CN113347155A - 一种arp欺骗的防御方法、系统及装置 - Google Patents
一种arp欺骗的防御方法、系统及装置 Download PDFInfo
- Publication number
- CN113347155A CN113347155A CN202110503251.1A CN202110503251A CN113347155A CN 113347155 A CN113347155 A CN 113347155A CN 202110503251 A CN202110503251 A CN 202110503251A CN 113347155 A CN113347155 A CN 113347155A
- Authority
- CN
- China
- Prior art keywords
- arp
- source
- mac
- spoofing
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 230000004044 response Effects 0.000 claims abstract description 58
- 238000001514 detection method Methods 0.000 claims abstract description 10
- 238000013507 mapping Methods 0.000 claims description 26
- 230000007123 defense Effects 0.000 claims description 15
- 230000000977 initiatory effect Effects 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 6
- 239000012634 fragment Substances 0.000 abstract description 4
- 230000009286 beneficial effect Effects 0.000 abstract description 3
- 230000003068 static effect Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 241000700605 Viruses Species 0.000 description 5
- 230000006399 behavior Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种ARP欺骗的防御方法、系统及装置,一方面在检测到ARP欺骗时将欺骗报文中的IP和正确的MAC地址静态绑定起来,可以防止欺骗报文覆盖ARP缓存表,同时当片段ARP欺骗行为停止时进行解绑,能够有效的应对ARP欺骗,又能适用于经常变动的网络;另一方面通过对接收的ARP应答报文与事先建立的可信记录进行比对,能够准确识别网关欺骗与攻击源IP,同时不需要大量发送探测包,有利于降低网络资源占用。
Description
技术领域
本发明属于网络安全技术领域,尤其是涉及一种ARP欺骗的防御方法、系统及装置。
背景技术
当路由器、交换机等网络设备将互联网信息发送至各主机时,需要将各主机的IP(Internet Protocol,网络互联协议)地址转换成相应的MAC(Media Access Control,介质访问控制即硬件地址),才可实现与各主机之间的通信,而MAC是通过ARP(AddressResolution Protocol,地址解析协议)实现查询的,ARP是以太网等数据链路层的基础网络协议,负责完成IP地址到MAC地址的转化。具体的讲,发送端主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。
ARP协议是建立在网络中各个主机互相信任的基础上的,即局域网中的主机可以自主发送ARP应答消息,其他主机对收到应答报文并不会进行真实性检测,就加入本机的ARP缓存表中。因此,ARP欺骗成为黑客常用的攻击手段之一,攻击者伪造IP与MAC,向被攻击主机发送假ARP应答报文,使其无法获取IP对应的真实MAC,导致无法与假ARP应答报文中IP地址进行通信,特别是局域网中,只要有一个主机感染ARP病毒,则该主机就会并因此造成网内其它用户的网络连接故障,攻击者甚至试图截获所在网络内的计算机通信信息,造成信息泄露。同时,攻击者在网络中产生的大量ARP通信量能够造成网络阻塞。
在现有技术中,常见的防御ARP欺骗的措施,如加快ARP表项更新速度可能造成网络中给的大量ARP报文以至于阻塞网络;又如建立静态ARP表的配置工作量大、效率低,而且无法适用变动频繁的网络,也无法有效应对网络内多个IP被伪装的情形。
发明内容
基于上述背景,本发明旨在提供一种ARP欺骗的防御方法、系统及装置,提高检测效率,能够准确识别ARP欺骗与网关欺骗,同时更有效的防御ARP欺骗。
一种ARP欺骗的防御方法,包括:
检测到ARP欺骗报文时,从合法IPMAC信息表查找报文的源IP对应的MAC,将所述源IP与查找到的对应MAC静态绑定,并将该绑定关系加入自动绑定列表;
当超过第一规定时长未再次检测到ARP欺骗报文,遍历所述自动绑定列表中的每个IP,若该IP不是网关IP且该IP已开启自动绑定,同时该IP不存在于手动绑定列表,则将该IP从ARP缓存表中删除;
网络通信查询时,所述手动绑定列表、自动绑定列表、ARP缓存表的优先级依次降低。
所述检测ARP欺骗报文,包括:根据收到的ARP应答报文的源IP,查询IPMAC记录表是否存在该源IP的信息;若不存在,则将该应答报文的源IP与源MAC映射关系加入所述IP/MAC记录表;若已存在,则当所述应答报文中的源MAC与所述IP/MAC记录表中的源MAC不一致的次数超过规定次数时,认为发生ARP欺骗,并且若该源IP为网关IP则认为发生网关欺骗。
上述ARP欺骗的防御方法,还包括检测网关欺骗:每隔第一周期,向同一网段内的所有IP发送ARP请求,并记录请求发起时间;收到ARP应答报文时,将应答报文中源IP与源MAC的映射关系添加到IP/MAC记录表,并记录接收时间;每隔第二周期,若判断IP/MAC记录表中接收时间距离发起时间超过规定时长的映射关系数量超过规定阈值,则认为受到网关欺骗。
较佳的,网关欺骗所述的规定时长为整数倍的第一周期;进一步的,所述第一周期包括20s;所述第二周期包括30s;所述接收时间距离发起时间超过规定时长包括超过40s;所述接收时间距离发起时间超过规定时长的映射关系数量超过规定阈值包括,超过所述规定时长的映射关系数量在IP/MAC记录表中的占比超过30%。
上述ARP欺骗的防御方法中,所述合法IPMAC信息表,由受控主机每次接入网络时上报得到,或者在受控主机安装客户端后定时主动更新得到,或定时向网络内的所有可靠受控主机发送ARP请求得到。
本发明还提供一种ARP欺骗防御系统,包括:
报文发送模块,用于向主机发送ARP请求报文,请求报文内容包括向目标端IP获取对应的MAC;
报文接收模块,用于接收主机发送的ARP应答报文,应答报文内容包括发送端源IP、源MAC;
报文检测模块,用于对接受到的ARP应答报文进行检测,以确定是否受到ARP欺骗或网关欺骗;
报文处理模块,用于对检测到的ARP欺骗报文进行防御处理;
存储模块,用于存储合法IPMAC信息表、IP/MAC记录表、自动绑定列表、手动绑定列表、ARP缓存表。
另外,本发明还提供一种ARP欺骗防御装置,包括存储器和处理器;所述存储器,用于存储计算机程序;所述处理器,用于当执行所述计算机程序时,实现上述的ARP欺骗防御方法。
采用上述技术方案的本发明实施例,一方面在检测到ARP欺骗时将欺骗报文中的IP和正确的MAC地址静态绑定起来,可以防止欺骗报文覆盖ARP缓存表,同时当片段ARP欺骗行为停止时进行解绑,能够有效的应对ARP欺骗,又能适用于经常变动的网络;另一方面通过对接收的ARP应答报文与事先建立的可信记录进行比对,能够准确识别网关欺骗与攻击源IP,同时不需要大量发送探测包,有利于降低网络资源占用。
附图说明
图1为本发明实施例一提供的一种ARP欺骗的防御方法,流程示意图;
图2为本发明实施例一提供的检测ARP欺骗报文的流程示意图;
图3为本发明实施例二提供的检测网关欺骗的流程示意图;
图4为本发明实施例三提供的ARP欺骗防御系统组成模块示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
为了便于理解,首先是对本发明的实施例中涉及的相关技术术语进行解释:
ARP协议的基本工作过程:发送端的主机或者网络设备A(例如交换机)需要解析一个IP地址对应的MAC地址时,会广播发送ARP请求报文,ARP请求数据帧中包含目的主机或网络设备B(例如某一用户主机)的IP地址,意思是“如果你是这个IP地址的拥有者,请回答你的MAC地址”;目标端的主机或者网络设备B接收到ARP请求,识别出这是主机或者网络设备A在询问它的IP地址后会进行应答,同时根据主机或者网络设备A的IP地址与MAC地址作为一个ARP条目,添加至主机或者网络设备B的ARP缓存表中;主机或者网络设备A接收到应答后,同样会将应答报文中主机或者网络设备B的IP地址和MAC地址的映射关系记录下来,作为一个ARP条目,添加至主机或者网络设备A的ARP缓存表中。ARP缓存表中的ARP条目记录着学习到的各主机或者网络设备的IP地址、MAC地址及两者之间的对应关系。在有效时间内进行主机或者网络设备间的通信时,对于已经学习到的ARP条目,可直接进行查询获取,而不需要 再次获取。
ARP欺骗正是利用ARP协议的上述特点,通过持续不断的发出包含伪造IP地址和MAC地址的ARP应答报文,使得其他目标主机或网络设备上的ARP缓存表中的ARP条目发生更改,造成网络中断或中间人攻击。特别在开放的网络环境中(例如网吧),ARP欺骗往往是造成大面积断网的重要原因之一,受到ARP欺骗轻则网络变慢,时断时连,重则造成大面积断网,游戏、银行账号密码等重要信息被窃取。
网关ARP病毒进行欺骗的过程:当局域网中的某一台主机向局域网外发送数据时,该主机会给全网络发送广播ARP请求报文,来申请网关的MAC地址。当网关收到ARP请求报文时,会回复一个ARP应答报文给请求主机,此时携带ARP网关欺骗病毒的主机也会回复一个虚假的ARP应答报文给请求主机,通常该虚假ARP应答报文的目的硬件地址被填成一个虚假的MAC地址或者其自身的MAC地址,且通常虚假的ARP响应报文会比网关的ARP响应报文延迟一段时间或者多发送几遍,这样请求主机就会学到错误的网关MAC地址,后续发送的报文不是到达网关的MAC,而是到达一个错误的MAC地址,或者病毒主机。从而网关ARP欺骗病毒达到了使局域网络内主机断网或者流量导入病毒主机的目的。
实施例一
如图1所示,一种ARP欺骗的防御方法,包括:在检测到ARP欺骗时将错误报文中的IP和正确的MAC地址静态绑定,在确定ARP欺骗已经停止超过一定时长后将前述静态绑定的MAC地址删除。
S110:创建合法IPMAC信息表,通过受控主机在每次接入网络时上报得到,或者在受控主机安装专用的客户端后以定时主动更新,或定时向网络内的所有可靠受控主机发送ARP请求得到。IPMAC信息表存储的实际上是正确的IP与MAC映射关系,由于网络中的主机状态在实时变动,因此所述的合法IPMAC信息表实际上是一个动态变化的表,但每一个IP在同一时间只可能存在一个正确的MAC,即收到新的映射关系时对旧的映射关系进行覆盖。
S120:检测ARP应答报文,包括检测一般ARP欺骗与网关欺骗。ARP报文的内容包括目的 MAC 地址、目的IP地址、源MAC地址、源IP地址等。ARP报文具体内容是本领域技术人员所熟知的,这里不再赘述。
如图2所示,检测ARP欺骗与网关欺骗报文,具体包括:根据收到的ARP应答报文的源IP,查询IP/MAC记录表中是否存在该源IP的信息。所述IP/MAC记录表中记录了来自各个源IP的所有应答报文历史亦即源IP应答的历史MAC,查询时根据IP查询对应的MAC是否已存在于记录表中。
若未查到,则将该应答报文的源IP与源MAC映射关系加入所述IP/MAC记录表。
若查到,则当所述应答报文中的源MAC与所述IP/MAC记录表中的源MAC不一致的次数超过5次时,认为发生ARP欺骗,并且满足前述条件的该源IP为网关IP,则认为发生网关欺骗。具体的讲,每次收到应答报文时,根据报文中源IP和源MAC与IP/MAC记录表中的信息进行匹配,如果同一个IP的MAC不一致则累计不一致的次数,当该次数超过5次,表示该源IP对应的MAC地址在频繁的变动,有可能该源IP被其他主机伪装进行应答。
实践中当然也可以是根据应答报文中的MAC查询IP/MAC记录表中的IP是否一致,即记录同一MAC的IP不一致的发生次数,当该次数超过一定阈值,表示该MAC的IP在频繁变动,有可能该MAC的主机在伪装成其他IP的主机进行应答。
对于上述的不一致,实践中可以根据实际情况,限定不一致的发生是连续发生,或者只累计一定时长内的不一致发生次数,或者每次不一致的MAC各不相同等。
需要说明的是,由于网关的IP与MAC通常是不发生变化的,因此相较于一般ARP欺骗,网关IP的MAC只要发生较少次数的不一致就有可能表示被伪装了即发生网关欺骗。
S130:当检测到ARP欺骗报文时,从合法IPMAC信息表查找报文的源IP对应的MAC,将所述源IP与查找到的对应MAC静态绑定,并将该绑定关系加入自动绑定列表。静态绑定后的ARP缓存表中该源IP的MAC将不再发生变动,即将新收到的该源IP的ARP应答报文丢弃,能够避免该正确映射关系被覆盖,同时减少了网络资源占用,从而有效防止ARP攻击。此处需要说明的是,主机进行通信时,仍然是从ARP缓存表查询目的IP的MAC,只不过由于进行ARP欺骗的IP被添加至自动绑定列表中进行静态绑定,从而在一定时长内冻结了其在ARP缓存表中的记录,防止来自该IP的后续ARP应答报文对ARP缓存表记录进行覆盖。
S140:对于ARP欺骗报文的处理。
众所周知,建立静态ARP缓存表是一种有效防御ARP欺骗攻击的方法,其对系统影响较小,但是破坏了动态ARP协议,静态ARP缓存表中的ARP映射一般不会过期或被新ARP数据刷新,但是一旦合法主机的网卡硬件地址改变,就必须手工更新主机对应的ARP表项,在复杂的大型网络中,网络环境会经常变动,这种传统的静态ARP缓存表明显已经不适用。
本发明实施例,周期的判断是否有后续的ARP欺骗,当不再遭受ARP欺骗报文时,自动的将之前作为防御措施的绑定的ARP表项删除,恢复至动态,既防御了欺骗报文,又适用于变动的网络环境。
具体的讲,每隔10s判断是否再次检测到ARP欺骗,当超过60s未再次检测到ARP欺骗报文,遍历所述自动绑定列表中的每个IP,若该IP不是网关IP且该IP已开启自动绑定,同时该IP不存在于手动绑定列表,则将该IP从ARP缓存表中删除。实践中,由于特定的网络需要,有部分IP需要进行长期的保持ARP静态,而有些IP则不需要,因此为前者创建手动绑定列表,为后者创建自动绑定列表,前者需要特定的权限才能操作,后者则主要用于临时的静态绑定,以防御ARP欺骗。因此,如果自动绑定列表中的IP同时存在于手动绑定列表,则保持其在ARP缓存表中的记录,并且如果是网关IP同样保持其ARP表项。
实施例二
实施例一中所述的检测ARP欺骗中,检测网关欺骗还可以通过本实施例的方式实现,具体如图3所示:
每隔20s,向同一网段内的所有IP发送ARP请求,并记录请求发起时间;
收到ARP应答报文时,将应答报文中源IP与源MAC的映射关系添加到IP/MAC记录表,并记录接收时间;
每隔30s,若判断IP/MAC记录表中接收时间距离发起时间超过40s的映射关系数量在IP/MAC记录表中的占比超过30%,则认为受到网关欺骗。
由于一个网络内的主机进行通信都需要发送先发送至网关进行处理,因此一旦遭受网关欺骗,则收到ARP广播请求的主机发送的ARP应答报文被劫持到攻击主机,而无法准确、及时到达请求端。因此通过统计ARP请求的应答报文的数量,能够判断主机之间通信是否正常,当无法及时收到ARP应答的主机数量超过一定阈值,则表示网关通信出现问题,发生网关欺骗。
本实施例的其他内容与实施例一相同,不做赘述。
实施例三
如图4所示,本发明还提供一种ARP欺骗防御系统,包括:
报文发送模块,用于向主机发送ARP请求报文,请求报文内容包括向目标端IP获取对应的MAC;
报文接收模块,用于接收主机发送的ARP应答报文,应答报文内容包括发送端源IP、源MAC;
报文检测模块,用于对接受到的ARP应答报文进行检测,以确定是否受到ARP欺骗或网关欺骗;
报文处理模块,用于对检测到的ARP欺骗报文进行防御处理;
存储模块,用于存储合法IPMAC信息表、IP/MAC记录表、自动绑定列表、手动绑定列表、ARP缓存表。
较佳的,所述报文处理模块,检测到ARP欺骗报文时,从合法IPMAC信息表查找报文的源IP对应的MAC,将所述源IP与查找到的对应MAC静态绑定,并将该绑定关系加入自动绑定列表;
当超过第一规定时长未再次检测到ARP欺骗报文,遍历所述自动绑定列表中的每个IP,若该IP不是网关IP且该IP已开启自动绑定,同时该IP不存在于手动绑定列表,则将该IP从ARP缓存表中删除;
网络通信查询时,所述手动绑定列表、自动绑定列表、ARP缓存表的优先级依次降低。
较佳的,所述报文检测模块:
根据收到的ARP应答报文的源IP,查询IPMAC记录表是否存在该源IP的信息;若不存在,则将该应答报文的源IP与源MAC映射关系加入所述IPMAC记录表;若已存在,则当所述应答报文中的源MAC与所述IPMAC记录表中的源MAC不一致的次数超过规定次数时,认为发生ARP欺骗,并且若该源IP为网关IP则认为发生网关欺骗;
每隔第一周期,向同一网段内的所有IP发送ARP请求,并记录请求发起时间;收到ARP应答报文时,将应答报文中源IP与源MAC的映射关系添加到IP/MAC信息表,并记录接收时间;每隔第二周期,若判断IP/MAC信息表中接收时间距离发起时间超过规定时长的映射关系数量超过规定阈值,则认为受到网关欺骗。
另外,本发明还提供一种ARP欺骗防御装置,包括存储器和处理器;所述存储器,用于存储计算机程序;所述处理器,用于当执行所述计算机程序时,实现上述的ARP欺骗防御方法。
采用上述技术方案的本发明实施例,一方面在检测到ARP欺骗时将欺骗报文中的IP和正确的MAC地址静态绑定起来,可以防止欺骗报文覆盖ARP缓存表,同时当片段ARP欺骗行为停止时主动解绑,能够有效的应对ARP欺骗,又能适用于经常变动的网络;另一方面通过对接收的ARP应答报文与事先建立的可信记录进行比对,能够准确识别网关欺骗与攻击源IP,同时不需要大量发送探测包,有利于降低网络资源占用。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,所述的存储介质,如:ROM/RAM、磁碟、光盘等。
对上述公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和相一致的最宽的范围。
Claims (10)
1.一种ARP欺骗的防御方法,其特征在于,包括:
检测到ARP欺骗报文时,从合法IPMAC信息表查找报文的源IP对应的MAC,将所述源IP与查找到的对应MAC静态绑定,并将该绑定关系加入自动绑定列表;
当超过第一规定时长未再次检测到ARP欺骗报文,遍历所述自动绑定列表中的每个IP,若该IP不是网关IP且该IP已开启自动绑定,同时该IP不存在于手动绑定列表,则将该IP从ARP缓存表中删除。
2.根据权利要求1所述ARP欺骗的防御方法,其特征在于,所述检测ARP欺骗报文,包括:根据收到的ARP应答报文的源IP,查询IPMAC记录表是否存在该源IP的信息;
若不存在,则将该应答报文的源IP与源MAC映射关系加入所述IP/MAC记录表;
若已存在,则当所述应答报文中的源MAC与所述IP/MAC记录表中的源MAC不一致的次数超过规定次数时,认为发生ARP欺骗,并且若该源IP为网关IP则认为发生网关欺骗。
3.根据权利要求1所述ARP欺骗的防御方法,其特征在于,该方法还包括检测网关欺骗:
每隔第一周期,向同一网段内的所有IP发送ARP请求,并记录请求发起时间;
收到ARP应答报文时,将应答报文中源IP与源MAC的映射关系添加到IP/MAC记录表,并记录接收时间;
每隔第二周期,若判断IP/MAC记录表中接收时间距离发起时间超过规定时长的映射关系数量超过规定阈值,则认为受到网关欺骗。
4.根据权利要求3所述ARP欺骗的防御方法,其特征在于,所述规定时长为整数倍的第一周期。
5.根据权利要求3所述ARP欺骗的防御方法,其特征在于,所述第一周期包括20s;所述第二周期包括30s;所述接收时间距离发起时间超过规定时长包括超过40s;所述接收时间距离发起时间超过规定时长的映射关系数量超过规定阈值包括,超过所述规定时长的映射关系数量在IP/MAC记录表中的占比超过30%。
6.根据权利要求1所述的ARP欺骗防御方法,其特征在于,所述合法IPMAC信息表,由受控主机每次接入网络时上报得到,或者在受控主机安装客户端后定时主动更新得到,或定时向网络内的所有可靠受控主机发送ARP请求得到。
7.一种ARP欺骗防御系统,其特征在于,包括:
报文发送模块,用于向主机发送ARP请求报文,请求报文内容包括向目标端IP获取对应的MAC;
报文接收模块,用于接收主机发送的ARP应答报文,应答报文内容包括发送端源IP、源MAC;
报文检测模块,用于对接受到的ARP应答报文进行检测,以确定是否受到ARP欺骗或网关欺骗;
报文处理模块,用于对检测到的ARP欺骗报文进行防御处理;
存储模块,用于存储合法IPMAC信息表、IP/MAC记录表、自动绑定列表、手动绑定列表、ARP缓存表。
8.根据权利要求7所述的ARP欺骗防御系统,其特征在于,所述报文处理模块,检测到ARP欺骗报文时,从合法IPMAC信息表查找报文的源IP对应的MAC,将所述源IP与查找到的对应MAC静态绑定,并将该绑定关系加入自动绑定列表;
当超过第一规定时长未再次检测到ARP欺骗报文,遍历所述自动绑定列表中的每个IP,若该IP不是网关IP且该IP已开启自动绑定,同时该IP不存在于手动绑定列表,则将该IP从ARP缓存表中删除。
9.根据权利要求7所述的ARP欺骗防御系统,其特征在于,所述报文检测模块:
根据收到的ARP应答报文的源IP,查询IPMAC记录表是否存在该源IP的信息;若不存在,则将该应答报文的源IP与源MAC映射关系加入所述IPMAC记录表;若已存在,则当所述应答报文中的源MAC与所述IPMAC记录表中的源MAC不一致的次数超过规定次数时,认为发生ARP欺骗,并且若该源IP为网关IP则认为发生网关欺骗;
每隔第一周期,向同一网段内的所有IP发送ARP请求,并记录请求发起时间;收到ARP应答报文时,将应答报文中源IP与源MAC的映射关系添加到IP/MAC信息表,并记录接收时间;每隔第二周期,若判断IP/MAC信息表中接收时间距离发起时间超过规定时长的映射关系数量超过规定阈值,则认为受到网关欺骗。
10.一种ARP欺骗防御装置,其特征在于,包括存储器和处理器;所述存储器,用于存储计算机程序;所述处理器,用于当执行所述计算机程序时,实现如权利要求1-6任一项所述的ARP欺骗防御方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110503251.1A CN113347155A (zh) | 2021-05-10 | 2021-05-10 | 一种arp欺骗的防御方法、系统及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110503251.1A CN113347155A (zh) | 2021-05-10 | 2021-05-10 | 一种arp欺骗的防御方法、系统及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113347155A true CN113347155A (zh) | 2021-09-03 |
Family
ID=77470217
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110503251.1A Pending CN113347155A (zh) | 2021-05-10 | 2021-05-10 | 一种arp欺骗的防御方法、系统及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113347155A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114980113A (zh) * | 2022-06-17 | 2022-08-30 | 西安紫光展锐科技有限公司 | 终端侧防止arp攻击的方法 |
CN115065494A (zh) * | 2022-04-02 | 2022-09-16 | 北京北信源软件股份有限公司 | 网络连接的建立方法、装置、设备及介质 |
CN115242748A (zh) * | 2022-07-04 | 2022-10-25 | 裕太微电子股份有限公司 | 一种降低计算机系统功耗的方法及低功耗计算机系统 |
WO2024001645A1 (zh) * | 2022-06-28 | 2024-01-04 | 中兴通讯股份有限公司 | 报文处理方法、交换设备、终端及存储介质 |
-
2021
- 2021-05-10 CN CN202110503251.1A patent/CN113347155A/zh active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115065494A (zh) * | 2022-04-02 | 2022-09-16 | 北京北信源软件股份有限公司 | 网络连接的建立方法、装置、设备及介质 |
CN115065494B (zh) * | 2022-04-02 | 2023-11-14 | 北京北信源软件股份有限公司 | 网络连接的建立方法、装置、设备及介质 |
CN114980113A (zh) * | 2022-06-17 | 2022-08-30 | 西安紫光展锐科技有限公司 | 终端侧防止arp攻击的方法 |
WO2024001645A1 (zh) * | 2022-06-28 | 2024-01-04 | 中兴通讯股份有限公司 | 报文处理方法、交换设备、终端及存储介质 |
CN115242748A (zh) * | 2022-07-04 | 2022-10-25 | 裕太微电子股份有限公司 | 一种降低计算机系统功耗的方法及低功耗计算机系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11057404B2 (en) | Method and apparatus for defending against DNS attack, and storage medium | |
CN113347155A (zh) | 一种arp欺骗的防御方法、系统及装置 | |
WO2021008028A1 (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
EP2154858B1 (en) | Method and device of preventing ARP address from being cheated and attacked | |
US8245300B2 (en) | System and method for ARP anti-spoofing security | |
US8661544B2 (en) | Detecting botnets | |
US7836296B2 (en) | Method for blocking denial of service and address spoofing attacks on a private network | |
Ramachandran et al. | Detecting ARP spoofing: An active technique | |
US8943586B2 (en) | Methods of detecting DNS flooding attack according to characteristics of type of attack traffic | |
CN101415012B (zh) | 一种防御地址解析协议报文攻击的方法和系统 | |
CN101345743B (zh) | 防止利用地址解析协议进行网络攻击的方法及其系统 | |
US8904524B1 (en) | Detection of fast flux networks | |
EP2469787B1 (en) | Method and device for preventing network attacks | |
CN106982234A (zh) | 一种arp攻击防御方法及装置 | |
EP2036060A2 (en) | Malicious attack detection system and an associated method of use | |
US11271963B2 (en) | Defending against domain name system based attacks | |
CN106878326A (zh) | 基于反向检测的IPv6邻居缓存保护方法及其装置 | |
CN112565307B (zh) | 一种对DDoS攻击进行入口管控的方法及装置 | |
CN102347903B (zh) | 一种数据报文转发方法、装置及系统 | |
CN114244801B (zh) | 一种基于政企网关的防arp欺骗方法及系统 | |
US20110265181A1 (en) | Method, system and gateway for protection against network attacks | |
Cai et al. | A behavior-based method for detecting DNS amplification attacks | |
CN113507476B (zh) | 针对arp欺骗攻击的防御方法、系统、设备及存储介质 | |
RU2686023C1 (ru) | Способ защиты вычислительных сетей | |
CN113364644A (zh) | 带宽限制的检测方法、装置及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |