CN108391269B - 一种无线局域网中防止攻击ap设备的方法 - Google Patents
一种无线局域网中防止攻击ap设备的方法 Download PDFInfo
- Publication number
- CN108391269B CN108391269B CN201810164511.5A CN201810164511A CN108391269B CN 108391269 B CN108391269 B CN 108391269B CN 201810164511 A CN201810164511 A CN 201810164511A CN 108391269 B CN108391269 B CN 108391269B
- Authority
- CN
- China
- Prior art keywords
- equipment
- mac
- wireless access
- access controller
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种无线局域网中防止攻击AP设备的方法,包括:AP设备与局域网交换机LSW连接并发送链路层发现协议LLDP到局域网交换机LSW中,局域网交换机LSW生成该AP设备的第一静态MAC表项,数据控制平台生成AP设备的第一流表和第一数据源;AP设备与无线接入控制器AC建立连接,无线接入控制器AC生成该AP设备的静态ARP表项和第二静态MAC表项,数据控制平台生成AP设备的第二流表和第二数据源;局域网交换机LSW将接收到的MAC报文与第一静态MAC表项进行匹配,数据控制平台将MAC报文与AP设备的第一流表进行匹配。本发明有效的防止攻击用户劫持互联网发送给AP设备下面的无线终端的流量。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种无线局域网中防止攻击AP设备的方法。
背景技术
随着无线网络技术的发展,无线攻击检测及防御机制已经成为无线网络技术中的重点。常见的攻击用户有2种攻击方式,一种攻击方式为:AP设备连接AC设备的一个端口,当网络中存在攻击用户时,攻击用户从AC设备的另一个端口发送仿冒ARP报文攻击,仿冒的ARP报文中的源MAC地址和源IP地址一般是AP设备的MAC地址和ARP地址,因此该ARP报文发送到AC设备以后,AC设备会刷新ARP表项,更改AP设备接入的端口,AC设备的ARP表项被刷新后,互联网发送给AP设备下面的无线终端的报文时,在AC设备上封装CAPWAP头,查询AC设备的ARP表项,发现ARP表项中的端口是攻击用户连接AC设备的端口,因此会将报文发送到攻击用户连接AC设备的端口,这样攻击者就成功的将互联网发送给AP设备的流量截获。另一种攻击方式为:当攻击用户在LSW设备的一个端口上仿冒AP设备的MAC地址,发送MAC报文或其它数据报文时,LSW设备会出现MAC漂移,MAC表项刷新,更改AP设备接入的端口,恶意的篡改AP流量的转发路径,互联网发送给AP设备下面无线用户的流量,在AC设备上封装CAPWAP隧道头后,发送给LSW设备,LSW设备查询设备的MAC表项,发现AP设备的MAC地址是学习在攻击用户接入的端口,因此会将报文发送到攻击用户接入的端口,这样攻击用户就劫持了互联网发送给AP设备下面的无线终端的流量。因此,目前急需一种可以解决上述技术问题的防攻击AP设备的方法。
发明内容
本发明所要解决的技术问题是针对上述现有技术的不足提供一种无线局域网中防止攻击AP设备的方法,本无线局域网中防止攻击AP设备的方法有效的防止攻击用户劫持互联网发送给AP设备下面的无线终端的流量。
为实现上述技术目的,本发明采取的技术方案为:
一种无线局域网中防止攻击AP设备的方法,应用于包括AP设备、局域网交换机LSW和无线接入控制器AC的系统中,所述方法包括以下步骤:
AP设备与局域网交换机LSW连接并发送链路层发现协议LLDP到局域网交换机LSW中,局域网交换机LSW识别下挂的设备,当识别的设备为AP设备时,局域网交换机LSW生成该AP设备的第一静态MAC表项,禁止局域网交换机LSW上的其他端口刷新所述第一静态MAC表项;局域网交换机LSW将第一静态MAC表项和AP设备的IP地址发送到数据控制平台,数据控制平台生成AP设备的第一流表和第一数据源;
AP设备与无线接入控制器AC建立连接,无线接入控制器AC生成该AP设备的静态ARP表项和第二静态MAC表项,禁止无线接入控制器AC的其他端口刷新该静态ARP表项和第二静态MAC表项;无线接入控制器AC将静态ARP表项和第二静态MAC表项发送到数据控制平台,数据控制平台生成AP设备的第二流表和第二数据源;
局域网交换机LSW接收到设备A发送的MAC报文时,局域网交换机LSW将MAC报文与第一静态MAC表项进行匹配,若匹配不成功,则局域网交换机LSW判断设备A为疑似仿冒AP设备,局域网交换机LSW将疑似仿冒AP设备发送的MAC报文发送到数据控制平台;
数据控制平台将MAC报文与AP设备的第一流表进行匹配,若匹配不成功,则判断疑似仿冒AP设备为真实仿冒AP设备,数据控制平台发送惩罚信号到局域网交换机LSW,局域网交换机LSW关闭设备A与局域网交换机LSW连接的端口;
无线接入控制器AC上接收到设备B发送的ARP报文时,无线接入控制器AC将ARP报文与静态ARP表项进行匹配,若匹配不成功,则无线接入控制器AC判断设备B为疑似仿冒AP设备,无线接入控制器AC将疑似仿冒AP设备发送的ARP报文发送到数据控制平台;
数据控制平台将ARP报文与AP设备的第二流表进行匹配,若匹配不成功,则判断疑似仿冒AP设备为真实仿冒AP设备,数据控制平台发送惩罚信号到无线接入控制器AC,无线接入控制器AC关闭设备B与无线接入控制器AC连接的端口。
作为本发明进一步改进的技术方案,所述的AP设备与无线接入控制器AC建立连接包括AP设备通过无线接入点的控制和配置协议CAPWAP与无线接入控制器AC建立连接。
作为本发明进一步改进的技术方案,所述的第一静态MAC表项包括AP设备的MAC地址和AP设备接入局域网交换机LSW的端口;所述的AP设备的第一流表包括AP设备的MAC地址、AP设备的IP地址和AP设备接入局域网交换机LSW的端口;所述的第一数据源包括局域网交换机LSW的位置。
作为本发明进一步改进的技术方案,所述的局域网交换机LSW的位置用于通过局域网交换机LSW的MAC地址进行识别。
作为本发明进一步改进的技术方案,所述的静态ARP表项包括AP设备的IP地址、AP设备的MAC地址和AP设备接入无线接入控制器AC的端口,所述的第二静态MAC表项包括AP设备的MAC地址和AP设备接入无线接入控制器AC的端口,所述的AP设备的第二流表包括AP设备的MAC地址、AP设备的IP地址和AP设备接入无线接入控制器AC的端口,所述第二数据源包括无线接入控制器AC的位置。
作为本发明进一步改进的技术方案,所述的无线接入控制器AC的位置用于通过无线接入控制器AC的MAC地址进行识别。
作为本发明进一步改进的技术方案,所述的局域网交换机LSW将MAC报文与第一静态MAC表项进行匹配具体包括:将MAC报文中的MAC地址与第一静态MAC表项中的MAC地址进行匹配,将MAC报文中的设备A接入局域网交换机LSW的端口和第一静态MAC表项中的 AP设备接入局域网交换机LSW的端口进行匹配,如果MAC地址和端口两者中至少有一者匹配不成功,则判断MAC报文与第一静态MAC表项匹配不成功。
作为本发明进一步改进的技术方案,所述的数据控制平台将MAC报文与AP设备的第一流表进行匹配具体包括:将MAC报文中的IP地址与AP设备的第一流表中的IP地址进行匹配,将MAC报文中的MAC地址与AP设备的第一流表中的MAC地址进行匹配,将MAC报文中的设备A接入局域网交换机LSW的端口和AP设备的第一流表中的AP设备接入局域网交换机LSW的端口进行匹配,如果IP地址、MAC报文和端口三者中至少有一个匹配不成功,则判断MAC报文与AP设备的第一流表匹配不成功。
作为本发明进一步改进的技术方案,所述的无线接入控制器AC将ARP报文与静态ARP表项进行匹配具体包括:将ARP报文中的IP地址与静态ARP表项中的IP地址进行匹配,将ARP报文中的MAC地址与静态ARP表项中的MAC地址进行匹配,将ARP报文中的设备B与无线接入控制器AC连接的端口与静态ARP表项中的AP设备接入无线接入控制器AC的端口进行匹配,如果IP地址、MAC报文和端口三者中至少有一个匹配不成功,则判断ARP报文与静态ARP表项匹配不成功。
作为本发明进一步改进的技术方案,所述的数据控制平台将ARP报文与AP设备的第二流表进行匹配具体包括:将ARP报文中的IP地址与AP设备的第二流表中的IP地址进行匹配,将ARP报文中的MAC地址与AP设备的第二流表中的MAC地址进行匹配,将ARP报文中的设备B与无线接入控制器AC连接的端口与AP设备的第二流表中的AP设备接入无线接入控制器AC的端口进行匹配,如果IP地址、MAC报文和端口三者中至少有一个匹配不成功,则判断ARP报文与AP设备的第二流表匹配不成功。
本发明的有益效果为:本发明既能防止攻击用户通过局域网交换机LSW进行攻击AP设备,避免攻击用户劫持互联网发送给AP设备下面的无线终端的流量;又能防止攻击用户通过无线接入控制器AC进行攻击AP设备,避免攻击用户劫持互联网发送给AP设备下面的无线终端的流量;本发明有效的防止更改AP设备接入的端口,防止恶意的篡改AP流量的转发路径。
附图说明
图1为本发明的结构示意图。
具体实施方式
下面根据图1对本发明的具体实施方式作出进一步说明:
参见图1,一种无线局域网中防止攻击AP设备的方法,应用于包括AP设备、局域网交换机LSW和无线接入控制器AC的系统中,本实施例中的AP设备包括2个,为AP1设备和AP2设备,其中AP1设备的IP地址为:192.168.1.2,AP1设备的MAC地址为:0000-0000-0002,AP2设备的IP地址为:192.168.1.3,AP2设备的MAC地址为:0000-0000-0003,所述方法包括以下步骤:
AP设备与局域网交换机LSW连接并发送链路层发现协议LLDP到局域网交换机LSW中,局域网交换机LSW识别下挂的设备,当识别的设备为AP设备时,局域网交换机LSW生成并下发该AP设备的第一静态MAC表项,禁止局域网交换机LSW上的其他端口刷新所述第一静态MAC表项,所述的第一静态MAC表项包括AP设备的MAC地址和AP设备接入局域网交换机LSW的端口,本实施例中的AP设备的MAC地址包括AP1设备的MAC地址:0000-0000-0002和AP2设备的MAC地址:0000-0000-0003,所述的AP设备接入局域网交换机LSW的端口包括AP1设备接入局域网交换机LSW的端口1和AP2设备接入局域网交换机LSW的端口2;局域网交换机LSW将第一静态MAC表项、AP1设备的IP地址和AP2设备的IP地址发送到数据控制平台,数据控制平台生成AP设备的第一流表和第一数据源;所述的AP设备的第一流表包括AP设备的MAC地址、AP设备的IP地址和AP设备接入局域网交换机LSW的端口,其中AP设备的IP地址包括AP1设备的IP地址和AP2设备的IP地址;所述的第一数据源包括局域网交换机LSW的位置,所述的局域网交换机LSW的位置是通过局域网交换机LSW的MAC地址标识的;
AP设备通过无线接入点的控制和配置协议CAPWAP与无线接入控制器AC建立连接,无线接入控制器AC生成该AP设备的静态ARP表项和第二静态MAC表项,禁止无线接入控制器AC的其他端口刷新该静态ARP表项和第二静态MAC表项,所述的静态ARP表项包括AP设备的IP地址、AP设备的MAC地址和AP设备接入无线接入控制器AC的端口,其中AP设备接入无线接入控制器AC的端口包括AP1设备接入无线接入控制器AC的端口1和AP2设备接入无线接入控制器AC的端口1,所述的第二静态MAC表项包括AP设备的MAC地址和AP设备接入无线接入控制器AC的端口;无线接入控制器AC将静态ARP表项和第二静态MAC表项发送到数据控制平台,数据控制平台生成AP设备的第二流表和第二数据源;所述的AP设备的第二流表包括AP设备的MAC地址、AP设备的IP地址和AP设备接入无线接入控制器AC的端口,所述第二数据源包括无线接入控制器AC的位置,所述的无线接入控制器AC的位置是通过无线接入控制器AC的MAC地址识别的;
局域网交换机LSW接收到某一设备A发送的MAC报文时,局域网交换机LSW将MAC报文与第一静态MAC表项进行一次匹配,若匹配不成功,则局域网交换机LSW判断设备A为疑似仿冒AP设备,局域网交换机LSW将疑似仿冒AP设备发送的MAC报文发送到数据控制平台;数据控制平台将MAC报文与AP设备的第一流表进行二次匹配,若仍然匹配不成功,则判断疑似仿冒AP设备为真实仿冒AP设备,数据控制平台发送惩罚信号到局域网交换机LSW,局域网交换机LSW关闭其与设备A连接的端口;因此本实施例中的第一静态MAC表项的建立和上述匹配方法防止了局域网交换机LSW出现MAC漂移,防止MAC表项被刷新,防止更改AP设备接入的端口,防止恶意的篡改AP流量的转发路径,因此攻击用户就不能劫持了互联网发送给AP设备下面的无线终端的流量;
无线接入控制器AC上接收到某一设备B发送的ARP报文时,无线接入控制器AC将ARP报文与静态ARP表项进行一次匹配,若匹配不成功,则无线接入控制器AC判断设备B为疑似仿冒AP设备,无线接入控制器AC将疑似仿冒AP设备发送的ARP报文发送到数据控制平台;数据控制平台将ARP报文与AP设备的第二流表进行二次匹配,若匹配不成功,则判断疑似仿冒AP设备为真实仿冒AP设备,数据控制平台发送惩罚信号到无线接入控制器AC,无线接入控制器AC关闭其与设备B连接的端口。因此本实施例中的静态ARP表项的建立和上述匹配方法防止了无线接入控制器AC刷新ARP表项,防止了更改AP设备接入AC的端口,防止恶意的篡改AP流量的转发路径,因此攻击用户就不能通过AC设备劫持了互联网发送给AP设备下面的无线终端的流量。
所述的局域网交换机LSW将MAC报文与第一静态MAC表项进行一次匹配具体包括:将MAC报文中的MAC地址(即设备A的MAC地址)与第一静态MAC表项中的MAC地址(即AP1设备和AP2设备的MAC地址)进行匹配,将MAC报文中的设备A接入局域网交换机LSW的端口和第一静态MAC表项中的 AP设备接入局域网交换机LSW的端口进行匹配,如果MAC地址和端口二者中至少有一者匹配不成功,则判断MAC报文与第一静态MAC表项匹配不成功。即如图1所示,假如设备A为真实仿冒AP1设备的IP地址和MAC地址的攻击用户,在匹配过程中,即使设备A的MAC地址与AP1设备的MAC地址匹配成功,但是由于设备A接入局域网交换机LSW的端口为端口3(如图1所示),与AP1设备接入局域网交换机LSW的端口1不一样,则判断设备A中的MAC报文与第一静态MAC表项匹配不成功,但是,为了防止第一次匹配过程出现误差,阻挡了真实的AP设备使用流量,因此需要经过数据控制平台进行二次匹配,所以还需要将设备A的MAC报文上报到数据控制平台。否则,如果设备A中的MAC报文与第一静态MAC表项匹配成功,则判断设备A为AP设备中的AP1设备,互联网通过局域网交换机LSW向AP1设备下的无线终端进行正常下发流量。
所述的数据控制平台将MAC报文与AP设备的第一流表进行二次匹配具体包括:将MAC报文中的IP地址(即设备A的IP地址)与AP设备的第一流表中的IP地址(即AP1设备和AP2设备的IP地址)进行匹配,将MAC报文中的MAC地址(即设备A的MAC地址)与AP设备的第一流表中的MAC地址(即AP1设备和AP2设备的MAC地址)进行匹配,将MAC报文中的设备A接入局域网交换机LSW的端口和AP设备的第一流表中的AP设备接入局域网交换机LSW的端口进行匹配,如果IP地址、MAC地址和端口三者中至少有一者匹配不成功,则判断MAC报文与AP设备的第一流表匹配不成功。即假如设备A为真实仿冒AP1设备的IP地址和MAC地址的攻击用户,在匹配过程中,设备A的IP地址和MAC地址与AP1设备的IP地址和MAC地址匹配成功,但是由于设备A接入局域网交换机LSW的端口为LSW的端口3(如图1所示),与AP1设备接入局域网交换机LSW的端口1不一样,则判断设备A中的MAC报文与AP设备的第一流表匹配不成功,二次匹配仍然不成功后,判断设备A为真实仿冒AP设备。则对真实仿冒AP设备(设备A)进行关闭端口操作。
所述的无线接入控制器AC将ARP报文与静态ARP表项进行一次匹配具体包括:将ARP报文中的IP地址(即设备B的IP地址)与静态ARP表项中的IP地址(即AP1设备和AP2设备的IP地址)进行匹配,将ARP报文中的MAC地址(即设备B的MAC地址)与静态ARP表项中的MAC地址(即AP1设备和AP2设备的MAC地址)进行匹配,将ARP报文中的设备B与无线接入控制器AC连接的端口和静态ARP表项中的AP设备接入无线接入控制器AC的端口进行匹配,如果IP地址、MAC地址和端口这三者中至少有一者匹配不成功,则判断ARP报文与静态ARP表项匹配不成功。即如图1所示,如果设备B为真实仿冒AP1设备的IP地址和MAC地址的攻击用户,在匹配过程中,即使设备B的IP地址和MAC地址与AP1设备的IP地址和MAC地址匹配成功,但是由于设备B接入无线接入控制器AC的端口为AC的端口2(如图1所示),与AP1设备接入无线接入控制器AC的端口1不一样,则判断来自设备B的ARP报文与静态ARP表项匹配不成功,但是,为了防止第一次匹配过程出现误差,阻挡了真实的AP设备使用流量,因此需要经过数据控制平台进行二次匹配,所以还需要将来自设备B的ARP报文上报到数据控制平台。否则,如果来自设备B的ARP报文与静态ARP表项匹配成功,则判断设备B为AP设备中的AP1设备,互联网通过无线接入控制器AC进行正常下发流量。匹配时,如果AP设备内包括多个设备,即AP1设备和AP2设备,那么只要有一个AP设备的IP地址(例如AP1设备的IP地址)与设备B的IP地址匹配成功,则认为IP地址匹配成功,如果IP地址匹配成功的AP设备的MAC地址与设备B的MAC地址匹配成功,则认为MAC地址匹配成功,如果MAC地址匹配成功的AP设备接入的端口与设备B接入的端口匹配成功,则认为端口匹配成功。为了防止第一次匹配过程出现误差,阻挡了真实的AP设备使用流量,因此需要经过数据控制平台进行二次匹配。
所述的数据控制平台将ARP报文与AP设备的第二流表进行二次匹配具体包括:将ARP报文中的IP地址(设备B的IP地址)与AP设备的第二流表中的IP地址(AP1设备和AP2设备的IP地址)进行匹配,将ARP报文中的MAC地址(设备B的MAC地址)与AP设备的第二流表中的MAC地址(AP1设备和AP2设备的MAC地址)进行匹配,将ARP报文中的设备B与无线接入控制器AC连接的端口和AP设备的第二流表中的AP设备与无线接入控制器AC连接的端口进行匹配,如果IP地址、MAC地址和端口这三者中至少有一者匹配不成功,则判断ARP报文与AP设备的第二流表匹配不成功。即如果设备B为真实仿冒AP1设备的IP地址和MAC地址的攻击用户,在匹配过程中,即使设备B的IP地址和MAC地址与AP1设备的IP地址和MAC地址匹配成功,但是由于设备B接入无线接入控制器AC的端口为AC的端口2(如图1所示),与AP1设备接入无线接入控制器AC的端口1不一样,则判断来自设备B的ARP报文与AP设备的第二流表匹配不成功,二次匹配如果仍然不成功,则判断设备B为真实仿冒AP设备。则对真实仿冒AP设备(设备B)进行关闭端口操作。
因此,本实施例中的AP设备内可以为一个AP设备,也可以为多个AP设备,不管设备A或设备B仿冒哪个AP设备的IP地址和MAC地址,只要设备A或设备B与仿冒的那个AP设备接入的端口不一样,就判断匹配不成功。
上述的数据控制平台的功能也可在AC、LSW本地完成,本地保存设备的合法的AP设备的第一流表和AP设备的第二流表,软件触发冲突检查时,匹配流表,若匹配不上,也可直接关闭攻击者所在端口。
本发明的保护范围包括但不限于以上实施方式,本发明的保护范围以权利要求书为准,任何对本技术做出的本领域的技术人员容易想到的替换、变形、改进均落入本发明的保护范围。
Claims (10)
1.一种无线局域网中防止攻击AP设备的方法,应用于包括AP设备、局域网交换机LSW和无线接入控制器AC的系统中,其特征在于:所述方法包括以下步骤:
AP设备与局域网交换机LSW连接并发送链路层发现协议LLDP到局域网交换机LSW中,局域网交换机LSW识别下挂的设备,当识别的设备为AP设备时,局域网交换机LSW生成该AP设备的第一静态MAC表项,所述的AP设备接入局域网交换机LSW的端口包括AP1设备接入局域网交换机LSW的端口1和AP2设备接入局域网交换机LSW的端口2;禁止局域网交换机LSW上的其他端口刷新所述第一静态MAC表项;局域网交换机LSW将第一静态MAC表项和AP设备的IP地址发送到数据控制平台,数据控制平台生成AP设备的第一流表和第一数据源;
AP设备与无线接入控制器AC建立连接,无线接入控制器AC生成该AP设备的静态ARP表项和第二静态MAC表项,其中AP设备接入无线接入控制器AC的端口包括AP1设备接入无线接入控制器AC的端口1和AP2设备接入无线接入控制器AC的端口1,禁止无线接入控制器AC的其他端口刷新该静态ARP表项和第二静态MAC表项;无线接入控制器AC将静态ARP表项和第二静态MAC表项发送到数据控制平台,数据控制平台生成AP设备的第二流表和第二数据源;
局域网交换机LSW接收到设备A发送的MAC报文时,局域网交换机LSW将MAC报文与第一静态MAC表项进行匹配,若匹配不成功,则局域网交换机LSW判断设备A为疑似仿冒AP设备,局域网交换机LSW将疑似仿冒AP设备发送的MAC报文发送到数据控制平台;
数据控制平台将MAC报文与AP设备的第一流表进行匹配,若匹配不成功,则判断疑似仿冒AP设备为真实仿冒AP设备,数据控制平台发送惩罚信号到局域网交换机LSW,局域网交换机LSW关闭设备A与局域网交换机LSW连接的端口;
无线接入控制器AC上接收到设备B发送的ARP报文时,无线接入控制器AC将ARP报文与静态ARP表项进行匹配,若匹配不成功,则无线接入控制器AC判断设备B为疑似仿冒AP设备,无线接入控制器AC将疑似仿冒AP设备发送的ARP报文发送到数据控制平台;
数据控制平台将ARP报文与AP设备的第二流表进行匹配,若匹配不成功,则判断疑似仿冒AP设备为真实仿冒AP设备,数据控制平台发送惩罚信号到无线接入控制器AC,无线接入控制器AC关闭设备B与无线接入控制器AC连接的端口。
2.根据权利要求1所述的无线局域网中防止攻击AP设备的方法,其特征在于:所述的AP设备与无线接入控制器AC建立连接包括AP设备通过无线接入点的控制和配置协议CAPWAP与无线接入控制器AC建立连接。
3.根据权利要求2所述的无线局域网中防止攻击AP设备的方法,其特征在于:所述的第一静态MAC表项包括AP设备的MAC地址和AP设备接入局域网交换机LSW的端口;所述的AP设备的第一流表包括AP设备的MAC地址、AP设备的IP地址和AP设备接入局域网交换机LSW的端口;所述的第一数据源包括局域网交换机LSW的位置。
4.根据权利要求3所述的无线局域网中防止攻击AP设备的方法,其特征在于:所述的局域网交换机LSW的位置用于通过局域网交换机LSW的MAC地址进行识别。
5.根据权利要求3所述的无线局域网中防止攻击AP设备的方法,其特征在于:所述的静态ARP表项包括AP设备的IP地址、AP设备的MAC地址和AP设备接入无线接入控制器AC的端口,所述的第二静态MAC表项包括AP设备的MAC地址和AP设备接入无线接入控制器AC的端口,所述的AP设备的第二流表包括AP设备的MAC地址、AP设备的IP地址和AP设备接入无线接入控制器AC的端口,所述第二数据源包括无线接入控制器AC的位置。
6.根据权利要求5所述的无线局域网中防止攻击AP设备的方法,其特征在于:所述的无线接入控制器AC的位置用于通过无线接入控制器AC的MAC地址进行识别。
7.根据权利要求5所述的无线局域网中防止攻击AP设备的方法,其特征在于:所述的局域网交换机LSW将MAC报文与第一静态MAC表项进行匹配具体包括:将MAC报文中的MAC地址与第一静态MAC表项中的MAC地址进行匹配,将MAC报文中的设备A接入局域网交换机LSW的端口和第一静态MAC表项中的AP设备接入局域网交换机LSW的端口进行匹配,如果MAC地址和端口两者中至少有一者匹配不成功,则判断MAC报文与第一静态MAC表项匹配不成功。
8.根据权利要求7所述的无线局域网中防止攻击AP设备的方法,其特征在于:所述的数据控制平台将MAC报文与AP设备的第一流表进行匹配具体包括:将MAC报文中的IP地址与AP设备的第一流表中的IP地址进行匹配,将MAC报文中的MAC地址与AP设备的第一流表中的MAC地址进行匹配,将MAC报文中的设备A接入局域网交换机LSW的端口和AP设备的第一流表中的AP设备接入局域网交换机LSW的端口进行匹配,如果IP地址、MAC报文和端口三者中至少有一者匹配不成功,则判断MAC报文与AP设备的第一流表匹配不成功。
9.根据权利要求8所述的无线局域网中防止攻击AP设备的方法,其特征在于:所述的无线接入控制器AC将ARP报文与静态ARP表项进行匹配具体包括:将ARP报文中的IP地址与静态ARP表项中的IP地址进行匹配,将ARP报文中的MAC地址与静态ARP表项中的MAC地址进行匹配,将ARP报文中的设备B与无线接入控制器AC连接的端口与静态ARP表项中的AP设备接入无线接入控制器AC的端口进行匹配,如果IP地址、MAC报文和端口三者中至少有一者匹配不成功,则判断ARP报文与静态ARP表项匹配不成功。
10.根据权利要求9所述的无线局域网中防止攻击AP设备的方法,其特征在于:所述的数据控制平台将ARP报文与AP设备的第二流表进行匹配具体包括:将ARP报文中的IP地址与AP设备的第二流表中的IP地址进行匹配,将ARP报文中的MAC地址与AP设备的第二流表中的MAC地址进行匹配,将ARP报文中的设备B与无线接入控制器AC连接的端口与AP设备的第二流表中的AP设备接入无线接入控制器AC的端口进行匹配,如果IP地址、MAC报文和端口三者中至少有一者匹配不成功,则判断ARP报文与AP设备的第二流表匹配不成功。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810164511.5A CN108391269B (zh) | 2018-02-28 | 2018-02-28 | 一种无线局域网中防止攻击ap设备的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810164511.5A CN108391269B (zh) | 2018-02-28 | 2018-02-28 | 一种无线局域网中防止攻击ap设备的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108391269A CN108391269A (zh) | 2018-08-10 |
| CN108391269B true CN108391269B (zh) | 2020-12-01 |
Family
ID=63070081
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810164511.5A Expired - Fee Related CN108391269B (zh) | 2018-02-28 | 2018-02-28 | 一种无线局域网中防止攻击ap设备的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108391269B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111679885B (zh) * | 2020-05-29 | 2023-10-13 | 泰康保险集团股份有限公司 | 确定虚拟机漂移方法、装置、介质及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2600648A1 (en) * | 2011-11-30 | 2013-06-05 | British Telecommunications public limited company | Rogue access point detection |
| CN103561405A (zh) * | 2013-10-23 | 2014-02-05 | 杭州华三通信技术有限公司 | 一种对恶意无线接入点进行反制的方法及装置 |
| CN105978859A (zh) * | 2016-04-25 | 2016-09-28 | 杭州华三通信技术有限公司 | 一种报文处理的方法和装置 |
| CN106165506A (zh) * | 2013-07-19 | 2016-11-23 | 英特尔公司 | 非法接入点的识别 |
| CN106559342A (zh) * | 2016-11-10 | 2017-04-05 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的协议端口保护方法、装置和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060123133A1 (en) * | 2004-10-19 | 2006-06-08 | Hrastar Scott E | Detecting unauthorized wireless devices on a wired network |
-
2018
- 2018-02-28 CN CN201810164511.5A patent/CN108391269B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2600648A1 (en) * | 2011-11-30 | 2013-06-05 | British Telecommunications public limited company | Rogue access point detection |
| CN106165506A (zh) * | 2013-07-19 | 2016-11-23 | 英特尔公司 | 非法接入点的识别 |
| CN103561405A (zh) * | 2013-10-23 | 2014-02-05 | 杭州华三通信技术有限公司 | 一种对恶意无线接入点进行反制的方法及装置 |
| CN105978859A (zh) * | 2016-04-25 | 2016-09-28 | 杭州华三通信技术有限公司 | 一种报文处理的方法和装置 |
| CN106559342A (zh) * | 2016-11-10 | 2017-04-05 | 上海斐讯数据通信技术有限公司 | 一种基于sdn的协议端口保护方法、装置和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108391269A (zh) | 2018-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8302190B2 (en) | Method and apparatus for defending against ARP spoofing attacks | |
| US10601766B2 (en) | Determine anomalous behavior based on dynamic device configuration address range | |
| CN101247396B (zh) | 一种分配ip地址的方法、装置及系统 | |
| US20150106913A1 (en) | Method, Apparatus, Host, and Network System for Processing Packet | |
| US20130212680A1 (en) | Methods and systems for protecting network devices from intrusion | |
| US20190058731A1 (en) | User-side detection and containment of arp spoofing attacks | |
| US20050050365A1 (en) | Network unauthorized access preventing system and network unauthorized access preventing apparatus | |
| CN101635713A (zh) | 一种防止局域网arp欺骗攻击的方法及系统 | |
| CN101179566A (zh) | 一种防御arp报文攻击的方法和装置 | |
| CN104883360B (zh) | 一种arp欺骗的细粒度检测方法及系统 | |
| JP4179300B2 (ja) | ネットワーク管理方法および装置並びに管理プログラム | |
| CN100536474C (zh) | 防范利用地址解析协议进行网络攻击的方法及设备 | |
| CN103166960A (zh) | 接入控制方法及装置 | |
| CN102427460B (zh) | 针对arp欺骗的多级检测和防御方法 | |
| CN114244801B (zh) | 一种基于政企网关的防arp欺骗方法及系统 | |
| CN111740943B (zh) | 一种防攻击方法、装置、设备及机器可读存储介质 | |
| CN107360182A (zh) | 一种用于嵌入式的主动网络防御系统及其防御方法 | |
| CN108391269B (zh) | 一种无线局域网中防止攻击ap设备的方法 | |
| CN115208606A (zh) | 一种网络安全防范的实现方法、系统及存储介质 | |
| CN101415002A (zh) | 防止报文攻击的方法、数据通信设备及通信系统 | |
| US10623421B2 (en) | Detecting IP address theft in data center networks | |
| CN103095858A (zh) | 地址解析协议arp报文处理的方法、网络设备及系统 | |
| KR20070106893A (ko) | 에이알피 포이즌 공격차단방법 | |
| KR101188308B1 (ko) | 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법 | |
| CN110855615A (zh) | 一种设备绑定的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20201201 |