CN107070908A - 一种自动检测假冒网关arp欺骗的方法 - Google Patents
一种自动检测假冒网关arp欺骗的方法 Download PDFInfo
- Publication number
- CN107070908A CN107070908A CN201710212797.5A CN201710212797A CN107070908A CN 107070908 A CN107070908 A CN 107070908A CN 201710212797 A CN201710212797 A CN 201710212797A CN 107070908 A CN107070908 A CN 107070908A
- Authority
- CN
- China
- Prior art keywords
- gateway
- address
- deceptions
- daily record
- arp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种自动检测假冒网关ARP欺骗的方法,其包括配置网关把日志集中写到Syslog服务器,日志分析程序通过捕获日志中的IP地址冲突事件检测假冒网关的ARP欺骗。通过定制开发使得Syslog服务器程序和日志分析程序紧密集成为一体,系统接收日志消息只处理IP地址冲突事件而抛弃其他事件,日志不需要保存到文件或者数据库中,也不需要进行消息传递,简化了系统配置并优化了性能。日志分析程序通过使用正则表达式匹配多个IP地址冲突的关键字、匹配多种格式的MAC和IP地址并进行数据格式转化等方式屏蔽不同设备IP地址冲突事件消息格式的差别。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种自动检测假冒网关ARP欺骗的方法。
背景技术
ARP是Address Resolution Protocol的简称,既地址解析协议,ARP的功能是在IP(Internet Protocol)地址和MAC(Media Access Control)地址之间提供动态映射。ARP协议设计的初衷假设网络中的主机和数据包都是可信的,但是事实远非如此,ARP欺骗对网络安全造成巨大安全隐患,许多局域网LAN(Local Area Network)都深受其害,有些ARP欺骗是病毒造成的,也有些是人为精心设计的非法监听和恶意假冒的网络攻击。
为了对付ARP欺骗人们采取了许多方法:包括在计算机安装ARP防火墙,在计算机和网关双向绑定MAC-IP地址,网络管理员通过网络抓包检测ARP欺骗,发现后操作接入交换机封闭其端口,在网络设备启用DHCP Snooping(DHCP监听)IP Source Guard(IP源地址保护)和DAI(动态ARP检查Dynamic ARP Inspection),分析路由器的ARP表检测ARP欺骗等。但是上述方法都有一些缺点:在用户计算机上安装ARP防火墙难以集中管理,ARP防火墙防己不防人,甚至有些ARP防火墙以攻击来对抗攻击以至于对整个网络带来危害;双向绑定MAC-IP的维护工作量巨大,并且不能适应越来越多的笔记本电脑以及WiFi环境;通过网络抓包只能检测到当前正在发生的ARP欺骗,在交换网络中监听不同的网段需要频繁切换端口或者配置不同的端口镜像,抓包分析工作量很大并且对网络管理员有比较高的技术要求;启用DHCP Snooping 、IP Source Guard和DAI对整个网络环境和交换机设备要求比较高,许多中低端的交换机(例如Cisco2960)都不支持,此外在人工设置静态IP和DHCP并存的网络环境中IP Source Guard依然需要静态绑定MAC-IP地址;除了DAI之外还有许多其他防范ARP欺骗的方法也都对现有的网络具有“侵入性”,需要改变网络协议,需要更改现有的网络设备,这些方法即使在理论上很完美在现实中仍然难以实用推广;“非侵入性”的通过分析路由器的ARP表只能检测假冒主机的ARP欺骗,不能检测假冒网关的ARP欺骗,而假冒网关的ARP欺骗相对危害性更大。
发明内容
本发明实施例所要解决的技术问题在于,提供一种自动检测假冒网关ARP欺骗的方法。不依赖于用户计算机环境、能够适应于各种网络环境和网络设备的自动检测假冒网关的ARP欺骗。
为了解决上述技术问题,本发明实施例提供了一种自动检测假冒网关ARP欺骗的方法,配置网关把日志集中写到Syslog日志服务器,日志分析程序通过捕获日志中的IP地址冲突事件检测假冒网关的ARP欺骗。
进一步地,所述日志分析程序通过正则表达式匹配多个IP地址冲突的关键字,匹配多种格式的MAC地址和IP地址,并进行数据格式转化等方式屏蔽不同设备IP地址冲突事件日志消息的差别。
实施本发明实施例,具有如下有益效果:本发明能够适应于各种网络设备和网络环境,对现有网络没有“侵入性”,并且通过定制开发使得Syslog服务器程序和日志分析程序紧密集成为一体,系统接收日志消息只处理IP地址冲突事件而抛弃其他事件,日志不需要保存到文件或者数据库中,也不需要进行消息传递,简化了系统配置,并提高了性能。
附图说明
图1是本发明方法的拓扑结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
本发明公开的一种自动检测假冒网关ARP欺骗的方法,通过以下流程实现。
首先配置所有网关(路由器、三层交换机、防火墙等运行在TCP/IP协议第三层的设备,最常见是路由器)把日志集中写到Syslog日志服务器,日志分析程序通过捕获日志中的IP地址冲突事件检测假冒网关的ARP欺骗,如图1所示。
1.检测假冒网关ARP欺骗的技术原理
从技术原理上假冒主机的ARP欺骗和假冒网关的ARP欺骗并没有什么不同,之所以要区别两者是基于两个原因:从危害性角度一个假冒主机的ARP欺骗只会影响某一台计算机,而一个假冒网关的ARP欺骗会影响同网段内的所有计算机;从ARP欺骗检测方法来看,网关知道其自身网络接口的MAC-IP地址,所以网关的ARP表不会记录假冒网关ARP欺骗所使用的MAC-IP条目,因此基于ARP表的检测方法对于假冒网关的ARP欺骗无效。假冒网关的ARP欺骗检测原理:当发生假冒网关的ARP欺骗的时候,网关会检测到其他设备和自己的IP地址冲突,会产生一个IP地址冲突的错误事件,通过接收并分析该事件消息就可以检测到假冒网关的ARP欺骗。
2.在网关上配置日志选项
网络设备的日志除了可以输出到控制台、设备的缓存和本地文件之外,还可以输出到远程Syslog日志服务器、SNMP管理终端,本发明使用Syslog日志服务器收集日志。
配置所有的网关把日志集中写到远程Syslog日志服务器,并配置消息的优先级(日志的严重级别)大于等于3 (级别0-7,降序排列,严重性越来越低,3代表errors,IP地址冲突的消息在该级别)。
以Cisco路由器为例,把日志记录到日志服务器10.10.X.X,在全局配置模式下执行以下命令:
C3550G-stuAB(config)#logging 10.10.X.X
设定日志消息的优先级,执行以下命令:
C3550G-stuAB(config)#logging trap errors
当发生假冒网关的ARP欺骗的时候,路由器会把事件消息发送给Syslog服务器,事件消息体如下:
duplicate ip address 168625150 sent from ethernet address 00 50 ba 69 16bb
3.Syslog日志服务器程序
有许多通用的Syslog日志服务器程序,例如Syslog-ng、Sysklogd、Rsyslog、KiwiSyslog Server等,这些日志服务器程序将日志保存到文件、数据库或者转发消息。在大数据处理领域经常使用Flume收集日志或者使用Kafka进行松耦合的消息传递,松耦合的优点是系统的可扩展性好,缺点是配置复杂。检测假冒网关的ARP欺骗目的明确、功能单一,并且一台计算机就能够处理大型网络中所有设备的错误日志,因而不需要横向扩展,对于这种应用场景最好是Syslog服务器程序和日志分析程序紧密耦合甚至集成为一体。通过定制开发使得Syslog服务器和日志分析程序集成为一体,程序只接收IP地址冲突的消息,抛弃其他任何消息,并且日志不需要保存到文件或者数据库,也不需要进行消息传递。这样做的主要优点是简化系统配置,同时提高了性能(因为减少了文件I/O、消息传递等过程)。
定制开发Syslog服务器程序的技术方案有两种:基于开源通用软件进行修改或者全新开发。由于通用的Syslog服务器程序考虑了可配置性、可扩展性等因素,系统结构比较复杂,所以选择全新开发。开发Syslog服务器程序并不难,不需要实现底层通信协议,主流的编程语言都有许多第三方的Syslog编程组件可以方便使用,例如Java的Syslog4j、C#的IP*Works、Delphi的Indy组件等。
4.日志分析程序
一条完整的Syslog日志包括PRI、HEADER、MSG三部分:PRI部分由尖括号包含的一个数字构成,这个数字包含了程序模块(Facility)、严重性(Severity),这个数字是由Facility乘以 8,然后加上Severity得来;HEADER部分包括两个字段,时间和主机名(或IP),MSG部分又分为两个部分,TAG和Content,其中TAG部分是可选的。日志分析程序重点关注消息体的内容部分,例如某个类型设备的IP地址冲突事件消息内容如下:
Jul 7 2010 13:29:55 SGT: %IP-4-DUPADDR: Duplicate address 192.168.1.1 onVlan1, sourced by xxxx.xxxx.xxxx
另一种设备的IP地址冲突时间消息内容如下:
%IP-4-DUPADDR: Duplicate address 10.10.xxx.xxx on Ethernet0/0, sourced byxxxx.xxxx.xxxx
Syslog协议虽然有相关的规范,可参见RFC 3164 和RFC 5424,但是许多规范是“建议”并不是强制,其次不同厂商的设备并不一定完全遵守规范,这就造成不同的设备消息格式的差异。日志分析程序要能够适应不同设备日志消息格式的差异, 具体方法是首先使用正则表达式匹配多个IP地址冲突的关键字(例如Duplicate address、DUPADDR等)判断出某事件是否IP地址冲突事件,对于IP地址冲突事件匹配多种格式的MAC地址和IP地址,例如MAC地址需要匹配 “ xx-xx-xx-xx-xx-xx”、“xx: xx: xx: xx: xx: xx”、“ xxxx-xxxx-xxxx”、“xxxx:xxxx:xxxx”等,其相应的正则表达式为“([A-Fa-f0-9]{2}-){5}[A-Fa-f0-9]{2}”等,IP地址既有“XXX.XXX.XXX.XXX”的字符格式也有数字格式,需要进行格式转换。
日志分析程序检测到IP地址冲突事件后,提取出MAC地址和IP地址,对MAC地址进行大小写转换、去掉中间的分隔符,将IP地址转化为统一的字符格式,加上当前时间戳,然后将ARP欺骗检测结果保存到数据库中,并通过短信、邮件的方式通知网络管理员。
本发明具有如下优点:
1、能够适应于各种网络设备和网络环境,对现有网络没有“侵入性”。
技术手段:配置网关把日志集中写到Syslog服务器,日志分析程序通过捕获日志中的IP地址冲突事件检测假冒网关的ARP欺骗,日志分析程序通过采取正则表达式匹配多个IP冲突关键字、匹配多种格式的MAC地址和IP地址格式并进行数据格式转化等方式屏蔽不同设备IP地址冲突事件日志消息的差别。
2、系统配置简单性能优异
技术手段:通过定制开发使得Syslog服务器程序和日志分析程序紧密集成为一体,系统接收日志消息只处理IP地址冲突事件而抛弃其他事件,日志不需要保存到文件或者数据库中,也不需要进行消息传递,简化了系统配置,并提高了性能。
以上所揭露的仅为本发明一种较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (2)
1.一种自动检测假冒网关ARP欺骗的方法,其特征在于,配置网关把日志集中写到Syslog日志服务器,日志分析程序通过捕获日志中的IP地址冲突事件检测假冒网关的ARP欺骗。
2.根据权利要求1所述的自动检测假冒网关ARP欺骗的方法,其特征在于,所述日志分析程序通过正则表达式匹配多个IP地址冲突的关键字,匹配多种格式的MAC地址和IP地址,并进行数据格式转化等方式屏蔽不同设备IP地址冲突事件日志消息的差别。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710212797.5A CN107070908A (zh) | 2017-04-01 | 2017-04-01 | 一种自动检测假冒网关arp欺骗的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710212797.5A CN107070908A (zh) | 2017-04-01 | 2017-04-01 | 一种自动检测假冒网关arp欺骗的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107070908A true CN107070908A (zh) | 2017-08-18 |
Family
ID=59602825
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710212797.5A Pending CN107070908A (zh) | 2017-04-01 | 2017-04-01 | 一种自动检测假冒网关arp欺骗的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107070908A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110912928A (zh) * | 2019-12-11 | 2020-03-24 | 百度在线网络技术(北京)有限公司 | 一种防火墙实现方法、装置以及电子设备 |
CN112073557A (zh) * | 2020-09-18 | 2020-12-11 | 上海市共进通信技术有限公司 | 网络静态ip条件下实现网关自动获取下挂设备名称的方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110255423A1 (en) * | 2010-04-14 | 2011-10-20 | Honeywell International Inc. | Method for detecting a proxy arp agent in secure networks having embedded controllers |
CN104184616A (zh) * | 2014-08-08 | 2014-12-03 | 国家电网公司 | 一种局域网资源智能管理系统 |
CN104363243A (zh) * | 2014-11-27 | 2015-02-18 | 福建星网锐捷网络有限公司 | 一种防网关欺骗的方法及装置 |
CN105138593A (zh) * | 2015-07-31 | 2015-12-09 | 山东蚁巡网络科技有限公司 | 一种利用正则表达式自定义提取日志关键信息的方法 |
-
2017
- 2017-04-01 CN CN201710212797.5A patent/CN107070908A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110255423A1 (en) * | 2010-04-14 | 2011-10-20 | Honeywell International Inc. | Method for detecting a proxy arp agent in secure networks having embedded controllers |
CN104184616A (zh) * | 2014-08-08 | 2014-12-03 | 国家电网公司 | 一种局域网资源智能管理系统 |
CN104363243A (zh) * | 2014-11-27 | 2015-02-18 | 福建星网锐捷网络有限公司 | 一种防网关欺骗的方法及装置 |
CN105138593A (zh) * | 2015-07-31 | 2015-12-09 | 山东蚁巡网络科技有限公司 | 一种利用正则表达式自定义提取日志关键信息的方法 |
Non-Patent Citations (1)
Title |
---|
张云高,吉杰: "ARP欺骗的自动探测、定位和隔离", 《计算机与现代化》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110912928A (zh) * | 2019-12-11 | 2020-03-24 | 百度在线网络技术(北京)有限公司 | 一种防火墙实现方法、装置以及电子设备 |
CN110912928B (zh) * | 2019-12-11 | 2022-01-28 | 百度在线网络技术(北京)有限公司 | 一种防火墙实现方法、装置以及电子设备 |
CN112073557A (zh) * | 2020-09-18 | 2020-12-11 | 上海市共进通信技术有限公司 | 网络静态ip条件下实现网关自动获取下挂设备名称的方法 |
CN112073557B (zh) * | 2020-09-18 | 2023-04-28 | 上海市共进通信技术有限公司 | 网络静态ip条件下实现网关自动获取下挂设备名称的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Deri et al. | Effective traffic measurement using ntop | |
KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
Phaal et al. | InMon corporation's sFlow: A method for monitoring traffic in switched and routed networks | |
CN103442008B (zh) | 一种路由安全检测系统及检测方法 | |
Sherwood et al. | Touring the Internet in a TCP sidecar | |
US20180278498A1 (en) | Process representation for process-level network segmentation | |
US20070086449A1 (en) | System and method for remote management | |
CN107534690A (zh) | 采集域名系统流量 | |
JP2005513957A (ja) | ネットワークルーチング装置を自動的に構成する方法 | |
Benson et al. | Leveraging internet background radiation for opportunistic network analysis | |
CN106169963A (zh) | 服务页面的访问方法及系统、代理服务器 | |
US20210058411A1 (en) | Threat information extraction device and threat information extraction system | |
CN111224893A (zh) | 一种基于vpn的安卓手机流量采集与标注系统及方法 | |
US20180183714A1 (en) | Using a flow database to automatically configure network traffic visibility systems | |
CN107070908A (zh) | 一种自动检测假冒网关arp欺骗的方法 | |
Oluwabukola et al. | A Packet Sniffer (PSniffer) application for network security in Java | |
US11979374B2 (en) | Local network device connection control | |
CN104994113B (zh) | 一种adsl无线路由器及使用该路由器在桥接模式下实现强制门户的方法和系统 | |
KR102318686B1 (ko) | 개선된 네트워크 보안 방법 | |
US10887204B2 (en) | Network infrastructure management | |
Brzezinski | Intrusion detection as passive testing: linguistic support with TTCN-3 | |
CN110213399A (zh) | 基于netfilter机制的dhcp服务器探测方法、存储介质及终端 | |
Jin et al. | Trigger-based Blocking Mechanism for Access to Email-derived Phishing URLs with User Alert | |
Ikebe et al. | An integrated distributed log management system with metadata for network operation | |
CN102983986B (zh) | 一种网元设备鉴权管理的方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170818 |