CN111740943B - 一种防攻击方法、装置、设备及机器可读存储介质 - Google Patents
一种防攻击方法、装置、设备及机器可读存储介质 Download PDFInfo
- Publication number
- CN111740943B CN111740943B CN202010246582.7A CN202010246582A CN111740943B CN 111740943 B CN111740943 B CN 111740943B CN 202010246582 A CN202010246582 A CN 202010246582A CN 111740943 B CN111740943 B CN 111740943B
- Authority
- CN
- China
- Prior art keywords
- address
- message
- authentication
- real
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5053—Lease time; Renewal aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
Abstract
本公开提供一种防攻击方法、装置、设备及机器可读存储介质,该方法包括:检测待发送的报文的初始源地址是否为真实地址;若是,则根据密钥和真实地址以预先设定的算法进行加密换算,得到认证地址,所述密钥是预先向网络设备注册后由网络设备分发的;以认证地址作为源地址,发送报文,以使转发且仅转发源地址为被记录的认证地址的报文的网络设备,将报文的源地址替换为真实地址后转发该报文。通过本公开的技术方案,在确定报文的地址为真实地址后,以约定的密钥和加密算法换算得到认证地址,然后以该认证地址作为源地址发送报文至网络设备,使网络设备能够根据约定的密钥和加密算法验证地址的真实性,从而过滤掉欺骗和伪造的地址,防护二层攻击。
Description
技术领域
本公开涉及通信技术领域,尤其是涉及一种防攻击方法、装置、设备及机器可读存储介质。
背景技术
二层转发,二层这里是指网络七层模型中的二层—数据链路层。二层转发是根据数据链路层的转发,二层转发设备在收到要转发的报文后,获取到报文的目的MAC地址,根据目的MAC地址进行报文的转发
MAC地址泛洪攻击,是指攻击者利用工具发送大量的伪造的源MAC地址,导致二层转发的设备的MAC表项很快被学满。防范方法:常用的防范方法是在二层接入的接口上,限制MAC地址数。也可以静态设置合法的MAC地址列表,这样不合法的地址被丢掉。
DHCP服务器DOS攻击,黑客利用类似Goobler的工具可以发出大量带有不同源MAC地址的DHCP请求,直到DHCP服务器对应网段的所有地址被占用,此类攻击既可以造成DOS的破坏,也可和DHCP服务器欺诈结合将流量重指到意图进行流量截取的恶意节点。
ARP欺骗,ARP是用来实现MAC地址和IP地址的绑定,这样两个工作站才可以通讯,通讯发起方的工作站以MAC广播方式发送ARP请求,拥有此IP地址的工作站给予ARP应答,送回自己的IP和MAC地址。用户A有IP地址1.1.1.1,MAC地址:A_MAC。用户B主动发送伪造的arp报文,arp的IP地址为1.1.1.1,对应的mac为用户B的MAC地址B_MAC。这样转发设备学习的的APR表项为:IP地址1.1.1.1对应的MAC地址为B_MAC,这样导致本来需要发送到用户A的报文发送到了用户B。
IP/MAC地址欺骗,黑客经常使用的另一手法是IP地址欺骗。常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗,其目的一般为伪造身份或者获取针对IP/MAC的特权。目前较多的攻击是:Ping Of Death、Syn flood、ICMP Unreacheable Storm。如黑客冒用A地址对B地址发出大量的ping包,所有ping应答都会返回到A地址,通过这种方式来实施拒绝服务(DoS)攻击,这样可以掩盖攻击系统的真实身份。
ARP Flooding攻击,ARP泛红攻击,是指二层网络的发包终端设备,发送伪造的大量源MAC和源IP地址不同报文,使设备建立大量的非真实的ARP表项。
网络第二层的攻击是网络安全攻击者最容易实施,也是最不容易被发现的安全威胁,它的目标是让网络失效或者通过获取诸如密码这样的敏感信息而危及网络用户的安全。因为任何一个合法用户都能获取一个以太网端口的访问权限,这些用户都有可能成为黑客,同时由于设计OSI模型的时候,允许不同通信层在相互不了解情况下也能进行工作,所以第二层的安全就变得至关重要。如果这一层受到黑客的攻击,网络安全将受到严重威胁,而且其他层之间的通信还会继续进行,同时任何用户都不会感觉到攻击已经危及应用层的信息安全。
二层攻击主要的特点是,二层网络中的终端设备,被黑客攻击后,发送报文的源MAC、或者源IP非自己真实的MAC和IP地址,而是使用工具构造欺骗性的MAC地址或者IP地址,造成容易通过二层网络攻击的问题。
发明内容
有鉴于此,本公开提供一种防攻击方法、装置及电子设备、机器可读存储介质,以改善上述容易通过二层网络攻击的问题。
具体地技术方案如下:
本公开提供了一种防攻击方法,应用于终端设备,所述方法包括:检测待发送的报文的初始源地址是否为真实地址;若是,则根据密钥和真实地址以预先设定的算法进行加密换算,得到认证地址,所述密钥是预先向网络设备注册后由网络设备分发的;以认证地址作为源地址,发送报文,以使转发且仅转发源地址为被记录的认证地址的报文的网络设备,将报文的源地址替换为真实地址后转发该报文;其中,网络设备记录的认证地址是网络设备根据终端设备注册时的真实地址、注册时为终端设备分发的密钥、预先设定的算法进行加密换算得到的。
作为一种技术方案,真实地址包括真实MAC地址和/或真实IP地址,认证地址包括认证MAC地址和/或认证IP地址。
本公开同时提供了一种防攻击方法,应用于网络设备,所述方法包括:接收报文,获取报文的源地址;若记录有该源地址为认证地址信息,则获取认证地址对应的真实地址;以真实地址替换该源地址后,转发该报文;记录的认证地址是网络设备根据终端设备注册时的真实地址、注册时为终端设备分发的密钥、预先设定的算法进行加密换算得到的。
作为一种技术方案,真实地址包括真实MAC地址和/或真实IP地址,认证地址包括认证MAC地址和/或认证IP地址。
作为一种技术方案,若未记录有该源地址为认证地址信息,则丢弃该报文。
作为一种技术方案,预先建立记录表,对应记录终端设备的真实地址、为终端设备分发的密钥,以及终端设备注册时根据终端设备的真实地址、为终端设备分发的密钥、预先设定的算法进行加密换算得到的认证地址。
本公开同时提供了一种防攻击装置,应用于终端设备,所述装置包括:检测模块,检测待发送的报文的初始源地址是否为真实地址;加密模块,用于待发送的报文的初始源地址是否为真实地址时,根据密钥和真实地址以预先设定的算法进行加密换算,得到认证地址,所述密钥是预先向网络设备注册后由网络设备分发的;发送模块,用于以认证地址作为源地址,发送报文,以使转发且仅转发源地址为被记录的认证地址的报文的网络设备,将报文的源地址替换为真实地址后转发该报文;其中,网络设备记录的认证地址是网络设备根据终端设备注册时的真实地址、注册时为终端设备分发的密钥、预先设定的算法进行加密换算得到的。
本公开同时提供了一种防攻击装置,应用于网络设备,所述装置包括:接收模块,用于接收报文,获取报文的源地址;分析模块,用于记录有该源地址为认证地址信息时,获取认证地址对应的真实地址;转发模块,用于以真实地址替换该源地址后,转发该报文;记录的认证地址是网络设备根据终端设备注册时的真实地址、注册时为终端设备分发的密钥、预先设定的算法进行加密换算得到的。
本公开同时提供了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,处理器执行所述机器可执行指令以实现前述的防攻击方法。
本公开同时提供了一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现前述的防攻击方法。
本公开提供的上述技术方案至少带来了以下有益效果:
在确定报文的地址为真实地址后,以约定的密钥和加密算法换算得到认证地址,然后以该认证地址作为源地址发送报文至网络设备,使网络设备能够根据约定的密钥和加密算法验证地址的真实性,从而过滤掉欺骗和伪造的地址,防护二层攻击。
附图说明
为了更加清楚地说明本公开实施方式或者现有技术中的技术方案,下面将对本公开实施方式或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开中记载的一些实施方式,对于本领域普通技术人员来讲,还可以根据本公开实施方式的这些附图获得其他的附图。
图1是本公开一种实施方式中的防攻击方法的流程图;
图2是本公开一种实施方式中的防攻击装置的流程图;
图3是本公开一种实施方式中的防攻击方法的结构图;
图4是本公开一种实施方式中的防攻击装置的结构图;
图5是本公开一种实施方式中的电子设备的硬件结构图。
具体实施方式
在本公开实施方式使用的术语仅仅是出于描述特定实施方式的目的,而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开实施方式可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
防护MAC地址泛洪攻击:在二层接入的接口上,限制MAC地址数。也可以静态设置合法的MAC地址列表,这样不合法的地址被丢掉。
防护DHCP服务器DOS攻击:在入口进行源MAC的合法性检查。
防护ARP欺骗:为防止ARP欺骗,进行ARP和MAC地址的绑定。
防护ARP Flooding攻击:设置阈值,当单位时间内ARP报文数超过一定阈值后就丢弃超过阈值的报文。
IP/MAC地址欺骗:通过IP地址mac绑定来防止这种类型的攻击。
以上方法也具有缺点:
MAC地址表项数限制,会导致非法MAC地址占用表项而导致合法MAC地址表项无法建立。MAC地址合法性检查,往往需要人工配置静态MAC地址表项,易用性和可维护性差,且新加入的终端设备或者IP地址变更,都会带来较大的维护工作量。对ARP Flooding,通过设置阈值进行限速,会导致合法的用户的ARP请求报文被丢弃。上述防护方法,每种攻击一种防护方法,防护策略复杂,并且难以从根本上杜绝二层攻击,对二层终端设备发送的基于MAC、IP地址伪造的攻击,难以进行有效防护。
有鉴于此,本公开提供一种防攻击方法、装置及电子设备、机器可读存储介质,以改善上述容易通过二层网络攻击的问题。
具体地技术方案如后述。
在一种实施方式中,本公开提供了一种防攻击方法,应用于终端设备,所述方法包括:检测待发送的报文的初始源地址是否为真实地址;若是,则根据密钥和真实地址以预先设定的算法进行加密换算,得到认证地址,所述密钥是预先向网络设备注册后由网络设备分发的;以认证地址作为源地址,发送报文,以使转发且仅转发源地址为被记录的认证地址的报文的网络设备,将报文的源地址替换为真实地址后转发该报文;其中,网络设备记录的认证地址是网络设备根据终端设备注册时的真实地址、注册时为终端设备分发的密钥、预先设定的算法进行加密换算得到的。
具体地,如图1,包括以下步骤:
S11,检测待发送的报文的初始源地址是否为真实地址。
使用预先强制安装的指定安全软件,检测本地待发送的报文的当前源地址即初始源地址是否为真实地址,以防止本地已被恶意攻击者控制,若不为真实地址,则直接丢弃报文。
S12,若是,则根据密钥和真实地址以预先设定的算法进行加密换算,得到认证地址。
密钥是预先向网络设备注册后由网络设备分发的,注册由前述指定安全软件发起,预先设定的算法保存于指定安全软件,或由注册过程中从网络设备获取,故若终端设备未安装指定安全软件,则无法完成注册过程,即达到了强制安装的目的。
S13,以认证地址作为源地址,发送报文。
以使转发且仅转发源地址为被记录的认证地址的报文的网络设备,将报文的源地址替换为真实地址后转发该报文。其中,网络设备记录的认证地址是网络设备根据终端设备注册时的真实地址、注册时为终端设备分发的密钥、预先设定的算法进行加密换算得到的。
本实施方式中,网络设备可以是转发设备,如网关、交换机、路由器等任意对报文进行接收、发送、转发的设备。
网络设备在终端设备安装了指定安全软件并发起注册流程后,记录注册时由指定安全软件验证并告知的终端设备的真实地址,并为其分发密钥,然后通过与终端设备一致的预先设定的算法,根据终端设备的真实地址为其分发的密钥,加密换算得到认证地址,然后在本地或其他由网络设备可读取、写入、修改的存储位置记录认证地址、真实地址、密钥及其对应关系。
当网络设备接收到终端设备发来的报文时,验证其当前源地址是否为本地记录的认证地址,若是,则可以认为其地址信息未经过伪装、篡改或欺骗,然后从本地记录的信息中调取与该认证地址对应的真实地址,将真实地址替换至报文新的源地址,然后转发该报文。若接收到报文时,其当前源地址并不是本地记录的认证地址,则认为该报文是非合法的报文,或发送该报文的终端设备未安装指定安全软件,故丢弃该报文。
以上就完成了防攻击,从而使容易通过二层网络攻击的问题被改善。
在一种实施方式中,真实地址包括真实MAC地址和/或真实IP地址,认证地址包括认证MAC地址和/或认证IP地址。
地址可以是MAC地址或IP地址或二者兼具。
在一种实施方式中,本公开提供了一种防攻击方法,应用于网络设备,所述方法包括:接收报文,获取报文的源地址;若记录有该源地址为认证地址信息,则获取认证地址对应的真实地址;以真实地址替换该源地址后,转发该报文;记录的认证地址是网络设备根据终端设备注册时的真实地址、注册时为终端设备分发的密钥、预先设定的算法进行加密换算得到的。
具体地,如图2,包括以下步骤:
步骤S21,接收报文,获取报文的源地址。
这里指的是接收到报文时,报文当前的源地址。
步骤S22,若记录有该源地址为认证地址信息,则获取认证地址对应的真实地址。
记录的认证地址是网络设备根据终端设备注册时的真实地址、注册时为终端设备分发的密钥、预先设定的算法进行加密换算得到的。网络设备在终端设备安装了指定安全软件并发起注册流程后,记录注册时由指定安全软件验证并告知的终端设备的真实地址,并为其分发密钥,然后通过与终端设备一致的预先设定的算法,根据终端设备的真实地址为其分发的密钥,加密换算得到认证地址。然后在本地或其他由网络设备可读取、写入、修改的存储位置记录认证地址、真实地址、密钥及其对应关系。
当网络设备接收到终端设备发来的报文时,验证其当前源地址是否为本地记录的认证地址,若是,则可以认为其地址信息未经过伪装、篡改或欺骗,然后从本地记录的信息中调取与该认证地址对应的真实地址,
步骤S23,以真实地址替换该源地址后,转发该报文。
将真实地址替换至报文新的源地址,然后转发该报文。
在一种实施方式中,真实地址包括真实MAC地址和/或真实IP地址,认证地址包括认证MAC地址和/或认证IP地址。
地址可以是MAC地址或IP地址或二者兼具。
在一种实施方式中,若未记录有该源地址为认证地址信息,则丢弃该报文。
若接收到报文时,其当前源地址并不是本地记录的认证地址,则认为该报文是非合法的报文,或发送该报文的终端设备未安装指定安全软件,故丢弃该报文。
在一种实施方式中,预先建立记录表,对应记录终端设备的真实地址、为终端设备分发的密钥,以及终端设备注册时根据终端设备的真实地址、为终端设备分发的密钥、预先设定的算法进行加密换算得到的认证地址。
建立一张记录表,以记录认证地址、真实地址、密钥及其对应关系,便于快速读取分辨认证地址是否存在,及获取认证地址对应的真实地址。
以上就完成了防攻击,从而使容易通过二层网络攻击的问题被改善。
在一种实施方式中,本公开提供了一种防攻击装置,如图3,应用于终端设备,所述装置包括:检测模块31,检测待发送的报文的初始源地址是否为真实地址;加密模块32,用于待发送的报文的初始源地址是否为真实地址时,根据密钥和真实地址以预先设定的算法进行加密换算,得到认证地址,所述密钥是预先向网络设备注册后由网络设备分发的;发送模块33,用于以认证地址作为源地址,发送报文,以使转发且仅转发源地址为被记录的认证地址的报文的网络设备,将报文的源地址替换为真实地址后转发该报文;其中,网络设备记录的认证地址是网络设备根据终端设备注册时的真实地址、注册时为终端设备分发的密钥、预先设定的算法进行加密换算得到的。
装置实施方式与对应的方法实施方式相同或相似,故在此不再赘述。
在一种实施方式中,本公开提供了一种防攻击装置,如图4,应用于网络设备,所述装置包括:接收模块41,用于接收报文,获取报文的源地址;分析模块42,用于记录有该源地址为认证地址信息时,获取认证地址对应的真实地址;转发模块43,用于以真实地址替换该源地址后,转发该报文;记录的认证地址是网络设备根据终端设备注册时的真实地址、注册时为终端设备分发的密钥、预先设定的算法进行加密换算得到的。
装置实施方式与对应的方法实施方式相同或相似,故在此不再赘述。
在一种组网中,PC1、PC2、PC3、PC4和转发设备(如交换机)组成一个二层组网。
在PC机(即终端设备)上安装安全插件(即指定安全软件),安全插件提取PC机网卡的MAC地址、IP地址作为参数记录在插件,同时安全插件向转发设备(即网络设备)发送注册报文,获得转发设备提供的身份密钥secKey(即密钥)。
PC机发送到转发设备的报文要经过安全插件,安全插件进行检查报文的源MAC地址、源IP是否为设备的真实MAC地址、真实IP地址,不是则丢弃。如果是,则将源MAC地址、源IP地址、secKey进行一定的计算,计算出一个认证MAC地址AU_MAC,AU_MAC作为源MAC,将报文发送到转发设备。
转发设备,在PC机注册阶段,记录了PC的secKey、真实MAC地址、真实IP地址、以及和PC采用同样方法计算出的认证MAC地址AU_MAC,作为一个列表项记录在Sec_MAC_Info中。
在转发设备收到报文后,提取报文的当前源MAC地址Sou_MAC,用Sou_MAC匹配Sec_MAC_Info中的AU_MAC,如果匹配不到,则认为是非法报文进行丢弃处理,否则,获取表项的真实MAC地址,用真实MAC地址替换报文源MAC,然后进行二层处理。
转发设备发送给终端的报文,其目的MAC为终端设备的真实MAC地址。
在一种实施方式中,本公开提供了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,处理器执行所述机器可执行指令以实现前述的防攻击方法,从硬件层面而言,硬件架构示意图可以参见图5所示。
在一种实施方式中,本公开提供了一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现前述的防攻击方法。
这里,机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(RadomAccess Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施方式阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本公开时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本公开的实施方式可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施方式、完全软件实施方式、或结合软件和硬件方面的实施方式的形式。而且,本公开实施方式可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施方式的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本领域技术人员应明白,本公开的实施方式可提供为方法、系统或计算机程序产品。因此,本公开可以采用完全硬件实施方式、完全软件实施方式、或者结合软件和硬件方面的实施方式的形式。而且,本公开可以采用在一个或者多个其中包含有计算机可用程序代码的计算机可用存储介质(可以包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本公开的实施方式而已,并不用于限制本公开。对于本领域技术人员来说,本公开可以有各种更改和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本公开的权利要求范围之内。
Claims (10)
1.一种防攻击方法,其特征在于,应用于终端设备,所述方法包括:
检测待发送的报文的初始源地址是否为真实地址;
若是,则根据密钥和真实地址以预先设定的算法进行加密换算,得到认证地址,所述密钥是预先向网络设备注册后由网络设备分发的;
以认证地址作为源地址,发送报文,以使转发且仅转发源地址为被记录的认证地址的报文的网络设备,将报文的源地址替换为真实地址后转发该报文;
其中,网络设备记录的认证地址是网络设备根据终端设备注册时的真实地址、注册时为终端设备分发的密钥、预先设定的算法进行加密换算得到的。
2.根据权利要求1所述的方法,其特征在于,真实地址包括真实MAC地址和/或真实IP地址,认证地址包括认证MAC地址和/或认证IP地址。
3.一种防攻击方法,其特征在于,应用于网络设备,所述方法包括:
接收报文,获取报文的源地址;
若记录有该源地址为认证地址信息,则获取认证地址对应的真实地址;
以真实地址替换该源地址后,转发该报文;
记录的认证地址是网络设备根据终端设备注册时的真实地址、注册时为终端设备分发的密钥、预先设定的算法进行加密换算得到的。
4.根据权利要求3所述的方法,其特征在于,真实地址包括真实MAC地址和/或真实IP地址,认证地址包括认证MAC地址和/或认证IP地址。
5.根据权利要求3所述的方法,其特征在于,若未记录有该源地址为认证地址信息,则丢弃该报文。
6.根据权利要求3所述的方法,其特征在于,预先建立记录表,对应记录终端设备的真实地址、为终端设备分发的密钥,以及终端设备注册时根据终端设备的真实地址、为终端设备分发的密钥、预先设定的算法进行加密换算得到的认证地址。
7.一种防攻击装置,其特征在于,应用于终端设备,所述装置包括:
检测模块,检测待发送的报文的初始源地址是否为真实地址;
加密模块,用于待发送的报文的初始源地址是否为真实地址时,根据密钥和真实地址以预先设定的算法进行加密换算,得到认证地址,所述密钥是预先向网络设备注册后由网络设备分发的;
发送模块,用于以认证地址作为源地址,发送报文,以使转发且仅转发源地址为被记录的认证地址的报文的网络设备,将报文的源地址替换为真实地址后转发该报文;
其中,网络设备记录的认证地址是网络设备根据终端设备注册时的真实地址、注册时为终端设备分发的密钥、预先设定的算法进行加密换算得到的。
8.一种防攻击装置,其特征在于,应用于网络设备,所述装置包括:
接收模块,用于接收报文,获取报文的源地址;
分析模块,用于记录有该源地址为认证地址信息时,获取认证地址对应的真实地址;
转发模块,用于以真实地址替换该源地址后,转发该报文;
记录的认证地址是网络设备根据终端设备注册时的真实地址、注册时为终端设备分发的密钥、预先设定的算法进行加密换算得到的。
9.一种电子设备,其特征在于,包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器执行所述机器可执行指令,以实现权利要求1-6任一所述的方法。
10.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现权利要求1-6任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010246582.7A CN111740943B (zh) | 2020-03-31 | 2020-03-31 | 一种防攻击方法、装置、设备及机器可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010246582.7A CN111740943B (zh) | 2020-03-31 | 2020-03-31 | 一种防攻击方法、装置、设备及机器可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111740943A CN111740943A (zh) | 2020-10-02 |
| CN111740943B true CN111740943B (zh) | 2022-04-01 |
Family
ID=72646823
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010246582.7A Active CN111740943B (zh) | 2020-03-31 | 2020-03-31 | 一种防攻击方法、装置、设备及机器可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111740943B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113347198B (zh) * | 2021-06-23 | 2022-07-08 | 深圳壹账通智能科技有限公司 | Arp报文处理方法、装置、网络设备及存储介质 |
| CN113596022A (zh) * | 2021-07-27 | 2021-11-02 | 北京卫达信息技术有限公司 | 识别网络内恶意源的设备和方法 |
| CN113660274B (zh) * | 2021-08-18 | 2023-04-07 | 中国电信股份有限公司 | 网站信息处理方法及装置、存储介质及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119371A (zh) * | 2007-08-28 | 2008-02-06 | 杭州华三通信技术有限公司 | 防范利用arp进行网络攻击的方法、客户端、服务器及系统 |
| CN101567891A (zh) * | 2009-05-31 | 2009-10-28 | 成都市华为赛门铁克科技有限公司 | 源地址验证方法、装置及系统 |
| CN103095584A (zh) * | 2013-02-04 | 2013-05-08 | 杭州华三通信技术有限公司 | 一种报文处理方法及交换设备 |
| WO2018133674A1 (zh) * | 2017-01-18 | 2018-07-26 | 西安慧博习兆信息技术有限公司 | 一种银行支付许可认证信息的反馈验证方法 |
| CN110798546A (zh) * | 2019-11-08 | 2020-02-14 | 杭州海兴电力科技股份有限公司 | 一种基于duid的dhcp客户端接入认证方法 |
-
2020
- 2020-03-31 CN CN202010246582.7A patent/CN111740943B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101119371A (zh) * | 2007-08-28 | 2008-02-06 | 杭州华三通信技术有限公司 | 防范利用arp进行网络攻击的方法、客户端、服务器及系统 |
| CN101567891A (zh) * | 2009-05-31 | 2009-10-28 | 成都市华为赛门铁克科技有限公司 | 源地址验证方法、装置及系统 |
| CN103095584A (zh) * | 2013-02-04 | 2013-05-08 | 杭州华三通信技术有限公司 | 一种报文处理方法及交换设备 |
| WO2018133674A1 (zh) * | 2017-01-18 | 2018-07-26 | 西安慧博习兆信息技术有限公司 | 一种银行支付许可认证信息的反馈验证方法 |
| CN110798546A (zh) * | 2019-11-08 | 2020-02-14 | 杭州海兴电力科技股份有限公司 | 一种基于duid的dhcp客户端接入认证方法 |
Non-Patent Citations (1)
| Title |
|---|
| ARP协议的攻击与防范;李扬继等;《兵工自动化》;20040815(第04期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111740943A (zh) | 2020-10-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Mallik | Man-in-the-middle-attack: Understanding in simple words | |
| US10157280B2 (en) | System and method for identifying security breach attempts of a website | |
| CN111740943B (zh) | 一种防攻击方法、装置、设备及机器可读存储介质 | |
| US9699158B2 (en) | Network user identification and authentication | |
| Baitha et al. | Session hijacking and prevention technique | |
| US20070294759A1 (en) | Wireless network control and protection system | |
| US20070118894A1 (en) | Method for responding to denial of service attacks at the session layer or above | |
| CA2597763A1 (en) | Context limited shared secret | |
| Hijazi et al. | Address resolution protocol spoofing attacks and security approaches: A survey | |
| Parthasarathy | Protocol for carrying authentication and network access (PANA) threat analysis and security requirements | |
| Supriyanto et al. | Survey of internet protocol version 6 link local communication security vulnerability and mitigation methods | |
| CN108924122B (zh) | 一种网络敌我识别方法及系统 | |
| CN102438028A (zh) | 一种防止dhcp服务器欺骗的方法、装置及系统 | |
| CN113206858A (zh) | 基于物联网DDoS攻击的移动目标防御方法 | |
| Raza et al. | vepc-sec: Securing lte network functions virtualization on public cloud | |
| Alsadeh et al. | Cryptographically Generated Addresses (CGAs): Possible attacks and proposed mitigation approaches | |
| KR20080040256A (ko) | IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템 | |
| CN113810398B (zh) | 一种攻击防护方法、装置、设备及存储介质 | |
| US20220103582A1 (en) | System and method for cybersecurity | |
| CN105790932A (zh) | 一种通过使用机器码为基础的加密方法 | |
| Kambourakis et al. | Signaling-oriented DoS attacks in UMTS networks | |
| Haitao et al. | The security issues and countermeasures in Mobile IP | |
| Sher et al. | 3G-WLAN convergence: Vulnerability, attacks possibilities and security model | |
| US7694334B2 (en) | Apparatus and method for traversing gateway device using a plurality of batons | |
| Arjuman et al. | An improved secure router discovery mechanism to prevent fake ra attack in link local IPv6 network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |