CN112789840A - 防止arp攻击的方法、装置及系统 - Google Patents
防止arp攻击的方法、装置及系统 Download PDFInfo
- Publication number
- CN112789840A CN112789840A CN202080004589.6A CN202080004589A CN112789840A CN 112789840 A CN112789840 A CN 112789840A CN 202080004589 A CN202080004589 A CN 202080004589A CN 112789840 A CN112789840 A CN 112789840A
- Authority
- CN
- China
- Prior art keywords
- arp
- vehicle
- terminal
- mapping relation
- relation table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/255—Maintenance or indexing of mapping tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请涉及通信领域,特别涉及一种防止ARP攻击的方法、装置及系统。该方法用于车载网络的车载控制器,包括:获取车载网络内所有接入终端的MAC地址和IP地址,生成ARP映射关系表,该ARP映射关系表包括车载网络内所有接入终端的MAC地址和IP地址之间的映射关系,以及将ARP映射关系表发送至车载网络内所有接入终端。因此,本申请中车载网络内任一接入终端可以根据车载控制器下发的ARP映射关系表进行数据通信,从而有效地防止了车载网络内的ARP攻击,还保证了数据通信的可靠性。
Description
技术领域
本申请涉及通信领域,特别涉及一种防止ARP攻击的方法、装置及系统。
背景技术
ARP(Address Resolution Protocol,地址解析协议)的基本功能是通过目标设备的IP地址查询目标设备的MAC地址,以保证通信的顺利进行。而ARP欺骗是指攻击者通过发送错误的ARP信息使网络通信出现异常。
在车内环境中,攻击者一般采用破解车载WIFI(Wireless Fidelity,无线保真)密码后,进入车载网络进行ARP欺骗攻击终端设备,攻击成功后被攻击者ARP映射关系表中网关的MAC地址被更改为攻击者MAC地址,被攻击者数据流就变为发送给攻击者,此时攻击者即可劫持流量获取敏感信息等。
发明内容
本申请实施例提供了一种防止ARP攻击的方法、装置及系统,车载网络的车载控制器通过获取车载网络内所有接入终端的MAC地址和IP地址,生成ARP映射关系表,该ARP映射关系表包括车载网络内所有接入终端的MAC地址和IP地址之间的映射关系,以及将ARP映射关系表发送至车载网络内所有接入终端,这样车载网络内任一接入终端可以根据车载控制器下发的ARP映射关系表进行数据通信,从而有效地防止了车载网络内的ARP攻击,还保证了数据通信的可靠性。
第一方面,本申请实施例提供了一种防止ARP攻击的方法,所述方法用于车载网络的车载控制器,包括:
获取所述车载网络内所有接入终端的介质访问控制MAC地址和网络之间互连协议IP地址;
生成ARP映射关系表,所述ARP映射关系表包括所述车载网络内所有接入终端的MAC地址和IP地址之间的映射关系;
将所述ARP映射关系表发送至所述车载网络内所有接入终端,以使所述车载网络内任一接入终端根据所述ARP映射关系表进行数据通信。
也就是说,本申请实施例中,车载控制器通过获取车载网络内所有接入终端的MAC地址和IP地址,生成ARP映射关系表,该ARP映射关系表包括车载网络内所有接入终端的MAC地址和IP地址之间的映射关系,以及将ARP映射关系表发送至车载网络内所有接入终端,并且,接入终端只有接收到车载控制器下发的ARP映射关系表后,才根据该ARP映射关系表进行数据通信,这样通过车载控制器来维护车载网络内所有接入终端的ARP映射关系表,从而保证了接入终端与其他接入终端进行数据通信的可靠性。
在一种可能的实现方式中,所述将所述ARP映射关系表发送至所述车载网络内所有接入终端,包括:
通过所述车载控制器的下发系统将所述ARP映射关系表发送至所述车载网络内所有接入终端的接收系统。
也就是说,在该种实现方式中,车载控制器可以通过下发系统发送ARP映射关系表,接入终端通过接收系统接收ARP映射关系表,这样从传输路径上有效地防止了车载网络内的ARP攻击。
在一种可能的实现方式中,所述下发系统是第一应用APP,所述接收系统是第二APP,所述第一APP和所述第二APP相同。
也就是说,在该种实现方式中,针对ARP映射关系表,车载控制器和接入终端都采用同一APP(例如,智能手机的第三方应用程序)来处理,从而丰富了防止ARP攻击的实现方式。
在一种可能的实现方式中,所述获取所述车载网络内所有接入终端的MAC地址和IP地址,包括:
利用动态主机配置协议DHCP获取第一终端的MAC地址和IP地址,所述第一终端用于表征所述车载网络内的任一接入终端。
也就是说,在该种实现方式中,车载控制器可以DHCP获取车载网络内所有接入终端的MAC地址和IP地址,这样便于车载控制器对接入终端的IP地址的管理,还便于车载控制器来维护车载网络内所有接入终端的ARP映射关系表。
在一种可能的实现方式中,所述利用DHCP获取第一终端的MAC地址和IP地址,包括:
接收所述第一终端发送的DHCP地址请求消息,所述地址请求消息包括所述第一终端的MAC地址;
向所述第一终端发送DHCP地址回复消息,所述地址回复消息包括所述第一终端的IP地址。
也就是说,在该种实现方式中,车载控制器可以承载DHCP服务器功能,比如:车载控制器包括网关,该网关可以具体来实现DHCP服务器功能。其中,DHCP服务器功能指的是为负责车载网络内所有接入终端的IP地址的分配和管理。
在一种可能的实现方式中,还包括:
检测到满足针对所述ARP映射关系表的指定更新条件;
对所述ARP映射关系表进行更新,得到更新后的ARP映射关系表;
将所述更新后的ARP映射关系表发送至所述车载网络内所有接入终端,以使所述车载网络内任一接入终端根据所述更新后的ARP映射关系表进行数据通信。
也就是说,在该种实现方式中,针对ARP映射关系表,满足一定更新条件(例如,ARP映射关系表发生改变)时,车载控制器会主动更新并下发更新后的ARP映射关系表,这样车载网络内任一接入终端可以避免使用更新前的ARP映射关系表进行数据通信而是使用更新后的ARP映射关系表进行数据通信,从而保证了数据通信的准确性。
其中,在将所述更新后的ARP映射关系表发送至所述车载网络内所有接入终端时,可以通过所述车载控制器的下发系统将所述更新后的ARP映射关系表发送至所述车载网络内所有接入终端的接收系统。
在一种可能的实现方式中,所述指定更新条件包括:第二终端接入所述车载网络,所述第二终端用于表征任一未接入所述车载网络的终端;
所述对所述ARP映射关系表进行更新,得到更新后的ARP映射关系表,包括:
将所述第二终端的MAC地址和IP地址之间的映射关系添加至所述ARP映射关系表中,得到所述更新后的ARP映射关系表。
也就是说,在该种实现方式中,若有新的终端接入车载网络,车载控制器需要对ARP映射关系表进行更新并下发更新后的ARP映射关系表,这样车载网络中的接入终端可以与新接入车载网络的终端进行数据通信,提高了通信效率。
在一种可能的实现方式中,所述指定更新条件包括:第三终端断开所述车载网络,所述第三终端用于表征任一已接入所述车载网络的终端;
所述对所述ARP映射关系表进行更新,得到更新后的ARP映射关系表,包括:
从所述ARP映射关系表中删除所述第三终端的MAC地址和IP地址之间的映射关系,得到所述更新后的ARP映射关系表。
也就是说,在该种实现方式中,若有终端断开车载网络,车载控制器需要对ARP映射关系表进行更新并下发更新后的ARP映射关系表,这样车载网络中的接入终端可以不再与断开车载网络的终端进行数据通信,避免了数据丢失。
在一种可能的实现方式中,还包括:
通过所述车载控制器的虚拟终端检测所述车载网络内是否存在ARP攻击;
若确定所述车载网络内存在ARP攻击,则对ARP攻击设备进行标记,并过滤掉目标地址为所述ARP攻击设备的MAC地址的数据。
也就是说,在该种实现方式中,车载控制器可以主动通过虚拟终端吸引攻击者进行ARP攻击,并确定攻击者MAC地址,并对攻击者进行网络限制,丰富了防止ARP攻击的防御方式。
在一种可能的实现方式中,所述通过所述车载控制器的虚拟终端检测所述车载网络内是否存在ARP攻击,包括:
通过虚拟终端广播包括目标IP地址的ARP请求消息,所述目标IP地址为已知不存在的IP地址或已知网关的IP地址;
若接收到包括目标MAC地址的ARP应答消息,则确定所述车载网络内存在ARP攻击,ARP攻击设备为发送所述ARP应答消息的设备。
也就是说,在该种实现方式中,通过虚拟终端来广播ARP请求消息,若接收到ARP应答消息,可以根据ARP应答消息确定攻击者MAC地址,并对攻击者进行网络限制(例如,抛弃所有指向攻击者MAC地址的数据)。
第二方面,本申请实施例提供了一种防止ARP攻击的方法,所述方法用于车载网络内任一接入终端,包括:
接收所述车载网络的车载控制器发送的ARP映射关系表,所述ARP映射关系表包括所述车载网络内所有接入终端的MAC地址和IP地址之间的映射关系;
根据所述ARP映射关系表进行数据通信。
也就是说,本申请实施例中,车载控制器通过获取车载网络内所有接入终端的MAC地址和IP地址,生成ARP映射关系表,该ARP映射关系表包括车载网络内所有接入终端的MAC地址和IP地址之间的映射关系,以及将ARP映射关系表发送至车载网络内所有接入终端,并且,接入终端只有接收到车载控制器下发的ARP映射关系表后,才根据该ARP映射关系表进行数据通信,这样通过车载控制器来维护车载网络内所有接入终端的ARP映射关系表,从而保证了接入终端与其他接入终端进行数据通信的可靠性。
在一种可能的实现方式中,所述接收所述车载网络的车载控制器发送的ARP映射关系表,包括:
通过所述接入终端的接收系统接收所述车载控制器的下发系统发送的ARP映射关系表。
也就是说,在该种实现方式中,车载控制器可以通过下发系统发送ARP映射关系表,接入终端可以通过接收系统接收ARP映射关系表,这样从传输路径上有效地防止了车载网络内的ARP攻击。
在一种可能的实现方式中,所述下发系统是第一应用APP,所述接收系统是第二APP,所述第一APP和所述第二APP相同。
也就是说,在该种实现方式中,针对ARP映射关系表,车载控制器和接入终端都采用同一APP(例如,智能手机的第三方应用程序)来处理,从而丰富了防止ARP攻击的实现方式。
在一种可能的实现方式中,还包括:
接收所述车载控制器发送的更新后的ARP映射关系表;
根据所述更新后的ARP映射关系表进行数据通信。
也就是说,在该种实现方式中,针对ARP映射关系表,满足一定更新条件(例如,ARP映射关系表发生改变)时,车载控制器会主动更新并下发更新后的ARP映射关系表,这样车载网络内任一接入终端可以避免使用更新前的ARP映射关系表进行数据通信而是使用更新后的ARP映射关系表进行数据通信,从而保证了数据通信的准确性。
其中,在接收所述车载控制器发送的更新后的ARP映射关系表时,可以通过所述接入终端的接收系统接收所述车载控制器的下发系统发送的更新后的ARP映射关系表。
在一种可能的实现方式中,所述接入终端为首次接入所述车载网络、且不包括所述接收系统的设备;所述方法还包括:
从所述车载控制器提供的下载页面下载和安装所述接收系统。
也就是说,在该种实现方式中,车载控制器可以为接入终端提供下载方式,从而保证了接入终端在接收ARP映射关系表时,可以使用从车载控制器下载的接收系统来接收,进一步从传输路径上有效地防止了车载网络内的ARP攻击。
第三方面,本申请实施例提供了一种防止ARP攻击的装置,所述装置用于车载网络的车载控制器,包括:
获取模块,用于获取所述车载网络内所有接入终端的介质访问控制MAC地址和网络之间互连协议IP地址;
生成模块,用于生成ARP映射关系表,所述ARP映射关系表包括所述车载网络内所有接入终端的MAC地址和IP地址之间的映射关系;
第一发送模块,用于将所述ARP映射关系表发送至所述车载网络内所有接入终端,以使所述车载网络内任一接入终端根据所述ARP映射关系表进行数据通信。
在一种可能的实现方式中,所述第一发送模块包括:
发送子模块,用于通过所述车载控制器的下发系统将所述ARP映射关系表发送至所述车载网络内所有接入终端的接收系统。
在一种可能的实现方式中,所述下发系统是第一应用APP,所述接收系统是第二APP,所述第一APP和所述第二APP相同。
在一种可能的实现方式中,所述获取模块包括:
获取子模块,用于利用动态主机配置协议DHCP获取第一终端的MAC地址和IP地址,所述第一终端用于表征所述车载网络内的任一接入终端。
在一种可能的实现方式中,所述获取子模块包括:
接收单元,用于接收所述第一终端发送的DHCP地址请求消息,所述地址请求消息包括所述第一终端的MAC地址;
发送单元,用于向所述第一终端发送DHCP地址回复消息,所述地址回复消息包括所述第一终端的IP地址。
在一种可能的实现方式中,还包括:
第一检测模块,用于检测到满足针对所述ARP映射关系表的指定更新条件;
更新模块,用于对所述ARP映射关系表进行更新,得到更新后的ARP映射关系表;
第二发送模块,用于将所述更新后的ARP映射关系表发送至所述车载网络内所有接入终端,以使所述车载网络内任一接入终端根据所述更新后的ARP映射关系表进行数据通信。
在一种可能的实现方式中,所述指定更新条件包括:第二终端接入所述车载网络,所述第二终端用于表征任一未接入所述车载网络的终端;所述更新模块包括:
添加子模块,用于将所述第二终端的MAC地址和IP地址之间的映射关系添加至所述ARP映射关系表中,得到所述更新后的ARP映射关系表。
在一种可能的实现方式中,所述指定更新条件包括:第三终端断开所述车载网络,所述第三终端用于表征任一已接入所述车载网络的终端;所述更新模块包括:
删除子模块,用于从所述ARP映射关系表中删除所述第三终端的MAC地址和IP地址之间的映射关系,得到所述更新后的ARP映射关系表。
在一种可能的实现方式中,还包括:
第二检测模块,用于通过所述车载控制器的虚拟终端检测所述车载网络内是否存在ARP攻击;
标记模块,用于若确定所述车载网络内存在ARP攻击,则对ARP攻击设备进行标记,并过滤掉目标地址为所述ARP攻击设备的MAC地址的数据。
在一种可能的实现方式中,所述第二检测模块包括:
广播子模块,用于通过虚拟终端广播包括目标IP地址的ARP请求消息,所述目标IP地址为已知不存在的IP地址或已知网关的IP地址;
确定子模块,用于若接收到包括目标MAC地址的ARP应答消息,则确定所述车载网络内存在ARP攻击,ARP攻击设备为发送所述ARP应答消息的设备。
第四方面,本申请实施例提供了一种防止ARP攻击的装置,所述装置用于车载网络内任一接入终端,包括:
第一接收模块,用于接收所述车载网络的车载控制器发送的ARP映射关系表,所述ARP映射关系表包括所述车载网络内所有接入终端的MAC地址和IP地址之间的映射关系;
第一通信模块,用于根据所述ARP映射关系表进行数据通信。
在一种可能的实现方式中,所述第一接收模块包括:
接收子模块,用于通过所述接入终端的接收系统接收所述车载控制器的下发系统发送的ARP映射关系表。
在一种可能的实现方式中,所述下发系统是第一应用APP,所述接收系统是第二APP,所述第一APP和所述第二APP相同。
在一种可能的实现方式中,还包括:
第二接收模块,用于接收所述车载控制器发送的更新后的ARP映射关系表;
第二通信模块,用于根据所述更新后的ARP映射关系表进行数据通信。
在一种可能的实现方式中,所述接入终端为首次接入所述车载网络、且不包括所述接收系统的设备;所述装置还包括:
下载安装模块,用于从所述车载控制器提供的下载页面下载和安装所述接收系统。
第五方面,本申请实施例提供了一种防止ARP攻击的装置,所述装置用于车载网络的车载控制器,所述装置包括:处理器、存储器、收发器;
所述存储器用于存储计算机指令;
当所述装置运行时,所述处理器执行所述计算机指令,使得所述装置执行第一方面所述的方法。
第六方面,本申请实施例提供了一种防止ARP攻击的装置,所述装置用于车载网络内任一接入终端,所述装置包括:处理器、存储器、收发器;
所述存储器用于存储计算机指令;
当所述装置运行时,所述处理器执行所述计算机指令,使得所述装置执行第二方面所述的方法。
第七方面,本申请实施例提供了一种通信系统,包括车载控制器、以及一个或多个接入终端;
其中,所述车载控制器包含第三方面所述的装置;所述接入终端包含第四方面所述的装置。
第八方面,本申请实施例提供了一种计算机存储介质,所述计算机存储介质包括计算机指令,当所述计算机指令在车载网络的车载控制器上运行时,使得所述车载控制器执行执行第一方面所述的方法。
第九方面,本申请实施例提供了一种计算机存储介质,所述计算机存储介质包括计算机指令,当所述计算机指令在车载网络内的终端设备上运行时,使得所述终端设备执行第二方面所述的方法。
本申请公开了一种防止ARP攻击的方法、装置及系统,车载网络的车载控制器通过获取车载网络内所有接入终端的MAC地址和IP地址,生成ARP映射关系表,该ARP映射关系表包括车载网络内所有接入终端的MAC地址和IP地址之间的映射关系,以及通过车载控制器的下发系统将ARP映射关系表发送至车载网络内所有接入终端的接收系统,这样车载网络内任一接入终端可以根据所述ARP映射关系表进行数据通信,从而有效地防止了车载网络内的ARP攻击,还保证了数据通信的可靠性。
附图说明
图1是一种ARP攻击场景示意图;
图2是一种车载网络示意图;
图3是一种防止ARP攻击的实现方式示意图;
图4是一种防止ARP攻击的实现方式示意图;
图5是本申请实施例提供的一种防止ARP攻击的方法的流程示意图;
图6是本申请实施例提供的一种防止ARP攻击的方法的流程示意图;
图7是本申请实施例提供的一种防止ARP攻击的装置的结构示意图;
图8是本申请实施例提供的一种防止ARP攻击的装置的结构示意图;
图9是本申请实施例提供的一种终端的结构示意图。
具体实施方式
下面将结合附图,对本申请实施例中的技术方案进行描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。
在本说明书的描述中“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。
其中,在本说明书的描述中,除非另有说明,“/”表示或的意思,例如,A/B可以表示A或B;本文中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,在本申请实施例的描述中,“多个”是指两个或多于两个。
在本说明书的描述中,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
ARP的基本功能是通过目标设备的IP地址查询目标设备的MAC地址,以保证通信的顺利进行。而ARP欺骗是指攻击者通过发送错误的ARP信息使网络通信出现异常。
在车内环境中,攻击者一般采用破解车载WIFI密码后,进入车载网络进行ARP欺骗攻击终端设备,攻击成功后被攻击者ARP映射关系表中网关的MAC地址被更改为攻击者MAC地址,被攻击者数据流就变为发送给攻击者,此时攻击者即可劫持流量获取敏感信息等。如图1所示,车载娱乐系统IVI(In-Vehicle Infotainment,车载信息娱乐系统)内包括车主手机A和攻击者B(IP-B,MAC-B);在攻击者B对车主手机A进行ARP攻击之前,车主手机A的ARP映射关系表中的网关列表为:IP-A、MAC-A,车主手机A上网路径为:车主手机A——网关——互联网;在攻击者B对车主手机A进行ARP攻击之后,车主手机A的ARP映射关系表中的网关列表更改为:IP-A、MAC-B,车主手机A上网路径更改:车主手机A——攻击者B——网关——互联网,使得车主手机A将应该直接发给网关的数据,发送给了攻击者B,这样攻击者B就劫持了车主手机A的流量,可以进行钓鱼、篡改、嗅探等攻击。
为了防止ARP攻击,可以采用的实现方式包括:1、网关绑定设备IP与MAC地址、终端绑定网关IP及MAC地址;2、安装ARP防火墙对ARP映射关系表进行监控,如发生异常更改请求即阻断更改动作;3、使用ARP服务器进行ARP映射关系表进行维护,终端通过ARP服务器维护的IP与MAC映射表进行寻址。但是,上述采用的实现方式的不足之处包括:1、双向绑定需要人工操作,如果经常性更换ARP映射表会产生大量工作量,在车内环境中难以做到对连入设备的配置;2、移动端环境下安装ARP防火墙时,当移动端发生网络变化,如更换WIFI环境、更换网关时,ARP防火墙可能导致不能正确刷新网关IP与MAC映射关系导致拒绝服务。3、在车内还需要额外的设备承载服务,ARP服务器遭到攻击篡改设备IP与MAC映射关系表会导致所有终端受到ARP攻击。
因此,为了更好地防止ARP攻击,本申请提供了一种防止ARP攻击的方法、装置及系统,车载网络的车载控制器通过获取车载网络内所有接入终端的MAC地址和IP地址,生成ARP映射关系表,该ARP映射关系表包括车载网络内所有接入终端的MAC地址和IP地址之间的映射关系,通过车载控制器的下发系统将ARP映射关系表发送至车载网络内所有接入终端的接收系统,这样车载网络内任一接入终端可以根据所述ARP映射关系表进行数据通信,从而有效地防护了车载网络内的ARP攻击,还保证了数据通信的可靠性。
需要说明的是:
本申请涉及到的车载网络可以是车内局域网,属于局域网的范畴。具体地,车载网络可以是车载控制器提供的无线AP(Access Point,接入点)功能,比如:无线热点、WIFI等。
本申请涉及到的接入终端又可以被称为UE(User Equipment,用户设备)等。接入终端包括但不限于手持设备、车载设备。例如,可以为手机、平板电脑、笔记本电脑、UMPC(Ultra-Mobile Personal Computer,超级移动个人计算机)、上网本或者PDA(PersonalDigital Assistant,个人数字助理)等。
下面通过具体实施例进行说明。
图2是一种车载网络示意图;如图2所示,车载网络的车载控制器,比如,CDC(Cockpit Domain Controller,智能座舱域控制器),包括网关、下发系统、虚拟终端。
需要说明的是,在本申请实施例中,车载控制器可以指的是软件与硬件相结合的操作系统,网关、下发系统、虚拟终端均为该操作系统中的功能模块。
其中,网关实现的功能是:利用DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)获取车载网络内所有接入终端的MAC(MediumAccess Control,介质访问控制)地址和IP(Internet Protocol,网络之间互连协议)地址,并根据车载网络内所有接入终端的MAC地址和IP地址生成ARP映射关系表,该ARP映射关系表包括车载网络内所有接入终端的MAC地址和IP地址之间的映射关系。
需要说明的是,DHCP是一个应用于局域网的网络协议,该协议允许服务器向客户端动态分配IP地址和配置信息。在本申请实施例中,网关可以向车载网络中的各个终端动态分配IP地址和配置信息。
下发系统实现的功能是:将ARP映射关系表发送至车载网络内所有接入终端的接收系统。示例性的,该下发系统可以为一个下发软件;与此对应的,接收系统可以是与该下发软件对应的接收软件。
虚拟终端实现的功能是:发送ARP广播请求检测车载网络内是否存在ARP攻击,若存在ARP攻击,则通过网关对ARP攻击设备进行标记,以及抛弃所有指向ARP攻击设备的MAC地址的数据。
可见,在本申请实施例中,车载控制器可以通过下发系统将ARP映射关系表发送至车载网络内所有接入终端的接收系统,以及通过虚拟终端检测ARP攻击,二者相结合来防止ARP攻击。
需要说明的是,若终端设备首次接入车载网络,且未安装接收系统时,此时该终端设备接入车载网络后,车载控制器可以通过强制门户使终端设备打开下载页面来下载安装用于接收ARP映射关系表的接收系统。示例性的,终端设备接入车载网络时会转入下载页面进行软件下载,该下载的软件用于接收ARP映射关系表、以及根据接收到ARP映射关系表更新终端设备本地保存的ARP映射关系表。
图3是一种防止ARP攻击的实现方式示意图;如图3所示,该防止ARP攻击的实现方式为主动更新ARP映射关系表,其具体实现过程包括:
(1)当终端设备接入车载网络时,车载控制器(例如,CDC)根据DHCP获取接入终端的IP与MAC地址,并根据接入终端的IP与MAC地址生成ARP映射关系表。示例性的,终端设备发送设备MAC向车载控制器的网关申请IP地址,车载控制器的网关向终端设备下发网关分配的IP地址。
需要说明的是,终端设备接收到网关分配的IP地址后,此时可以进行联网,但可能遭到ARP攻击。
(2)首次连入车载网络的终端设备联网时将会转入下载页面进行软件下载,该软件主要用于接收车载控制器下发的地ARP映射关系表、以及根据接收到ARP映射关系表更新终端设备本地保存的ARP映射关系表。
(3)车载控制器通过下发系统下发ARP映射关系表,终端内接收系统根据下发的ARP映射关系表进行更新,便于防护局域网内的ARP攻击,以及根据下发ARP映射关系表与车载控制器的网关或其他终端进行数据通信。
需要说明的是,终端只根据车载控制器下发的ARP映射关系表与车载控制器的网关或其他终端进行数据通信,不但防护了车载网络内的ARP攻击,还保证了数据通信的可靠性。
(4)任一设备接入车载网络或断开车载网络,车载控制器均会更新ARP映射关系表,并下发更新后的ARP映射关系表。
由此,通过上述方案,可以解决在车辆环境中,终端设备与车载控制器进行双向IP、MAC地址进行需要人工进行配置的步骤;以及,通过灵活更新车载控制器与接入终端的ARP映射关系表,解决了网络环境产生变化产生的由于ARP防火墙阻止正常ARP映射关系表更新导致的终端拒绝服务问题。具体的
可以理解,由于网关绑定设备IP与MAC地址、终端绑定网关IP及MAC地址,当有终端设备接入网络时需要人工在终端设备及网关上进行IP地址和MAC地址的双向绑定;但本申请可以通过下发系统和接收系统(例如,下发软件和接收软件)进行自动绑定,解决人工配置不便的麻烦。
由于安装ARP防火墙对ARP映射关系表进行监控,如发生异常更改请求即阻断更改动作,但移动端环境下安装ARP防火墙时,当移动端发生网络变化,如更换WIFI环境、更换网关时,ARP防火墙可能导致不能正确刷新网关IP与MAC映射关系导致拒绝服务;而本申请通过下发系统和接收系统(例如,下发软件和接收软件)灵活管理网关与其他终端设备的ARP映射关系表,当终端设备离开车载网络后,接收软件未收到更新ARP映射关系表的数据,则不再对APR表进行维护,保证终端设备离开车载网络后依然可以正常上网,从而解决了网络环境产生变化产生的由于ARP防火墙阻止正常ARP映射关系表更新导致的终端拒绝服务问题。
图4是一种防止ARP攻击的实现方式示意图;如图4所示,该防止ARP攻击的实现方式为通过虚拟终端检测ARP攻击,其具体实现过程包括:
(1)当终端设备接入车载网络时,车载控制器(例如,CDC)根据DHCP获取接入终端的IP与MAC地址,并根据接入终端的IP与MAC地址生成ARP映射关系表。示例性的,终端设备发送设备MAC向车载控制器的网关申请IP地址,车载控制器的网关向终端设备下发网关分配的IP地址。
需要说明的是,终端设备接收到网关分配的IP地址后,此时可以进行联网,但可能遭到ARP攻击。
(2)车载控制器通过虚拟终端进行ARP广播,即通过虚拟终端广播请求一个未使用IP地址的MAC地址。示例性的,虚拟终端发出的ARP广播报文为:who has x.x.x.x(寻址的IP)tell x.x.x.x(虚拟终端IP)。其中,寻址IP为未在DHCP服务申请使用的IP或者是网关IP。
(3)如果车载网络内设备存在ARP攻击倾向,则攻击设备会回应ARP应答。示例性的,攻击设备回应的ARP应答文为:x.x.x.x(寻址的IP)is at x:x:x:x:x:x(攻击者MAC)。
(4)车载控制器通过检测虚拟终端是否接收到ARP应答来判断是否存在ARP攻击。
具体地,若虚拟终端接收到ARP应答,则确定进行ARP应答的设备正进行ARP攻击,车载控制器进行记录并且过滤目标地址为攻击者MAC的数据。
由此,通过上述方案,可以通过虚拟终端吸引攻击者进行ARP攻击,并确定攻击者IP及MAC地址,以及通过获取攻击者信息,联合网关对攻击者进行网络限制。
接下来,请参阅图5,图5是本申请实施例提供的一种防止ARP攻击的方法的流程示意图,该方法可以用于车载网络的车载控制器(例如,CDC);如图5所示,该方法可以包括以下步骤:
S501、获取车载网络内所有接入终端的MAC地址和IP地址。
作为一个实施例,如图2所示,车载控制器可以利用DHCP获取第一终端的MAC地址和IP地址,第一终端用于表征车载网络内的任一接入终端。比如:车载控制器接收第一终端发送的DHCP地址请求消息,地址请求消息包括第一终端的MAC地址;并向第一终端发送DHCP地址回复消息,地址回复消息包括第一终端的IP地址,其实现过程具体如图3或图4中所示。
S502、生成ARP映射关系表,该ARP映射关系表包括车载网络内所有接入终端的MAC地址和IP地址之间的映射关系。
S503、将ARP映射关系表发送至车载网络内所有接入终端,以使车载网络内任一接入终端根据ARP映射关系表进行数据通信。
作为一个实施例,如图2所示,车载控制器可以通过下发系统将ARP映射关系表发送至车载网络内所有接入终端的接收系统。其中,下发系统可以是第一应用APP,接收系统可以是第二APP,第一APP和第二APP相同。也就是说,下发系统和接收系统可以为同一款应用APP。
可见,车载控制器负责维护包括车载网络内所有接入终端的MAC地址和IP地址之间的映射关系的ARP映射关系表,并通过下发系统发送ARP映射关系表,接入终端通过接收系统接收ARP映射关系表,这样从传输路径上有效地防止了车载网络内的ARP攻击;并且,接入终端只有接收到车载控制器下发的ARP映射关系表后,才根据该ARP映射关系表进行数据通信,这样通过车载控制器来维护车载网络内所有接入终端的ARP映射关系表,从而保证了接入终端与其他接入终端进行数据通信的可靠性。
作为一个实施例,车载控制器在检测到满足所述ARP映射关系表的指定更新条件时,可以对ARP映射关系表进行更新,得到更新后的ARP映射关系表;将更新后的ARP映射关系表发送至车载网络内所有接入终端,以使车载网络内任一接入终端根据更新后的ARP映射关系表进行数据通信。
比如:指定更新条件包括:第二终端接入车载网络,第二终端用于表征任一未接入车载网络的终端;车载控制器会将第二终端的MAC地址和IP地址之间的映射关系添加至ARP映射关系表中,得到更新后的ARP映射关系表,并将更新后的ARP映射关系表发送至车载网络内所有接入终端。
又比如:指定更新条件包括:第三终端断开车载网络,第三终端用于表征任一已接入车载网络的终端;车载控制器会从ARP映射关系表中删除第三终端的MAC地址和IP地址之间的映射关系,得到更新后的ARP映射关系表,并将更新后的ARP映射关系表发送至车载网络内所有接入终端。
可见,车载控制器负责更新ARP映射关系表,并将更新后的ARP映射关系表发送至车载网络内所有接入终端,这样车载网络内任一接入终端可以根据更新后的ARP映射关系表进行数据通信,进一步保证了接入终端与其他接入终端进行数据通信的可靠性。
作为一个实施例,车载控制器还可以通过虚拟终端检测车载网络内是否存在ARP攻击;若确定车载网络内存在ARP攻击,则对ARP攻击设备进行标记,并过滤掉目标地址为ARP攻击设备的MAC地址的数据。
比如:如图4所示,通过虚拟终端广播包括目标IP地址的ARP请求消息,目标IP地址为已知不存在的IP地址或已知网关的IP地址;若接收到包括目标MAC地址的ARP应答消息,则确定车载网络内存在ARP攻击,ARP攻击设备为发送ARP应答消息的设备。
可见,车载控制器可以主动通过虚拟终端吸引攻击者进行ARP攻击,并确定攻击者MAC地址,并对攻击者进行网络限制,丰富了防止ARP攻击的防御方式。
图6是本申请实施例提供的一种防止ARP攻击的方法的流程示意图,该方法可以用于车载网络内任一接入终端;如图6所示,该方法可以包括以下步骤:
S601、接收车载网络的车载控制器(例如,CDC)发送的ARP映射关系表,该ARP映射关系表包括车载网络内所有接入终端的MAC地址和IP地址之间的映射关系。
作为一个实施例,如图2所述,接入终端可以通过接收系统接收车载网络的车载控制器的下发系统发送的ARP映射关系表。其中,下发系统可以是第一应用APP,接收系统可以是第二APP,第一APP和第二APP相同。也就是说,下发系统和接收系统可以为同一款应用APP。
S602、根据ARP映射关系表进行数据通信。
可见,车载控制器负责维护包括车载网络内所有接入终端的MAC地址和IP地址之间的映射关系的ARP映射关系表,并通过下发系统发送ARP映射关系表,接入终端通过接收系统接收ARP映射关系表,这样从传输路径上有效地防止了车载网络内的ARP攻击;并且,接入终端只有接收到车载控制器下发的ARP映射关系表后,才根据该ARP映射关系表进行数据通信,这样通过车载控制器来维护车载网络内所有接入终端的ARP映射关系表,从而保证了接入终端与其他接入终端进行数据通信的可靠性。
作为一个实施例,如图2所述,接入终端还可以通过接收系统接收车载控制器的下发系统发送的更新后的ARP映射关系表。
可见,车载控制器负责更新ARP映射关系表,并将更新后的ARP映射关系表发送至车载网络内所有接入终端,这样车载网络内任一接入终端可以根据更新后的ARP映射关系表进行数据通信,进一步保证了接入终端与其他接入终端进行数据通信的可靠性。
作为一个实施例,接入终端为首次接入所述车载网络、且不包括接收系统的设备;该接入终端可以从车载控制器提供的下载页面下载和安装接收系统。
可见,车载控制器可以为接入终端提供下载方式,从而保证了接入终端在接收ARP映射关系表时,可以使用从车载控制器下载的接收系统来接收,进一步从传输路径上有效地防止了车载网络内的ARP攻击。
图7是本申请实施例提供的一种防止ARP攻击的装置的结构示意图,该装置可以用于车载网络的车载控制器(例如,CDC);如图7所示,该装置可以包括:
获取模块71,用于获取所述车载网络内所有接入终端的介质访问控制MAC地址和网络之间互连协议IP地址;
生成模块72,用于生成ARP映射关系表,所述ARP映射关系表包括所述车载网络内所有接入终端的MAC地址和IP地址之间的映射关系;
第一发送模块73,用于将所述ARP映射关系表发送至所述车载网络内所有接入终端,以使所述车载网络内任一接入终端根据所述ARP映射关系表进行数据通信。
作为一个实施例,所述第一发送模块73可以包括:
发送子模块,用于通过所述车载控制器的下发系统将所述ARP映射关系表发送至所述车载网络内所有接入终端的接收系统。
作为一个实施例,所述下发系统是第一应用APP,所述接收系统是第二APP,所述第一APP和所述第二APP相同。
作为一个实施例,所述获取模块71可以包括:
获取子模块,用于利用动态主机配置协议DHCP获取第一终端的MAC地址和IP地址,所述第一终端用于表征所述车载网络内的任一接入终端。
作为一个实施例,所述获取子模块可以包括:
接收单元,用于接收所述第一终端发送的DHCP地址请求消息,所述地址请求消息包括所述第一终端的MAC地址;
发送单元,用于向所述第一终端发送DHCP地址回复消息,所述地址回复消息包括所述第一终端的IP地址。
作为一个实施例,该防止ARP攻击的装置还可以包括:
第一检测模块,用于检测到满足针对所述ARP映射关系表的指定更新条件;
更新模块,用于对所述ARP映射关系表进行更新,得到更新后的ARP映射关系表;
第二发送模块,用于将所述更新后的ARP映射关系表发送至所述车载网络内所有接入终端,以使所述车载网络内任一接入终端根据所述更新后的ARP映射关系表进行数据通信。
作为一个实施例,所述指定更新条件包括:第二终端接入所述车载网络,所述第二终端用于表征任一未接入所述车载网络的终端;所述更新模块包括:
添加子模块,用于将所述第二终端的MAC地址和IP地址之间的映射关系添加至所述ARP映射关系表中,得到所述更新后的ARP映射关系表。
作为一个实施例,所述指定更新条件包括:第三终端断开所述车载网络,所述第三终端用于表征任一已接入所述车载网络的终端;所述更新模块包括:
删除子模块,用于从所述ARP映射关系表中删除所述第三终端的MAC地址和IP地址之间的映射关系,得到所述更新后的ARP映射关系表。
作为一个实施例,该防止ARP攻击的装置还可以包括:
第二检测模块,用于通过所述车载控制器的虚拟终端检测所述车载网络内是否存在ARP攻击;
标记模块,用于若确定所述车载网络内存在ARP攻击,则对ARP攻击设备进行标记,并过滤掉目标地址为所述ARP攻击设备的MAC地址的数据。
作为一个实施例,所述第二检测模块包括:
广播子模块,用于通过虚拟终端广播包括目标IP地址的ARP请求消息,所述目标IP地址为已知不存在的IP地址或已知网关的IP地址;
确定子模块,用于若接收到包括目标MAC地址的ARP应答消息,则确定所述车载网络内存在ARP攻击,ARP攻击设备为发送所述ARP应答消息的设备。
应当理解的是,上述装置用于执行上述图5中的防止ARP攻击的方法,装置中的相应的程序模块,其实现原理和技术效果与上述图5中的防止ARP攻击的方法中的描述类似,该装置的工作过程可参考上述图5中的防止ARP攻击的方法中的对应过程,此处不再赘述。
图8是本申请实施例提供的一种防止ARP攻击的装置的结构示意图,该装置可以用于车载网络内任一接入终端;如图8所示,该装置可以包括:
第一接收模块81,用于接收所述车载网络的车载控制器(例如,CDC)的下发系统发送的ARP映射关系表,所述ARP映射关系表包括所述车载网络内所有接入终端的MAC地址和IP地址之间的映射关系;
第一通信模块82,用于根据所述ARP映射关系表进行数据通信。
作为一个实施例,所述第一接收81模块包括:
接收子模块,用于通过所述接入终端的接收系统接收所述车载控制器的下发系统发送的ARP映射关系表。
作为一个实施例,所述下发系统是第一应用APP,所述接收系统是第二APP,所述第一APP和所述第二APP相同。
作为一个实施例,该防止ARP攻击的装置还可以包括:
第二接收模块,用于接收所述车载控制器发送的更新后的ARP映射关系表;
第二通信模块,用于根据所述更新后的ARP映射关系表进行数据通信。
作为一个实施例,所述接入终端为首次接入所述车载网络、且不包括所述接收系统的设备;该防止ARP攻击的装置还可以包括:
下载安装模块,用于从所述车载控制器提供的下载页面下载和安装所述接收系统。
应当理解的是,上述装置用于执行上述图6中的防止ARP攻击的方法,装置中的相应的程序模块,其实现原理和技术效果与上述图6中的防止ARP攻击的方法中的描述类似,该装置的工作过程可参考上述图6中的防止ARP攻击的方法中的对应过程,此处不再赘述。
图9是本申请实施例提供的一种终端的结构示意图,该终端可以实现上述方法实施例中终端的功能。为了便于说明,图9示意了终端的主要部件,如图9所示:
终端包括至少一个处理器611、至少一个收发器612和至少一个存储器613。处理器611、存储器613和收发器612相连。可选的,终端还可以包括输出设备614、输入设备615和一个或多个天线616。天线616与收发器612相连,输出设备614、输入设备615与处理器611相连。
处理器611主要用于对通信协议以及通信数据进行处理,以及对整个终端进行控制,执行软件程序,处理软件程序的数据。
作为一种可选的实现方式,所述终端设备可以包括基带处理器和中央处理器。基带处理器主要用于对通信协议以及通信数据进行处理。中央处理器主要用于对整个终端设备进行控制,执行软件程序,处理软件程序的数据。
图9中的处理器可以集成基带处理器和中央处理器的功能,本领域技术人员可以理解,基带处理器和中央处理器也可以是各自独立的处理器,通过总线等技术互联。本领域技术人员可以理解,终端设备可以包括多个基带处理器以适应不同的网络制式,终端设备可以包括多个中央处理器以增强其处理能力,终端设备的各个部件可以通过各种总线连接。所述基带处理器也可以表述为基带处理电路或者基带处理芯片。所述中央处理器也可以表述为中央处理电路或者中央处理芯片。对通信协议以及通信数据进行处理的功能可以内置在处理器中,也可以以软件程序的形式存储在存储器中,由处理器执行软件程序以实现基带处理功能。
存储器613主要用于存储软件程序和数据。存储器613可以是独立存在,与处理器611相连。可选的,存储器613可以和处理器611集成在一起,例如集成在一个芯片之内,即片内存储器,或者存储器613为独立的存储元件,本申请实施例对此不做限定。其中,存储器613能够存储执行本申请实施例的技术方案的程序代码,并由处理器611来控制执行,被执行的各类计算机程序代码也可被视为是处理器611的驱动程序。
收发器612可以用于基带信号与射频信号的转换以及对射频信号的处理,收发器612可以与天线616相连。收发器612包括发射机(transmitter,Tx)和接收机(receiver,Rx)。具体地,一个或多个天线616可以接收射频信号,该收发器612的接收机Rx用于从天线接收所述射频信号,并将射频信号转换为数字基带信号或数字中频信号,并将该数字基带信号或数字中频信号提供给所述处理器611,以便处理器611对该数字基带信号或数字中频信号做进一步的处理,例如解调处理和译码处理。此外,收发器612中的发射机Tx用于从处理器611接收经过调制的数字基带信号或数字中频信号,并将该经过调制的数字基带信号或数字中频信号转换为射频信号,并通过一个或多个天线616发送所述射频信号。具体地,接收机Rx可以选择性地对射频信号进行一级或多级下混频处理和模数转换处理以得到数字基带信号或数字中频信号,所述下混频处理和模数转换处理的先后顺序是可调整的。发射机Tx可以选择性地对经过调制的数字基带信号或数字中频信号时进行一级或多级上混频处理和数模转换处理以得到射频信号,所述上混频处理和数模转换处理的先后顺序是可调整的。数字基带信号和数字中频信号可以统称为数字信号。可选的,发射机Tx和接收机Rx可以是由不同的物理结构/电路实现,或者可以由同一物理结构/电路实现,也就是说发射机Tx和接收机Rx可以继承在一起。
收发器也可以称为收发单元、收发机、收发装置等。可选的,可以将收发单元中用于实现接收功能的器件视为接收单元,将收发单元中用于实现发送功能的器件视为发送单元,即收发单元包括接收单元和发送单元,接收单元也可以称为接收机、输入口、接收电路等,发送单元可以称为发射机、发射器或者发射电路等。或者,可以将Tx、Rx和天线的组合成为收发器。
输出设备614以多种方式来显示信息。例如,输出设备614可以是液晶显示器(Liquid Crystal Display,LCD)、发光二级管(Light Emitting Diode,LED)显示设备、阴极射线管(Cathode Ray Tube,CRT)显示设备、或投影仪(projector)等。输入设备615可以以多种方式接受用户的输入。例如,输入设备615可以是鼠标、键盘、触摸屏设备或传感设备等。
本申请实施例还提供了一种通信系统,包括车载控制器、以及一个或多个接入终端;其中,车载控制器可以执行用于车载控制器侧的防止ARP攻击的方法;接入终端可以执行用于终端侧的防止ARP攻击的方法。
本申请实施例还提供了一种计算机存储介质,该计算机存储介质包括计算机指令,当计算机指令在车载控制器上运行时,使得车载控制器可以执行用于车载控制器侧的防止ARP攻击的方法。
本申请实施例还提供了一种计算机存储介质,该计算机存储介质包括计算机指令,当计算机指令在接入终端上运行时,使得接入终端可以执行用于终端侧的防止ARP攻击的方法。
可以理解的是,本申请的实施例中的处理器可以是中央处理单元(centralprocessing unit,CPU),还可以是其他通用处理器、数字信号处理器(digital signalprocessor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现场可编程门阵列(fieldprogrammable gate array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件,硬件部件或者其任意组合。通用处理器可以是微处理器,也可以是任何常规的处理器。
本申请的实施例中的方法步骤可以通过硬件的方式来实现,也可以由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器(random access memory,RAM)、闪存、只读存储器(read-only memory,ROM)、可编程只读存储器(programmable rom,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者通过所述计算机可读存储介质进行传输。所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
可以理解的是,在本申请的实施例中涉及的各种数字编号仅为描述方便进行的区分,并不用来限制本申请的实施例的范围。
Claims (35)
1.一种防止ARP攻击的方法,其特征在于,所述方法用于车载网络的车载控制器,包括:
获取所述车载网络内所有接入终端的介质访问控制MAC地址和网络之间互连协议IP地址;
生成ARP映射关系表,所述ARP映射关系表包括所述车载网络内所有接入终端的MAC地址和IP地址之间的映射关系;
将所述ARP映射关系表发送至所述车载网络内所有接入终端,以使所述车载网络内任一接入终端根据所述ARP映射关系表进行数据通信。
2.根据权利要求1所述的方法,其特征在于,所述将所述ARP映射关系表发送至所述车载网络内所有接入终端,包括:
通过所述车载控制器的下发系统将所述ARP映射关系表发送至所述车载网络内所有接入终端的接收系统。
3.根据权利要求2所述的方法,其特征在于,所述下发系统是第一应用APP,所述接收系统是第二APP,所述第一APP和所述第二APP相同。
4.根据权利要求1所述的方法,其特征在于,所述获取所述车载网络内所有接入终端的MAC地址和IP地址,包括:
利用动态主机配置协议DHCP获取第一终端的MAC地址和IP地址,所述第一终端用于表征所述车载网络内的任一接入终端。
5.根据权利要求4所述的方法,其特征在于,所述利用DHCP获取第一终端的MAC地址和IP地址,包括:
接收所述第一终端发送的DHCP地址请求消息,所述地址请求消息包括所述第一终端的MAC地址;
向所述第一终端发送DHCP地址回复消息,所述地址回复消息包括所述第一终端的IP地址。
6.根据权利要求1所述的方法,其特征在于,还包括:
检测到满足针对所述ARP映射关系表的指定更新条件;
对所述ARP映射关系表进行更新,得到更新后的ARP映射关系表;
将所述更新后的ARP映射关系表发送至所述车载网络内所有接入终端,以使所述车载网络内任一接入终端根据所述更新后的ARP映射关系表进行数据通信。
7.根据权利要求6所述的方法,其特征在于,所述指定更新条件包括:第二终端接入所述车载网络,所述第二终端用于表征任一未接入所述车载网络的终端;
所述对所述ARP映射关系表进行更新,得到更新后的ARP映射关系表,包括:
将所述第二终端的MAC地址和IP地址之间的映射关系添加至所述ARP映射关系表中,得到所述更新后的ARP映射关系表。
8.根据权利要求6所述的方法,其特征在于,所述指定更新条件包括:第三终端断开所述车载网络,所述第三终端用于表征任一已接入所述车载网络的终端;
所述对所述ARP映射关系表进行更新,得到更新后的ARP映射关系表,包括:
从所述ARP映射关系表中删除所述第三终端的MAC地址和IP地址之间的映射关系,得到所述更新后的ARP映射关系表。
9.根据权利要求1所述的方法,其特征在于,还包括:
通过所述车载控制器的虚拟终端检测所述车载网络内是否存在ARP攻击;
若确定所述车载网络内存在ARP攻击,则对ARP攻击设备进行标记,并过滤掉目标地址为所述ARP攻击设备的MAC地址的数据。
10.根据权利要求9所述的方法,其特征在于,所述通过所述车载控制器的虚拟终端检测所述车载网络内是否存在ARP攻击,包括:
通过虚拟终端广播包括目标IP地址的ARP请求消息,所述目标IP地址为已知不存在的IP地址或已知网关的IP地址;
若接收到包括目标MAC地址的ARP应答消息,则确定所述车载网络内存在ARP攻击,ARP攻击设备为发送所述ARP应答消息的设备。
11.一种防止ARP攻击的方法,其特征在于,所述方法用于车载网络内任一接入终端,包括:
接收所述车载网络的车载控制器发送的ARP映射关系表,所述ARP映射关系表包括所述车载网络内所有接入终端的MAC地址和IP地址之间的映射关系;
根据所述ARP映射关系表进行数据通信。
12.根据权利要求11所述的方法,其特征在于,所述接收所述车载网络的车载控制器发送的ARP映射关系表,包括:
通过所述接入终端的接收系统接收所述车载控制器的下发系统发送的ARP映射关系表。
13.根据权利要求12所述的方法,其特征在于,所述下发系统是第一应用APP,所述接收系统是第二APP,所述第一APP和所述第二APP相同。
14.根据权利要求11所述的方法,其特征在于,还包括:
接收所述车载控制器发送的更新后的ARP映射关系表;
根据所述更新后的ARP映射关系表进行数据通信。
15.根据权利要求12或13所述的方法,其特征在于,所述接入终端为首次接入所述车载网络、且不包括所述接收系统的设备;所述方法还包括:
从所述车载控制器提供的下载页面下载和安装所述接收系统。
16.一种防止ARP攻击的装置,其特征在于,所述装置用于车载网络的车载控制器,包括:
获取模块,用于获取所述车载网络内所有接入终端的介质访问控制MAC地址和网络之间互连协议IP地址;
生成模块,用于生成ARP映射关系表,所述ARP映射关系表包括所述车载网络内所有接入终端的MAC地址和IP地址之间的映射关系;
第一发送模块,用于将所述ARP映射关系表发送至所述车载网络内所有接入终端,以使所述车载网络内任一接入终端根据所述ARP映射关系表进行数据通信。
17.根据权利要求16所述的装置,其特征在于,所述第一发送模块包括:
发送子模块,用于通过所述车载控制器的下发系统将所述ARP映射关系表发送至所述车载网络内所有接入终端的接收系统。
18.根据权利要求17所述的装置,其特征在于,所述下发系统是第一应用APP,所述接收系统是第二APP,所述第一APP和所述第二APP相同。
19.根据权利要求16所述的装置,其特征在于,所述获取模块包括:
获取子模块,用于利用动态主机配置协议DHCP获取第一终端的MAC地址和IP地址,所述第一终端用于表征所述车载网络内的任一接入终端。
20.根据权利要求19所述的装置,其特征在于,所述获取子模块包括:
接收单元,用于接收所述第一终端发送的DHCP地址请求消息,所述地址请求消息包括所述第一终端的MAC地址;
发送单元,用于向所述第一终端发送DHCP地址回复消息,所述地址回复消息包括所述第一终端的IP地址。
21.根据权利要求16所述的装置,其特征在于,还包括:
第一检测模块,用于检测到满足针对所述ARP映射关系表的指定更新条件;
更新模块,用于对所述ARP映射关系表进行更新,得到更新后的ARP映射关系表;
第二发送模块,用于将所述更新后的ARP映射关系表发送至所述车载网络内所有接入终端,以使所述车载网络内任一接入终端根据所述更新后的ARP映射关系表进行数据通信。
22.根据权利要求21所述的装置,其特征在于,所述指定更新条件包括:第二终端接入所述车载网络,所述第二终端用于表征任一未接入所述车载网络的终端;所述更新模块包括:
添加子模块,用于将所述第二终端的MAC地址和IP地址之间的映射关系添加至所述ARP映射关系表中,得到所述更新后的ARP映射关系表。
23.根据权利要求21所述的装置,其特征在于,所述指定更新条件包括:第三终端断开所述车载网络,所述第三终端用于表征任一已接入所述车载网络的终端;所述更新模块包括:
删除子模块,用于从所述ARP映射关系表中删除所述第三终端的MAC地址和IP地址之间的映射关系,得到所述更新后的ARP映射关系表。
24.根据权利要求16所述的装置,其特征在于,还包括:
第二检测模块,用于通过所述车载控制器的虚拟终端检测所述车载网络内是否存在ARP攻击;
标记模块,用于若确定所述车载网络内存在ARP攻击,则对ARP攻击设备进行标记,并过滤掉目标地址为所述ARP攻击设备的MAC地址的数据。
25.根据权利要求24所述的装置,其特征在于,所述第二检测模块包括:
广播子模块,用于通过虚拟终端广播包括目标IP地址的ARP请求消息,所述目标IP地址为已知不存在的IP地址或已知网关的IP地址;
确定子模块,用于若接收到包括目标MAC地址的ARP应答消息,则确定所述车载网络内存在ARP攻击,ARP攻击设备为发送所述ARP应答消息的设备。
26.一种防止ARP攻击的装置,其特征在于,所述装置用于车载网络内任一接入终端,包括:
第一接收模块,用于接收所述车载网络的车载控制器发送的ARP映射关系表,所述ARP映射关系表包括所述车载网络内所有接入终端的MAC地址和IP地址之间的映射关系;
第一通信模块,用于根据所述ARP映射关系表进行数据通信。
27.根据权利要求26所述的装置,其特征在于,所述第一接收模块包括:
接收子模块,用于通过所述接入终端的接收系统接收所述车载控制器的下发系统发送的ARP映射关系表。
28.根据权利要求27所述的装置,其特征在于,所述下发系统是第一应用APP,所述接收系统是第二APP,所述第一APP和所述第二APP相同。
29.根据权利要求26所述的装置,其特征在于,还包括:
第二接收模块,用于接收所述车载控制器发送的更新后的ARP映射关系表;
第二通信模块,用于根据所述更新后的ARP映射关系表进行数据通信。
30.根据权利要求27或28所述的装置,其特征在于,所述接入终端为首次接入所述车载网络、且不包括所述接收系统的设备;所述装置还包括:
下载安装模块,用于从所述车载控制器提供的下载页面下载和安装所述接收系统。
31.一种防止ARP攻击的装置,其特征在于,所述装置用于车载网络的车载控制器,所述装置包括:处理器、存储器、收发器;
所述存储器用于存储计算机指令;
当所述装置运行时,所述处理器执行所述计算机指令,使得所述装置执行权利要求1-10任一项所述的方法。
32.一种防止ARP攻击的装置,其特征在于,所述装置用于车载网络内任一接入终端,所述装置包括:处理器、存储器、收发器;
所述存储器用于存储计算机指令;
当所述装置运行时,所述处理器执行所述计算机指令,使得所述装置执行权利要求11-15任一项所述的方法。
33.一种通信系统,其特征在于,包括车载控制器、以及一个或多个接入终端;
其中,所述车载控制器包含权利要求16-25任一项所述的装置;所述接入终端包含权利要求26-30任一项所述的装置。
34.一种计算机存储介质,其特征在于,所述计算机存储介质包括计算机指令,当所述计算机指令在车载网络的车载控制器上运行时,使得所述车载控制器执行权利要求1-10任一项所述的方法。
35.一种计算机存储介质,其特征在于,所述计算机存储介质包括计算机指令,当所述计算机指令在车载网络内的终端设备上运行时,使得所述终端设备执行权利要求11-15任一项所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2020/141602 WO2022141243A1 (zh) | 2020-12-30 | 2020-12-30 | 防止arp攻击的方法、装置及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112789840A true CN112789840A (zh) | 2021-05-11 |
Family
ID=75753987
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080004589.6A Pending CN112789840A (zh) | 2020-12-30 | 2020-12-30 | 防止arp攻击的方法、装置及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN112789840A (zh) |
| WO (1) | WO2022141243A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115208606A (zh) * | 2022-03-28 | 2022-10-18 | 深圳铸泰科技有限公司 | 一种网络安全防范的实现方法、系统及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1612537A (zh) * | 2003-10-29 | 2005-05-04 | 华为技术有限公司 | 防范网际协议以太网中假冒主机的方法 |
| US20060088037A1 (en) * | 2004-10-21 | 2006-04-27 | International Business Machines Corporation | Preventing asynchronous ARP cache poisoning of multiple hosts |
| CN101175080A (zh) * | 2007-07-26 | 2008-05-07 | 杭州华三通信技术有限公司 | 防止arp报文攻击的方法和系统 |
| CN101179566A (zh) * | 2007-11-24 | 2008-05-14 | 华为技术有限公司 | 一种防御arp报文攻击的方法和装置 |
| CN101616131A (zh) * | 2008-06-24 | 2009-12-30 | 重庆广用通信技术有限责任公司 | 一种防御Arp病毒攻击的方法 |
| CN108234522A (zh) * | 2018-03-01 | 2018-06-29 | 深圳市共进电子股份有限公司 | 防止地址解析协议arp攻击方法、装置、计算机设备和存储介质 |
| CN108574673A (zh) * | 2017-03-10 | 2018-09-25 | 武汉安天信息技术有限责任公司 | 应用于网关的arp报文攻击检测方法及装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101635713A (zh) * | 2009-06-09 | 2010-01-27 | 北京安天电子设备有限公司 | 一种防止局域网arp欺骗攻击的方法及系统 |
| CN105530330B (zh) * | 2015-12-07 | 2018-08-31 | 中国电子科技集团公司第十研究所 | 提升空间信息网络中arp协议运行效率的方法 |
| JP6674007B1 (ja) * | 2018-11-05 | 2020-04-01 | 住友電気工業株式会社 | 車載通信装置、通信制御方法および通信制御プログラム |
| CN110062061B (zh) * | 2019-04-29 | 2020-06-19 | 清华大学 | 基于ip/mac交换的地址解析映射方法 |
-
2020
- 2020-12-30 WO PCT/CN2020/141602 patent/WO2022141243A1/zh active Application Filing
- 2020-12-30 CN CN202080004589.6A patent/CN112789840A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1612537A (zh) * | 2003-10-29 | 2005-05-04 | 华为技术有限公司 | 防范网际协议以太网中假冒主机的方法 |
| US20060088037A1 (en) * | 2004-10-21 | 2006-04-27 | International Business Machines Corporation | Preventing asynchronous ARP cache poisoning of multiple hosts |
| CN101175080A (zh) * | 2007-07-26 | 2008-05-07 | 杭州华三通信技术有限公司 | 防止arp报文攻击的方法和系统 |
| CN101179566A (zh) * | 2007-11-24 | 2008-05-14 | 华为技术有限公司 | 一种防御arp报文攻击的方法和装置 |
| CN101616131A (zh) * | 2008-06-24 | 2009-12-30 | 重庆广用通信技术有限责任公司 | 一种防御Arp病毒攻击的方法 |
| CN108574673A (zh) * | 2017-03-10 | 2018-09-25 | 武汉安天信息技术有限责任公司 | 应用于网关的arp报文攻击检测方法及装置 |
| CN108234522A (zh) * | 2018-03-01 | 2018-06-29 | 深圳市共进电子股份有限公司 | 防止地址解析协议arp攻击方法、装置、计算机设备和存储介质 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115208606A (zh) * | 2022-03-28 | 2022-10-18 | 深圳铸泰科技有限公司 | 一种网络安全防范的实现方法、系统及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022141243A1 (zh) | 2022-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7725932B2 (en) | Restricting communication service | |
| CN108777722B (zh) | 多系统组网通信方法、装置、移动终端及存储介质 | |
| US20050210291A1 (en) | Storage area network system using internet protocol, security system, security management program and storage device | |
| US8756339B2 (en) | IP traffic redirection for purposes of lawful intercept | |
| KR101541350B1 (ko) | 클라우드 서비스 네트워크에서 트래픽 제어를 통한 클라우드 보안 서비스 제공 방법 및 시스템 | |
| WO2021041965A1 (en) | Autonomous policy enforcement point configuration for role based access control | |
| CN109150638A (zh) | 一种路由管理方法及装置 | |
| US20190141047A1 (en) | Vehicle network access control method and infotainment apparatus therefor | |
| CN112789840A (zh) | 防止arp攻击的方法、装置及系统 | |
| CN106453690A (zh) | Ip地址分配方法及装置 | |
| CN112333659A (zh) | 基于车联网的空中下载方法、系统、设备和介质 | |
| US8699593B2 (en) | Communication medium determining apparatus and method of determining communication medium | |
| US20050198242A1 (en) | System and method for detection/interception of IP collision | |
| US20120331173A1 (en) | Method to Select Interface for IP Packets When Destination Subnet is Reachable on Multiple Interfaces | |
| CN111181983A (zh) | 内生访问控制方法、装置、计算设备以及介质 | |
| US7848331B2 (en) | Multi-level packet classification | |
| KR101489178B1 (ko) | Arp스푸핑 감지단말 및 감지방법 | |
| CN110233759B (zh) | 一种负载异常告警方法及相关装置 | |
| CN111565176B (zh) | 智能伪装主机方法、系统、设备及可读存储介质 | |
| CA3076565C (en) | Method for providing data packets from a can bus, control device and system having a can bus | |
| JP2004104355A (ja) | ネットワークアドレス管理方法、その管理装置およびネットワークアドレス管理システム | |
| KR101014251B1 (ko) | Ip 주소 기반의 원격 제어 방법 및 그 장치 | |
| CN110830513A (zh) | 云引擎、远程访问应用的方法及其系统和存储介质 | |
| CN104301913A (zh) | 一种分布式的无线电监测网络及监测方法 | |
| CN116094821B (zh) | 一种路由配置方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210511 |