行过滤。
具体地,接入设备可以从网关设备获得上述网关设备的IP地址和MAC地址的对应关系,并在上述对应关系表中添加一个对应关系表项,上述对应关系表项记录上述网关设备的IP地址和MAC地址的对应关系;或者,
接入设备可以从管理设备获得上述网关设备的IP地址和MAC地址的对应关系,并在上述对应关系表中添加一个对应关系表项,上述对应关系表项记录上述网关设备的IP地址和MAC地址的对应关系,其中,上述网关设备的IP地址和MAC地址的对应关系,是上述管理设备从上述网关设备获得的。
若网络设备为网关设备,则在步骤202之前,接入设备可以通过以下3种方式,获得对应关系表中记录的主机的IP地址和MAC地址的对应关系:
在第1种方式中,接入设备可以从管理设备获得主机的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,上述对应关系表项记录上述主机的IP地址和MAC地址的对应关系,其中,上述主机的IP地址和MAC地址的对应关系是PORTAL认证服务器在对上述主机认证成功后,发送给上述管理设备的;
在第2种方式中,接入设备可以从监听主机向PORTAL认证服务器发送的用于进行PORTAL认证的认证请求报文,或者,监听上述PORTAL认证服务器向上述主机发送的认证成功报文,从上述认证请求报文或者认证成功报文中获得上述主机的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,上述对应关系表项记录上述主机的IP地址和MAC地址的对应关系;
在第3种方式中,接入设备可以从PORTAL认证服务器获得主机的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,上述对应关系表项记录上述主机的IP地址和MAC地址的对应关系,其中,上述主机的IP地址和MAC地址的对应关系是PORTAL认证服务器在对上述主机认证成功后发送的。
作为一个实施例,网络设备具体可以通过以下方式,确定对应关系表中是否存在与所接收ARP报文匹配的对应关系表项:
在对应关系表中,查找与所接收ARP报文中的源IP地址匹配的对应关系表项;若未查找到,则确定与所接收ARP报文匹配的对应关系表项不存在;若查找到,则判断查找到的对应关系表项中记录的MAC地址与所接收ARP报文中的源MAC地址是否匹配;若匹配,则确定与所接收ARP报文匹配的对应关系表项存在;若不匹配,则确定与所接收ARP报文匹配的对应关系表项不存在。
针对上述确定对应关系表中是否存在与所接收ARP报文匹配的对应关系表项的方式,事实上,由于在ARP欺骗攻击下,攻击设备在ARP应答报文中所使用的源IP地址,通常为目标设备的真实IP地址,仅所使用的源MAC地址为伪造的MAC地址,所以通过将ARP请求报文中的源IP地址作为关键字,可以有效地在对应关系表中查找到目标对应关系表项,并通过将目标对应关系表项的MAC地址与接收到的ARP请求报文中的MAC地址做进一步比较,从而确定该ARP请求报文是否为攻击报文,若为攻击报文,则直接丢弃。
本实施例中,若对应关系表中,存在与所接收ARP报文匹配的对应关系表项,则使所接收的ARP报文通过。
步骤203:将所接收的ARP报文丢弃。
作为一个实施例,在步骤203之后,网络设备还可以向管理设备发送告警消息,其中,告警消息可以包括所接收ARP报文中的源IP地址和源MAC地址的对应关系,以使管理设备对发送该ARP请求报文的攻击设备进行定位。
参见图3,提供本发明一种ARP攻击防御方法的第二个实施例。其中,图3是本发明一种ARP攻击防御方法的第二个组网示意图,与图1所示的组网示意图不同的是,图3所示的组网示意图中不包括管理设备。为更加清晰地描述本实施例,可假设主机2为攻击设备,主机1请求获取主机4的MAC地址。具体地,本实施例具体可包括以下步骤:
步骤1:主机4向网关设备发送认证请求报文。
本实施例中,主机4发送的认证请求报文中,携带主机4的IP地址和MAC地址的对应关系。
步骤2:网关设备接收主机4发送的认证请求报文,并将主机4发送的认证请求报文发送至PORTAL认证服务器。
本实施例中,可假设主机4需要进行入网认证,所以网关设备需要将主机4发送的认证请求报文发送至PORTAL认证服务器进行入网认证。
步骤3:PORTAL认证服务器根据接收到的认证请求报文对主机4进行认证,并在认证成功后,将认证成功报文返回至网关设备。
本实施例中,若认证失败,则将认证失败报文返回至网关设备。
本实施例中,PORTAL认证服务器也可将认证成功报文中主机4的IP地址和MAC地址携带在通知报文中,发送至网关设备。
步骤4:网关设备从接收到的认证成功报文中获得主机4的IP地址和MAC地址的对应关系,并将获得的主机4的IP地址和MAC地址的对应关系发送至接入设备1。
步骤5:接入设备1在接收到主机4的IP地址和MAC地址的对应关系后,在对应关系表中添加一个对应关系表项,记录主机4的IP地址和MAC地址的对应关系。
本实施例中,若假设主机4的IP地址为IP4、MAC地址为MAC4,则所添加的对应关系表项可以表示为如下表1的形式:
| 主机4 | IP4 | MAC4 |
表1
需要指出的是,在实际应用中,上述步骤4中,网关设备会同时将主机4的IP地址和MAC地址的对应关系发送给接入设备2,使得接入设备2也相应生成对应关系表项,以备后续需要时查询。
作为一个实施例,接收设备1可以通过步骤1-步骤5所示的方法,获得到图5组网示意图中,各个主机的IP地址和MAC地址对应关系,在此过程中,管理设备可在获得某一台主机的IP地址和MAC地址的对应关系后,即将该IP地址和MAC地址的对应关系发送至组网中的每台接入设备;而对于如图5所示的规模比较小的组网示意图,则可在获得到主机1-4的IP地址和MAC地址的对应关系后,再将获得的主机1-4的IP地址和MAC地址的对应关系发送至组网中的接入设备1和接入设备2。
作为一个实施例,接收设备1还可以请求获得网关设备的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,记录网关设备的IP地址和MAC地址的对应关系。
步骤6:主机1广播ARP请求报文,ARP请求报文中携带主机4的IP地址。
步骤7:主机2在接收到主机1广播的ARP请求报文后,向主机1发送伪造的ARP应答报文,其中,ARP应答报文的源MAC地址为主机2的MAC地址、源IP为主机4的IP地址。
本实施例中,主机2作为攻击设备,通过步骤7中的方式,企图伪装成主机4,接收主机1即将发送给主机4的报文,是ARP欺骗攻击的常用方式之一。
步骤8:接入设备1在接收到主机2发送的ARP应答报文后,在对应关系表中,查找与所接收ARP应答报文匹配的对应关系表项,若未查找到,则执行步骤9。
本实施例中,针对主机2而发送的ARP应答报文,接入设备1无法在对应关系表中,查找与该ARP应答报文匹配的对应关系表项。
事实上,若假设主机4的IP地址为IP4、MAC地址为MAC4,主机2的MAC地址为MAC2,则接入设备1在遍历至如上表1所示的对应关系表项时,则可确定出主机4的IP地址和MAC地址的正确对应关系应该是IP4-MAC4,而非ARP应答报文中的IP4-MAC2,所以确定所接收到的ARP应答报文为攻击报文。
作为一个实施例,若查找到与所接收ARP应答报文匹配的对应关系表项,则使所接收的ARP应答报文通过。
步骤9:将接收到的ARP应答报文丢弃。
本实施例中,接入设备1将丢弃主机2发送的ARP应答报文,从而抵御了主机2所制造的ARP欺骗攻击,保证了主机1的通信安全。
在ARP欺骗攻击的另一种方式下,主机2作为攻击设备,可能会在组网中广播虚假ARP请求报文,该ARP请求报文中填写了伪造的源IP地址和/或源MAC地址,比如IP&,MAC#等,从而使得组网中接收到该ARP请求报文的设备,通过正常的学习机制,学习到错误的ARP表项,从而扰乱组网中的正常通信。其中,学习到的错误的ARP表项,可以表示为如下表2所示的形式:
| 表项2 | IP& | MAC# |
表2
与此类似,在ARP泛洪攻击下,主机2可能会向组网中广播大量的虚假ARP请求报文,轻则占用网络带宽、及组网中各设备的处理器资源,重则使组网中接收到上述ARP请求报文的设备,通过正常的学习机制,学习到大量的错误的ARP表项,从而导致ARP表项溢出,无法学习到正常的ARP表项。
则作为一个实施例,接入设备1在接收到主机2发送的虚假的ARP请求报文后,可以根据所接收ARP请求报文中的源IP地址和MAC地址,确定对应关系表中,是否存在与所接收ARP请求报文匹配的对应关系表项,并在不存在与所接收ARP请求报文匹配的对应关系表项时,将所接收的ARP请求报文丢弃,从而实现主机2所制造的ARP攻击的及时抵御。
本发明实施例中,接入设备1在接收到主机2发送的ARP报文后,可根据ARP报文中的源IP地址和源MAC地址,确定对应关系表中,是否存在与ARP报文匹配的对应关系表项;若对应关系表中不存在与ARP报文匹配的对应关系表项,即ARP报文中的源IP地址与源MAC地址的对应关系不能匹配到任何一条对应关系表项,则将该ARP报文丢弃。由此可见,不论上述ARP报文是ARP欺骗攻击下虚假的ARP应答报文或ARP请求报文,还是ARP泛洪攻击下虚假的ARP请求报文,都会因为其无法匹配到任何一条对应关系表项而被丢弃,从而及时防御了ARP攻击。
参见图1,提供本发明一种ARP攻击防御方法的第三个实施例。为更加清晰地描述本实施例,依然可假设主机2为攻击设备,主机1请求获取主机4的MAC地址。具体地,本实施例可以包括如下步骤:
步骤1:主机4向网关设备发送认证请求报文。
步骤2:网关设备接收主机4发送的认证请求报文,并将主机4发送的认证请求报文发送至PORTAL认证服务器。
本实施例中,步骤1-2可参见上述第二个实施例,在此不再赘述。
步骤3:PORTAL认证服务器根据接收到的认证请求报文对主机4进行认证,并在认证成功后,将认证请求报文中的主机4的IP地址和MAC地址的对应关系发送至管理设备。
本实施例中,管理设备可以为UMC(Unite Manage Center,统一管理中心)设备。
步骤4:管理设备接收主机4的IP地址和MAC地址的对应关系,并将主机4的IP地址和MAC地址的对应关系发送至接入设备1。
本实施例中,管理设备可以通过TCP(Transmission Control Protocol,传输控制协议)连接,或者UDP(User Datagram Protocol,用户数据报协议),将获得的主机4的IP地址和MAC地址的对应关系发送至接入设备1。
步骤5:接入设备1在接收到主机4的IP地址和MAC地址的对应关系后,在对应关系表中添加一个对应关系表项,记录主机4的IP地址和MAC地址的对应关系。
步骤6:主机1广播ARP请求报文,ARP请求报文携带主机4的IP地址。
步骤7:主机2在接收到主机1广播的ARP请求报文后,向主机1发送伪造的ARP应答报文,其中,ARP应答报文的源MAC地址为主机2的MAC地址、源IP为主机4的IP地址。
步骤8:接入设备1在接收到主机2发送的ARP应答报文后,在对应关系表中,查找与所接收ARP应答报文匹配的对应关系表项,若未查找到,则执行步骤9。
步骤9:将接收到的ARP应答报文丢弃。
本实施例中,步骤5-9可参见上述第三个实施例,在此不再赘述。
本发明实施例中,接入设备1在接收到主机2发送的ARP报文后,可根据ARP报文中的源IP地址和源MAC地址,确定对应关系表中,是否存在与ARP报文匹配的对应关系表项;若对应关系表中不存在与ARP报文匹配的对应关系表项,即ARP报文中的源IP地址与源MAC地址的对应关系不能匹配到任何一条对应关系表项,则将该ARP报文丢弃。由此可见,不论上述ARP报文是ARP欺骗攻击下虚假的ARP应答报文或ARP请求报文,还是ARP泛洪攻击下虚假的ARP请求报文,都会因为其无法匹配到任何一条对应关系表项而被丢弃,从而及时防御了ARP攻击。
与前述一种ARP攻击防御方法的实施例相对应,本发明还提供了一种ARP攻击防御装置的实施例。
参见图4,图4是本发明一种ARP攻击防御装置的第一种结构图。该装置应用于网络设备,可以包括:接收单元420、确定单元430、丢弃单元440。
其中,接收单元420,用于接收ARP报文;
确定单元430,用于根据ARP报文中源IP地址和源MAC地址的对应关系,确定对应关系表中,是否存在与ARP报文匹配的对应关系表项;其中,对应关系表记录了主机的IP地址和MAC地址的对应关系;
丢弃单元440,用于在确定单元430的确定结果为否时,将ARP报文丢弃。
在第一种实现方式中,当网络设备为接入设备时,上述装置还可以包括:
第一对应关系获得单元410,可用于在根据ARP报文中源IP地址和源MAC地址的对应关系,确定对应关系表中,是否存在与ARP报文匹配的对应关系表项之前,从管理设备获得主机的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,对应关系表项记录上述主机的IP地址和MAC地址的对应关系,其中,上述主机的IP地址和MAC地址的对应关系是PORTAL认证服务器在对上述主机认证成功后,发送给管理设备的;或者,
从网关设备获得主机的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,对应关系表项记录上述主机的IP地址和MAC地址的对应关系,其中,上述主机的IP地址和MAC地址的对应关系是PORTAL认证服务器在对上述主机认证成功后,发送给网关设备的;或者,
监听主机向PORTAL认证服务器发送的用于进行PORTAL认证的认证请求报文,或者,监听上述PORTAL认证服务器向上述主机发送的认证成功报文,从上述认证请求报文或者认证成功报文中获得上述主机的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,对应关系表项记录上述主机的IP地址和MAC地址的对应关系。具体可参见图5,图5是本发明一种ARP攻击防御装置的第二种结构图。
在第二种实现方式中,第一对应关系获得单元410,还可用于:
从网关设备获得网关设备的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,对应关系表项记录网关设备的IP地址和MAC地址的对应关系;或者,
从管理设备获得网关设备的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,对应关系表项记录网关设备的IP地址和MAC地址的对应关系,其中,网关设备的IP地址和MAC地址的对应关系,是网关设备发送给管理设备的。
在第三种实现方式中,当网络设备为网关设备时,上述装置还可以包括:第二对应关系获得单元400,可用于在根据ARP报文中源IP地址和源MAC地址的对应关系,确定对应关系表中,是否存在与ARP报文匹配的对应关系表项之前,从管理设备获得主机的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,对应关系表项记录上述主机的IP地址和MAC地址的对应关系,其中,上述主机的IP地址和MAC地址的对应关系是PORTAL认证服务器在对上述主机认证成功后,发送给管理设备的;或者,
监听主机向PORTAL认证服务器发送的用于进行PORTAL认证的认证请求报文,或者,监听上述PORTAL认证服务器向上述主机发送的认证成功报文,从上述认证请求报文或者认证成功报文中获得上述主机的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,对应关系表项记录上述主机的IP地址和MAC地址的对应关系;或者,
从PORTAL认证服务器获得主机的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,对应关系表项记录上述主机的IP地址和MAC地址的对应关系,其中,上述主机的IP地址和MAC地址的对应关系是PORTAL认证服务器在对上述主机认证成功后发送的,具体可参见图6,图6是本发明一种ARP攻击防御装置的第三种结构图。
本发明实施例中,网络设备在接收到ARP报文后,可根据ARP报文中的源IP地址和源MAC地址,确定对应关系表中,是否存在与ARP报文匹配的对应关系表项,其中,对应关系表记录了主机的IP地址和MAC地址的对应关系;若对应关系表中不存在与ARP报文匹配的对应关系表项,即ARP报文中的源IP地址与源MAC地址的对应关系不能匹配到任何一条对应关系表项,则将该ARP报文丢弃。由此可见,不论上述ARP报文是ARP欺骗攻击下虚假的ARP应答报文或ARP请求报文,还是ARP泛洪攻击下虚假的ARP请求报文,都会因为其无法匹配到任何一条对应关系表项而被丢弃,从而及时防御了ARP攻击。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种ARP攻击防御方法,其特征在于,所述方法应用于网络设备,所述方法包括:
接收ARP报文;
根据所述ARP报文中源IP地址和源MAC地址的对应关系,确定对应关系表中,是否存在与所述ARP报文匹配的对应关系表项;其中,所述对应关系表记录了主机的IP地址和MAC地址的对应关系;
若不存在,则将所述ARP报文丢弃。
2.根据权利要求1所述的方法,其特征在于,所述根据ARP报文中源IP地址和源MAC地址的对应关系,确定对应关系表中,是否存在与所述ARP报文匹配的对应关系表项,包括:
在对应关系表中,查找与所述ARP报文中的源IP地址匹配的对应关系表项;若未查找到,则确定与所述ARP报文匹配的对应关系表项不存在;
若查找到,则判断查找到的对应关系表项中记录的MAC地址与所述ARP报文中的源MAC地址是否匹配;
若匹配,则确定与所述ARP报文匹配的对应关系表项存在;若不匹配,则确定与所述ARP报文匹配的对应关系表项不存在。
3.根据权利要求1所述的方法,其特征在于,当所述网络设备为接入设备时,所述根据ARP报文中源IP地址和源MAC地址的对应关系,确定对应关系表中,是否存在与所述ARP报文匹配的对应关系表项之前,还包括:
从管理设备获得主机的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,所述对应关系表项记录所述主机的IP地址和MAC地址的对应关系,其中,所述主机的IP地址和MAC地址的对应关系是PORTAL认证服务器在对所述主机认证成功后,发送给所述管理设备的;或者,
从网关设备获得主机的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,所述对应关系表项记录所述主机的IP地址和MAC地址的对应关系,其中,所述主机的IP地址和MAC地址的对应关系是PORTAL认证服务器在对所述主机认证成功后,发送给所述网关设备的;或者,
监听主机向PORTAL认证服务器发送的用于进行PORTAL认证的认证请求报文,或者,监听所述PORTAL认证服务器向所述主机发送的认证成功报文,从所述认证请求报文或者认证成功报文中获得所述主机的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,所述对应关系表项记录所述主机的IP地址和MAC地址的对应关系。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
从网关设备获得所述网关设备的IP地址和MAC地址的对应关系,并在所述对应关系表中添加一个对应关系表项,所述对应关系表项记录所述网关设备的IP地址和MAC地址的对应关系;或者,
从管理设备获得所述网关设备的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,所述对应关系表项记录所述网关设备的IP地址和MAC地址的对应关系,其中,所述网关设备的IP地址和MAC地址的对应关系,是网关设备发送给所述管理设备的。
5.根据权利要求1所述的方法,其特征在于,当所述网络设备为网关设备时,所述根据ARP报文中源IP地址和源MAC地址的对应关系,确定对应关系表中,是否存在与所述ARP报文匹配的对应关系表项之前,还包括:
从管理设备获得主机的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,所述对应关系表项记录所述主机的IP地址和MAC地址的对应关系,其中,所述主机的IP地址和MAC地址的对应关系是PORTAL认证服务器在对所述主机认证成功后,发送给所述管理设备的;或者,
监听主机向PORTAL认证服务器发送的用于进行PORTAL认证的认证请求报文,或者,监听所述PORTAL认证服务器向所述主机发送的认证成功报文,从所述认证请求报文或者认证成功报文中获得所述主机的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,所述对应关系表项记录所述主机的IP地址和MAC地址的对应关系;或者,
从PORTAL认证服务器获得主机的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,所述对应关系表项记录所述主机的IP地址和MAC地址的对应关系,其中,所述主机的IP地址和MAC地址的对应关系是PORTAL认证服务器在对所述主机认证成功后发送的。
6.根据权利要求1的方法,其特征在于,若与所述ARP报文匹配的对应关系表项不存在,则所述方法还包括:
向管理设备发送告警消息,所述告警消息包括所述ARP报文中的源IP地址和源MAC地址的对应关系。
7.一种ARP攻击防御装置,其特征在于,所述装置应用于网络设备,所述装置包括:
接收单元,用于接收ARP报文;
确定单元,用于根据所述ARP报文中源IP地址和源MAC地址的对应关系,确定对应关系表中,是否存在与所述ARP报文匹配的对应关系表项;其中,所述对应关系表记录了主机的IP地址和MAC地址的对应关系;
丢弃单元,用于在所述确定单元的确定结果为否时,将所述ARP报文丢弃。
8.根据权利要求7所述的装置,其特征在于,当所述网络设备为接入设备时,所述装置还包括:
第一对应关系获得单元,用于在根据ARP报文中源IP地址和源MAC地址的对应关系,确定对应关系表中,是否存在与所述ARP报文匹配的对应关系表项之前,从管理设备获得主机的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,所述对应关系表项记录所述主机的IP地址和MAC地址的对应关系,其中,所述主机的IP地址和MAC地址的对应关系是PORTAL认证服务器在对所述主机认证成功后,发送给所述管理设备的;或者,
从网关设备获得主机的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,所述对应关系表项记录所述主机的IP地址和MAC地址的对应关系,其中,所述主机的IP地址和MAC地址的对应关系是PORTAL认证服务器在对所述主机认证成功后,发送给所述网关设备的;或者,
监听主机向PORTAL认证服务器发送的用于进行PORTAL认证的认证请求报文,或者,监听所述PORTAL认证服务器向所述主机发送的认证成功报文,从所述认证请求报文或者认证成功报文中获得所述主机的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,所述对应关系表项记录所述主机的IP地址和MAC地址的对应关系。
9.根据权利要求8所述的装置,其特征在于,所述第一对应关系获得单元,还用于:
从网关设备获得所述网关设备的IP地址和MAC地址的对应关系,并在所述对应关系表中添加一个对应关系表项,所述对应关系表项记录所述网关设备的IP地址和MAC地址的对应关系;或者,
从管理设备获得所述网关设备的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,所述对应关系表项记录所述网关设备的IP地址和MAC地址的对应关系,其中,所述网关设备的IP地址和MAC地址的对应关系,是网关设备发送给所述管理设备的。
10.根据权利要求7所述的装置,其特征在于,当所述网络设备为网关设备时,所述装置还包括:
第二对应关系获得单元,用于在根据ARP报文中源IP地址和源MAC地址的对应关系,确定对应关系表中,是否存在与所述ARP报文匹配的对应关系表项之前,从管理设备获得主机的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,所述对应关系表项记录所述主机的IP地址和MAC地址的对应关系,其中,所述主机的IP地址和MAC地址的对应关系是PORTAL认证服务器在对所述主机认证成功后,发送给所述管理设备的;或者,
监听主机向PORTAL认证服务器发送的用于进行PORTAL认证的认证请求报文,或者,监听所述PORTAL认证服务器向所述主机发送的认证成功报文,从所述认证请求报文或者认证成功报文中获得所述主机的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,所述对应关系表项记录所述主机的IP地址和MAC地址的对应关系;或者,
从PORTAL认证服务器获得主机的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,所述对应关系表项记录所述主机的IP地址和MAC地址的对应关系,其中,所述主机的IP地址和MAC地址的对应关系是PORTAL认证服务器在对所述主机认证成功后发送的。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710386924.3A CN106982234A (zh) | 2017-05-26 | 2017-05-26 | 一种arp攻击防御方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710386924.3A CN106982234A (zh) | 2017-05-26 | 2017-05-26 | 一种arp攻击防御方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106982234A true CN106982234A (zh) | 2017-07-25 |
Family
ID=59343151
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710386924.3A Pending CN106982234A (zh) | 2017-05-26 | 2017-05-26 | 一种arp攻击防御方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106982234A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107295020A (zh) * | 2017-08-16 | 2017-10-24 | 北京新网数码信息技术有限公司 | 一种地址解析协议攻击的处理方法及装置 |
| CN107689963A (zh) * | 2017-09-26 | 2018-02-13 | 杭州迪普科技股份有限公司 | 一种针对arp应答报文攻击的检测方法及装置 |
| CN108234522A (zh) * | 2018-03-01 | 2018-06-29 | 深圳市共进电子股份有限公司 | 防止地址解析协议arp攻击方法、装置、计算机设备和存储介质 |
| CN109067751A (zh) * | 2018-08-14 | 2018-12-21 | 腾讯科技(深圳)有限公司 | 一种非Root环境下ARP欺骗检测方法、装置及终端 |
| CN110022303A (zh) * | 2019-03-07 | 2019-07-16 | 北京华安普特网络科技有限公司 | Arp双向防御系统及方法 |
| CN110401616A (zh) * | 2018-04-24 | 2019-11-01 | 北京码牛科技有限公司 | 一种提高mac地址和ip地址安全性和稳定性的方法和系统 |
| CN110401617A (zh) * | 2018-04-24 | 2019-11-01 | 北京码牛科技有限公司 | 一种防止arp欺骗的方法和系统 |
| CN111565176A (zh) * | 2020-04-24 | 2020-08-21 | 上海沪景信息科技有限公司 | 智能伪装主机方法、系统、设备及可读存储介质 |
| CN112738018A (zh) * | 2020-11-30 | 2021-04-30 | 南方电网数字电网研究院有限公司 | Arp欺骗攻击检测方法、装置、计算机设备和存储介质 |
| CN112822148A (zh) * | 2020-08-17 | 2021-05-18 | 北京辰信领创信息技术有限公司 | 物联网感知层终端arp中间人攻击防护设计 |
| CN115037541A (zh) * | 2022-06-09 | 2022-09-09 | 克拉玛依油城数据有限公司 | 内网环境中基于ip地址自动定位攻击源物理位置的方法 |
| CN115296893A (zh) * | 2022-08-02 | 2022-11-04 | 北京天融信网络安全技术有限公司 | 一种地址信息异常检测的方法、装置、系统及介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1466341A (zh) * | 2002-06-22 | 2004-01-07 | ��Ϊ��������˾ | 一种动态地址分配中防止ip地址欺骗的方法 |
| CN101094236A (zh) * | 2007-07-20 | 2007-12-26 | 华为技术有限公司 | 地址解析协议报文处理方法及通讯系统及转发平面处理器 |
| CN101262505A (zh) * | 2008-04-22 | 2008-09-10 | 杭州华三通信技术有限公司 | 一种建立arp表项的方法、系统和装置 |
| CN101370019A (zh) * | 2008-09-26 | 2009-02-18 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议报文欺骗攻击的方法及交换机 |
| CN101635713A (zh) * | 2009-06-09 | 2010-01-27 | 北京安天电子设备有限公司 | 一种防止局域网arp欺骗攻击的方法及系统 |
| CN101635628A (zh) * | 2009-08-28 | 2010-01-27 | 杭州华三通信技术有限公司 | 一种防止arp攻击的方法及装置 |
| CN102739684A (zh) * | 2012-06-29 | 2012-10-17 | 杭州迪普科技有限公司 | 一种基于虚拟IP地址的Portal认证方法及服务器 |
| CN103095584A (zh) * | 2013-02-04 | 2013-05-08 | 杭州华三通信技术有限公司 | 一种报文处理方法及交换设备 |
| CN103327006A (zh) * | 2013-05-17 | 2013-09-25 | 北京邮电大学 | 多接入网络中的安全方法 |
| US20150071289A1 (en) * | 2013-09-11 | 2015-03-12 | Electronics And Telecommunications Research Institute | System and method for address resolution |
| CN105245629A (zh) * | 2015-09-25 | 2016-01-13 | 互联网域名系统北京市工程研究中心有限公司 | 基于dhcp的主机通信方法及装置 |
-
2017
- 2017-05-26 CN CN201710386924.3A patent/CN106982234A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1466341A (zh) * | 2002-06-22 | 2004-01-07 | ��Ϊ��������˾ | 一种动态地址分配中防止ip地址欺骗的方法 |
| CN101094236A (zh) * | 2007-07-20 | 2007-12-26 | 华为技术有限公司 | 地址解析协议报文处理方法及通讯系统及转发平面处理器 |
| CN101262505A (zh) * | 2008-04-22 | 2008-09-10 | 杭州华三通信技术有限公司 | 一种建立arp表项的方法、系统和装置 |
| CN101370019A (zh) * | 2008-09-26 | 2009-02-18 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议报文欺骗攻击的方法及交换机 |
| CN101635713A (zh) * | 2009-06-09 | 2010-01-27 | 北京安天电子设备有限公司 | 一种防止局域网arp欺骗攻击的方法及系统 |
| CN101635628A (zh) * | 2009-08-28 | 2010-01-27 | 杭州华三通信技术有限公司 | 一种防止arp攻击的方法及装置 |
| CN102739684A (zh) * | 2012-06-29 | 2012-10-17 | 杭州迪普科技有限公司 | 一种基于虚拟IP地址的Portal认证方法及服务器 |
| CN103095584A (zh) * | 2013-02-04 | 2013-05-08 | 杭州华三通信技术有限公司 | 一种报文处理方法及交换设备 |
| CN103327006A (zh) * | 2013-05-17 | 2013-09-25 | 北京邮电大学 | 多接入网络中的安全方法 |
| US20150071289A1 (en) * | 2013-09-11 | 2015-03-12 | Electronics And Telecommunications Research Institute | System and method for address resolution |
| CN105245629A (zh) * | 2015-09-25 | 2016-01-13 | 互联网域名系统北京市工程研究中心有限公司 | 基于dhcp的主机通信方法及装置 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107295020A (zh) * | 2017-08-16 | 2017-10-24 | 北京新网数码信息技术有限公司 | 一种地址解析协议攻击的处理方法及装置 |
| CN107689963A (zh) * | 2017-09-26 | 2018-02-13 | 杭州迪普科技股份有限公司 | 一种针对arp应答报文攻击的检测方法及装置 |
| CN108234522B (zh) * | 2018-03-01 | 2021-01-22 | 深圳市共进电子股份有限公司 | 防止地址解析协议arp攻击方法、装置、计算机设备和存储介质 |
| CN108234522A (zh) * | 2018-03-01 | 2018-06-29 | 深圳市共进电子股份有限公司 | 防止地址解析协议arp攻击方法、装置、计算机设备和存储介质 |
| CN110401616A (zh) * | 2018-04-24 | 2019-11-01 | 北京码牛科技有限公司 | 一种提高mac地址和ip地址安全性和稳定性的方法和系统 |
| CN110401617A (zh) * | 2018-04-24 | 2019-11-01 | 北京码牛科技有限公司 | 一种防止arp欺骗的方法和系统 |
| CN109067751A (zh) * | 2018-08-14 | 2018-12-21 | 腾讯科技(深圳)有限公司 | 一种非Root环境下ARP欺骗检测方法、装置及终端 |
| CN110022303A (zh) * | 2019-03-07 | 2019-07-16 | 北京华安普特网络科技有限公司 | Arp双向防御系统及方法 |
| CN110022303B (zh) * | 2019-03-07 | 2021-11-16 | 北京华安普特网络科技有限公司 | Arp双向防御系统及方法 |
| CN111565176A (zh) * | 2020-04-24 | 2020-08-21 | 上海沪景信息科技有限公司 | 智能伪装主机方法、系统、设备及可读存储介质 |
| CN111565176B (zh) * | 2020-04-24 | 2022-04-08 | 上海沪景信息科技有限公司 | 智能伪装主机方法、系统、设备及可读存储介质 |
| CN112822148A (zh) * | 2020-08-17 | 2021-05-18 | 北京辰信领创信息技术有限公司 | 物联网感知层终端arp中间人攻击防护设计 |
| CN112822148B (zh) * | 2020-08-17 | 2023-02-21 | 北京辰信领创信息技术有限公司 | 物联网感知层终端arp中间人攻击防护设计 |
| CN112738018A (zh) * | 2020-11-30 | 2021-04-30 | 南方电网数字电网研究院有限公司 | Arp欺骗攻击检测方法、装置、计算机设备和存储介质 |
| CN115037541A (zh) * | 2022-06-09 | 2022-09-09 | 克拉玛依油城数据有限公司 | 内网环境中基于ip地址自动定位攻击源物理位置的方法 |
| CN115296893A (zh) * | 2022-08-02 | 2022-11-04 | 北京天融信网络安全技术有限公司 | 一种地址信息异常检测的方法、装置、系统及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106982234A (zh) | 一种arp攻击防御方法及装置 | |
| CN101415012B (zh) | 一种防御地址解析协议报文攻击的方法和系统 | |
| CN103067385B (zh) | 防御会话劫持攻击的方法和防火墙 | |
| CN101360019B (zh) | 一种僵尸网络的检测方法、系统和设备 | |
| Ensafi et al. | Detecting intentional packet drops on the Internet via TCP/IP side channels | |
| US20070297349A1 (en) | Method and System for Collecting Information Relating to a Communication Network | |
| US20070115998A1 (en) | Method and software product for identifying network devices having a common geographical locale | |
| EP1695486B1 (en) | Method and system for collecting information relating to a communication network | |
| WO2009007570A3 (fr) | Procédés et dispositifs por la communication de données de diagnostic dans un réseau de communication temps réel | |
| CN101997768A (zh) | 一种上送地址解析协议报文的方法和装置 | |
| WO2014001773A1 (en) | Resolution of address translations | |
| US20220174072A1 (en) | Data Processing Method and Device | |
| CN104662848B (zh) | 用于动态域名系统(ddns)的方法和系统 | |
| US10178015B2 (en) | Methods, systems, and computer readable media for testing network equipment devices using connectionless protocols | |
| CN108574673A (zh) | 应用于网关的arp报文攻击检测方法及装置 | |
| de Vries et al. | Global-scale anycast network management with verfploeter | |
| US8724506B2 (en) | Detecting double attachment between a wired network and at least one wireless network | |
| Syed et al. | Analysis of Dynamic Host Control Protocol Implementation to Assess DoS Attacks | |
| Khan et al. | An intelligent approach of sniffer detection. | |
| CN106973126A (zh) | 一种arp应答方法及装置 | |
| Thimmaraju et al. | Count Me If You Can: enumerating QUIC servers behind load balancers | |
| CN103491081B (zh) | 检测dhcp攻击源的方法和装置 | |
| CN107295020A (zh) | 一种地址解析协议攻击的处理方法及装置 | |
| Zdrnja | Malicious JavaScript insertion through ARP poisoning attacks | |
| US8176000B2 (en) | Methods and apparatus for discovering traffic on a network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170725 |