CN112688900A - 一种防御arp欺骗和网络扫描的局域网安全防护系统及方法 - Google Patents
一种防御arp欺骗和网络扫描的局域网安全防护系统及方法 Download PDFInfo
- Publication number
- CN112688900A CN112688900A CN201910990664.XA CN201910990664A CN112688900A CN 112688900 A CN112688900 A CN 112688900A CN 201910990664 A CN201910990664 A CN 201910990664A CN 112688900 A CN112688900 A CN 112688900A
- Authority
- CN
- China
- Prior art keywords
- host
- network
- local area
- scanning
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提出一种防御ARP欺骗和网络扫描的局域网安全防护系统及方法,其基本技术思想是,首先在局域网内部主机获取IP地址的DHCP交互阶段,修改DHCP服务器分配给主机的IP地址和默认网关IP,使每台主机获得的IP地址独占一个网段,杜绝同网段主机之间的ARP欺骗;其次,在每台主机IP所在的网段内随机生成多个不存在的伪装主机,这些伪装主机会产生虚假流量迷惑攻击者,可以对攻击者的扫描行为进行攻击诱捕和虚假响应,攻击者对局域网进行主动扫描时,会以极大的概率触碰到这些虚假主机,虚假主机可用于对攻击者的扫描行为进行实时预警和阻断;再次,当主机DHCP租约到期续约时,动态更新分配给主机的默认网关IP,以此增加对网关实施ARP欺骗的难度。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种防御ARP欺骗和网络扫描的局域网安全防护系统及方法。
背景技术
随着信息技术的快速发展,网络已经成为人类生产和生活中不可获取的一部分,截至2018年12月,我国网民规模达8.29亿,普及率达59.6%,较2017年底提升3.8个百分点,全年新增网民5653万。我国手机网民规模达8.17亿,网民通过手机接入互联网的比例高达98.6%。随着移动互联网技术的发展,以WIFI为代表的无线网络技术大规模普及,对社会经济发展和人民日常生活产生了深远的影响。
DHCP协议是局域网中主机获取IP地址和接入网络的主要网络通信协议,这在无线网络中尤其普遍,通过DHCP协议获取IP地址的计算机或智能终端构成局域网,局域网内部主机通过网关访问外部网络和互联网。随着网络攻击技术的迅速发展,针对局域网的网络安全威胁日益严重,其中ARP欺骗和网络扫描是两类基础的攻击方式,是开展进一步攻击行动的基础,其危害性不言而喻,由于协议的缺陷性,无法从根源上阻断这两类攻击的发生。
现有的方法普遍通过流量分析的方法来检测局域网攻击,如一个时间窗口内单台主机发起主动连接的次数是否超过设定的阀值、对外发起的连接是否有关联的DNS请求、网络数据包和数据流的统计特征是否偏离正常时的范围等。这类方法往往误报率偏高,且对于隐蔽性较强的网络扫描或ARP欺骗行为检测能力较差,攻击者可以通过新型的攻击手段避过安全防护系统,伪装成正常用户。此外,现有的防护手段往往采用被动流量分析的方法,很难做到实时主动防御。
发明内容
为了克服上述已有技术的缺点,有效防御针对DHCP局域网环境下的ARP欺骗和网络扫描攻击,本发明另辟蹊径,提出一种防御ARP欺骗和网络扫描的局域网安全防护系统及方法。其基本技术思想是,首先在局域网内部主机获取IP地址的DHCP交互阶段,修改DHCP服务器分配给主机的IP地址和默认网关IP,使每台主机获得的IP地址独占一个网段,即任意两台主机的IP地址均属于不同网段(修改后的每台主机获得的IP和获得的默认网关IP在同一网段);其次,在每台主机IP所在的网段内随机生成多个不存在的伪装主机(不能与主机IP或主机默认网关IP冲突),这些伪装主机会产生虚假流量迷惑攻击者,可以对攻击者的扫描行为进行攻击诱捕和虚假响应;再次,当主机DHCP租约到期续约时,可以动态更新分配给主机的默认网关IP。由于所有主机均处于不同的网段,这就杜绝了同网段主机之间的ARP欺骗和ARP扫描,每台主机的默认网关IP不同且动态更新,主机IP所在网段的虚假主机产生的虚假流量能混淆攻击者,这就在很大程度上防御了针对网关的ARP欺骗;在每台主机所在网段内生成虚假主机,攻击者对局域网进行主动扫描时,会以极大的概率触碰到这些虚假主机,虚假主机可用于对攻击者的扫描行为进行实时预警和阻断,具有很低的误报率。
为实现上述发明目的,本发明所提供的技术方案是:
一种防御ARP欺骗和网络扫描的局域网安全防护系统,包括:
管理单元,用于管理信息的配置;
数据包处理单元,用于处理网络通信数据包;
主机信息单元,用于存储局域网内主机的真实信息;
伪装主机单元,用于生成伪装主机;
扫描检测单元,用于检测和阻断扫描行为;
扫描响应单元,用于对扫描行为进行虚假响应;
动态更新单元,用于定期通知伪装主机单元更新伪装主机;
网络流量混淆单元,用于为伪装主机生成混淆流量;
日志单元,用于生成攻击日志信息。
进一步的根据前述的防御ARP欺骗和网络扫描的局域网安全防护系统,所述管理单元(1)用于管理信息的配置,对所述数据包处理单元(2)配置分配给局域网内主机的IP网段;对所述伪装主机单元(4)配置生成伪装主机所需的基本网络元素信息,包括但不限于虚假的IP地址范围、虚假的MAC地址范围、虚假的操作系统类型和版本、虚假的开放端口范围等;对所述动态更新单元(7)配置所述伪装主机动态更新的时间间隔;对所述网络流量混淆单元(8)配置发送混淆流量的策略,所述策略包括但不限于ARP数据包混淆、NBNS(NetBIOSName Service)数据包混淆、DNS数据包混淆、HTTP数据包混淆等。
进一步的根据前述的防御ARP欺骗和网络扫描的局域网安全防护系统,所述数据包处理单元(2)用于处理网络通信数据包,包括数据包收发模块(21)、DHCP处理模块(22)、主机信息生成模块(23)和ARP处理模块(24)。所述数据包收发模块(21)执行数据包的收发操作,根据数据包目的地址的不同把数据包发送至局域网内或外网。所述DHCP处理模块(22)处理DHCP数据包,根据所述管理单元(1)配置的分配给局域网内主机的IP网段,修改DHCP服务器分配给局域网内主机的IP地址和默认网关IP,使得局域网内任意两台主机获得的IP地址均属于不同的网段,为了叙述方便,DHCP服务器分配给主机的IP地址称为外部IP(outer_ip),分配给主机的默认网关IP称为外部网关(outer_gateway_ip),所述DHCP处理模块(22)修改后分配给主机的IP称为内部IP(inner_ip),修改后分配给主机的默认网关IP称为内部网关(inner_gateway_ip),所述DHCP处理模块(22)通知所述主机信息生成模块(23)生成真实主机信息。当局域网内主机DHCP租约到期续约时,所述DHCP处理模块(22)更新分配给主机的默认网关IP,同时通知所述主机信息生成模块(23)更新对应的真实主机信息。所述主机信息生成模块(23)接收所述DHCP处理模块(22)发过来的通知,为每一台局域网内主机生成/更新所述真实主机信息,所述真实主机信息包括但不限于outer_ip、outer_gateway_ip、inner_ip、inner_mac、inner_gateway_ip、inner_gateway_mac(其中inner_mac是局域网内主机网卡的真实MAC地址,inner_gateway_mac是与inner_gateway_ip对应的内部网关MAC,是局域网内主机看到的自己的网关MAC地址,是生成的虚假MAC),生成/更新的真实主机信息将存储于所述主机信息单元(3)中。所述ARP处理模块(24)用于处理局域网内主机学习网关MAC的ARP请求以及外部网关或外网主机学习局域网内部主机MAC的ARP请求:当局域网内主机发送ARP学习网关MAC时,将该主机的内部网关MAC(inner_gateway_mac)返回给局域网内主机;当外部网关或外网主机发送ARP请求局域网内主机的MAC时,将主机的真实MAC(inner_mac)返回给外部网关或外网主机。
进一步的根据前述的防御ARP欺骗和网络扫描的局域网安全防护系统,所述主机信息单元(3)用于存储局域网内主机的真实信息,该信息由所述数据包处理单元(2)的所述主机信息生成模块(23)生成,可用于指导所述伪装主机单元(4)生成伪装主机。当有新的真实主机信息生成或更新时,所述主机信息单元(3)通知所述伪装主机单元(4)检查主机IP及对应的默认网关IP是否出现在伪装主机中,如果出现,将该IP从伪装主机中移除。
进一步的根据前述的防御ARP欺骗和网络扫描的局域网安全防护系统,所述伪装主机单元(4)根据所述主机信息单元(3)提供的局域网内真实存在的主机,在每一台真实主机所在的网段内随机选择多个IP地址生成伪装主机(伪装主机的IP不能与真实主机或真实主机的默认网关IP冲突),所述伪装主机单元(4)根据所述管理单元(1)下发的配置,为每一个伪装主机配置包括但不限于虚假的IP地址、虚假的MAC地址、虚假的操作系统类型和版本、虚假的开放端口等信息。此外,所述伪装主机单元(4)根据所述动态更新单元(7)发送的更新信息,周期性地重新生成新的伪装主机,从而实现动态网络环境。
进一步的根据前述的防御ARP欺骗和网络扫描的局域网安全防护系统,所述扫描检测单元(5)实时检测所述数据包处理单元(2)发送过来的数据包,查询所述伪装主机单元(4)生成的伪装主机,如果访问目标是伪装主机,则发送至所述扫描响应单元(6),否则认为是正常数据包而返回给所述数据包处理单元(2)并放行;此外,所述扫描检测单元(5)统计对所述伪装主机单元(4)生成的伪装主机的访问情况,作为判断判定为扫描行为的依据,当达到扫描封堵策略时,将发送扫描数据的源IP进行阻断,即把该IP产生的数据包均丢弃,所述扫描封堵策略优选的包括但不限于攻击次数达到默认的阈值、访问了默认的高危敏感端口等。
进一步的根据前述的防御ARP欺骗和网络扫描的局域网安全防护系统,所述扫描响应单元(6)包括ARP响应模块、IP响应模块、TCP响应模块、UDP响应模块,查询所述伪装主机单元(4)生成的伪装主机,依据不同的协议类型构建虚假响应数据包对攻击流量进行响应,所述虚假响应信息包括但不限于虚假的IP地址、虚假的MAC地址、虚假的操作系统的类型和版本以及虚假的开放端口等,响应数据包发送至所述数据包处理单元(2),最后发送至攻击者。所述扫描响应单元(6)的处理结果发送至所述日志单元(9)用于生成攻击日志信息。
进一步的根据前述的防御ARP欺骗和网络扫描的局域网安全防护系统,所述动态更新单元(7)依据所述管理单元(1)下发的动态更新时间间隔,定期通知所述伪装主机单元(4)重新生成伪装主机。
进一步的根据前述的防御ARP欺骗和网络扫描的局域网安全防护系统,所述网络流量混淆单元(8)根据所述管理单元(1)下发的发送混淆流量的策略,为所述伪装主机单元(4)中的每一台伪装主机发送混淆流量,使局域网内的攻击者无法识别真实主机和伪装主机,从而增加了实施ARP欺骗的难度,同时可以诱骗攻击者对伪装主机进行扫描,所述混淆流量包括但不限于ARP混淆数据包、NBNS混淆数据包、DNS混淆数据包、HTTP混淆数据包等。
进一步的根据前述的防御ARP欺骗和网络扫描的局域网安全防护系统,所述日志单元(9)用于生成攻击日志信息,包括攻击源IP、目的IP、目的端口、协议类型等。
一种防御ARP欺骗和网络扫描的局域网安全防护方法,包括以下步骤:
步骤(1)、配置用户网段、生成伪装主机的基本网络元素信息、网络流量混淆策略、伪装主机动态更新时间间隔等信息;
步骤(2)、在局域网内部主机获取IP地址的DHCP交互阶段,修改DHCP服务器分配给主机的IP地址和默认网关IP,使每台主机获得的IP地址独占一个网段,即任意两台主机的IP地址均属于不同网段(修改后的每台主机获得的IP和获得的默认网关IP在同一网段);
步骤(3)、在局域网内每一台真实主机所在的网段内随机选择多个IP地址生成伪装主机(伪装主机的IP不能与真实主机或真实主机的默认网关IP冲突),为每一个伪装主机配置包括但不限于虚假的IP地址、虚假的MAC地址、虚假的操作系统类型和版本、虚假的开放端口等信息;
步骤(4)处理网络通信数据包,查询所述生成的伪装主机,如果访问目标不是伪装主机,则认为是正常数据包而放行,否则判定为扫描流量,依据生成的伪装主机构建虚假响应数据包对扫描数据包进行响应,当达到扫描封堵策略时,将发送扫描数据的源IP进行阻断,即把该IP产生的数据包均丢弃,所述扫描封堵策略优选的包括但不限于攻击次数达到默认的阈值、访问了默认的高危敏感端口等;
步骤(5)当局域网内主机DHCP租约到期续约时,更新分配给主机的默认网关IP,同时检查更新后的默认网关IP是否出现在伪装主机中,如果出现,将该IP从伪装主机中移除;
步骤(6)定期执行动态更新操作,重新生成新的伪装主机。
本发明所述的防御ARP欺骗和网络扫描的局域网安全防护系统可以部署在网络的二层或三层出口处,或是连接于交换机/路由器的端口上,系统采用串接的方式部署,本发明不对系统的具体部署位置进行限制,无论在局域网的任何位置部署使用本发明所述防御ARP欺骗和网络扫描的局域网安全防护系统,都是本发明的保护范围。
本发明的有益效果:
1)、布置本发明提出的防御ARP欺骗和网络扫描的局域网安全防护系统,通过修改局域网内部主机获取IP地址的DHCP数据包,使得任意两台主机获得的IP地址均属于不同网段,这就从根本上杜绝了同网段主机之间的ARP欺骗和ARP扫描,能有效防御针对局域网内主机流量的劫持和嗅探,同时能有效阻断蠕虫病毒这一类无目的扩散的恶意程序的传播。
2)、布置本发明提出的防御ARP欺骗和网络扫描的局域网安全防护系统,令局域网内任意两台主机获得的IP地址属于不同网段的同时,使每台主机获得的默认网关IP均不同,且默认网关IP可以随着DHCP续约动态更新,这就极大地增加了对网关实施ARP欺骗的难度。
3)、布置本发明提出的防御ARP欺骗和网络扫描的局域网安全防护系统,在每台局域网内主机获得的IP所在的网段内随机生成多个可动态变化的伪装主机,这些伪装主机会模仿真实主机产生一些伪装流量,用于误导和迷惑攻击者,使其无法准确识别真实主机和伪装主机,因此增加了攻击者进行ARP欺骗的难度,此外当攻击者进行主动扫描时,会以很大的概率触碰到这些伪装主机,伪装主机一方面可对攻击者的扫描行为进行虚假响应,误导攻击者获取到错误的网络拓扑和主机信息,另一方面也可用来对扫描行为进行实时记录、预警和阻断,具有极低的误报率。
4)、布置本发明提出的防御ARP欺骗和网络扫描的局域网安全防护系统,无需改变目标网络原来的物理拓扑结构,无需在终端主机上安装客户端程序,适用于各种DHCP网络环境,尤其适用于无线网络环境,具有很好的兼容性和适应性。
5)、经样机使用实践证明,本发明能有效抵御DHCP环境下针对局域网的ARP欺骗和网络扫描,且本发明所述方案在现有网络中容易布置、操作简单、安全可靠,具有显著的经济社会效益和广阔的市场推广应用前景。
附图说明
图1是本发明所述防御ARP欺骗和网络扫描的局域网安全防护系统示意图;
图2是本发明所述数据包处理单元模块结构图;
图3是布置本发明后对某局域网内某台主机所在网段扫描结果的示意图。
图中各附图标记的含义如下:
1-管理单元,2-数据包处理单元,3-主机信息单元,4-伪装主机单元,5-扫描检测单元,6-扫描响应单元,7-动态更新单元,8-网络流量混淆单元,9-日至单元;
21-数据包收发模块,22-DHCP处理模块,23-主机信息生成模块,24-ARP处理模块。
具体实施方式
以下结合附图对本发明的技术方案进行详细的描述,以使本领域技术人员能够更加清楚的理解本发明的方案,但并不因此限制本发明的保护范围。
本发明所述防御ARP欺骗和网络扫描的局域网安全防护系统,主要用于DHCP环境下,针对局域网内的ARP欺骗和网络扫描进行防御。首先说明本发明的技术创新原理。本发明的基本技术思想是,首先在局域网内部主机获取IP地址的DHCP交互阶段,修改DHCP服务器分配给主机的IP地址和默认网关IP,使每台主机获得的IP地址独占一个网段,即任意两台主机的IP地址均属于不同网段(修改后的每台主机获得的IP和获得的默认网关IP在同一网段);其次,在每台主机IP所在的网段内随机生成多个不存在的伪装主机(不能与主机IP或主机默认网关IP冲突),这些伪装主机会产生虚假流量迷惑攻击者,可以对攻击者的扫描行为进行攻击诱捕和虚假响应;再次,当主机DHCP租约到期续约时,可以动态更新分配给主机的默认网关IP。由于所有主机均处于不同的网段,这就杜绝了同网段主机之间的ARP欺骗和ARP扫描,每台主机的默认网关IP不同且动态更新,主机IP所在网段的虚假主机产生的虚假流量能混淆攻击者,这就在很大程度上防御了针对网关的ARP欺骗;在每台主机所在网段内生成虚假主机,攻击者对局域网进行主动扫描时,会以极大的概率触碰到这些虚假主机,虚假主机可用于对攻击者的扫描行为进行实时预警和阻断,具有很低的误报率。
本发明所述的防御ARP欺骗和网络扫描的局域网安全防护系统可以部署在网络的二层或三层出口处,或是连接于交换机/路由器的端口上,系统采用串接的方式部署,本发明不对系统的具体部署位置进行限制,无论在局域网的任何位置部署使用本发明所述防御ARP欺骗和网络扫描的局域网安全防护系统,都是本发明的保护范围。
下面结合附图详细描述防御ARP欺骗和网络扫描的局域网安全防护系统及方法的原理和工作过程。
如图1所示,本发明所述防御ARP欺骗和网络扫描的局域网安全防护系统包括管理单元(1)、数据包处理单元(2)、主机信息单元(3)、伪装主机单元(4)、扫描检测单元(5)、扫描响应单元(6)、动态更新单元(7)、网络流量混淆单元(8)和日至单元(9);所述管理单元(1)连接于所述数据包处理单元(2)、所述伪装主机单元(4)、所述动态更新单元(7)和所述网络流量混淆单元(8),所述数据包处理单元(2)连接于所述主机信息单元(3)和所述扫描检测单元(5),所述主机信息单元(3)连接于所述伪装主机单元(4),所述伪装主机单元(4)连接于所述扫描检测单元(5)、所述扫描响应单元(6)和所述网络流量混淆单元(8),所述扫描检测单元(5)连接于所述数据包处理处理单元(2)和所述扫描响应单元(6),所述扫描响应单元(6)连接于所述数据包处理单元(2)和所述日志单元(9),所述动态更新单元(7)连接于所述伪装主机单元(4),所述网络流量混淆单元(8)连接于所述数据包处理单元(2)。
所述管理单元(1)用于管理信息的配置,对所述数据包处理单元(2)配置分配给局域网内主机的IP网段;对所述伪装主机单元(4)配置生成伪装主机所需的基本网络元素信息,包括但不限于虚假的IP地址范围、虚假的MAC地址范围、虚假的操作系统类型和版本、虚假的开放端口范围等;对所述动态更新单元(7)配置所述伪装主机动态更新的时间间隔;对所述网络流量混淆单元(8)配置发送混淆流量的策略,所述策略包括但不限于ARP数据包混淆、NBNS(NetBIOS Name Service)数据包混淆、DNS数据包混淆、HTTP数据包混淆等。
所述数据包处理单元(2)用于处理网络通信数据包,包括数据包收发模块(21)、DHCP处理模块(22)、主机信息生成模块(23)和ARP处理模块(24):
所述数据包收发模块(21)执行数据包的收发操作,根据数据包目的地址的不同把数据包发送至局域网内或外网。
所述DHCP处理模块(22)处理DHCP数据包,根据所述管理单元(1)配置的分配给局域网内主机的IP网段,修改DHCP服务器分配给局域网内主机的IP地址和默认网关IP,使得局域网内任意两台主机获得的IP地址均属于不同的网段,为了叙述方便,DHCP服务器分配给主机的IP地址称为外部IP(outer_ip),分配给主机的默认网关IP称为外部网关(outer_gateway_ip),所述DHCP处理模块(22)修改后分配给主机的IP称为内部IP(inner_ip),修改后分配给主机的默认网关IP称为内部网关(inner_gateway_ip),所述DHCP处理模块(22)通知所述主机信息生成模块(23)生成真实主机信息。当局域网内主机DHCP租约到期续约时,所述DHCP处理模块(22)更新分配给主机的默认网关IP,同时通知所述主机信息生成模块(23)更新对应的真实主机信息。
所述主机信息生成模块(23)接收所述DHCP处理模块(22)发过来的通知,为每一台局域网内主机生成/更新所述真实主机信息,所述真实主机信息包括但不限于outer_ip、outer_gateway_ip、inner_ip、inner_mac、inner_gateway_ip、inner_gateway_mac(其中inner_mac是局域网内主机网卡的真实MAC地址,inner_gateway_mac是与inner_gateway_ip对应的内部网关MAC,是局域网内主机看到的自己的网关MAC地址,是生成的虚假MAC),生成/更新的真实主机信息将存储于所述主机信息单元(3)中。
所述ARP处理模块(24)用于处理局域网内主机学习网关MAC的ARP请求以及外部网关或外网主机学习局域网内部主机MAC的ARP请求:当局域网内主机发送ARP学习网关MAC时,将该主机的内部网关MAC(inner_gateway_mac)返回给局域网内主机;当外部网关或外网主机发送ARP请求局域网内主机的MAC时,将主机的真实MAC(inner_mac)返回给外部网关或外网主机。
所述主机信息单元(3)用于存储局域网内的真实主机信息,该信息由所述数据包处理单元(2)的所述主机信息生成模块(23)生成,可用于指导所述伪装主机单元(4)生成伪装主机。当有新的真实主机信息生成或更新时,所述主机信息单元(3)通知所述伪装主机单元(4)检查主机IP及对应的默认网关IP是否出现在伪装主机中,如果出现,将该IP从伪装主机中移除。
所述伪装主机单元(4)根据所述主机信息单元(3)提供的局域网内真实存在的主机,在每一台真实主机所在的网段内随机选择多个IP地址生成伪装主机(伪装主机的IP不能与真实主机或真实主机的默认网关IP冲突),所述伪装主机单元(4)根据所述管理单元(1)下发的配置,为每一个伪装主机配置包括但不限于虚假的IP地址、虚假的MAC地址、虚假的操作系统类型和版本、虚假的开放端口等信息。此外,所述伪装主机单元(4)根据所述动态更新单元(7)发送的更新信息,周期性地重新生成新的伪装主机,从而实现动态网络环境。
所述扫描检测单元(5)实时检测所述数据包处理单元(2)发送过来的数据包,查询所述伪装主机单元(4)生成的伪装主机,如果访问目标是伪装主机,则发送至所述扫描响应单元(6),否则认为是正常数据包而返回给所述数据包处理单元(2)并放行;此外,所述扫描检测单元(5)统计对所述伪装主机单元(4)生成的伪装主机的访问情况,作为判断判定为扫描行为的依据,当达到扫描封堵策略时,将发送扫描数据的源IP进行阻断,即把该IP产生的数据包均丢弃,所述扫描封堵策略优选的包括但不限于攻击次数达到默认的阈值、访问了默认的高危敏感端口等。
所述扫描响应单元(6)包括ARP响应模块、IP响应模块、TCP响应模块、UDP响应模块,查询所述伪装主机单元(4)生成的伪装主机,依据不同的协议类型构建虚假响应数据包对攻击流量进行响应,所述虚假响应信息包括但不限于虚假的IP地址、虚假的MAC地址、虚假的操作系统的类型和版本以及虚假的开放端口等,响应数据包发送至所述数据包处理单元(2),最后发送至攻击者。所述扫描响应单元(6)的处理结果发送至所述日志单元(9)用于生成攻击日志信息。
所述动态更新单元(7)依据所述管理单元(1)下发的动态更新时间间隔,定期通知所述伪装主机单元(4)重新生成伪装主机。
所述网络流量混淆单元(8)根据所述管理单元(1)下发的发送混淆流量的策略,为所述伪装主机单元(4)中的每一台伪装主机发送混淆流量,使局域网内的攻击者无法识别真实主机和伪装主机,从而增加了实施ARP欺骗的难度,同时可以诱骗攻击者对伪装主机进行扫描,所述混淆流量包括但不限于ARP混淆数据包、NBNS混淆数据包、DNS混淆数据包、HTTP混淆数据包等。
所述日志单元(9)用于生成攻击日志信息,包括攻击源IP、目的IP、目的端口、协议类型等。
这样在网络上布置本发明所述防御ARP欺骗和网络扫描的局域网安全防护系统,由于所有主机均处于不同的网段,这就杜绝了同网段主机之间的ARP欺骗和ARP扫描,每台主机的默认网关IP不同且动态更新,主机IP所在网段的虚假主机产生的虚假流量能混淆攻击者,这就在很大程度上防御了针对网关的ARP欺骗;在每台主机所在网段内生成虚假主机,攻击者对局域网进行主动扫描时,会以极大的概率触碰到这些虚假主机,虚假主机可用于对攻击者的扫描行为进行实时预警和阻断,具有很低的误报率。
本发明进一步的提出基于上述系统的防御ARP欺骗和网络扫描的局域网安全防护方法,包括以下步骤:
步骤(1)、配置用户网段、生成伪装主机的基本网络元素信息、网络流量混淆策略、伪装主机动态更新时间间隔等信息;
步骤(2)、在局域网内部主机获取IP地址的DHCP交互阶段,修改DHCP服务器分配给主机的IP地址和默认网关IP,使每台主机获得的IP地址独占一个网段,即任意两台主机的IP地址均属于不同网段(修改后的每台主机获得的IP和获得的默认网关IP在同一网段);
步骤(3)、在局域网内每一台真实主机所在的网段内随机选择多个IP地址生成伪装主机(伪装主机的IP不能与真实主机或真实主机的默认网关IP冲突),为每一个伪装主机配置包括但不限于虚假的IP地址、虚假的MAC地址、虚假的操作系统类型和版本、虚假的开放端口等信息;
步骤(4)处理网络通信数据包,查询所述生成的伪装主机,如果访问目标不是伪装主机,则认为是正常数据包而放行,否则判定为扫描流量,依据生成的伪装主机构建虚假响应数据包对扫描数据包进行响应,当达到扫描封堵策略时,将发送扫描数据的源IP进行阻断,即把该IP产生的数据包均丢弃,所述扫描封堵策略优选的包括但不限于攻击次数达到默认的阈值、访问了默认的高危敏感端口等;
步骤(5)当局域网内主机DHCP租约到期续约时,更新分配给主机的默认网关IP,同时检查更新后的默认网关IP是否出现在伪装主机中,如果出现,将该IP从伪装主机中移除;
步骤(6)定期执行动态更新操作,重新生成新的伪装主机。
本领域技术人员可在上述实施方式的基础上,进一步地根据需要将更多的信息包括于伪装主机的网络属性中,这取决于系统的具体应用领域,但都属于本发明的技术构思范畴。
以上仅是对本发明的优选实施方式进行了描述,并不将本发明的技术方案限制于此,本领域技术人员在本发明的主要技术构思的基础上所作的任何公知变形都属于本发明所要保护的技术范畴,本发明具体的保护范围以权利要求书的记载为准。
Claims (10)
1.一种防御ARP欺骗和网络扫描的局域网安全防护系统,其特征在于,包括数据包处理单元(2)、主机伪装单元(4)、扫描检测单元(5)、扫描响应单元(6)和网络流量混淆单元(8),所述数据包处理单元(2)处理网络通信数据包,使局域网内每台主机获得的IP地址独占一个网段,所述主机伪装单元(4),用于生成迷惑和诱捕攻击者的伪装主机,所述扫描检测单元(5),用于检测网络扫描行为,所述扫描响应单元(6),用于构建虚假响应数据包,对扫描行为进行虚假响应,所述网络流量混淆单元(8),用于为每一台伪装主机生成混淆流量。
2.根据权利要求1所述防御ARP欺骗和网络扫描的局域网安全防护系统,其特征在于,所述数据包处理单元(2)包括DHCP处理模块(22)、主机信息生成模块(23)和ARP处理模块(24)。
3.根据权利要求1-2所述防御ARP欺骗和网络扫描的局域网安全防护系统,其特征在于,所述DHCP处理模块(22)处理DHCP数据包,修改DHCP服务器分配给局域网内主机的IP地址和默认网关IP,使得局域网内任意两台主机获得的IP地址均属于不同的网段,DHCP服务器分配给主机的IP地址称为外部IP(outer_ip),分配给主机的默认网关IP称为外部网关(outer_gateway_ip),所述DHCP处理模块(22)修改后分配给主机的IP称为内部IP(inner_ip),修改后分配给主机的默认网关IP称为内部网关(inner_gateway_ip),所述DHCP处理模块(22)通知所述主机信息生成模块(23)生成真实主机信息。当局域网内主机DHCP租约到期续约时,所述DHCP处理模块(22)更新分配给主机的默认网关IP,同时通知所述主机信息生成模块(23)更新对应的真实主机信息。
4.根据权利要求1-2所述防御ARP欺骗和网络扫描的局域网安全防护系统,其特征在于,所述主机信息生成模块(23)接收所述DHCP处理模块(22)发过来的通知,为每一台局域网内主机生成/更新所述真实主机信息,所述真实主机信息包括但不限于outer_ip、outer_gateway_ip、inner_ip、inner_mac、inner_gateway_ip、inner_gateway_mac(其中inner_mac是局域网内主机网卡的真实MAC地址,inner_gateway_mac是与inner_gateway_ip对应的内部网关MAC,是局域网内主机看到的自己的网关MAC地址,是生成的虚假MAC),生成/更新的真实主机信息将存储于所述主机信息单元(3)中。
5.根据权利要求1-2所述防御ARP欺骗和网络扫描的局域网安全防护系统,其特征在于,所述ARP处理模块(24)用于处理局域网内主机学习网关MAC的ARP请求以及外部网关或外网主机学习局域网内部主机MAC的ARP请求:当局域网内主机发送ARP学习网关MAC时,将该主机的内部网关MAC(inner_gateway_mac)返回给局域网内主机;当外部网关或外网主机发送ARP请求局域网内主机的MAC时,将主机的真实MAC(inner_mac)返回给外部网关或外网主机。
6.根据权利要求1所述防御ARP欺骗和网络扫描的局域网安全防护系统,其特征在于,所述伪装主机单元(4)根据所述主机信息单元(3)提供的局域网内真实存在的主机,在每一台真实主机所在的网段内随机选择多个IP地址生成伪装主机(伪装主机的IP不能与真实主机或真实主机的默认网关IP冲突)。
7.根据权利要求1所述防御ARP欺骗和网络扫描的局域网安全防护系统,其特征在于,所述扫描检测单元(5)实时检测所述数据包处理单元(2)发送过来的数据包,查询所述伪装主机单元(4)生成的伪装主机,如果访问目标是伪装主机,则发送至所述扫描响应单元(6),否则认为是正常数据包而返回给所述数据包处理单元(2)并放行。
8.根据权利要求1所述防御ARP欺骗和网络扫描的局域网安全防护系统,其特征在于,所述扫描响应单元(6)查询所述伪装主机单元(4)生成的伪装主机,依据不同的协议类型构建虚假响应数据包对扫描流量进行响应,所述虚假响应信息包括但不限于虚假的IP地址、虚假的MAC地址、虚假的操作系统的类型和版本以及虚假的开放端口等。
9.根据权利要求1所述防御ARP欺骗和网络扫描的局域网安全防护系统,其特征在于,所述网络流量混淆单元(8)为所述伪装主机单元(4)中的每一台伪装主机发送混淆流量,使局域网内的攻击者无法识别真实主机和伪装主机,所述混淆流量包括但不限于ARP混淆数据包、NBNS混淆数据包、DNS混淆数据包、HTTP混淆数据包等。
10.一种防御ARP欺骗和网络扫描的局域网安全防护方法,包括以下步骤:
步骤(1)、配置用户网段、生成伪装主机的基本网络元素信息、网络流量混淆策略、伪装主机动态更新时间间隔等信息;
步骤(2)、在局域网内部主机获取IP地址的DHCP交互阶段,修改DHCP服务器分配给主机的IP地址和默认网关IP,使每台主机获得的IP地址独占一个网段,即任意两台主机的IP地址均属于不同网段(修改后的每台主机获得的IP和获得的默认网关IP在同一网段);
步骤(3)、在局域网内每一台真实主机所在的网段内随机选择多个IP地址生成伪装主机(伪装主机的IP不能与真实主机或真实主机的默认网关IP冲突),为每一个伪装主机配置包括但不限于虚假的IP地址、虚假的MAC地址、虚假的操作系统类型和版本、虚假的开放端口等信息;
步骤(4)处理网络通信数据包,查询所述生成的伪装主机,如果访问目标不是伪装主机,则认为是正常数据包而放行,否则判定为扫描流量,依据生成的伪装主机构建虚假响应数据包对扫描数据包进行响应;
步骤(5)当局域网内主机DHCP租约到期续约时,更新分配给主机的默认网关IP,同时检查更新后的默认网关IP是否出现在伪装主机中,如果出现,将该IP从伪装主机中移除;
步骤(6)定期执行动态更新操作,重新生成新的伪装主机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910990664.XA CN112688900B (zh) | 2019-10-18 | 2019-10-18 | 一种防御arp欺骗和网络扫描的局域网安全防护系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910990664.XA CN112688900B (zh) | 2019-10-18 | 2019-10-18 | 一种防御arp欺骗和网络扫描的局域网安全防护系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112688900A true CN112688900A (zh) | 2021-04-20 |
| CN112688900B CN112688900B (zh) | 2022-10-11 |
Family
ID=75444698
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910990664.XA Active CN112688900B (zh) | 2019-10-18 | 2019-10-18 | 一种防御arp欺骗和网络扫描的局域网安全防护系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112688900B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114268491A (zh) * | 2021-12-21 | 2022-04-01 | 南方电网科学研究院有限责任公司 | 一种基于蜜罐技术的网络安防系统 |
| CN114465795A (zh) * | 2022-01-27 | 2022-05-10 | 杭州默安科技有限公司 | 一种干扰网络扫描器的方法及系统 |
| CN114465745A (zh) * | 2021-09-28 | 2022-05-10 | 北京卫达信息技术有限公司 | 一种基于虚拟网络的网络拓扑混淆虚拟装置及虚拟方法 |
| CN117081862A (zh) * | 2023-10-16 | 2023-11-17 | 北京安天网络安全技术有限公司 | 一种局域网安全防御方法、装置、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010041788A1 (en) * | 2008-10-10 | 2010-04-15 | Plustech Inc. | A method for neutralizing the arp spoofing attack by using counterfeit mac addresses |
| US20110179486A1 (en) * | 2008-10-10 | 2011-07-21 | Plustech Inc. | Method for neutralizing the arp spoofing attack by using counterfeit mac addresses |
| CN103312689A (zh) * | 2013-04-08 | 2013-09-18 | 西安电子科技大学 | 一种计算机的网络隐身方法及基于该方法的网络隐身系统 |
| CN105721442A (zh) * | 2016-01-22 | 2016-06-29 | 耿童童 | 基于动态变换虚假响应系统、方法及网络安全系统与方法 |
| CN107786496A (zh) * | 2016-08-25 | 2018-03-09 | 大连楼兰科技股份有限公司 | 针对局域网arp表项欺骗攻击的预警方法及装置 |
| CN109951459A (zh) * | 2019-03-06 | 2019-06-28 | 山东信天辰信息安全技术有限公司 | 一种基于局域网的arp欺骗攻击检测方法 |
-
2019
- 2019-10-18 CN CN201910990664.XA patent/CN112688900B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010041788A1 (en) * | 2008-10-10 | 2010-04-15 | Plustech Inc. | A method for neutralizing the arp spoofing attack by using counterfeit mac addresses |
| US20110179486A1 (en) * | 2008-10-10 | 2011-07-21 | Plustech Inc. | Method for neutralizing the arp spoofing attack by using counterfeit mac addresses |
| CN103312689A (zh) * | 2013-04-08 | 2013-09-18 | 西安电子科技大学 | 一种计算机的网络隐身方法及基于该方法的网络隐身系统 |
| CN105721442A (zh) * | 2016-01-22 | 2016-06-29 | 耿童童 | 基于动态变换虚假响应系统、方法及网络安全系统与方法 |
| CN107786496A (zh) * | 2016-08-25 | 2018-03-09 | 大连楼兰科技股份有限公司 | 针对局域网arp表项欺骗攻击的预警方法及装置 |
| CN109951459A (zh) * | 2019-03-06 | 2019-06-28 | 山东信天辰信息安全技术有限公司 | 一种基于局域网的arp欺骗攻击检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 王绍龙等: "ARP欺骗攻击的取证和防御方法", 《网络安全技术与应用》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114465745A (zh) * | 2021-09-28 | 2022-05-10 | 北京卫达信息技术有限公司 | 一种基于虚拟网络的网络拓扑混淆虚拟装置及虚拟方法 |
| CN114465745B (zh) * | 2021-09-28 | 2022-11-18 | 北京卫达信息技术有限公司 | 一种基于虚拟网络的网络拓扑混淆虚拟装置及虚拟方法 |
| CN114268491A (zh) * | 2021-12-21 | 2022-04-01 | 南方电网科学研究院有限责任公司 | 一种基于蜜罐技术的网络安防系统 |
| CN114465795A (zh) * | 2022-01-27 | 2022-05-10 | 杭州默安科技有限公司 | 一种干扰网络扫描器的方法及系统 |
| CN114465795B (zh) * | 2022-01-27 | 2024-03-29 | 杭州默安科技有限公司 | 一种干扰网络扫描器的方法及系统 |
| CN117081862A (zh) * | 2023-10-16 | 2023-11-17 | 北京安天网络安全技术有限公司 | 一种局域网安全防御方法、装置、电子设备及存储介质 |
| CN117081862B (zh) * | 2023-10-16 | 2024-01-26 | 北京安天网络安全技术有限公司 | 一种局域网安全防御方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112688900B (zh) | 2022-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112688900B (zh) | 一种防御arp欺骗和网络扫描的局域网安全防护系统及方法 | |
| Carroll et al. | Analysis of network address shuffling as a moving target defense | |
| US7506360B1 (en) | Tracking communication for determining device states | |
| US7823202B1 (en) | Method for detecting internet border gateway protocol prefix hijacking attacks | |
| CN101483515B (zh) | Dhcp攻击防护方法和客户端设备 | |
| Luo et al. | RPAH: Random port and address hopping for thwarting internal and external adversaries | |
| US20070097976A1 (en) | Suspect traffic redirection | |
| CN112134891B (zh) | 一种基于linux系统的单主机产生多个蜜罐节点的配置方法、系统、监测方法 | |
| Arukonda et al. | The innocent perpetrators: reflectors and reflection attacks | |
| CN112769771A (zh) | 基于虚假拓扑生成的网络防护方法及系统和系统架构 | |
| US11271963B2 (en) | Defending against domain name system based attacks | |
| WO2018116123A1 (en) | Protecting against unauthorized access to iot devices | |
| CN112087413A (zh) | 一种基于主动侦测的网络攻击智能动态防护和诱捕系统及方法 | |
| CN111683106A (zh) | 主动防护系统及方法 | |
| RU2690749C1 (ru) | Способ защиты вычислительных сетей | |
| Rohatgi et al. | A detailed survey for detection and mitigation techniques against ARP spoofing | |
| Data | The defense against arp spoofing attack using semi-static arp cache table | |
| Tariq et al. | A comprehensive categorization of DDoS attack and DDoS defense techniques | |
| KR101593897B1 (ko) | 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법 | |
| US8819285B1 (en) | System and method for managing network communications | |
| Groat et al. | IPv6: nowhere to run, nowhere to hide | |
| Bijral et al. | Study of Vulnerabilities of ARP Spoofing and its detection using SNORT | |
| Guo et al. | IoTSTEED: Bot-side Defense to IoT-based DDoS Attacks (Extended) | |
| Fayyaz et al. | Using JPCAP to prevent man-in-the-middle attacks in a local area network environment | |
| US20220103582A1 (en) | System and method for cybersecurity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |