CN108418794B - 一种智能变电站通信网络抵御arp攻击的方法及系统 - Google Patents

一种智能变电站通信网络抵御arp攻击的方法及系统 Download PDF

Info

Publication number
CN108418794B
CN108418794B CN201810085136.5A CN201810085136A CN108418794B CN 108418794 B CN108418794 B CN 108418794B CN 201810085136 A CN201810085136 A CN 201810085136A CN 108418794 B CN108418794 B CN 108418794B
Authority
CN
China
Prior art keywords
record
data frame
frame message
arp data
arp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810085136.5A
Other languages
English (en)
Other versions
CN108418794A (zh
Inventor
王向群
黄在朝
卜宪德
陈磊
李炳林
郭经红
张�浩
姚启桂
邓辉
王玮
沈文
陶静
陈伟
张增华
喻强
孙晓艳
虞跃
刘川
张明华
吕立冬
田文锋
姚继明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electric Power Research Institute of State Grid Chongqing Electric Power Co Ltd
State Grid Corp of China SGCC
Global Energy Interconnection Research Institute
Electric Power Research Institute of State Grid Jiangsu Electric Power Co Ltd
Original Assignee
Electric Power Research Institute of State Grid Chongqing Electric Power Co Ltd
State Grid Corp of China SGCC
Global Energy Interconnection Research Institute
Electric Power Research Institute of State Grid Jiangsu Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electric Power Research Institute of State Grid Chongqing Electric Power Co Ltd, State Grid Corp of China SGCC, Global Energy Interconnection Research Institute, Electric Power Research Institute of State Grid Jiangsu Electric Power Co Ltd filed Critical Electric Power Research Institute of State Grid Chongqing Electric Power Co Ltd
Priority to CN201810085136.5A priority Critical patent/CN108418794B/zh
Publication of CN108418794A publication Critical patent/CN108418794A/zh
Application granted granted Critical
Publication of CN108418794B publication Critical patent/CN108418794B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/354Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种智能变电站通信网络抵御ARP攻击的方法及系统,包括,对报文进行识别,当所述报文为ARP数据帧报文时:将所述ARP数据帧报文解析为一条记录,并与预先存储的ARP数据帧报文记录进行比对;若所述记录与所述预先存储的ARP数据帧报文记录相同时,则将所述ARP数据帧报文向同一VLAN内的其他交换端口进行转发,否则根据预先设定的规则对所述记录进行处理。本发明利用交换机的处理单元进行ARP的解析,并判定出攻击者,然后做出防御动作,由此可以保障通信网络的安全运行。

Description

一种智能变电站通信网络抵御ARP攻击的方法及系统
技术领域
本发明涉及智能变电通信网络安全技术领域,具体涉及一种智能变电站通信网络抵御ARP攻击的方法及系统。
背景技术
随着IEC61850的逐步应用,当前的智能变电站自动化系统一般分为站控层、间隔层和过程层。过程层主要完成模拟量的采样、开关量输入输出、操作控制命令的发送等与一次设备相关的功能,间隔层汇总过程层的实时数据,接收站控层的命令并向过程层发送命令。站控层是全站的监控管理中心,提供人机界面,实现对间隔层的管理控制,并通过电力数据网与调度中心或集控中心通信。在三层两网的情况下,过程层网络传输goose和SV报文,而站控层网络传输goose和MMS报文。IEC61850标准的核心通信协议栈在映射到MMS时,通常采用TCP/IP的方式。
ARP是一个位于TCP/IP协议栈中的协议,其基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,得到MAC地址后,才能以太网通信的进行。ARP协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。它是无状态的协议,不会检查自己是否发过请求包,也不管是否是合法的应答,只要收到目标MAC是自己的ARP reply包或arp广播包(包括ARP request和ARPreply),都会接受并缓存。这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可以做“中间人”。ARP攻击就是通过伪造IP地址和MAC地址的映射关系实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
针对网络中存在的ARP攻击风险,通常采用的办法是绑定主机的IP和MAC的映射关系,但是在智能变电站站控层网络中,这种采用这种静态ARP缓存表方法实施起来相当复杂。而三层交换的相关技术虽然可以防御ARP攻击,但是不适用于站控层网络中。
为了解决现有技术中所存在的上述不足,本发明提供一种智能变电站通信网络抵御ARP攻击的方法及系统。
本发明提供的技术方案是:
一种智能变电站通信网络抵御ARP攻击的方法,包括,
对报文进行识别,当所述报文为ARP数据帧报文时:
将所述ARP数据帧报文解析为一条记录,并与预先存储的ARP数据帧报文记录进行比对;
若所述记录与所述预先存储的ARP数据帧报文记录相同时,则将所述ARP数据帧报文向同一VLAN内的其他交换端口进行转发,否则根据预先设定的规则对所述记录进行处理。
优选地,所述对报文进行识别,包括,
判定所述报文是否满足eth.type=0x0806;
若满足,则报文为ARP数据帧报文;
否则,不是ARP数据帧报文。
优选地,所述将ARP数据帧报文解析为一条记录,包括:
对所述ARP数据帧报文进行解析,获取源IP地址、源MAC地址和交换端口;将所述源IP地址、源MAC地址和交换端口合并为一条记录。
优选地,所述若记录与所述预先存储的ARP数据帧报文记录相同时,则将所述ARP数据帧报文向同一VLAN内的其他交换端口进行转发,否则根据预先设定的规则对所述记录进行处理包括:
若记录与所述预先存储的ARP数据帧报文记录中的源IP地址、源MAC地址和交换端口都相同时,将所述ARP数据帧报文向同一VLAN内的其他交换端口进行转发;否则,将所述记录进行存储;
当预先存储的ARP数据帧报文记录中存在与所述记录中的IP相同,但MAC不同的记录时,执行第一告警处理;
当预先存储的ARP数据帧报文记录中存在与所述记录中的MAC相同,但IP不同的记录时,执行第二告警处理;
当预先存储的ARP数据帧报文记录中不存在与所述记录中的MAC或IP相同的记录时,则将所述记录对应的APR数据帧报文向同一VLAN内的其他交换端口进行转发。
优选地,所述执行第一告警处理包括:
阻塞两条记录对应的交换端口,向管理程序发出警告,并删除内存表中对比的不正常的交换端口对应的记录结果。
优选地,所述执行第二告警处理包括:
直接阻塞刚存入内存中的记录对应的交换端口,向管理程序发出告警,并将对比的两条记录从内存表中删除。
优选地,所述将所述记录进行存储包括:将所述记录存储于交换机的内存表中。
本发明的另一目的在于提出一种智能变电站通信网络抵御ARP攻击的系统,包括:筛选模块、解析模块、比对模块和处理模块;
所述筛选模块,用于对报文进行识别,并选出ARP数据帧报文;
所述解析模块,用于将所述ARP数据帧报文解析为一条记录;
所述比对模块,用于将所述ARP数据帧报文与预先存储的ARP数据帧报文记录进行比对;
所述处理模块,用于当所述记录与所述预先存储的ARP数据帧报文记录相同时,则将所述ARP数据帧报文向同一VLAN内的其他交换端口进行转发,否则根据预先设定的规则对所述记录进行处理。
优选地,所述筛选模块包括,判定子模块;
所述判定子模块,用于判定报文是否满足eth.type=0x0806;
若满足,则报文为ARP数据帧报文;
否则,不是ARP数据帧报文。
优选地,所述处理模块,包括:匹配判断子模块、转发子模块、存储子模块、第一告警处理子模块和第二告警处理子模块;
所述匹配判断子模块,用于判断所述记录与所述预先存储的ARP数据帧报文记录中的源IP地址、源MAC地址和交换端口是否存在相同;
所述转发子模块,用于若记录与所述预先存储的ARP数据帧报文记录中的源IP地址、源MAC地址和交换端口都相同时,将所述ARP数据帧报文向同一VLAN内的其他交换端口进行转发;
所述存储子模块,用于若记录与所述预先存储的ARP数据帧报文记录中的源IP地址、源MAC地址和交换端口存在不同时,将所述记录进行存储;
所述第一告警处理子模块,用于阻塞两条记录对应的交换端口,向管理程序发出警告,并删除内存表中对比的不正常的交换端口对应的记录结果;
所述第二告警处理子模块,用于直接阻塞刚存入内存中的记录对应的交换端口,向管理程序发出告警,并将对比的两条记录从内存表中删除。
与现有技术相比,本发明的有益效果为:
本发明的技术方案通过将识别出的ARP数据帧报文解析为一条记录,并与预先存储的ARP数据帧报文记录进行比对;当记录与预先存储的ARP数据帧报文记录相同时,则将所述ARP数据帧报文向同一VLAN内的其他交换端口进行转发,否则根据预先设定的规则对所述记录进行处理。此种情况下工程实施较灵活简单,只需在交换机上作相关处理,不会影响ARP在交换机上的正常转发,保证了通信网络的正常。
本发明提出的技术方案在二层以太网交换机上实现抵御ARP欺骗的技术。在交换机上通过交换芯片的智能处理单元识别ARP报文,并将其转发至处理器解析,记录下其IP、MAC及交换端口。并在已经记录的表项中查询是否有重复项,对不同的重复项做出相应的处理,向管理系统告警处理,将交换端口阻塞,由此确保网络系统的安全。
附图说明
图1为本发明的一种智能变电站通信网络抵御ARP攻击的方法流程图;
图2为本发明的智能变电站通信网络抵御ARP攻击的方法示意图。
具体实施方式
为了更好地理解本发明,下面结合说明书附图和实例对本发明的内容做进一步的说明。
本发明提供一种智能变电站通信网络中抵御ARP攻击的一种策略。在智能变电站的站控层网络中有较多的TCP/IP通信,ARP是其中常用的一种协议,ARP协议的功能是查询目标IP对应的MAC地址,并写入本机的ARP缓存中。但是由于ARP协议的缺陷,攻击者可以伪造其对应关系,造成网络中断或者网络窃听,是站控层网络中的一大网络安全隐患。正常arp攻击应该在路由或者三层交换上做防御,但是变电站站控层网络基本为二层交换机,所以那些防御技术无法在站控层网络上使用。本发明提供一种在二层以太网交换机上实现抵御ARP欺骗的技术。在交换机上通过交换芯片的智能处理单元识别ARP报文,并将其转发至处理器解析,记录下其IP、MAC及交换端口。并在已经记录的表项中查询是否有重复项,对不同的重复项做出相应的处理,向管理系统告警处理,将交换端口阻塞,由此确保网络系统的安全。
从图1的流程图可以看出,一种智能变电站通信网络抵御ARP攻击的方法,包括,
对报文进行识别,当所述报文为ARP数据帧报文时:
将所述ARP数据帧报文解析为一条记录,并与预先存储的ARP数据帧报文记录进行比对;
若所述记录与所述预先存储的ARP数据帧报文记录相同时,则将所述ARP数据帧报文向同一VLAN内的其他交换端口进行转发,否则根据预先设定的规则对所述记录进行处理。
对报文进行识别,包括,
判定所述报文是否满足eth.type=0x0806;
若满足,则报文为ARP数据帧报文;
否则,不是ARP数据帧报文。
将ARP数据帧报文解析为一条记录,包括:
对所述ARP数据帧报文进行解析,获取源IP地址、源MAC地址和交换端口;将所述源IP地址、源MAC地址和交换端口合并为一条记录。
若记录与所述预先存储的ARP数据帧报文记录相同时,则将所述ARP数据帧报文向同一VLAN内的其他交换端口进行转发,否则根据预先设定的规则对所述记录进行处理包括:
若记录与所述预先存储的ARP数据帧报文记录中的源IP地址、源MAC地址和交换端口都相同时,将所述ARP数据帧报文向同一VLAN内的其他交换端口进行转发;否则,将所述记录进行存储;
当预先存储的ARP数据帧报文记录中存在与所述记录中的IP相同,但MAC不同的记录时,执行第一告警处理;
当预先存储的ARP数据帧报文记录中存在与所述记录中的MAC相同,但IP不同的记录时,执行第二告警处理;
当预先存储的ARP数据帧报文记录中不存在与所述记录中的MAC或IP相同的记录时,则将所述记录对应的APR数据帧报文向同一VLAN内的其他交换端口进行转发。
执行第一告警处理包括:
阻塞两条记录对应的交换端口,向管理程序发出警告,并删除内存表中对比的不正常的交换端口对应的记录结果。
执行第二告警处理包括:
直接阻塞刚存入内存中的记录对应的交换端口,向管理程序发出告警,并将对比的两条记录从内存表中删除。
将所述记录进行存储包括:将所述记录存储于交换机的内存表中。
具体的,结合图2,可以看出智能变电站通信网络抵御ARP攻击的方法:
1、智能变电站中的站控层交换机的交换芯片智能处理单元设置规则,判定eth.type=0x0806的报文为ARP数据帧,识别后的动作为将数据帧转发到交换机的CPU。
2、交换机的CPU将收到的ARP报文进行解析,将源IP地址、源MAC地址、交换端口解析处理,并存放在内存表中,设为一条记录。存放之前先查询有没有完全一样的记录,如果有则不需要再记录,则将该ARP报文向同一VLAN内的其他交换端口进行转发。
3、将刚存入的一条记录中的IP地址、MAC地址、交换端口进行匹配查询,查看是否已经存在相同的IP或者MAC。如果没有记录中IP或者MAC相同,则将该ARP报文向同一VLAN内的其他交换端口进行转发。
4、如果存在某条记录中的IP刚存入的记录中的IP相同,但是MAC不同,则阻塞两条记录对应的交换端口,并向管理程序发出告警,交由上层排查其中的攻击者,排查后重新恢复正常端口的转发功能,并将另外一个端口对应的记录从内存表中删除。
5、如果存在某条记录中的MAC刚存入的记录中的MAC相同,但是IP不同,则直接阻塞该条记录对应的交换端口,向管理程序发出告警,并将这两条记录从内存表中删除。
基于同一发明构思,本发明实施例还提供了一种智能变电站通信网络抵御ARP攻击的系统,包括:筛选模块、解析模块、比对模块和处理模块;
下面对上述模块进行进一步说明:
筛选模块,用于对报文进行识别,并选出ARP数据帧报文;
解析模块,用于将所述ARP数据帧报文解析为一条记录;
比对模块,用于将所述ARP数据帧报文与预先存储的ARP数据帧报文记录进行比对;
处理模块,用于当所述记录与所述预先存储的ARP数据帧报文记录相同时,则将所述ARP数据帧报文向同一VLAN内的其他交换端口进行转发,否则根据预先设定的规则对所述记录进行处理。
筛选模块包括,判定子模块;
判定子模块,用于判定报文是否满足eth.type=0x0806;
若满足,则报文为ARP数据帧报文;
否则,不是ARP数据帧报文。
处理模块,包括:匹配判断子模块、转发子模块、存储子模块、第一告警处理子模块和第二告警处理子模块;
匹配判断子模块,用于判断所述记录与所述预先存储的ARP数据帧报文记录中的源IP地址、源MAC地址和交换端口是否存在相同;
转发子模块,用于若记录与所述预先存储的ARP数据帧报文记录中的源IP地址、源MAC地址和交换端口都相同时,将所述ARP数据帧报文向同一VLAN内的其他交换端口进行转发;
存储子模块,用于若记录与所述预先存储的ARP数据帧报文记录中的源IP地址、源MAC地址和交换端口存在不同时,将所述记录进行存储;
第一告警处理子模块,用于阻塞两条记录对应的交换端口,向管理程序发出警告,并删除内存表中对比的不正常的交换端口对应的记录结果;
第二告警处理子模块,用于直接阻塞刚存入内存中的记录对应的交换端口,向管理程序发出告警,并将对比的两条记录从内存表中删除。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅为本发明的实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均包含在申请待批的本发明的权利要求范围之内。

Claims (2)

1.一种智能变电站通信网络抵御ARP攻击的方法,其特征在于,所述方法包括,
对报文进行识别,当所述报文为ARP数据帧报文时:
将所述ARP数据帧报文解析为一条记录,并与预先存储的ARP数据帧报文记录进行比对; 若所述记录与所述预先存储的ARP数据帧报文记录相同时,则将所述ARP数据帧报文向同一VLAN内的其他交换端口进行转发,否则根据预先设定的规则对所述记录进行处理;
所述对报文进行识别,包括,
判定所述报文是否满足eth.type=0x0806;
若满足,则报文为ARP数据帧报文;
否则,不是ARP数据帧报文;
所述将ARP数据帧报文解析为一条记录,包括:
对所述ARP数据帧报文进行解析,获取源IP地址、源MAC地址和交换端口;将所述源IP地址、源MAC地址和交换端口合并为一条记录;
若所述记录与所述预先存储的ARP数据帧报文记录相同时,则将所述ARP数据帧报文向同一VLAN内的其他交换端口进行转发,否则根据预先设定的规则对所述记录进行处理包括: 若记录与所述预先存储的ARP数据帧报文记录中的源IP地址、源MAC地址和交换端口都相同时,将所述ARP数据帧报文向同一VLAN内的其他交换端口进行转发;否则,将所述记录进行存储;
当预先存储的ARP数据帧报文记录中存在与所述记录中的IP相同,但MAC不同的记录时,执行第一告警处理;
当预先存储的ARP数据帧报文记录中存在与所述记录中的MAC相同,但IP不同的记录时,执行第二告警处理;
当预先存储的ARP数据帧报文记录中不存在与所述记录中的MAC或IP相同的记录时,则将所述记录对应的ARP数据帧报文向同一VLAN内的其他交换端口进行转发;
所述执行第一告警处理包括:
阻塞两条记录对应的交换端口,向管理程序发出警告,并删除内存表中对比的不正常的交换端口对应的记录结果;
所述执行第二告警处理包括:
直接阻塞刚存入内存中的记录对应的交换端口,向管理程序发出告警,并将对比的两条记录从内存表中删除;
所述将所述记录进行存储包括:将所述记录存储于交换机的内存表中。
2.一种智能变电站通信网络抵御ARP攻击的系统,其特征在于,包括:筛选模块、解析模块、比对模块和处理模块;
所述筛选模块,用于对报文进行识别,并选出ARP数据帧报文;
所述解析模块,用于将所述ARP数据帧报文解析为一条记录;
所述比对模块,用于将所述ARP数据帧报文与预先存储的ARP数据帧报文记录进行比对; 所述处理模块,用于当所述记录与所述预先存储的ARP数据帧报文记录相同时,则将所述ARP数据帧报文向同一VLAN内的其他交换端口进行转发,否则根据预先设定的规则对所述记录进行处理;
所述筛选模块包括,判定子模块;
所述判定子模块,用于判定报文是否满足eth.type=0x0806;
若满足,则报文为ARP数据帧报文;
否则,不是ARP数据帧报文;
所述处理模块,包括:匹配判断子模块、转发子模块、存储子模块、第一告警处理子模块和第二告警处理子模块;
所述匹配判断子模块,用于判断所述记录与所述预先存储的ARP数据帧报文记录中的源IP地址、源MAC地址和交换端口是否存在相同;
所述转发子模块,用于若记录与所述预先存储的ARP数据帧报文记录中的源IP地址、源MAC地址和交换端口都相同时,将所述ARP数据帧报文向同一VLAN内的其他交换端口进行转发;当预先存储的ARP数据帧报文记录中不存在与所述记录中的MAC或IP相同的记录时,则将所述记录对应的ARP数据帧报文向同一VLAN内的其他交换端口进行转发;
所述存储子模块,用于若记录与所述预先存储的ARP数据帧报文记录中的源IP地址、源MAC地址和交换端口存在不同时,将所述记录进行存储;
所述第一告警处理子模块,用于阻塞两条记录对应的交换端口,向管理程序发出警告,并删除内存表中对比的不正常的交换端口对应的记录结果;当预先存储的ARP数据帧报文记录中存在与所述记录中的IP相同,但MAC不同的记录时,执行第一告警处理;
所述第二告警处理子模块,用于直接阻塞刚存入内存中的记录对应的交换端口,向管理程序发出告警,并将对比的两条记录从内存表中删除;当预先存储的ARP数据帧报文记录中存在与所述记录中的MAC相同,但IP不同的记录时,执行第二告警处理。
CN201810085136.5A 2018-01-29 2018-01-29 一种智能变电站通信网络抵御arp攻击的方法及系统 Active CN108418794B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810085136.5A CN108418794B (zh) 2018-01-29 2018-01-29 一种智能变电站通信网络抵御arp攻击的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810085136.5A CN108418794B (zh) 2018-01-29 2018-01-29 一种智能变电站通信网络抵御arp攻击的方法及系统

Publications (2)

Publication Number Publication Date
CN108418794A CN108418794A (zh) 2018-08-17
CN108418794B true CN108418794B (zh) 2022-09-02

Family

ID=63126634

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810085136.5A Active CN108418794B (zh) 2018-01-29 2018-01-29 一种智能变电站通信网络抵御arp攻击的方法及系统

Country Status (1)

Country Link
CN (1) CN108418794B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109459995B (zh) * 2018-12-17 2020-11-13 国家计算机网络与信息安全管理中心 一种面向多种工业以太网协议的状态监测系统及监测方法
CN111142963B (zh) * 2019-11-22 2023-05-16 贵州电网有限责任公司 变电站仪器的端口查询方法、装置设备及存储介质
TWI742704B (zh) * 2020-06-01 2021-10-11 台眾電腦股份有限公司 資訊裝置之網路連線管理系統

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101494562A (zh) * 2009-03-18 2009-07-29 杭州华三通信技术有限公司 一种网络设备上终端表项的维护方法和一种网络设备

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101370019B (zh) * 2008-09-26 2011-06-22 北京星网锐捷网络技术有限公司 防止地址解析协议报文欺骗攻击的方法及交换机
CN101488951A (zh) * 2008-12-31 2009-07-22 成都市华为赛门铁克科技有限公司 一种地址解析协议攻击防范方法、设备和通信网络
CN105430113B (zh) * 2015-11-03 2018-07-03 上海斐讯数据通信技术有限公司 Sdn网络arp报文处理方法、系统、控制器及交换机
CN106060085B (zh) * 2016-07-15 2019-09-17 新华三技术有限公司 防止arp报文攻击方法以及装置
CN106888217A (zh) * 2017-03-27 2017-06-23 上海斐讯数据通信技术有限公司 一种针对arp攻击的管控方法及系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101494562A (zh) * 2009-03-18 2009-07-29 杭州华三通信技术有限公司 一种网络设备上终端表项的维护方法和一种网络设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
关于网络通信中应对ARP欺骗和攻击的方法;付勇;《电脑知识与技术》;20090625(第18期);全文 *

Also Published As

Publication number Publication date
CN108418794A (zh) 2018-08-17

Similar Documents

Publication Publication Date Title
US10681079B2 (en) Method for mitigation of cyber attacks on industrial control systems
US8611220B2 (en) Network system, controller, and network control method
US8782787B2 (en) Distributed packet flow inspection and processing
CN101431449B (zh) 一种网络流量清洗系统
US8918875B2 (en) System and method for ARP anti-spoofing security
CN108418794B (zh) 一种智能变电站通信网络抵御arp攻击的方法及系统
KR20180041952A (ko) DDoS 공격이 탐지가 가능한 소프트웨어 정의 네트워크 및 이에 포함되는 스위치
CN107612890B (zh) 一种网络监测方法及系统
CN101257416B (zh) 基于网络与基于主机相结合的联网式异常流量防御方法
CN110113336B (zh) 一种用于变电站网络环境的网络流量异常分析与识别方法
KR20150037285A (ko) 침입 탐지 장치 및 방법
JP5134141B2 (ja) 不正アクセス遮断制御方法
Ubaid et al. Mitigating address spoofing attacks in hybrid SDN
CN106534048A (zh) 一种防范sdn拒绝服务攻击的方法、交换机和系统
US9298175B2 (en) Method for detecting abnormal traffic on control system protocol
CA2738690A1 (en) Distributed packet flow inspection and processing
EP3566401B1 (en) Detecting and mitigating loops
CN110290124B (zh) 一种交换机入端口阻断方法及装置
CN100393047C (zh) 一种入侵检测系统与网络设备联动的系统及方法
Hommes et al. Implications and detection of DoS attacks in OpenFlow-based networks
CN105099799A (zh) 僵尸网络检测方法和控制器
CN111695115A (zh) 基于通信时延与安全性评估的工控系统网络攻击溯源方法
KR101343693B1 (ko) 네트워크 보안시스템 및 그 처리방법
WO2019123523A1 (ja) 通信装置、通信システム、通信制御方法、プログラム
CN114268458A (zh) 一种终端公网安全通信用安全防护模块的防护方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant