CN112165483B - 一种arp攻击防御方法、装置、设备及存储介质 - Google Patents
一种arp攻击防御方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN112165483B CN112165483B CN202011019624.XA CN202011019624A CN112165483B CN 112165483 B CN112165483 B CN 112165483B CN 202011019624 A CN202011019624 A CN 202011019624A CN 112165483 B CN112165483 B CN 112165483B
- Authority
- CN
- China
- Prior art keywords
- communication module
- arp
- attack
- address
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种ARP攻击防御方法、装置、设备及存储介质,该方法包括:利用所述第一通信模块进行通信时,若检测到ARP攻击则生成切换指令;基于所述切换指令,从所述第一通信模块切换到第二通信模块,以利用所述第二通信模块进行通信。如此,当使用第一通信模块与外界的第二电子设备进行通信数据交互时,能够主动检测到第一电子设备是否受到ARP攻击,当受到ARP攻击时立刻将第二通信模块切换到通信模式,使用未被ARP攻击的第二通信模块与第二电子设备进行通信数据交互,来防御ARP攻击,且将防御措施模块化,能够针对用户个人终端进行部署,让个人终端都具备检测和防御能力。
Description
技术领域
本申请涉及通信技术,尤其涉及一种地址解析协议(Address ResolutionProtocol,ARP)攻击防御方法、装置、设备及存储介质。
背景技术
ARP是负责将网际互连网协议(Internet Protocol,IP)地址解析成对应的媒体访问控制(Media Access Control,MAC)地址。
ARP攻击是利用ARP协议设计时缺乏安全验证漏洞来实现的,通过伪造ARP数据包来窃取合法用户的通信数据,造成影响网络传输速率和盗取用户隐私信息等严重危害。
现有的ARP攻击防御方法有,(1)在终端上设置静态的ARP映射表,不让主机刷新设定好的映射表,但该方法适用于网络中主机位置稳定,不适用在主机更换频繁的局域网中。(2)在交换机上设置访问控制,对于所有流经交换机但IP地址和MAC地址与网关不匹配的情况进行过滤,从而避免了ARP的攻击。但目标大部分支持ARP防御的路由器或者交换机都是企业级的产品,对于家用终端来说,家用局域网络不够安全,很容易被ARP攻击。
可见,现有的ARP攻击防御方法不适用于普通个人终端,个人终端在局域网中被ARP攻击的风险较大。
发明内容
为解决上述技术问题,本申请实施例期望提供一种ARP攻击防御方法、装置、设备及存储介质。
本申请的技术方案是这样实现的:
第一方面,提供了一种地址解析协议ARP攻击防御方法,应用于第一电子设备,所述第一电子设备包括:第一通信模块和第二通信模块;所述方法包括:
利用所述第一通信模块进行通信时,若检测到ARP攻击则生成切换指令;
基于所述切换指令,从所述第一通信模块切换到第二通信模块,以利用所述第二通信模块进行通信。
第二方面,提供了一种地址解析协议ARP攻击防御装置,应用于第一电子设备,所述第一电子设备包括:第一通信模块和第二通信模块;所述ARP攻击防御装置包括:
检测单元,用于利用所述第一通信模块进行通信时,若检测到ARP攻击则生成切换指令;
切换单元,用于基于所述切换指令,从所述第一通信模块切换到第二通信模块,以利用所述第二通信模块进行通信。
第三方面,提供了一种计算机存储介质,一种电子设备,包括:处理器和配置为存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器配置为运行所述计算机程序时,执行前述方法的步骤。
第四方面,提供了一种计算机存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现前述方法的步骤。
本申请实施例中提供了一种ARP攻击防御方法、装置、设备及存储介质,该方法包括:利用所述第一通信模块进行通信时,若检测到ARP攻击则生成切换指令;基于所述切换指令,从所述第一通信模块切换到第二通信模块,以利用所述第二通信模块进行通信。如此,当使用第一通信模块与外界的第二电子设备进行通信数据交互时,能够主动检测到第一电子设备是否受到ARP攻击,当受到ARP攻击时立刻将第二通信模块切换到通信模式,使用未被ARP攻击的第二通信模块与第二电子设备进行通信数据交互,来防御ARP攻击,且将防御措施模块化,能够针对用户个人终端进行部署,让个人终端都具备检测和防御能力。
附图说明
图1为本申请实施例中ARP攻击防御方法的第一流程示意图;
图2为本申请实施例中ARP攻击防御方法的第二流程示意图;
图3为本申请实施例中通信网络的组成结构示意图;
图4为本申请实施例中通信模块的交互示意图;
图5为本申请实施例中ARP攻击防御方法的第三流程示意图;
图6为本申请实施例中第二通信模块的切换流程示意图;
图7为本申请实施例中第一通信模块的切换流程示意图;
图8为本申请实施例中监控网络安全状态的流程示意图;
图9为本申请实施例中ARP攻击防御方法的第四流程示意图;
图10为本申请实施例中ARP攻击防御装置的组成结构示意图;
图11为本申请实施例中电子设备的组成结构示意图。
具体实施方式
为了能够更加详尽地了解本申请实施例的特点与技术内容,下面结合附图对本申请实施例的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本申请实施例。
本申请实施例提供的ARP防御方法应用于第一电子设备,第一电子设备可以是网络通信架构中任意电子设备。比如,用户终端、路由器、交换机,用户终端具体可以为手机、平板电脑、笔记本电脑、掌上电脑、个人数字助理(Personal Digital Assistant,PDA)、便捷式媒体播放器(Portable Media Player,PMP)、导航装置、可穿戴设备、智能手环、相机等。
第一电子设备为用户终端则第二电子设备可以为路由器或交换机等网络连接设备,第一电子设备为路由器或交换机等网络连接设备时第二电子设备为用户终端。
本申请实施例中,所述第一电子设备包括:第一通信模块和第二通信模块;所述第一通信模块配置有第一IP地址和第一MAC地址;所述第二通信模块配置有第二IP地址和第二MAC地址。可以理解的,第一电子设备利用第一通信模块的所述第一IP地址和所述第一MAC地址进行通信;第一电子设备利用第二通信模块的所述第二IP地址和所述第二MAC地址进行通信。
图1为本申请实施例中ARP攻击防御方法的第一流程示意图,如图1所示,该方法具体可以包括:
步骤101:利用所述第一通信模块进行通信时,若检测到ARP攻击则生成切换指令;
具体地,所述第一通信模块工作在通信模式,第一电子设备利用所述第一通信模块进行通信,若检测到ARP攻击则生成切换指令;其中,所述第一通信模块工作在通信模式,所述第一电子设备基于所述第一通信模块配置的第一IP地址和第一MAC地址实现与第二电子设备的通信;
实际应用中,第一通信模块可以作为第一电子设备的初始通信模块或者主要通信模块,在第一电子设备启动后,默认使用第一通信模块进行通信,即第一通信模块在第一电子设备启动后默认工作在通信模式。
实际应用中,第一电子设备启动后也可以使用关机前所使用的通信模块进行通信,通信模块的工作模式为关机前的工作模式。
在一些实施例中,检测是否存在ARP攻击的方法包括:若接收到相同ARP数据包的频率大于频率阈值时,确定存在ARP攻击;否则,确定不存在ARP攻击。这里,频率阈值可以是根据发生ARP攻击时的经验值确定的,比如3个/秒、5个/秒。
在另一些实施例中,检测是否存在ARP攻击的方法包括:若接收到相同ARP数据包的频率大于预设频率,且发送该ARP数据包对应的源IP地址存在多个冲突的MAC地址时,确定存在ARP攻击。这里,同时根据相同ARP数据包的数量和MAC地址冲突来判断是否存在ARP攻击具有较高的准确性。
步骤102:基于所述切换指令,从所述第一通信模块切换到第二通信模块,以利用所述第二通信模块进行通信。
具体地,基于所述切换指令,将所述第二通信模块的工作模式切换到通信模式;其中,所述第二通信模块工作在通信模式,所述第一电子设备基于所述第二通信模块配置的第二IP地址和所述第二MAC地址实现与第二电子设备的通信。
需要说明的是,第一通信模块工作在通信模式时,第二通信模块工作在非通信模式,第一电子设备将第一通信模块的第一IP地址和第一MAC地址作为自身的IP地址和MAC地址与第二电子设备进行通信。当第一电子设备被ARP攻击时,此时第一电子设备继续使用第一IP地址和第一MAC地址存在数据被窃取的风险,此时停止使用第一IP地址和第一MAC地址,将第二通信模块的第二IP地址和第二MAC地址作为自身的IP地址和MAC地址与第二电子设备进行通信,由于第二IP地址和第二MAC地址未被攻击,可以保证通信数据的安全。
也就是说,切换指令用于指示第二通信模块从非通信模式切换到通信模式。
在一些实施例中,当检测到存在ARP攻击时,可以先基于切换指令控制第二通信模块从非通信模式切换到通信模式,当第二通信模式切换成功后再控制第一通信模块从通信模式切换到非工作模式。
需要说明的是,在非通信模式下第一电子设备不会使用通信模块与其他电子设备进行通信数据交互。比如,非通信模式为待机模式等待被唤醒,非通信模式还可以为安全模式参与检测ARP攻击等等。
这里,步骤101至步骤102的执行主体可以为第一电子设备的处理器,或者第一通信模块中的微处理器,或者第二通信模块中的微处理器。也就是说,本申请实施例中检测ARP攻击和控制切换通信模块的工作模式,可以由独立于第一通信模块和第二通信模块之外的处理器来实现,也可以由第一通信模块来实现,或者由第二通信模块来实现。
采用上述技术方案,当使用第一通信模块与外界的第二电子设备进行通信数据交互时,能够主动检测到第一电子设备是否受到ARP攻击,当受到ARP攻击时立刻将第二通信模块切换到通信模式,使用未被ARP攻击的第二通信模块与第二电子设备进行通信数据交互,来防御ARP攻击,且将防御措施模块化,能够针对用户个人终端进行部署,让个人终端都具备检测和防御能力。
本申请实施例基于上述ARP攻击防御方法,对ARP攻击防御方法进行进一步的举例说明。图2为本申请实施例中ARP攻击防御方法的第二流程示意图,如图2所示,该方法具体可以包括:
步骤201:利用所述第一通信模块进行通信时,若检测到ARP攻击则生成切换指令;
具体地,所述第一通信模块工作在通信模式,第一电子设备利用所述第一通信模块进行通信,若检测到ARP攻击则生成切换指令;其中,所述第一通信模块工作在通信模式,所述第一电子设备基于所述第一通信模块配置的第一IP地址和第一MAC地址实现与第二电子设备的通信;
实际应用中,第一通信模块工作在通信模式时,第二通信模块工作在安全模式;第二通信模块工作在通信模式时,第一通信模块工作在安全模式。在安全模式下,第一通信模块或第二通信模块用于监控第一电子设备所在网络的网络安全状态得到网络安全信息。
实际应用中,第二通信模块工作在安全模式时,第二通信模块监控第一电子设备所在网络的网络安全状态得到网络安全信息。
在一些实施例中,所述第一通信模块工作在通信模式时,所述方法还包括:基于所述第一通信模块接收到的ARP数据包和所述第二通信模块监控到的所述网络安全信息,确定是否存在ARP攻击。
具体地,所述基于所述第一通信模块接收到的ARP数据包和所述第二通信模块监控到的所述网络安全信息,确定是否存在ARP攻击,包括:所述第一通信模块接收到的ARP数据满足第一攻击条件时,获取所述ARP数据包对应的源IP地址;所述源IP地址和所述网络安全信息满足第二攻击条件时,确定存在ARP攻击;所述第一攻击条件或者所述第二攻击条件不满足,确定不存在ARP攻击。
在一些实施例中,所述第一攻击条件包括:收到重复的ARP数据包的频率大于频率阈值;所述第二攻击条件包括:所述网络安全信息中所述源IP地址对应至少两个不同的MAC地址。
所述网络安全信息为ARP缓存表,其中,所述ARP缓存表中采用不覆盖全纪录的方式记录所述第一电子设备在当前网络中能够监控到的所有IP地址,以及每个IP地址对应的一个或多个MAC地址。
实际应用中,针对攻击机伪装成路由器的场景,由于攻击机会向处于通信模式的通信模块发送大量ARP数据包,所以在通信模块将收到相同ARP数据包的频率作为检测攻击的一个维度。如果频率大于3个/秒(该变量可以调节),会和处于安全模式的另一通信模块进行通信,查询源IP地址在ARP缓存表里的记录,是否存在多个MAC地址,若存在,则判断为ARP攻击。
需要说明的是,不覆盖全纪录的方式是指一个通信模块在安全模式下,监控整个网络状态,不进行数据的交互,不断通过ARP Request轮询当前局域网络中所存在的IP地址,记录IP地址及其对应的MAC地址;若发生MAC地址冲突,不去覆盖冲突地址,而是全部记录下来,提供给另一个通信模块进行查询而作为检测ARP攻击的一个维度。
实际应用中,用户终端轮询局域网后,获取局域网中通信设备的IP地址和MAC地址的对应关系,并在对应关系表中添加一个对应关系表项,上述记录不同设备的IP地址和MAC地址的对应关系。
在另一些实施例中,还可以仅通过重复的ARP数据包的数量来判断是否存在ARP攻击,或者通过检测第一电子设备和第二电子设备之间的网速来判断是否存在ARP攻击,也可以通过现有的其他检测ARP攻击的方法来判断是否存在ARP攻击。
在另一些实施例中,所述第一通信模块工作在通信模式时,所述方法还包括:基于第二通信模块在所述安全模式下检测到的网络传输速率,确定是否存在ARP攻击。
具体地,所述第二通信模块在安全模式下通过向第二电子设备发送ARP应答数据包来检测网络传输速率;其中,所述ARP应答数据包包括所述第一电子设备的真实IP地址及其对应的MAC地址。
所述基于所述第二通信模块在安全模式下检测到的网络传输速率,确定是否存在ARP攻击,包括:预设时间段内的网络传输速率相比于正常情况下的网络传输速率的下降量持续小于下降量阈值,确定存在ARP攻击;否则,确定不存在ARP攻击。
实际应用中,针对攻击机伪装成用户终端攻击路由器的场景,由于攻击机会向路由器发送大量同用户终端IP相同但MAC不同的ARP Reply包,告诉路由器,攻击机是用户终端,从而能够截取路由器下行传输给真正用户终端的数据;处于安全模式的第二通信模块通过周期性向路由器发送大量的真正用户模块的IP和MAC的ARP包,然后检测下行网速,因为路由器端会同时收到攻击机的错误ARP包和第二通信模块发出的正确ARP包,这时,路由器端就会产生IP地址冲突,从而影响网络传输速率(简称“网速”)。由此,可通过该时隙网速的变化去检测是否存在ARP攻击;若存在,将第一通信模块从通信模式切换到安全模式,第二通信模块从安全模式切换到通信模式。
需要说明的是,第一电子设备为终端时检测的是下行速率,第二电子设备为路由器时检测的时上行速率。
步骤202:基于所述切换指令,从所述第一通信模块切换到第二通信模块,以利用所述第二通信模块进行通信;
具体地,基于所述切换指令,将所述第二通信模块从安全模式切换到通信模式;其中,所述第二通信模块工作在通信模式,所述第一电子设备基于所述第二通信模块配置的第二IP地址和所述第二MAC地址实现与第二电子设备的通信。
步骤203:确定所述第二通信模块切换成功时,获取切换成功响应指令;
也就是说,只有在第二通信模块成功切换到通信模式时,第一通信模块才能切换到安全模式,当第二通信模块未切换到通信模式时,则可以生成切换失败响应指令,或者不响应,则处理器或第一通信模块会继续生成切换指令,直至切换成功。
步骤204:基于所述切换成功响应指令,将所述第一通信模块从所述通信模式切换到所述安全模式。
这里,安全模式是一种用于监控网络安全状态得到网络安全信息的工作模式,第一通信模块工作在安全模式下,用于监控网络安全状态得到网络安全信息。
也就是说,当存在ARP攻击时,第一通信模块和第二通信模式进行角色对调,第二通信模块用于通信,第一通信模块用于网络状态监控。
在一些实施例中,当第一电子设备断开网络连接之后,第一电子设备中的第一通信模块和第二通信模块清除所有的缓存表和记录,在下次接入网络之后重新缓存。
这里,步骤201至步骤204的执行主体可以为第一电子设备的处理器,或者第一通信模块中的微处理器,或者第二通信模块中的微处理器。也就是说,本申请实施例中检测ARP攻击和控制切换通信模块的工作模式,可以由独立于第一通信模块和第二通信模块之外的处理器来实现,也可以由第一通信模块来实现,或者由第二通信模块来实现。
本申请实施例基于上述ARP攻击防御方法,以第一电子设备为终端,第二电子设备为路由器为例,对ARP攻击防御方法进行进一步的举例说明。图3为本申请实施例中通信网络的组成结构示意图,如图3所示,通信网络包括:终端31、路由器32和攻击机33。其中,终端31包括第一通信模块311和第二通信模块312,第一通信模块311配置有第一IP地址和第一MAC地址,第二通信模块312配置有第二IP地址和第二MAC地址。
需要说明的是,图3中的第二通信模块内置于终端中,只是为了说明连接结构将第二通信模块单独画出,路由器连接用户终端的第一通信模块和第二通信模块,以及攻击主机,。在攻击主机进行ARP攻击时,可向用户终端或者路由器发送攻击包。
实际应用中,第二通信模块也可置于路由器中,即路由器作为第一电子设备,终端作为第二电子设备。
例如,攻击机向用户终端发送大量路由器的IP和攻击机生成的MAC地址的单播ARP包,当前攻击机伪装成路由器,让用户终端更新自身的ARP缓存表如表1所示,误以为攻击机为路由器,若终端上当前使用的应用上传数据时未加密,攻击机有机会截取用户终端上传的数据,形成攻击;
同时,攻击机仍可伪装成用户终端,让一些防御能力不强的路由器更新ARP缓存表,让路由器误以为攻击机为用户终端,由此,攻击机仍有机会截取到路由器传输给用户终端的下行数据,形成攻击。
表1
| 设备 | IP地址 | MAC地址 |
| 路由器 | 192.168.0.1 | Mac-Router |
| 攻击机 | 192.168.0.4 | Mac-Attacker |
| 用户终端 | 192.168.0.5 | Mac-User |
| 第二通信模块 | 192.168.0.7 | Mac-Security |
表1为ARP缓存表,对于不同设备缓存表格式相同,内容不同,且设备名称未知,如对于用户终端,轮询局域网后,ARP缓存表中只有路由器、攻击机和第二通信模块的IP地址及其对应的MAC地址。
如图4所示,第一通信模块311和第二通信模块312之间也可以进行数据交互。
本申请实施例将第二通信模块嵌入至用户终端后,用户终端中具备两个模块,第一通信模块和第二通信模块;联合两个通信模块一同检测ARP攻击,第一通信模块在通信模式下若检测到当前局域网络中有ARP攻击,则第二通信模块作为备用通信模块开始正常通信,第一通信模块则切换到安全模式进行监控和备用。其中,第一通信模块和第二通信模块具备独立IP地址和MAC地址。具体细节如下:
如图5所示,第一通信模块311作为检测ARP攻击和控制切换的执行主体进行举例说明,该方法具体可以包括:
步骤501:第一通信模块工作在通信模式实现与第二电子设备的通信;
步骤502:监控ARP数据包;
步骤503:判断重复的ARP数据包的频率大于频率阈值,如果是,执行步骤504;如果否,返回步骤501;
步骤504:查询源IP地址在第二通信模块监控的ARP缓存表的状态;
步骤505:判断源IP地址是否存在多个MAC地址;如果是,执行步骤506;如果否,返回步骤501;
步骤506:生成切换指令并发送给第二通信模块。
这里,第二通信模块在接收到切换指令后,从安全模式切换到通信模式。
如图6所示,第二通信模块312在接收到切换指令后的执行步骤具体可以包括:
步骤601:监听切换指令;
步骤602:判断是否接收到切换指令,如果是,执行步骤603;如果否,返回步骤601;
步骤603:从安全模式切换到通信模式;
也就是说,将第一电子设备的IP地址和MAC地址从第一IP地址和第一MAC地址切换为第二通信模块的第二IP地址和第二MAC地址。
步骤604;生成切换成功响应指令并发送给第一通信模块。
进一步地,如图7所示,第一通信模块311在接收到切换成功响应指令后的执行步骤具体可以包括:
步骤701:监听切换成功响应指令;
步骤702:判断是否切换成功;如果是,执行步骤703;如果否,返回步骤701。
步骤703:从通信模式切换到安全模式;
也就是说,将第一电子设备被攻击的IP地址切换成用于监控电子设备的IP地址,被攻击的IP地址不参与通信数据的交互。
步骤704;监控网络安全状态得到网络安全信息。
所述网络安全信息为ARP缓存表,其中,所述ARP缓存表中采用不覆盖全纪录的方式记录所述第一电子设备在当前网络中能够监控到的所有IP地址,以及每个IP地址对应的一个或多个MAC地址。
表2
| 设备 | IP地址 | MAC地址 |
| 路由器 | 192.168.0.1 | Mac-Router |
| 攻击机 | 192.168.0.4 | Mac-Attacker1 |
| 攻击机 | 192.168.0.4 | Mac-Attacker2 |
| 攻击机 | 192.168.0.4 | Mac-Attacker3 |
| 用户终端 | 192.168.0.5 | Mac-User |
| 第一通信模块 | 192.168.0.7 | Mac-Security |
表2为第二通信模块工作在安全模式下维护的ARP缓存表,可以看出对于攻击机,同一IP地址对应了三个不同的MAC地址。
需要说明的是,此时第一通信模块的工作与之前第二通信模块工作在安全模式下的功能相同,第一通信模块工作在安全模式,接替第二通信模式之前的监控工作。
相应的,第一通信模块监控到的网络安全信息也可以作为第二通信模块判断ARP攻击的一个维度。
具体地,如图8所示,第一通信模块或第二通信模块在安全模式下监控网络安全状态的执行步骤具体可以包括:
步骤801:设置轮询速率;
步骤802:轮询局域网内的所有IP地址,找到活跃IP地址;
步骤803:判断是否有新的IP地址;如果是,执行步骤804;如果否,执行步骤805;
步骤804:在ARP缓存表中记录IP地址及其对应的MAC地址;
实际应用中,步骤804执行完毕后返回步骤802继续监控。
步骤805:判断IP地址对应的MAC地址是否存在冲突;如果是,执行步骤804;如果否,返回步骤802。
当通过检测下行速率来判断是否存在ARP攻击时,可以由工作在安全模式下的通信模块来实现。如图9所示,第一通信模块或第二通信模块在安全模式下检测是否存在ARP攻击的方法具体可以包括:
步骤901:设置发送ARP应答数据包周期;
步骤902:按照设置周期向路由器发送大量ARP应答数据包;
步骤903:判断是否当前网速小于网速阈值;如果是,执行步骤904;如果否,返回步骤902;
步骤904:控制自身切换到通信模式,并发送切换成功响应指令。
实际应用中,当检测到当前网速小于网速阈值时,生成切换指令,通过切换指令从安全模式切换到通信模式,生成切换成功响应指令并发送给另一通信模块,以控制另一通信模块从通信模式切换到安全模式。
采用上述技术方案,将ARP攻击防御措施模块化,能够针对每个终端进行部署,让每个终端都具备检测和防御能力,而不是依赖网络中的其他设备,且模块间可以重置复用。对当前网络拓扑没有要求,如现在对可靠的防御方法是终端和路由器进行双向绑定;所以,能够不用去在意当前所处网络中的ARP攻击,终端主动去检测和防御该类攻击。
为实现本申请实施例的方法,基于同一发明构思本申请实施例还提供了一种ARP攻击防御装置,应用于第一电子设备,所述第一电子设备包括:第一通信模块和第二通信模块;如图10所示,所述ARP攻击防御装置包括:
检测单元1001,用于利用所述第一通信模块进行通信时,若检测到ARP攻击则生成切换指令;
切换单元1002,用于基于所述切换指令,从所述第一通信模块切换到第二通信模块,以利用所述第二通信模块进行通信。
在一些实施例中,所述第一通信模块配置有第一IP地址和第一MAC,所述第二通信模块配置有第二IP地址和第二MAC地址;
所述第一电子设备基于所述第一IP地址和所述第一MAC地址进行通信;
或者,所述第一电子设备基于所述第二IP地址和所述第二MAC地址进行通信。
在一些实施例中,切换单元1002,具体用于基于所述切换指令,将所述第二通信模块从安全模式切换到通信模式;其中,所述安全模式是一种用于监控网络安全状态得到网络安全信息的工作模式。
在一些实施例中,检测单元1001,还用于所述第一通信模块工作在通信模式时,基于所述第一通信模块接收到的ARP数据包和所述第二通信模块监控到的所述网络安全信息,确定是否存在ARP攻击。
在一些实施例中,检测单元1001,具体用于所述第一通信模块接收到的ARP数据满足第一攻击条件时,获取所述ARP数据包对应的源IP地址;所述源IP地址和所述网络安全信息满足第二攻击条件时,确定存在ARP攻击;所述第一攻击条件或者所述第二攻击条件不满足,确定不存在ARP攻击。
在一些实施例中,所述第一攻击条件包括:收到重复的ARP数据包的频率大于频率阈值;
所述第二攻击条件包括:所述网络安全信息中所述源IP地址对应至少两个不同的MAC地址。
在一些实施例中,检测单元1001,还用于所述第一通信模块工作在通信模式时,基于所述第二通信模块在安全模式下检测到的网络传输速率,确定是否存在ARP攻击。
在一些实施例中,所述第二通信模块在安全模式下通过向第二电子设备发送ARP应答数据包来检测网络传输速率;其中,所述ARP应答数据包包括所述第一电子设备的真实IP地址及其对应的MAC地址。
在一些实施例中,检测单元1001,具体用于预设时间段内的网络传输速率相比于正常情况下的网络传输速率的下降量持续小于下降量阈值,确定存在ARP攻击;否则,确定不存在ARP攻击。
在一些实施例中,切换单元1002,还用于在基于所述切换指令,将所述第二通信模块从安全模式切换到通信模式之后,确定所述第二通信模块切换成功时,将所述第一通信模块从通信模式切换到安全模式;其中,所述安全模式是一种用于监控网络安全状态得到网络安全信息的工作模式。
在一些实施例中,所述网络安全信息为ARP缓存表,其中,所述ARP缓存表中采用不覆盖全纪录的方式记录所述第一电子设备在当前网络中能够监控到的所有IP地址,以及每个IP地址对应的一个或多个MAC地址。
采用上述装置,当使用第一通信模块与外界的第二电子设备进行通信数据交互时,能够主动检测到第一电子设备是否受到ARP攻击,当受到ARP攻击时立刻将第二通信模块切换到通信模式,使用未被ARP攻击的第二通信模块与第二电子设备进行通信数据交互,来防御ARP攻击,且将防御措施模块化,能够针对用户个人终端进行部署,让个人终端都具备检测和防御能力。
基于上述ARP攻击防御装置中各单元的硬件实现,本申请实施例还提供了一种电子设备,如图11所示,该电子设备包括:处理器1101和配置为存储能够在处理器上运行的计算机程序的存储器1102;
其中,处理器1101配置为运行计算机程序时,执行前述实施例中的方法步骤。
该电子设备中还包括第一通信模块1103和第二通信模块1104。
当然,实际应用时,如图11所示,该电子设备中的各个组件通过总线系统1105耦合在一起。可理解,总线系统1105用于实现这些组件之间的连接通信。总线系统1105除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图11中将各种总线都标为总线系统1105。
在实际应用中,上述处理器可以为特定用途集成电路(ASIC,ApplicationSpecific Integrated Circuit)、数字信号处理装置(DSPD,Digital Signal ProcessingDevice)、可编程逻辑装置(PLD,Programmable Logic Device)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、控制器、微控制器、微处理器中的至少一种。可以理解地,对于不同的设备,用于实现上述处理器功能的电子器件还可以为其它,本申请实施例不作具体限定。
上述存储器可以是易失性存储器(volatile memory),例如随机存取存储器(RAM,Random-Access Memory);或者非易失性存储器(non-volatile memory),例如只读存储器(ROM,Read-Only Memory),快闪存储器(flash memory),硬盘(HDD,Hard Disk Drive)或固态硬盘(SSD,Solid-State Drive);或者上述种类的存储器的组合,并向处理器提供指令和数据。
在示例性实施例中,本申请实施例还提供了一种计算机可读存储介质,例如包括计算机程序的存储器,计算机程序可由电子设备的处理器执行,或者电子设备中第一通信模块中的微处理器执行,或者电子设备中第二通信模块中的微处理器执行,以完成前述方法的步骤。
应当理解,在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。本申请中表述“具有”、“可以具有”、“包括”和“包含”、或者“可以包括”和“可以包含”在本文中可以用于指示存在对应的特征(例如,诸如数值、功能、操作或组件等元素),但不排除附加特征的存在。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开,不必用于描述特定的顺序或先后次序。例如,在不脱离本发明范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。
本申请实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
在本申请所提供的几个实施例中,应该理解到,所揭露的方法、装置和设备,可以通过其它的方式实现。以上所描述的实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
Claims (14)
1.一种地址解析协议ARP攻击防御方法,应用于第一电子设备,其特征在于,所述第一电子设备包括:第一通信模块和第二通信模块;所述方法包括:
利用所述第一通信模块进行通信时,若检测到ARP攻击则生成切换指令;
基于所述切换指令,从所述第一通信模块切换到第二通信模块,以利用所述第二通信模块进行通信。
2.根据权利要求1所述的方法,其特征在于,所述第一通信模块配置有第一网际互连网协议IP地址和第一媒体访问控制MAC,所述第二通信模块配置有第二IP地址和第二MAC地址;
所述第一电子设备基于所述第一IP地址和所述第一MAC地址进行通信;
或者,所述第一电子设备基于所述第二IP地址和所述第二MAC地址进行通信。
3.根据权利要求1所述的方法,其特征在于,所述基于所述切换指令,从所述第一通信模块切换到第二通信模块,包括:
基于所述切换指令,将所述第二通信模块从安全模式切换到通信模式;其中,所述安全模式是一种用于监控网络安全状态得到网络安全信息的工作模式。
4.根据权利要求3所述的方法,其特征在于,所述利用所述第一通信模块进行通信时,所述方法还包括:
基于所述第一通信模块接收到的ARP数据包和所述第二通信模块监控到的所述网络安全信息,确定是否存在ARP攻击。
5.根据权利要求4所述的方法,其特征在于,所述基于所述第一通信模块接收到的ARP数据包和所述第二通信模块监控到的所述网络安全信息,确定是否存在ARP攻击,包括:
所述第一通信模块接收到的ARP数据满足第一攻击条件时,获取所述ARP数据包对应的源IP地址;
所述源IP地址和所述网络安全信息满足第二攻击条件时,确定存在ARP攻击;
所述第一攻击条件或者所述第二攻击条件不满足,确定不存在ARP攻击。
6.根据权利要求5所述的方法,其特征在于,
所述第一攻击条件包括:收到重复的ARP数据包的频率大于频率阈值;
所述第二攻击条件包括:所述网络安全信息中所述源IP地址对应至少两个不同的MAC地址。
7.根据权利要求3所述的方法,其特征在于,所述利用所述第一通信模块进行通信时,所述方法还包括:
基于所述第二通信模块在安全模式下检测到的网络传输速率,确定是否存在ARP攻击。
8.根据权利要求7所述的方法,其特征在于,所述第二通信模块在安全模式下通过向第二电子设备发送ARP应答数据包来检测网络传输速率;其中,所述ARP应答数据包包括所述第一电子设备的真实IP地址及其对应的MAC地址。
9.根据权利要求7所述的方法,其特征在于,所述基于所述第二通信模块在安全模式下检测到的网络传输速率,确定是否存在ARP攻击,包括:
预设时间段内的网络传输速率相比于正常情况下的网络传输速率的下降量持续小于下降量阈值,确定存在ARP攻击;
否则,确定不存在ARP攻击。
10.根据权利要求3所述的方法,其特征在于,所述基于所述切换指令,将所述第二通信模块从安全模式切换到通信模式之后,所述方法还包括:
确定所述第二通信模块切换成功时,将所述第一通信模块从所述通信模式切换到所述安全模式。
11.根据权利要求3-10任一项所述的方法,其特征在于,
所述网络安全信息为ARP缓存表,其中,所述ARP缓存表中采用不覆盖全纪录的方式记录所述第一电子设备在当前网络中能够监控到的所有IP地址,以及每个IP地址对应的一个或多个MAC地址。
12.一种地址解析协议ARP攻击防御装置,应用于第一电子设备,其特征在于,所述第一电子设备包括:第一通信模块和第二通信模块;所述ARP攻击防御装置包括:
检测单元,用于利用所述第一通信模块进行通信时,若检测到ARP攻击则生成切换指令;
切换单元,用于基于所述切换指令,从所述第一通信模块切换到第二通信模块,以利用所述第二通信模块进行通信。
13.一种电子设备,其特征在于,所述电子设备包括:处理器和配置为存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器配置为运行所述计算机程序时,执行权利要求1至11任一项所述方法的步骤。
14.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至11任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011019624.XA CN112165483B (zh) | 2020-09-24 | 2020-09-24 | 一种arp攻击防御方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011019624.XA CN112165483B (zh) | 2020-09-24 | 2020-09-24 | 一种arp攻击防御方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112165483A CN112165483A (zh) | 2021-01-01 |
| CN112165483B true CN112165483B (zh) | 2022-09-09 |
Family
ID=73862982
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011019624.XA Active CN112165483B (zh) | 2020-09-24 | 2020-09-24 | 一种arp攻击防御方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112165483B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113518344B (zh) * | 2021-07-21 | 2022-05-10 | 荣耀终端有限公司 | 用户设备及其节能方法、介质 |
| CN114553543A (zh) * | 2022-02-23 | 2022-05-27 | 安天科技集团股份有限公司 | 一种网络攻击检测方法、硬件芯片及电子设备 |
Citations (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1855929A (zh) * | 2005-04-27 | 2006-11-01 | 华为技术有限公司 | 一种针对arp泛滥攻击的防范方法 |
| WO2007019804A1 (en) * | 2005-08-18 | 2007-02-22 | Hong Kong Applied Science and Technology Research Institute Co. Ltd | Intelligent switching for secure and reliable voice-over-ippbx service |
| CN101193116A (zh) * | 2007-07-09 | 2008-06-04 | 福建星网锐捷网络有限公司 | 一种联动对抗地址解析协议攻击的方法、系统及路由器 |
| CN101247217A (zh) * | 2008-03-17 | 2008-08-20 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议流量攻击的方法、单元和系统 |
| CN101415012A (zh) * | 2008-11-06 | 2009-04-22 | 杭州华三通信技术有限公司 | 一种防御地址解析协议报文攻击的方法和系统 |
| CN101488951A (zh) * | 2008-12-31 | 2009-07-22 | 成都市华为赛门铁克科技有限公司 | 一种地址解析协议攻击防范方法、设备和通信网络 |
| CN201752118U (zh) * | 2010-05-19 | 2011-02-23 | 吕岩 | 一种多线路自动切换路由器 |
| CN103347031A (zh) * | 2013-07-26 | 2013-10-09 | 迈普通信技术股份有限公司 | 一种防范arp报文攻击的方法及设备 |
| CN104219339A (zh) * | 2014-09-17 | 2014-12-17 | 北京金山安全软件有限公司 | 一种检测局域网中地址解析协议攻击的方法及装置 |
| WO2016042587A1 (ja) * | 2014-09-17 | 2016-03-24 | 三菱電機株式会社 | 攻撃観察装置、及び攻撃観察方法 |
| CN105704097A (zh) * | 2014-11-26 | 2016-06-22 | 华为数字技术(苏州)有限公司 | 一种防御攻击的方法及装置 |
| CN106302456A (zh) * | 2016-08-15 | 2017-01-04 | 浙江宇视科技有限公司 | 会话保持方法及装置 |
| CN106506531A (zh) * | 2016-12-06 | 2017-03-15 | 杭州迪普科技股份有限公司 | Arp攻击报文的防御方法及装置 |
| CN107018136A (zh) * | 2017-04-06 | 2017-08-04 | 福建中金在线信息科技有限公司 | 一种arp攻击的检测方法及装置 |
| CN107395596A (zh) * | 2017-07-24 | 2017-11-24 | 南京邮电大学 | 一种基于冗余控制器切换的拒绝服务攻击防御方法 |
| CN108055163A (zh) * | 2018-01-06 | 2018-05-18 | 北京特立信电子技术股份有限公司 | 一种双归属设备及其保护切换方法 |
| CN108965263A (zh) * | 2018-06-26 | 2018-12-07 | 新华三技术有限公司 | 网络攻击防御方法及装置 |
| CN109067784A (zh) * | 2018-09-19 | 2018-12-21 | 迈普通信技术股份有限公司 | 一种vxlan中防欺骗的方法和设备 |
| CN109831341A (zh) * | 2019-03-19 | 2019-05-31 | 中国电子科技集团公司第三十六研究所 | 一种冗余双网卡的快速切换方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101270041B1 (ko) * | 2011-10-28 | 2013-05-31 | 삼성에스디에스 주식회사 | Arp 스푸핑 공격 탐지 시스템 및 방법 |
-
2020
- 2020-09-24 CN CN202011019624.XA patent/CN112165483B/zh active Active
Patent Citations (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1855929A (zh) * | 2005-04-27 | 2006-11-01 | 华为技术有限公司 | 一种针对arp泛滥攻击的防范方法 |
| WO2007019804A1 (en) * | 2005-08-18 | 2007-02-22 | Hong Kong Applied Science and Technology Research Institute Co. Ltd | Intelligent switching for secure and reliable voice-over-ippbx service |
| CN101193116A (zh) * | 2007-07-09 | 2008-06-04 | 福建星网锐捷网络有限公司 | 一种联动对抗地址解析协议攻击的方法、系统及路由器 |
| CN101247217A (zh) * | 2008-03-17 | 2008-08-20 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议流量攻击的方法、单元和系统 |
| CN101415012A (zh) * | 2008-11-06 | 2009-04-22 | 杭州华三通信技术有限公司 | 一种防御地址解析协议报文攻击的方法和系统 |
| CN101488951A (zh) * | 2008-12-31 | 2009-07-22 | 成都市华为赛门铁克科技有限公司 | 一种地址解析协议攻击防范方法、设备和通信网络 |
| CN201752118U (zh) * | 2010-05-19 | 2011-02-23 | 吕岩 | 一种多线路自动切换路由器 |
| CN103347031A (zh) * | 2013-07-26 | 2013-10-09 | 迈普通信技术股份有限公司 | 一种防范arp报文攻击的方法及设备 |
| CN104219339A (zh) * | 2014-09-17 | 2014-12-17 | 北京金山安全软件有限公司 | 一种检测局域网中地址解析协议攻击的方法及装置 |
| WO2016042587A1 (ja) * | 2014-09-17 | 2016-03-24 | 三菱電機株式会社 | 攻撃観察装置、及び攻撃観察方法 |
| CN105704097A (zh) * | 2014-11-26 | 2016-06-22 | 华为数字技术(苏州)有限公司 | 一种防御攻击的方法及装置 |
| CN106302456A (zh) * | 2016-08-15 | 2017-01-04 | 浙江宇视科技有限公司 | 会话保持方法及装置 |
| CN106506531A (zh) * | 2016-12-06 | 2017-03-15 | 杭州迪普科技股份有限公司 | Arp攻击报文的防御方法及装置 |
| CN107018136A (zh) * | 2017-04-06 | 2017-08-04 | 福建中金在线信息科技有限公司 | 一种arp攻击的检测方法及装置 |
| CN107395596A (zh) * | 2017-07-24 | 2017-11-24 | 南京邮电大学 | 一种基于冗余控制器切换的拒绝服务攻击防御方法 |
| CN108055163A (zh) * | 2018-01-06 | 2018-05-18 | 北京特立信电子技术股份有限公司 | 一种双归属设备及其保护切换方法 |
| CN108965263A (zh) * | 2018-06-26 | 2018-12-07 | 新华三技术有限公司 | 网络攻击防御方法及装置 |
| CN109067784A (zh) * | 2018-09-19 | 2018-12-21 | 迈普通信技术股份有限公司 | 一种vxlan中防欺骗的方法和设备 |
| CN109831341A (zh) * | 2019-03-19 | 2019-05-31 | 中国电子科技集团公司第三十六研究所 | 一种冗余双网卡的快速切换方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 地址解析协议病毒攻击与防御分析;李芳等;《软件》;20130228;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112165483A (zh) | 2021-01-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112165483B (zh) | 一种arp攻击防御方法、装置、设备及存储介质 | |
| US9152195B2 (en) | Wake on cloud | |
| US20210409442A1 (en) | Moving target defense systems and methods | |
| CN101453495B (zh) | 防止授权地址解析协议信息丢失的方法、系统和设备 | |
| CN107666473B (zh) | 一种攻击检测的方法及控制器 | |
| US11411972B2 (en) | Methods, systems, and media for dynamically separating internet of things devices in a network | |
| CN107241313B (zh) | 一种防mac泛洪攻击的方法及装置 | |
| US8700820B2 (en) | Method for accessing USB device attached to home gateway, home gateway and terminal | |
| CN106302525B (zh) | 一种基于伪装的网络空间安全防御方法及系统 | |
| US20140181325A1 (en) | Systems and Methods for Exchanging USB Information With Selected Remote Devices | |
| US20120278888A1 (en) | Gateway and method for avoiding attacks | |
| WO2012079461A1 (zh) | Ip地址分配方法、装置以及系统 | |
| CN105959282A (zh) | Dhcp攻击的防护方法及装置 | |
| JP2008271242A (ja) | ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム | |
| CN112189360A (zh) | 用于操作和管理网络内的受限设备的方法和装置 | |
| JP2007306296A (ja) | ネットワーク通信システム | |
| US20150229659A1 (en) | Passive detection of malicious network-mapping software in computer networks | |
| CN101197776B (zh) | 用于远程配置设备的方法和设备 | |
| CN111953810B (zh) | 识别代理互联网协议地址的方法、装置及存储介质 | |
| KR20210119162A (ko) | 차량 및 차량의 제어방법 | |
| KR20150104435A (ko) | 라우팅 처리기의 동작 모드 천이 방법 | |
| US10321395B2 (en) | Data packet processing method and related device | |
| CN106713525B (zh) | 一种配置通信参数的方法、装置及系统 | |
| KR102241501B1 (ko) | 이종의 통신 인터페이스를 제어하는 단말의 동작 방법 및 그 장치 | |
| TWM574793U (zh) | 可偵測外部裝置狀態的網路裝置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |