CN113132385A - 一种防止网关arp欺骗的方法及装置 - Google Patents

Abstract

本发明提供了一种防止网关ARP欺骗的方法及装置，属于网络安全技术领域。本发明将汇聚层交换机流量镜像至一台配置了TAP虚拟网络设备的服务器上，在服务器上捕获数据链路层数据，将网关的IP地址及其对应的MAC地址与捕获数据链路层数据中ARP响应数据中的IP地址及MAC地址进行比对，如出现与网关IP地址或MAC地址不相符的ARP响应数据包，则认为该数据是ARP欺骗，可通过其实际响应的MAC地址找到发起欺骗的主机，达到防止欺骗的效果，在大型网络中能进行动态检测，无需对内网服务器进行繁琐的配置，在实际检测到该类型的攻击时，能对攻击主机的MAC地址进行封禁，消除其对网络的影响。

Description

一种防止网关ARP欺骗的方法及装置

技术领域

本发明涉及网络安全技术领域，尤其涉及一种防止网关ARP欺骗的方法及装置。

背景技术

现有防止网关ARP欺骗的方式多是通过在接入网络的主机上下载安装防止ARP欺骗的防火墙类型的客户端软件或在系统中配置静态ARP表项实现网关IP地址与MAC地址的唯一绑定关系，在大型网络中存在配置繁琐及配置效率低下的问题，且实际出现该类型的攻击时，需要网络工程师主动抓包进行流量分析，对定位攻击源主机的溯源效率比较低。

中国专利申请文献CN106488458A中，公开了一种检测网关地址解析协议ARP欺骗的方法，应用在访问接入点AP中，包括：接收到报文后，确定报文的类型；若报文的类型是动态主机配置协议DHCP响应报文，则获取DHCP响应报文中携带的第一无线局域网WLAN标识和网关的IP地址，并根据第一WLAN标识和网关的IP地址更新防网关ARP欺骗映射表；若报文的类型是ARP响应报文，则获取ARP响应报文的源IP地址和携带的第二WLAN标识，在防网关ARP欺骗映射表中查找第二WLAN标识，若查找到第二WLAN标识、且第二WLAN标识对应的网关的IP地址与源IP地址相同，则检测到网关ARP欺骗。根据第一WLAN标识和网关的IP地址更新防网关ARP欺骗映射表之后，还包括：将防网关ARP欺骗映射表上传给AP所属的接入控制器AC；若检测到AP异常，则重启AP；从AC获取防网关ARP欺骗映射表。该方法根据DHCP响应报文中携带的第一WLAN标识和网关IP地址，更新网关ARP欺骗映射表；并针对ARP响应报文，获取其源IP地址和第二WLAN标识，若在网关ARP欺骗映射表找到该ARP响应报文的WLAN标识，以及对应的IP地址，则检测到网关ARP欺骗。该方法根据WLAN标识和网关IP地址防止网关ARP欺骗，能够在网络接入层对ARP欺骗进行一定的防护，但WLAN标识匹配时，当IP地址是伪造的情况下，则极有可能会出现防守失误，造成无法挽回的损失，同时，该方法不能获取攻击的源主机MAC地址，未对实际发起攻击的源主机进行有效处理，也不能封禁该MAC地址，欺骗数据包虽无法到达主机，但发起攻击的主机仍在主动发送攻击数据，当一个大的局域网内存在多台主机高频发送ARP欺骗数据包时，会导致网络中异常流量激增，影响网络稳定性。

中国专利申请文献CN102546658A中，公开了一种防止网关ARP欺骗的方法，包括：A、汇聚层交换机保存每个三层接口的IP地址与MAC地址的映射关系并下发至接入层交换机；B、接入层交换机将映射关系保存在本地的映射表中并开启ARP监听功能；C、接入层交换机接收ARP报文，当ARP报文发送方或者接收方的IP地址属于映射表中的IP地址并且ARP报文发送方或者接收方的MAC地址与映射表中对应的MAC地址不一致时，丢弃ARP报文；当ARP报文发送方或者接收方的IP地址不属于映射表中的IP地址时，转发ARP报文。该方法在每个接入层交换机进行IP地址和MAC地址绑定关系的判断，虽能够在网络接入层对ARP欺骗进行一定的防护，但增大了每个接入层交换机的工作负荷及实现复杂度，而且每个接入层交换机都需要保存一个映射关系表，实现繁琐，且该方法未对实际发起攻击的源主机进行有效处理，未从根源上解决问题，欺骗数据包虽无法到达主机，但发起攻击的主机仍在主动发送攻击数据，当一个大的局域网内存在多台主机高频发送ARP欺骗数据包时，会导致网络中异常流量激增，造成网络拥塞，影响网络稳定性。

现有技术的不足之处：

1.现有实现防止内网网关ARP欺骗攻击的方式需要在每一台接入网络的主机上手动独立设置绑定关系，配置繁琐，效率低下。

2.现有实现防止内网网关ARP欺骗攻击的方式多是在接入该网络的服务器中安装ARP类型的防护防火墙或在每台接入的服务器中添加网关的静态ARP表项，且真正出现攻击时需要网管人员通过抓包等排查手段进行定位攻击机器，存在定位攻击源困难的问题。

3.以上专利文献虽能对ARP欺骗攻击进行有效防护，但未对实际攻击源IP及MAC地址进行任何处理，未从根源上解决问题，网络中仍存在着攻击风险，当一个局域网内存在多台主机高频发送ARP欺骗数据包时，会导致网络中异常流量激增，造成网络拥塞，影响整体网络稳定。

发明内容

为解决现有技术中的技术问题，本发明提供了一种防止网关ARP欺骗的方法及装置，将交换机流量镜像至一台配置了TAP虚拟网络设备的服务器上，在服务器上捕获数据链路层数据，将网关的IP地址及其对应的MAC地址与捕获数据链路层数据中ARP响应数据中的IP地址及MAC地址进行比对，如出现与网关IP地址或MAC地址不相符的ARP响应数据包，则认为该数据是ARP欺骗，可通过其实际响应的MAC地址找到发起欺骗的主机，达到防止欺骗的效果，在大型网络中能进行动态检测，无需对内网服务器进行繁琐的配置，在实际检测到该类型的攻击时，能对攻击主机的MAC地址进行封禁，消除其对网络的影响。

本发明提供了一种防止网关ARP欺骗的方法，包括以下步骤：

S100：将汇聚层交换机的流量镜像至检测ARP欺骗的服务器；

S200：在所述检测ARP欺骗的服务器上创建一个网桥设备；

S300：在所述检测ARP欺骗的服务器上创建一个配置文件，用于配置网关IP地址与其MAC地址的对应关系；

S400：在所述检测ARP欺骗的服务器上创建一个TAP虚拟网络设备TAP-a，将系统物理网卡和TAP虚拟网络设备接入到所述网桥设备中；

S500：在TAP虚拟网络设备上捕获所有数据链路层数据，获取所述数据链路层数据的网关IP地址、攻击者主机MAC地址及攻击者主机IP地址；

S600：将捕获的所述数据链路层数据的网关IP地址及MAC地址与所述配置文件中网关IP地址与MAC地址的对应关系做对比，如果出现对应关系不一致，则将捕获的所述数据链路层数据的攻击者主机IP地址及攻击者MAC地址在网关上进行封禁，返回S500继续捕获后续数据链路层数据；如果一致，不作处理，返回S500继续捕获后续数据链路层数据，所述封禁的方法包括通过交换机配置指令，将攻击者IP地址绑定虚假MAC地址，并设置MAC地址黑洞。

优选地，步骤S100中所述的将汇聚层交换机的流量镜像至检测ARP欺骗的服务器具体包括如下步骤：

S101：将所述检测ARP欺骗的服务器接入至受保护网段的网关所在的汇聚层交换机；

S102：登录所述受保护网段的网关所在的所述汇聚层交换机，配置所述汇聚层交换机端口镜像，将受保护网段的网关的网络流量镜像至接入的所述检测ARP欺骗的服务器。

优选地，步骤S200中所述的在所述检测ARP欺骗的服务器上创建一个网桥设备具体包括如下步骤：

S201：通过bridge-utils工具，在所述检测ARP欺骗的服务器的系统平台上，创建一个数据链路层网桥设备bridge-a。

优选地，步骤S300具体包括如下步骤：

S301：在所述检测ARP欺骗的服务器，创建一个配置文件；

S302：在创建的所述配置文件中，写入当前被保护网段中所有的网关IP地址及其对应的MAC地址，得到IP地址与MAC地址的对应关系。

优选地，步骤S400具体包括如下步骤：

S401：获取所述检测ARP欺骗的服务器的物理网卡信息；

S402：通过brctl命令行工具，将所述检测ARP欺骗的服务器的物理网卡加入到步骤S200中创建的所述网桥设备bridge-a中；

S403：通过bridge-utils命令行工具创建TAP虚拟网络设备TAP-a；

S404：通过brctl命令行工具将创建的所述TAP虚拟网络设备TAP-a加入到步骤S200中创建的所述网桥设备bridge-a中。

优选地，步骤S500具体包括如下步骤：

S501：在所述检测ARP欺骗的服务器上运行编写好的虚拟网络设备抓包程序，抓取虚拟网络设备TAP-a上的所有数据；

S502：所述TAP虚拟网络设备TAP-a捕获所有外部发往本机的数据链路层数据。

优选地，步骤S600具体包括如下步骤：

S601：将捕获的数据链路层数据中的所有ARP响应数据中包括的IP地址及MAC地址信息，与步骤S300中创建的配置文件中的信息做比对；

S602：当捕获的ARP响应数据中的网关IP地址与所述配置文件中该IP地址对应的MAC地址不匹配时：

标记当前网络中存在网关ARP欺骗攻击；

登录到所述汇聚层交换机，通过交换机配置指令，将攻击者IP地址绑定虚假MAC地址，并设置MAC地址黑洞，将发起该网关ARP欺骗攻击的攻击者主机IP地址及攻击者主机MAC地址进行封禁；

如果二者匹配，则不作处理，继续判断后续数据链路层数据。

本发明提供了一种防止网关ARP欺骗的装置，包括：汇聚层交换机和服务器；

所述汇聚层交换机执行如下操作：

配置当前需要被保护网段的网关；

配置所述汇聚层交换机流量镜像，将所有请求网关相关的网络流量镜像至接入的检测ARP欺骗的所述服务器；

所述服务器，用于检测网关ARP欺骗，执行如下操作：

创建网桥设备；

创建一个配置文件，用于配置网关IP地址与其MAC地址的对应关系；

创建TAP虚拟网络设备；

将创建的所述TAP虚拟网络设备的网卡加入到创建的所述网桥设备中；

在创建的所述TAP虚拟网络设备上捕获所有数据链路层数据；

将捕获的所述数据链路层数据的网关IP地址及攻击者主机的MAC地址与所述配置文件中网关IP地址与其MAC地址的对应关系做对比，并根据对比结果采取相应措施，用于防止网关ARP欺骗。

优选地，所述数据链路层数据为ARP响应数据包。

优选地，根据对比结果采取相应措施具体包括：

当捕获的ARP响应数据中的网关IP地址与所述配置文件中该IP地址对应的MAC地址不匹配时，标记当前网络中存在网关ARP欺骗攻击，通过交换机配置指令，将攻击者IP地址绑定虚假MAC地址，并设置MAC地址黑洞，将发起该网关ARP欺骗攻击的主机IP地址及MAC地址进行封禁；如果一致，则不作处理。

与现有技术相对比，本发明的有益效果如下：

1.本发明通过创建网桥及TAP虚拟网络设备，将汇聚层交换机的全端口流量镜像到检测ARP欺骗的服务器，在检测ARP欺骗的服务器可以监控全流量数据，即使流量大时，汇聚层交换机因不需要直接进行APR检测，因此不会增加汇聚层交换机的处理负载，不会造成网络拥塞，提升了网络运维效率。

2.本发明通过将网关IP地址和MAC地址配置在检测ARP欺骗的服务器上，不需要在被防护的主机上做网关IP及MAC对应关系的设置，解决了各主机分别进行IP地址和MAC地址配置的繁琐问题。

3.本发明通过检测ARP欺骗的服务器自动抓取异常流量且在检测到攻击时，自动登录交换机，对攻击者IP地址及MAC地址进行封禁，阻止其继续影响网络，大幅度提升网络故障运维效率，解决了定位攻击源困难的问题。

附图说明

图1是本发明的一个实施例的防止网关ARP欺骗的方法的流程图；

图2是本发明的一个实施例的防止网关ARP欺骗的装置框图；

图3是本发明的一个实施例，本发明的防止网关ARP欺骗的装置采用本发明的防止网关ARP欺骗的方法进行网关ARP防欺骗的示意图，该图中为攻击者尝试进行网关ARP欺骗。

具体实施方式

下面结合附图1-3，对本发明的具体实施方式作详细的说明。

二层交换网络中，主要通信媒介是MAC地址，即主机A需要与主机B交互网络数据，实际上最终需要的是各个主机的MAC地址，此时需要使用地址解析协议(ARP协议)，通过IP地址定位到主机MAC地址。地址解析协议(ARP协议)，是一个通过解析网络层地址(IP地址)获取数据链路层地址(MAC地址)的网络传输协议。

TUN/TAP虚拟网络设备是指操作系统内核中的虚拟网络设备，不同于物理上依赖硬件实现的设备，这些虚拟设备全部用软件实现，并向运行于操作系统上的软件提供与硬件的网络设备完全相同的功能。TAP等同于一个以太网设备，它操作第二层数据包如以太网数据帧。TUN模拟了网络层设备，操作第三层数据包比如IP(网际互连协议)数据封包。

本发明通过将汇聚层交换机的流量镜像至检测ARP欺骗的服务器，在检测ARP欺骗的服务器上创建网桥及TAP虚拟网络设备，并在检测ARP欺骗的服务器上配置所有网关IP地址及其对应的MAC地址的对应关系，实现在TAP虚拟网络设备上监听并捕获数据链路层数据，与配置的IP地址与MAC地址的对应关系进行对比，对于异常流量，在汇聚层交换机上对该异常IP地址及MAC地址进行封禁，实现了防止网关ARP欺骗。

本发明提供了一种防止网关ARP欺骗的方法，包括以下步骤：

S100：将汇聚层交换机的流量镜像至检测ARP欺骗的服务器；

S200：在所述检测ARP欺骗的服务器上创建一个网桥设备；

在所述检测ARP欺骗的服务器上创建的网桥设备，用于连接所述检测ARP欺骗的服务器和所述汇聚层交换机，将所述汇聚层交换机上的流量镜像到所述检测ARP欺骗的服务器上；

S300：在所述检测ARP欺骗的服务器上创建一个配置文件，用于配置网关IP地址与其MAC地址的对应关系；

该配置文件中，配置所有网关IP地址及其MAC地址的对应关系，只有IP地址及MAC地址的对应关系完全匹配的访问流量才认为是合法的；

S400：在所述检测ARP欺骗的服务器上创建一个TAP虚拟网络设备TAP-a，将系统物理网卡和TAP虚拟网络设备接入到所述网桥设备中；

将系统物理网卡与和TAP虚拟网络设备接入到所述网桥设备中，使得汇聚层交换机镜像到检测ARP欺骗的服务器上的流量都经过TAP虚拟网络设备，以便在TAP虚拟网络设备上捕获流经所述汇聚层交换机上的访问流量；TAP虚拟网络设备可以为TAP虚拟网卡。

网桥可以接入数据链路层的网络设备，创建网桥的作用是把检测ARP欺骗的物理网卡及后续创建的TAP虚拟网络设备接入到网桥，进行该操作后在和TAP虚拟网络设备上就可以获取到所有流经服务器物理网卡的ARP数据包。

S500：在TAP虚拟网络设备上捕获所有数据链路层数据，获取所述数据链路层数据的网关IP地址、攻击者主机MAC地址及攻击者主机IP地址；

S600：将捕获的所述数据链路层数据的网关IP地址及MAC地址与所述配置文件中网关IP地址与MAC地址的对应关系做对比，如果出现对应关系不一致，则将捕获的所述数据链路层数据的攻击者主机IP地址及攻击者MAC地址在网关上进行封禁，返回S500继续捕获后续数据链路层数据；如果一致，不作处理，返回S500继续捕获后续数据链路层数据，所述封禁的方法包括通过交换机配置指令，将攻击者IP地址绑定虚假MAC地址，并设置MAC地址黑洞。

网关IP地址及MAC地址是一一对应的，如果是合法访问，该一一对应关系存储在配置文件中，通过对比捕获的数据链路层数据的IP地址及MAC地址与配置文件中的一一对应关系，如果对应关系与配置文件中不匹配，则认为是异常访问。对于异常访问，本发明攻击源的IP地址及MAC地址进行封禁，避免该攻击源持续不断地进行攻击。

作为优选实施方式，步骤S100中所述的将汇聚层交换机的流量镜像至检测ARP欺骗的服务器具体包括如下步骤：

S101：将所述检测ARP欺骗的服务器接入至受保护网段的网关所在的汇聚层交换机；

S102：登录所述受保护网段的网关所在的所述汇聚层交换机，配置所述汇聚层交换机端口镜像，将受保护网段的网关的网络流量镜像至接入的所述检测ARP欺骗的服务器。

作为优选实施方式，步骤S200中所述的在所述检测ARP欺骗的服务器上创建一个网桥设备具体包括如下步骤：

S201：通过bridge-utils工具，在所述检测ARP欺骗的服务器的系统平台上，创建一个数据链路层网桥设备bridge-a。

本发明将在后续的操作中在检测ARP欺骗的服务器上对数据链路层数据进行捕获，因此，在检测APR欺骗的服务器上创建一个数据链路层网桥设备，用于连接汇聚层交换机的数据链路层与检测APR欺骗的服务器，以实现汇聚层交换机的数据镜像至检测APR欺骗的服务器；

作为优选实施方式，步骤S300具体包括如下步骤：

S301：在所述检测ARP欺骗的服务器，创建一个配置文件；

S302：在创建的所述配置文件中，写入当前被保护网段中所有的网关IP地址及其对应的MAC地址，得到IP地址与MAC地址的对应关系。

将配置文件放在检测ARP欺骗的服务器，方便维护，可以随时进行添加和修改。在捕获汇聚层交换机的数据链路层数据后进行ARP欺骗检测时，只需读取服务器上维护的配置文件中的内容。

作为优选实施方式，步骤S400具体包括如下步骤：

S401：获取所述检测ARP欺骗的服务器的物理网卡信息；

S402：通过brctl命令行工具，将所述检测ARP欺骗的服务器的物理网卡加入到步骤S200中创建的所述网桥设备bridge-a中；

S403：通过bridge-utils命令行工具创建TAP虚拟网络设备TAP-a；

S404：通过brctl命令行工具将创建的所述TAP虚拟网络设备TAP-a加入到步骤S200中创建的所述网桥设备bridge-a中。

创建TAP虚拟网络设备的目的是抓取所有镜像到服务器的数据链路层数据包(TAP虚拟网络设备只能捕获到数据链路层数据包)，因为汇聚层交换机镜像流量其实是将流量镜像到物理网卡上，但本申请的检测APR服务器是检测TAP虚拟网络设备上的流量，因此需要把TAP网络设备和物理网卡接在同一个桥上，TAP虚拟网络设备才能抓取到数据链路层的数据。

作为优选实施方式，步骤S500具体包括如下步骤：

S501：在所述检测ARP欺骗的服务器上运行编写好的虚拟网络设备抓包程序，抓取TAP虚拟网络设备TAP-a上的所有数据；

S502：所述TAP虚拟网络设备TAP-a捕获所有外部发往本机的数据链路层数据。

经过步骤S400的设置之后，在检测ARP欺骗的服务器上只要捕获TAP虚拟网络设备TAP-a上的所有数据，就可以捕获汇聚层交换机上镜像到检测ARP欺骗的服务器上的所有访问流量，降低了汇聚层交换机的实现复杂度，也减少了在汇聚层交换机进行监听带来的额外开销，后续仅需在发现异常访问时，登录到汇聚层交换机对攻击源进行封禁即可。

网桥只能监控到数据链路层数据，因此，此处的所有数据是指所有数据链路层数据。

作为优选实施方式，步骤S600具体包括如下步骤：

S601：将捕获的数据链路层数据中的所有ARP响应数据中包括的IP地址及MAC地址信息，与步骤S300中创建的配置文件中的信息做比对；

S602：当捕获的ARP响应数据中的网关IP地址与所述配置文件中该IP地址对应的MAC地址不匹配时：

标记当前网络中存在网关ARP欺骗攻击；

登录到所述汇聚层交换机，通过交换机配置指令，将攻击者IP地址绑定虚假MAC地址，并设置MAC地址黑洞，将发起该网关ARP欺骗攻击的攻击者主机IP地址及攻击者主机MAC地址进行封禁；

如果二者匹配，则不作处理，继续判断后续数据链路层数据。

本发明不仅可以在检测APR欺骗的服务器上发现来自攻击源的经由汇聚层交换机的异常访问，同时还根据获得攻击网关IP地址及MAC地址，在汇聚层交换机上对攻击网关IP地址及MAC地址进行封禁，使得攻击源不再可能对受保护的网段的网关所在的汇聚层交换机进行攻击。

本发明提供了一种防止网关ARP欺骗的装置，包括：汇聚层交换机和服务器；

所述汇聚层交换机执行如下操作：

配置当前需要被保护网段的网关；

配置所述汇聚层交换机流量镜像，将所有请求网关相关的网络流量镜像至接入的检测ARP欺骗的所述服务器；

所述服务器，用于检测网关ARP欺骗，执行如下操作：

创建网桥设备；

创建一个配置文件，用于配置网关IP地址与其MAC地址的对应关系；

创建TAP虚拟网络设备；

将创建的所述TAP虚拟网络设备的网卡加入到创建的所述网桥设备中；

在创建的所述TAP虚拟网络设备上捕获所有数据链路层数据；

将捕获的所述数据链路层数据的网关IP地址及攻击者主机的MAC地址与所述配置文件中网关IP地址与其MAC地址的对应关系做对比，并根据对比结果采取相应措施，用于防止网关ARP欺骗。

作为优选实施方式，所述数据链路层数据为ARP响应数据包。

作为优选实施方式，根据对比结果采取相应措施具体包括：

当捕获的ARP响应数据中的网关IP地址与所述配置文件中该IP地址对应的MAC地址不匹配时，标记当前网络中存在网关ARP欺骗攻击，通过交换机配置指令，将攻击者IP地址绑定虚假MAC地址，并设置MAC地址黑洞，将发起该网关ARP欺骗攻击的主机IP地址及MAC地址进行封禁；如果一致，则不作处理。

实施例1

参照附图1-3，根据本发明的一个具体实施方案，以攻击者进行网关ARP欺骗为例，对本发明提供的防止网关ARP欺骗的方法进行详细说明。

攻击者IP地址为：192.168.2.2；攻击者MAC地址为：40-8D-5C-6E-06-13；

网关IP地址为：192.168.2.1；网关MAC地址为：00-50-56-C0-00-01；

网内正常业务主机IP地址为：192.168.2.3；正常业务主机MAC地址为：00-50-56-C0-00-08；

检测网关ARP欺骗的服务器的IP地址为；192.168.5.3，接入网络汇聚层交换机的4号端口，当前服务器的网卡名为eth0，服务器创建网桥名为br0。

本发明提供了一种防止网关ARP欺骗的方法，包括以下步骤：

S100：将汇聚层交换机的流量镜像至检测ARP欺骗的服务器；

步骤S100具体包括如下步骤：

S101：将所述检测ARP欺骗的服务器接入至受保护网段的网关所在的汇聚层交换机；

S102：登录所述受保护网段的网关所在的所述汇聚层交换机，配置所述汇聚层交换机端口镜像，将受保护网段192.168.2.0/24的网关的网络流量镜像至接入的所述检测ARP欺骗的服务器192.168.5.3所在的交换机端口4；

S200：在检测ARP欺骗的服务器上创建一个网桥设备；

步骤S200具体包括如下步骤：

S201：通过bridge-utils工具，在所述检测ARP欺骗的服务器192.168.5.3的系统平台上，创建一个数据链路层网桥设备br0；

S300：在检测ARP欺骗的服务器上创建一个配置文件，用于配置网关IP地址与其MAC地址的对应关系；

步骤S300具体包括如下步骤：

S301：在所述检测ARP欺骗的服务器192.168.5.3上，创建一个配置文件；

S302：在创建的所述配置文件中，写入当前被保护网段中所有的网关IP地址192.168.2.1及其对应的MAC地址00-50-56-C0-00-01，得到IP地址与MAC地址的对应关系。

S400：在检测ARP欺骗的服务器上创建一个TAP虚拟网络设备TAP-a，将系统物理网卡和TAP虚拟网络设备接入到所述网桥设备中；

步骤S400具体包括如下步骤：

S401：获取所述检测ARP欺骗的服务器192.168.5.3的物理网卡信息；

S402：通过brctl命令行工具，将所述检测ARP欺骗的服务器的物理网卡eth0加入到步骤S200中创建的所述网桥设备br0中；

S403：通过bridge-utils命令行工具创建TAP虚拟网络设备TAP-a；

S404：通过brctl命令行工具将创建的所述TAP虚拟网络设备TAP-a加入到步骤S200中创建的所述网桥设备bridge-a中。

S500：在TAP虚拟网络设备上捕获所有数据链路层数据，获取所述数据链路层数据的网关IP地址、攻击者主机MAC地址及攻击者主机IP地址；

步骤S500具体包括如下步骤：

S501：在所述检测ARP欺骗的服务器192.168.5.3上运行编写好的虚拟网络设备抓包程序，抓取TAP虚拟网络设备TAP-a上的所有数据；

S502：所述TAP虚拟网络设备TAP-a捕获所有外部发往本机的数据链路层数据。

S600：将捕获的所述数据链路层数据的网关IP地址及MAC地址与所述配置文件中网关IP地址与MAC地址的对应关系做对比，如果出现对应关系不一致，则将捕获的所述数据链路层数据的攻击者主机IP地址及攻击者MAC地址在网关上进行封禁，返回S500继续捕获后续数据链路层数据；如果一致，不作处理，返回S500继续捕获后续数据链路层数据，所述封禁的方法包括通过交换机配置指令，将攻击者IP地址绑定虚假MAC地址，并设置MAC地址黑洞。

步骤S600具体包括如下步骤：

S601：将检测网关ARP欺骗的服务器192.168.5.3上捕获的数据链路层数据中的所有ARP响应数据中包括的IP地址及MAC地址信息，与步骤S300中创建的配置文件中的信息做比对；

S602：当前捕获到发起ARP响应数据包的IP地址为192.168.2.1，MAC地址为40-8D-5C-6E-06-13，经过与本地配置文件比对发现记录不一致：

标记当前网络中存在网关ARP欺骗攻击；

登录到所述汇聚层交换机，通过获取到的MAC地址查找到攻击发起的攻击者主机IP地址为192.168.2.2，通过交换机配置指令，将攻击者IP地址绑定虚假MAC地址，并设置MAC地址黑洞，将发起该网关ARP欺骗攻击的攻击者主机IP地址及攻击者主机MAC地址进行封禁。

实施例2

参照附图1-3，根据本发明的一个具体实施方案，以网内未出现ARP欺骗攻击为例，对本发明提供的防止网关ARP欺骗的方法进行详细说明。

攻击者IP地址为：192.168.2.2；攻击者MAC地址为：40-8D-5C-6E-06-13；

网关IP地址为：192.168.2.1；网关MAC地址为：00-50-56-C0-00-01；

网内正常业务主机IP地址为：192.168.2.3；正常业务主机MAC地址为：00-50-56-C0-00-08；

检测网关ARP欺骗的服务器的IP地址为；192.168.5.3，接入网络汇聚层交换机的4号端口，当前服务器的网卡名为eth0，服务器创建网桥名为br0。

本发明提供了一种防止网关ARP欺骗的方法，包括以下步骤：

S100：将汇聚层交换机的流量镜像至检测ARP欺骗的服务器；

步骤S100具体包括如下步骤：

S101：将所述检测ARP欺骗的服务器接入至受保护网段的网关所在的汇聚层交换机；

S102：登录所述受保护网段的网关所在的所述汇聚层交换机，配置所述汇聚层交换机端口镜像，将受保护网段192.168.2.0/24的网关的网络流量镜像至接入的所述检测ARP欺骗的服务器192.168.5.3所在的交换机端口4；

S200：在检测ARP欺骗的服务器上创建一个网桥设备；

步骤S200具体包括如下步骤：

S201：通过bridge-utils工具，在所述检测ARP欺骗的服务器192.168.5.3的系统平台上，创建一个数据链路层网桥设备br0；

S300：在检测ARP欺骗的服务器上创建一个配置文件，用于配置网关IP地址与其MAC地址的对应关系；

步骤S300具体包括如下步骤：

S301：在所述检测ARP欺骗的服务器192.168.5.3上，创建一个配置文件；

S302：在创建的所述配置文件中，写入当前被保护网段中所有的网关IP地址192.168.2.1及其对应的MAC地址00-50-56-C0-00-01，得到IP地址与MAC地址的对应关系。

S400：在检测ARP欺骗的服务器上创建一个TAP虚拟网络设备TAP-a，将系统物理网卡和TAP虚拟网络设备接入到所述网桥设备中；

步骤S400具体包括如下步骤：

S401：获取所述检测ARP欺骗的服务器192.168.5.3的物理网卡信息；

S402：通过brctl命令行工具，将所述检测ARP欺骗的服务器的物理网卡eth0加入到步骤S200中创建的所述网桥设备br0中；

S403：通过bridge-utils命令行工具创建TAP虚拟网络设备TAP-a；

S404：通过brctl命令行工具将创建的所述TAP虚拟网络设备TAP-a加入到步骤S200中创建的所述网桥设备bridge-a中。

S500：在TAP虚拟网络设备上捕获所有数据链路层数据，获取所述数据链路层数据的网关IP地址、攻击者主机MAC地址及攻击者主机IP地址；

步骤S500具体包括如下步骤：

S501：在所述检测ARP欺骗的服务器192.168.5.3上运行编写好的虚拟网络设备抓包程序，抓取TAP虚拟网络设备TAP-a上的所有数据；

S502：所述TAP虚拟网络设备TAP-a捕获所有外部发往本机的数据链路层数据。

S600：将捕获的所述数据链路层数据的网关IP地址及MAC地址与所述配置文件中网关IP地址与MAC地址的对应关系做对比，如果出现对应关系不一致，则将捕获的所述数据链路层数据的攻击者主机IP地址及攻击者MAC地址在网关上进行封禁，返回S500继续捕获后续数据链路层数据；如果一致，不作处理，返回S500继续捕获后续数据链路层数据，所述封禁的方法包括通过交换机配置指令，将攻击者IP地址绑定虚假MAC地址，并设置MAC地址黑洞。

步骤S600具体包括如下步骤：

S601：将检测网关ARP欺骗的服务器192.168.5.3上捕获的数据链路层数据中的所有ARP响应数据中包括的IP地址及MAC地址信息，与步骤S300中创建的配置文件中的信息做比对；

S602：当前捕获到发起ARP响应数据包的IP地址为192.168.2.1，MAC地址为00-50-56-C0-00-01，经过与本地配置文件比对发现记录一致，未存在ARP欺骗攻击，不作处理，继续判断后续数据包。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均包含在本发明的保护范围之内。

Claims (10)

1.一种防止网关ARP欺骗的方法，其特征在于，包括以下步骤：

S100：将汇聚层交换机的流量镜像至检测ARP欺骗的服务器；

S200：在所述检测ARP欺骗的服务器上创建一个网桥设备bridge-a；

S300：在所述检测ARP欺骗的服务器上创建一个配置文件，用于配置网关IP地址与其MAC地址的对应关系；

S400：在所述检测ARP欺骗的服务器上创建一个TAP虚拟网络设备TAP-a，将系统物理网卡和TAP虚拟网络设备接入到所述网桥设备中；

S500：在TAP虚拟网络设备上捕获所有数据链路层数据，获取所述数据链路层数据的网关IP地址、攻击者主机MAC地址及攻击者主机IP地址；

S600：将捕获的所述数据链路层数据的网关IP地址及MAC地址与所述配置文件中网关IP地址与MAC地址的对应关系做对比，如果出现对应关系不一致，则将捕获的所述数据链路层数据的攻击者主机IP地址及攻击者MAC地址在网关上进行封禁，返回S500继续捕获后续数据链路层数据；如果一致，不作处理，返回S500继续捕获后续数据链路层数据，所述封禁的方法包括通过交换机配置指令，将攻击者IP地址绑定虚假MAC地址，并设置MAC地址黑洞。

2.根据权利要求1所述的防止网关ARP欺骗的方法，其特征在于，步骤S100中所述的将汇聚层交换机的流量镜像至检测ARP欺骗的服务器具体包括如下步骤：

S101：将所述检测ARP欺骗的服务器接入至受保护网段的网关所在的汇聚层交换机；

S102：登录所述受保护网段的网关所在的所述汇聚层交换机，配置所述汇聚层交换机端口镜像，将受保护网段的网关的网络流量镜像至接入的所述检测ARP欺骗的服务器。

3.根据权利要求1所述的防止网关ARP欺骗的方法，其特征在于，步骤S200中所述的在所述检测ARP欺骗的服务器上创建一个网桥设备具体包括如下步骤：

S201：通过bridge-utils工具，在所述检测ARP欺骗的服务器的系统平台上，创建一个数据链路层网桥设备bridge-a。

4.根据权利要求1所述的防止网关ARP欺骗的方法，其特征在于，步骤S300具体包括如下步骤：

S301：在所述检测ARP欺骗的服务器，创建一个配置文件；

S302：在创建的所述配置文件中，写入当前被保护网段中所有的网关IP地址及其对应的MAC地址，得到IP地址与MAC地址的对应关系。

5.根据权利要求1所述的防止网关ARP欺骗的方法，其特征在于，步骤S400具体包括如下步骤：

S401：获取所述检测ARP欺骗的服务器的物理网卡信息；

S402：通过brctl命令行工具，将所述检测ARP欺骗的服务器的物理网卡加入到步骤S200中创建的所述网桥设备bridge-a中；

S403：通过bridge-utils命令行工具创建TAP虚拟网络设备TAP-a；

S404：通过brctl命令行工具将创建的所述TAP虚拟网络设备TAP-a加入到步骤S200中创建的所述网桥设备bridge-a中。

6.根据权利要求1所述的防止网关ARP欺骗的方法，其特征在于，步骤S500具体包括如下步骤：

S501：在所述检测ARP欺骗的服务器上运行编写好的虚拟网络设备抓包程序，抓取TAP虚拟网络设备TAP-a上的所有数据；

S502：所述TAP虚拟网络设备TAP-a捕获所有外部发往所述检测ARP欺骗的服务器的数据链路层数据。

7.根据权利要求1所述的防止网关ARP欺骗的方法，其特征在于，步骤S600具体包括如下步骤：

S601：将捕获的数据链路层数据中的所有ARP响应数据中包括的IP地址及MAC地址信息，与步骤S300中创建的配置文件中的信息做比对；

S602：当捕获的ARP响应数据中的网关IP地址与所述配置文件中该IP地址对应的MAC地址不匹配时：

标记当前网络中存在网关ARP欺骗攻击；

登录到所述汇聚层交换机，通过交换机配置指令，将攻击者IP地址绑定虚假MAC地址，并设置MAC地址黑洞，将发起该网关ARP欺骗攻击的攻击者主机IP地址及攻击者主机MAC地址进行封禁；

如果二者匹配，则不作处理，继续判断后续数据链路层数据。

8.一种防止网关ARP欺骗的装置，其特征在于，包括：汇聚层交换机和服务器；

所述汇聚层交换机执行如下操作：

配置当前需要被保护网段的网关；

配置所述汇聚层交换机流量镜像，将所有请求网关相关的网络流量镜像至接入的检测ARP欺骗的所述服务器；

所述服务器，用于检测网关ARP欺骗，执行如下操作：

创建网桥设备；

创建一个配置文件，用于配置网关IP地址与其MAC地址的对应关系；

创建TAP虚拟网络设备；

将创建的所述TAP虚拟网络设备的网卡加入到创建的所述网桥设备中；

在创建的所述TAP虚拟网络设备上捕获所有数据链路层数据；

将捕获的所述数据链路层数据的网关IP地址及攻击者主机的MAC地址与所述配置文件中网关IP地址与其MAC地址的对应关系做对比，并根据对比结果采取相应措施，用于防止网关ARP欺骗。

9.根据权利要求8所述的防止网关ARP欺骗的装置，其特征在于，所述数据链路层数据为ARP响应数据包。

10.根据权利要求8所述的防止网关ARP欺骗的装置，其特征在于，根据对比结果采取相应措施具体包括：

当捕获的ARP响应数据中的网关IP地址与所述配置文件中该IP地址对应的MAC地址不匹配时，标记当前网络中存在网关ARP欺骗攻击，通过交换机配置指令，将攻击者IP地址绑定虚假MAC地址，并设置MAC地址黑洞，将发起该网关ARP欺骗攻击的主机IP地址及MAC地址进行封禁；如果一致，则不作处理。

Images