CN107295020A - 一种地址解析协议攻击的处理方法及装置 - Google Patents
一种地址解析协议攻击的处理方法及装置 Download PDFInfo
- Publication number
- CN107295020A CN107295020A CN201710700251.4A CN201710700251A CN107295020A CN 107295020 A CN107295020 A CN 107295020A CN 201710700251 A CN201710700251 A CN 201710700251A CN 107295020 A CN107295020 A CN 107295020A
- Authority
- CN
- China
- Prior art keywords
- address
- arp
- attack
- data link
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种地址解析协议攻击的处理方法及装置,该方法包括:监控至少一个虚拟局域网中每个虚拟局域网对应的网络端口,每个虚拟局域网中包括至少一个虚拟主句;实时获取每个虚拟主机通过所述网络端口发出的地址解析协议ARP数据包,提取ARP数据包中的数据链层媒体访问控制MAC地址、源MAC地址以及源IP地址;根据所述数据链层的MAC地址、所述源MAC地址、所述源IP地址,以及预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系,确定ARP攻击类型;根据确定的所述ARP攻击类型,以及预设的ARP攻击类型与处理指令的映射关系,确定并执行与该ARP攻击类型对应的处理指令。本发明实施例能够及时监控虚拟主机的地址解析协议攻击并及时进行处理。
Description
技术领域
本发明涉及通信技术领域,具体而言,涉及一种地址解析协议攻击的处理方法及装置。
背景技术
随着信息技术的发展,计算机网络给人们的生活带来了很大的便利,使得信息资源共享,诚然已经成为人们日常生活中不可缺少的一部分,然而,一些不法分子利用一些非法技术手段,在网络中进行欺骗攻击他人,其中ARP攻击就是常见的网络攻击手段。
ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP(Transmission Control Protocol,传输控制协议)/IP(Internet Protocol,网络之间互联的协议)协议栈中的网络层,负责将某个IP地址解析成对应的MAC地址。ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击造成的影响恶劣,影响用户网络环境,造成用户体验度差,现有技术中,在发生ARP攻击时,常常无法及时监控到,进而无法及时进行处理,一旦发生ARP攻击可能会给用户造成严重的后果。
发明内容
有鉴于此,本发明的目的在于提供了一种地址解析协议攻击的处理方法及装置,能够在虚拟网络环境中,及时监控虚拟主机在发生ARP攻击时,确定ARP攻击类型,并根据确定的ARP攻击类型进行处理。
第一方面,本发明实施例提供了一种地址解析协议攻击的处理方法,包括:
监控至少一个虚拟局域网中每个虚拟局域网对应的网络端口,每个虚拟局域网中包括至少一个虚拟主机;
实时获取每个虚拟主机通过所述网络端口发出的地址解析协议ARP数据包,提取所述ARP数据包中的数据链层媒体访问控制MAC地址、源MAC地址以及源IP地址;
根据所述数据链层MAC地址、所述源MAC地址、所述源IP地址,以及预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系,确定ARP攻击类型;
根据确定的所述ARP攻击类型,以及预设的ARP攻击类型与处理指令的映射关系,确定并执行与该ARP攻击类型对应的处理指令。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,所述方法还包括:
监控至少一个虚拟局域网中每个虚拟局域网对应的网络端口发送的ARP数据包个数;
判断所述ARP数据包个数是否超过预设阈值,若是,则确定发生ARP泛洪攻击;
在发生所述ARP泛洪攻击时,向网络管理员发送邮件。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,监控至少一个虚拟局域网中每个虚拟局域网对应的网络端口,包括:
当所述虚拟局域网包括多个时,采用多线程技术同时监控多个所述虚拟局域网各自对应的网络端口。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,所述处理指令包括关机指令,根据以下过程确定所述ARP攻击类型:
按照预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系,比较所述ARP协议的源MAC地址与所述源IP地址是否匹配,若否,确定发生ARP欺骗;
所述执行与该ARP攻击类型对应的处理指令,包括:
确定发生ARP欺骗时,根据所述数据链层MAC地址、以及预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系,确定与所述数据链层MAC地址对应的网络层IP地址;
根据所述关机指令,关闭与所述网络层IP地址对应的虚拟主机。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,所述处理指令包括发送邮件指令,根据以下过程确定所述ARP攻击类型:
若所述源MAC地址与所述源IP地址匹配,但是所述数据链层MAC地址与所述源MAC地址不匹配,则确定发生ARP普通攻击;
所述执行与该ARP攻击类型对应的处理指令,包括:
根据所述发送邮件指令,向网络管理员的邮箱发送邮件。
第二方面,本发明实施例提供了一种地址解析协议攻击的处理装置,包括:
监控模块,用于监控至少一个虚拟局域网中每个虚拟局域网对应的网络端口,每个虚拟局域网中包括至少一个虚拟主机;
提取模块,用于实时获取每个虚拟主机通过所述网络端口发出的地址解析协议ARP数据包,提取所述ARP数据包中的数据链层媒体访问控制MAC地址、源MAC地址以及源IP地址;
确定模块,用于根据所述数据链层MAC地址、所述源MAC地址、所述源IP地址,以及预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系,确定ARP攻击类型;
执行模块,用于根据确定的所述ARP攻击类型,以及预设的ARP攻击类型与处理指令的映射关系,确定并执行与该ARP攻击类型对应的处理指令。
结合第二方面,本发明实施例提供了第二方面的第一种可能的实施方式,
所述监控模块,还用于监控至少一个虚拟局域网中每个虚拟局域网对应的网络端口发送的ARP数据包个数;
所述确定模块,还用于判断所述ARP数据包个数是否超过预设阈值,若是,则确定发生ARP泛洪攻击;
所述执行模块,还用于在发生所述ARP泛洪攻击时,向网络管理员发送邮件。
结合第二方面,本发明实施例提供了第二方面的第二种可能的实施方式,
所述监控模块,具体用于当所述虚拟局域网包括多个时,采用多线程技术同时监控多个所述虚拟局域网各自对应的网络端口。
结合第二方面,本发明实施例提供第二方面的第三种可能的实施方式,所述处理指令包括关机指令,
所述确定模块,具体用于按照预存的每一个虚拟主机的数据链层MAC地址与网络层IP地址的映射关系库,比较所述ARP协议的源MAC地址与所述源IP地址是否匹配,若否,确定发生ARP欺骗;
所述执行模块,具体用于确定发生ARP欺骗时,根据所述数据链层MAC地址、以及预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系,确定与所述数据链层MAC地址对应的网络层IP地址;根据所述关机指令,关闭与所述网络层IP地址对应的虚拟主机。
结合第二方面,本发明实施例提供了第二方面的第四种可能的实施方式,所述处理指令包括发送邮件指令,
所述确定模块,具体用于若ARP协议中的源MAC地址与所述源IP地址匹配,但是所述数据链层MAC地址与所述源MAC地址不匹配,则确定发生ARP普通攻击;
所述执行模块,具体用于根据所述发送邮件指令,向网络管理员的邮箱发送邮件。
本发明实施例提供的一种地址解析协议攻击的处理方法及装置,与现有技术中相比,其通过监控至少一个虚拟局域网中每个虚拟局域网对应的网络端口,获取该虚拟局域网中每个虚拟主机发出的ARP数据包,提取该ARP数据包中的数据链层MAC地址、源MAC地址以及源IP地址,并根据数据链层MAC地址、源MAC地址以及源IP地址,以及预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系确定ARP攻击类型,并能够根据ARP攻击类型,选择对应的处理方法,以便在发生ARP攻击时,能够及时发现并处理,而不是当发现多个虚拟主机发生问题后,再去寻找问题,然后再解决,大大缩短了从发现ARP攻击到进行解决的时间。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本发明实施例所提供的一种地址解析协议攻击的处理方法流程图;
图2示出了本发明实施例所提供的另一种地址解析协议攻击的处理方法流程图;
图3示出了本发明实施例所提供的一种地址解析协议攻击的处理方法的具体实施例流程图;
图4示出了本发明实施例所提供的一种地址解析协议攻击的处理装置结构示意图。
图标:401-监控模块;402-提取模块;403-确定模块;404-执行模块。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
本发明实施例1提供了一种地址解析攻击的处理方法,其流程如图1所示,步骤如下所示:
S100,监控至少一个虚拟局域网中每个虚拟局域网对应的网络端口,每个虚拟局域网中包括至少一个虚拟主机。
一种较佳的实施方式,在本发明实施例1提出的技术方案中,当虚拟局域网包括多个时,采用多线程技术同时监控多个虚拟局域网各自对应的网络端口。
其中,多线程技术是指能够同时监控多个待监控的网络端口,现有技术中,一般只有单接口的监控,本发明采用多线程技术同时监控多个虚拟局域网各自的网络端口,加快了处理速度。
S110,实时获取每个虚拟主机通过网络端口发出的地址解析协议ARP数据包,提取ARP数据包中的数据链层媒体访问控制MAC地址、源MAC地址以及源IP地址。
步骤S110其实就是对各个虚拟局域网的网络端口发出的ARP数据包进行抓包处理,然后抓包后解析该ARP数据包,获得ARP数据包中的数据链层MAC地址、源MAC地址以及源IP地址。其中,数据链层MAC地址是监控到的虚拟主机对应的真实MAC地址,源MAC地址以及源IP地址则是ARP协议层中的地址,且源MAC地址以及源IP地址均可以造假。
S120,根据数据链层MAC地址、源MAC地址、源IP地址,以及预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系,确定ARP攻击类型。
其中,ARP攻击类型包括ARP欺骗和普通欺骗。
S130,根据确定的ARP攻击类型,以及预设的ARP攻击类型与处理指令的映射关系,确定并执行与该ARP攻击类型对应的处理指令。
一种较佳的实施方式,在本发明实施例1提出的技术方案中,其中,步骤S130中的处理指令包括关机指令,在步骤S120中具体可以根据以下过程确定ARP攻击类型:
按照预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系,比较ARP协议的源MAC地址与源IP地址是否匹配,若否,确定发生ARP欺骗。
在步骤S120中,预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系是指预先保存的一个MAC地址和IP地址的对应关系,可以是一张对应关系表,在该表中预存着所有虚拟主机的MAC地址与IP地址,根据抓包结果和该对应关系表就可以判断出是否发生ARP攻击以及攻击的类型。
比如,抓包结果显示,虚拟主机A的源MAC地址是:AA-AA-AA-AA-AA-AA,源IP地址是:192.168.10.1,但是在预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系中,MAC地址为:BB-BB-BB-BB-BB-BB与IP地址为:192.168.10.1是对应关系,则可以确定发生了ARP欺骗类型的ARP攻击。
在步骤S130中,确定发生ARP欺骗时,根据数据链层MAC地址、以及预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系,确定与数据链层MAC地址对应的网络层IP地址;根据关机指令,关闭与网络层IP地址对应的虚拟主机。
当同时对多个虚拟主机的网络端口发送的ARP数据包进行抓包时,且判断出发送了ARP欺骗时,首先会先确定到底是哪个虚拟主机进行的攻击,因为在抓包获得的ARP数据包中,可以解析出每个虚拟主机的数据链层的MAC地址,根据该数据链层MAC地址和预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系,可以找到与数据链层MAC地址对应的网络层IP地址,则找到了进行攻击的虚拟主机的IP地址。
其中,预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系可以是交换机中的ARP缓存表。
当找到进行攻击的虚拟主机的IP地址时,可以调用该虚拟主机的关机API(Application Programming Interface,应用程序编程接口),直接关闭进行攻击的虚拟主机。
此外,在确定发生ARP欺骗时,除了关闭掉进行攻击的虚拟主机外,还可以向管理员发送邮件。
一种较佳的实施方式,在本发明实施例1提出的技术方案中,其中,步骤S130中,处理指令包括发送邮件指令,在步骤S120中具体可以根据以下过程确定ARP攻击类型:
若源MAC地址与源IP地址匹配,但是数据链层MAC地址与源MAC地址不匹配,则确定发生ARP普通攻击。
比如,抓包结果显示,虚拟主机A的源MAC地址是:CC-CC-CC-CC-CC-CC,源IP地址是:192.168.10.1,但是在预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系中,MAC地址为:CC-CC-CC-CC-CC-CC与IP地址为:192.168.10.1是对应关系,但是抓取的ARP数据包中的数据链层的MAC地址为:AA-AA-AA-AA-AA-AA,该数据链层的MAC地址与源MAC地址并不匹配,则可以确定发生了ARP欺骗类型的ARP攻击。
在步骤S130中,当确认发生ARP普通攻击时,根据发送邮件指令,向网络管理员的邮箱发送邮件。
其中,ARP数据包可以是ARP请求的广播包或者ARP应答的广播包,与ARP攻击的主体有关,下面以几种情况进行详细说明:
当获取到的ARP数据包为某一个虚拟主机发送的ARP请求的广播包时,比如监控到一个虚拟主机A正在发射ARP广播包,若其自身的网络层IP地址为:192.168.10.2,自身的数据链层MAC地址为:AA-AA-AA-AA-AA-AA,但是它发送的ARP广播包中的源IP地址为网关的地址:192.168.1.1,源MAC地址为:DD-DD-DD-DD-DD-DD,而DD-DD-DD-DD-DD-DD其实为虚拟主机D自身的数据链层MAC地址,可见虚拟主机A正在进行ARP欺骗,盗用网关的地址在发送ARP广播包,这样其他的虚拟主机接收到该ARP广播包时,就会把网关的IP地址保存为:192.168.1.1,网关的MAC地址保存为:DD-DD-DD-DD-DD-DD,之后与网关进行通信时,就用该错误的地址,这个错误的地址根本不能连接到网关,造成的后果就是其他所有虚拟主机无法连接到网关,即掉线。
当获取到的ARP数据包为某一个虚拟主机发送的ARP应答的广播包时,比如监控到一个虚拟主机A正在发射ARP应答的广播包时,其自身的网络层IP地址为:192.168.10.2,自身的数据链层MAC地址为:AA-AA-AA-AA-AA-AA,但是它发送的广播包中的源IP地址为网关的地址:192.168.1.1,数据链层MAC地址为自己的MAC:AA-AA-AA-AA-AA-AA。此时,虚拟主机B就将AA-AA-AA-AA-AA-AA保存作为网关的地址,之后,当虚拟主机B和其他虚拟主机需要连接网关时,发现连不到网关了,即掉线了。
处理上述两种ARP攻击类型外,还有另外一种ARP攻击类型,一种较佳的实施方式,在本发明实施例1提出的技术方案中,如图2所示,具体步骤如下:
S200,监控至少一个虚拟局域网中每个虚拟局域网对应的网络端口发送的ARP数据包个数。
S210,判断ARP数据包个数是否超过预设阈值,若是则确定发生ARP泛洪攻击。
比如,正常情况下,一个虚拟主机是每秒发送50个ARP数据包,而预设阈值是1000个,假如监控到某个虚拟主机每秒发送了10000个ARP数据包,该10000个ARP数据包远远超过了预设阈值1000个,则说明发生了ARP泛洪攻击。
ARP泛洪攻击严重占用网络资源,严重时会使得网络堵塞,使得正常用户无法连接网络。
S220,在发生ARP泛洪攻击时,向网络管理员发送邮件。
对于以上三种情况的ARP攻击类型,为了总结性表述,下面以一个具体流程图进行阐述,如图3所示,从300开始:
300,抓包。抓包之后可以执行307或者执行301。
301,提取分析,解析各个ARP数据包,获取到每个ARP数据包中的数据链层MAC地址、源MAC地址和源IP地址,之后执行302。
302,确定类型。对各个ARP数据包中的数据链层MAC地址、源MAC地址和源IP地址以及预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系,确定ARP攻击类型,根据确定的ARP攻击类型执行303或者304。
303,当确定的ARP攻击类型为ARP欺骗时,执行305的处理。
304,当确定的ARP攻击类型为ARP普通欺骗时,执行306的处理。
307,检验个数。即检验单位时间内ARP数据包的个数,之后执行308。
308,是否超过阈值,即检验单位时间内ARP数据包的个数超过预设阈值,若是,则为309,确认发生了ARP泛洪攻击,之后执行310的处理。
实施例2
本发明实施例2提供了一种地址解析协议攻击的处理装置,如图4所示,包括:监控模块401、提取模块402、确定模块403和执行模块404。
其中,监控模块401,用于监控至少一个虚拟局域网中每个虚拟局域网对应的网络端口,每个虚拟局域网中包括至少一个虚拟主机。
监控模块401,具体用于当虚拟局域去网包括多个时,采用多线程技术同时监控多个虚拟局域网各自对应的网络端口。
提取模块402,用于实时获取每个虚拟主机通过网络端口发出的地址解析协议ARP数据包,提取ARP数据包中的数据链层媒体访问控制MAC地址、源MAC地址以及源IP地址。
确定模块403,用于根据数据链层MAC地址、源MAC地址、源IP地址,以及预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系,确定ARP攻击类型。
确定模块403,具体用于按照预存的每一个虚拟主机的数据链层MAC地址与网络层IP地址的映射关系库,比较ARP协议的源MAC地址与源IP地址是否匹配,若否,确定发生ARP欺骗。
确定模块403,具体用于若ARP协议中的源MAC地址与所述源IP地址匹配,但是数据链层MAC地址与所述源MAC地址不匹配,则确定发生ARP普通攻击。
执行模块404,,用于根据确定的ARP攻击类型,以及预设的ARP攻击类型与处理指令的映射关系,确定并执行与该ARP攻击类型对应的处理指令。
执行模块404,具体用于确定发生ARP欺骗时,根据数据链层MAC地址、以及预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系,确定与数据链层MAC地址对应的网络层IP地址;根据关机指令,关闭与网络层IP地址对应的虚拟主机。
此外,执行模块404,在确定发生ARP欺骗时,关闭与网络层IP地址对应的虚拟主机后,也可以向网络管理员发送邮件。
执行模块,具体用于根据发送邮件指令,向网络管理员的邮箱发送邮件。
此外,一种较佳的实施方式,在本发明实施例1提出的技术方案中,
监控模块401,还用于监控至少一个虚拟局域网中每个虚拟局域网对应的网络接口发送的ARP数据包个数。
确定模块403,还用于判断ARP数据包个数是否超过预设阈值,若是,则确定发生ARP泛洪攻击。
执行模块404,还用于在发生ARP泛洪攻击时,向网络管理员发送邮件。
本发明实施例提供的一种地址解析协议攻击的处理方法及装置,与现有技术中相比,其能够自动确认发生的ARP攻击类型,并能够根据确定出的ARP攻击类型进行对应的处理。
本发明实施例所提供的进行一种地址解析协议攻击的处理方法的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
本发明实施例提供的一种地址解析协议攻击的处理方法及装置,与现有技术中相比,其通过监控至少一个虚拟局域网中每个虚拟局域网对应的网络端口,获取该虚拟局域网中每个虚拟主机发出的ARP数据包,提取该ARP数据包中的数据链层MAC地址、源MAC地址以及源IP地址,并根据数据链层MAC地址、源MAC地址以及源IP地址,以及预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系确定ARP攻击类型,并能够根据ARP攻击类型,选择对应的处理方法,以便在发生ARP攻击时,能够及时发现并处理,而不是当发现多个虚拟主机发生问题后,再去寻找问题,然后再解决,大大缩短了从发现ARP攻击到进行解决的时间。
在本发明所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明提供的实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释,此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围。都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种地址解析协议攻击的处理方法,其特征在于,包括:
监控至少一个虚拟局域网中每个虚拟局域网对应的网络端口,每个虚拟局域网中包括至少一个虚拟主机;
实时获取每个虚拟主机通过所述网络端口发出的地址解析协议ARP数据包,提取ARP数据包中的数据链层媒体访问控制MAC地址、源MAC地址以及源IP地址;
根据所述数据链层MAC地址、所述源MAC地址、所述源IP地址,以及预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系,确定ARP攻击类型;
根据确定的所述ARP攻击类型,以及预设的ARP攻击类型与处理指令的映射关系,确定并执行与该ARP攻击类型对应的处理指令。
2.根据权利要求1所述的地址解析协议攻击的处理方法,其特征在于,所述方法还包括:
监控至少一个虚拟局域网中每个虚拟局域网对应的网络端口发送的ARP数据包个数;
判断所述ARP数据包个数是否超过预设阈值,若是,则确定发生ARP泛洪攻击;
在发生所述ARP泛洪攻击时,向网络管理员发送邮件。
3.根据权利要求1所述的地址解析协议攻击的处理方法,其特征在于,监控至少一个虚拟局域网中每个虚拟局域网对应的网络端口,包括:
当所述虚拟局域网包括多个时,采用多线程技术同时监控多个所述虚拟局域网各自对应的网络端口。
4.根据权利要求1所述的地址解析协议攻击的处理方法,其特征在于,所述处理指令包括关机指令,根据以下过程确定所述ARP攻击类型:
按照预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系,比较所述ARP协议的源MAC地址与所述源IP地址是否匹配,若否,确定发生ARP欺骗;
所述执行与该ARP攻击类型对应的处理指令,包括:
确定发生ARP欺骗时,根据所述数据链层MAC地址、以及预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系,确定与所述数据链层MAC地址对应的网络层IP地址;
根据所述关机指令,关闭与所述网络层IP地址对应的虚拟主机。
5.根据权利要求1所述的地址解析协议攻击的处理方法,其特征在于,所述处理指令包括发送邮件指令,根据以下过程确定所述ARP攻击类型:
若所述源MAC地址与所述源IP地址匹配,但是所述数据链层MAC地址与所述源MAC地址不匹配,则确定发生ARP普通攻击;
所述执行与该ARP攻击类型对应的处理指令,包括:
根据所述发送邮件指令,向网络管理员的邮箱发送邮件。
6.一种地址解析协议攻击的处理装置,其特征在于,包括:
监控模块,用于监控至少一个虚拟局域网中每个虚拟局域网对应的网络端口,每个虚拟局域网中包括至少一个虚拟主机;
提取模块,用于实时获取每个虚拟主机通过所述网络端口发出的地址解析协议ARP数据包,提取所述ARP数据包中的数据链层媒体访问控制MAC地址、源MAC地址以及源IP地址;
确定模块,用于根据所述数据链层MAC地址、所述源MAC地址、所述源IP地址,以及预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系,确定ARP攻击类型;
执行模块,用于根据确定的所述ARP攻击类型,以及预设的ARP攻击类型与处理指令的映射关系,确定并执行与该ARP攻击类型对应的处理指令。
7.根据权利要求6所述的地址解析协议攻击的处理装置,其特征在于,
所述监控模块,还用于监控至少一个虚拟局域网中每个虚拟局域网对应的网络端口发送的ARP数据包个数;
所述确定模块,还用于判断所述ARP数据包个数是否超过预设阈值,若是,则确定发生ARP泛洪攻击;
所述执行模块,还用于在发生所述ARP泛洪攻击时,向网络管理员发送邮件。
8.根据权利要求6所述的地址解析协议攻击的处理装置,其特征在于,
所述监控模块,具体用于当所述虚拟局域网包括多个时,采用多线程技术同时监控多个所述虚拟局域网各自对应的网络端口。
9.根据权利要求6所述的地址解析协议攻击的处理装置,其特征在于,所述处理指令包括关机指令,
所述确定模块,具体用于按照预存的每一个虚拟主机的数据链层MAC地址与网络层IP地址的映射关系库,比较所述ARP协议的源MAC地址与所述源IP地址是否匹配,若否,确定发生ARP欺骗;
所述执行模块,具体用于确定发生ARP欺骗时,根据所述数据链层MAC地址、以及预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系,确定与所述数据链层MAC地址对应的网络层IP地址;根据所述关机指令,关闭与所述网络层IP地址对应的虚拟主机。
10.根据权利要求6所述的地址解析协议攻击的处理装置,其特征在于,所述处理指令包括发送邮件指令,
所述确定模块,具体用于若ARP协议中的源MAC地址与所述源IP地址匹配,但是所述数据链层MAC地址与所述源MAC地址不匹配,则确定发生ARP普通攻击;
所述执行模块,具体用于根据所述发送邮件指令,向网络管理员的邮箱发送邮件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710700251.4A CN107295020A (zh) | 2017-08-16 | 2017-08-16 | 一种地址解析协议攻击的处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710700251.4A CN107295020A (zh) | 2017-08-16 | 2017-08-16 | 一种地址解析协议攻击的处理方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107295020A true CN107295020A (zh) | 2017-10-24 |
Family
ID=60106257
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710700251.4A Pending CN107295020A (zh) | 2017-08-16 | 2017-08-16 | 一种地址解析协议攻击的处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107295020A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112583817A (zh) * | 2020-12-07 | 2021-03-30 | 北京威努特技术有限公司 | 网络震荡监测与预警方法、装置和介质 |
| EP3886386A4 (en) * | 2018-12-24 | 2022-01-26 | Huawei Technologies Co., Ltd. | METHOD, NODES AND SYSTEM FOR TRANSMITTING DATA OR MESSAGES |
Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040071164A1 (en) * | 2002-01-08 | 2004-04-15 | Baum Robert T. | Methods and apparatus for protecting against IP address assignments based on a false MAC address |
| CN101119371A (zh) * | 2007-08-28 | 2008-02-06 | 杭州华三通信技术有限公司 | 防范利用arp进行网络攻击的方法、客户端、服务器及系统 |
| CN101193116A (zh) * | 2007-07-09 | 2008-06-04 | 福建星网锐捷网络有限公司 | 一种联动对抗地址解析协议攻击的方法、系统及路由器 |
| CN101494536A (zh) * | 2009-02-20 | 2009-07-29 | 华为技术有限公司 | 一种防arp攻击的方法、装置和系统 |
| CN101635713A (zh) * | 2009-06-09 | 2010-01-27 | 北京安天电子设备有限公司 | 一种防止局域网arp欺骗攻击的方法及系统 |
| US7870603B2 (en) * | 2002-10-25 | 2011-01-11 | Cisco Technology, Inc. | Method and apparatus for automatic filter generation and maintenance |
| WO2012108687A2 (en) * | 2011-02-08 | 2012-08-16 | Ahnlab., Inc. | Method of detecting arp spoofing attacks using arp locking and computer-readable recording medium storing program for executing the method |
| CN103051597A (zh) * | 2011-10-14 | 2013-04-17 | 国家纳米技术与工程研究院 | 一种在交换机上实现arp欺骗检测的方法 |
| CN103701818A (zh) * | 2013-12-30 | 2014-04-02 | 福建三元达通讯股份有限公司 | 无线控制器系统arp攻击集中检测及防御方法 |
| US8804729B1 (en) * | 2006-02-16 | 2014-08-12 | Marvell Israel (M.I.S.L.) Ltd. | IPv4, IPv6, and ARP spoofing protection method |
| CN104219241A (zh) * | 2014-09-04 | 2014-12-17 | 国云科技股份有限公司 | 一种适用于虚拟机的arp攻击双向防护方法 |
| CN104427004A (zh) * | 2013-08-19 | 2015-03-18 | 北京怀教网络技术服务有限公司 | 一种基于网络设备的arp报文管理方法 |
| CN104853001A (zh) * | 2015-04-21 | 2015-08-19 | 杭州华三通信技术有限公司 | 一种arp报文的处理方法和设备 |
| CN105262738A (zh) * | 2015-09-24 | 2016-01-20 | 上海斐讯数据通信技术有限公司 | 一种路由器及其防arp攻击的方法 |
| CN106888217A (zh) * | 2017-03-27 | 2017-06-23 | 上海斐讯数据通信技术有限公司 | 一种针对arp攻击的管控方法及系统 |
| CN106982234A (zh) * | 2017-05-26 | 2017-07-25 | 杭州迪普科技股份有限公司 | 一种arp攻击防御方法及装置 |
-
2017
- 2017-08-16 CN CN201710700251.4A patent/CN107295020A/zh active Pending
Patent Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7844814B2 (en) * | 2002-01-08 | 2010-11-30 | Verizon Services Corp. | Methods and apparatus for protecting against IP address assignments based on a false MAC address |
| US20040071164A1 (en) * | 2002-01-08 | 2004-04-15 | Baum Robert T. | Methods and apparatus for protecting against IP address assignments based on a false MAC address |
| US7870603B2 (en) * | 2002-10-25 | 2011-01-11 | Cisco Technology, Inc. | Method and apparatus for automatic filter generation and maintenance |
| US8804729B1 (en) * | 2006-02-16 | 2014-08-12 | Marvell Israel (M.I.S.L.) Ltd. | IPv4, IPv6, and ARP spoofing protection method |
| CN101193116A (zh) * | 2007-07-09 | 2008-06-04 | 福建星网锐捷网络有限公司 | 一种联动对抗地址解析协议攻击的方法、系统及路由器 |
| CN101119371A (zh) * | 2007-08-28 | 2008-02-06 | 杭州华三通信技术有限公司 | 防范利用arp进行网络攻击的方法、客户端、服务器及系统 |
| CN101494536A (zh) * | 2009-02-20 | 2009-07-29 | 华为技术有限公司 | 一种防arp攻击的方法、装置和系统 |
| CN101635713A (zh) * | 2009-06-09 | 2010-01-27 | 北京安天电子设备有限公司 | 一种防止局域网arp欺骗攻击的方法及系统 |
| WO2012108687A2 (en) * | 2011-02-08 | 2012-08-16 | Ahnlab., Inc. | Method of detecting arp spoofing attacks using arp locking and computer-readable recording medium storing program for executing the method |
| CN103051597A (zh) * | 2011-10-14 | 2013-04-17 | 国家纳米技术与工程研究院 | 一种在交换机上实现arp欺骗检测的方法 |
| CN104427004A (zh) * | 2013-08-19 | 2015-03-18 | 北京怀教网络技术服务有限公司 | 一种基于网络设备的arp报文管理方法 |
| CN103701818A (zh) * | 2013-12-30 | 2014-04-02 | 福建三元达通讯股份有限公司 | 无线控制器系统arp攻击集中检测及防御方法 |
| CN104219241A (zh) * | 2014-09-04 | 2014-12-17 | 国云科技股份有限公司 | 一种适用于虚拟机的arp攻击双向防护方法 |
| CN104853001A (zh) * | 2015-04-21 | 2015-08-19 | 杭州华三通信技术有限公司 | 一种arp报文的处理方法和设备 |
| CN105262738A (zh) * | 2015-09-24 | 2016-01-20 | 上海斐讯数据通信技术有限公司 | 一种路由器及其防arp攻击的方法 |
| CN106888217A (zh) * | 2017-03-27 | 2017-06-23 | 上海斐讯数据通信技术有限公司 | 一种针对arp攻击的管控方法及系统 |
| CN106982234A (zh) * | 2017-05-26 | 2017-07-25 | 杭州迪普科技股份有限公司 | 一种arp攻击防御方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3886386A4 (en) * | 2018-12-24 | 2022-01-26 | Huawei Technologies Co., Ltd. | METHOD, NODES AND SYSTEM FOR TRANSMITTING DATA OR MESSAGES |
| CN112583817A (zh) * | 2020-12-07 | 2021-03-30 | 北京威努特技术有限公司 | 网络震荡监测与预警方法、装置和介质 |
| CN112583817B (zh) * | 2020-12-07 | 2023-04-28 | 北京威努特技术有限公司 | 网络震荡监测与预警方法、装置和介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105262738B (zh) | 一种路由器及其防arp攻击的方法 | |
| CN105516080B (zh) | Tcp连接的处理方法、装置及系统 | |
| US8200798B2 (en) | Address security in a routed access network | |
| US7440415B2 (en) | Virtual network addresses | |
| US7860029B2 (en) | Subscriber line accommodation device and packet filtering method | |
| CN100563149C (zh) | 一种dhcp监听方法及其装置 | |
| CN103609089B (zh) | 一种防止附连到子网的主机上拒绝服务攻击的方法及装置 | |
| CN106982234A (zh) | 一种arp攻击防御方法及装置 | |
| CN104883360B (zh) | 一种arp欺骗的细粒度检测方法及系统 | |
| CN104901953B (zh) | 一种arp欺骗的分布式检测方法及系统 | |
| CN107995321A (zh) | 一种vpn客户端代理dns的方法及装置 | |
| JP2001057554A (ja) | クラッカー監視システム | |
| CN105656765A (zh) | 一种基于深度内容解析的smtp协议数据防外泄方法及系统 | |
| CN107528712A (zh) | 访问权限的确定、页面的访问方法及装置 | |
| EP3230886B1 (en) | Operating system fingerprint detection | |
| CN104283716B (zh) | 数据传输方法、设备及系统 | |
| CN107295020A (zh) | 一种地址解析协议攻击的处理方法及装置 | |
| CN106209837A (zh) | Arp欺骗检测方法及系统 | |
| CN107911496A (zh) | 一种vpn服务端代理dns的方法及装置 | |
| CN107690004A (zh) | 地址解析协议报文的处理方法及装置 | |
| US8874743B1 (en) | Systems and methods for implementing dynamic subscriber interfaces | |
| CN107277073A (zh) | 一种网络监控方法及装置 | |
| CN106685861B (zh) | 一种软件定义网络系统及其报文转发控制方法 | |
| CN104836700A (zh) | 基于ipid和概率统计模型的nat主机个数检测方法 | |
| CN107493282A (zh) | 一种分布式攻击的处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171024 |
|
| RJ01 | Rejection of invention patent application after publication |