CN113507476A - 针对arp欺骗攻击的防御方法、系统、设备及存储介质 - Google Patents
针对arp欺骗攻击的防御方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN113507476A CN113507476A CN202110802849.0A CN202110802849A CN113507476A CN 113507476 A CN113507476 A CN 113507476A CN 202110802849 A CN202110802849 A CN 202110802849A CN 113507476 A CN113507476 A CN 113507476A
- Authority
- CN
- China
- Prior art keywords
- arp
- mac address
- response message
- address
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种针对ARP欺骗攻击的防御方法、系统、设备及存储介质。该方法包括:监听网络中返回发送的ARP报文;根据第一系统时间,创建具有第一时间信息的虚拟MAC地址;将创建的虚拟MAC地址作为源MAC地址,收到ARP请求的网卡IP地址为源IP地址,将监听到的ARP报文的源IP地址作为目的IP地址,将监听到的ARP报文的源MAC地址为目的MAC地址,发送用于校验ARP报文的ARP请求报文;在预定时间窗口监听与ARP请求报文相对应的用于验证ARP报文的ARP响应报文;执行第一验证,验证目的MAC地址是否与虚拟MAC地址一致;执行第二验证,计算ARP响应报文是否超出预定时间窗口;以及基于第一验证和第二验证的结果来确定是否将ARP响应报文中的IP地址与MAC地址的对应关系写入ARP缓存表。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种针对ARP欺骗攻击的防御方法、系统、设备及存储介质。
背景技术
ARP协议(Address Resolution Protocol地址解析协议)是一种将IP地址映射到MAC地址(物理地址)的二层协议。在OSI七层模型中,数据链路层中实际传输的数据格式是数据帧,数据帧头部要封装有目标主机的MAC地址。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。目标主机的MAC地址是通过ARP协议获得的。即主机在发送数据帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的。以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了,直接把目标MAC地址写入帧里面发送;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF-FF-FF-FF-FF-FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。同时还更新了自己的ARP缓存表,下次再向主机B发送信息时,直接从ARP缓存表里查找即可。但是ARP协议本身在安全方面就存在缺陷。首先,ARP缓存表中的对应关系没有校验机制,即收到ARP报文后就会在ARP缓存表中添加或改写IP地址、MAC地址的对应关系,不验证报文是否合法。其次,在主机本没有发送ARP请求的情况下收到ARP响应报文时,同样会更新ARP缓存表。基于ARP协议的缺陷,常见的ARP攻击方式有ARP中间人攻击和拒绝服务攻击。
针对ARP中间人攻击,由于ARP报文无校验机制,且任何ARP报文都会写入ARP缓存表。因此,实施ARP中间人攻击的主机B(192.168.16.2)可以构造一个ARP响应报文,发送给被攻击的主机A(192.168.16.1),报文的内容是主机C(192.168.16.3)的MAC地址是bb-bb-bb-bb-bb-bb(主机B的MAC地址)。主机B(192.168.16.2)再发送一个ARP响应报文给主机C(192.168.16.3),报文内容是主机A(192.168.16.1)的MAC地址是bb-bb-bb-bb-bb-bb。主机A(192.168.16.1)和主机C(1921.68.16.3)都将错误的IP地址、MAC地址的对应关系写入ARP缓存表中。之后的主机A和主机C的通信都会发给主机B,主机B可以截获传输的数据并决定是否将报文转发。这样,主机A和主机C之间的通信会面临数据泄露、传输延迟、网络不可达等各种安全隐患。针对拒绝服务攻击,实施ARP拒绝服务攻击的主机通过构造大量的虚假ARP请求报文发送给被攻击的主机,由于ARP没有验证机制,被攻击的主机会将所有ARP报文中的IP地址、MAC地址的对应关系写入ARP缓存表,导致ARP缓存表溢出无法响应正常的请求。
常用的防御ARP攻击的方式为绑定静态的ARP表。即将ARP缓存表中的IP地址、MAC地址的对应关系固化,不随收到的ARP报文而产生变化。然而绑定静态ARP表的缺点在于无法将所有的IP地址、MAC地址的对应关系全部绑定,并且在终端、网络切换频繁的网络中更加无法实现。
发明内容
本发明提供一种针对ARP欺骗攻击的防御方法、系统、设备及存储介质,旨在克服现有技术中的诸多问题,并且弥补传统的ARP防御技术的缺点,在原ARP协议的基础上增加了主动的校验机制,通过主动发包探测来验证所收到的ARP响应报文是真实的ARP响应还是恶意的攻击行为。相较于传统的绑定静态ARP表,本发明无需手动频繁的添加、更改ARP表绑定关系,减轻用户的工作量,且对于大型网络、终端更换频繁的网络有着更好的支持性。
具体地,本发明实施例提供了以下技术方案:
第一方面,本发明的实施例提供一种针对ARP欺骗攻击的防御方法,包括:
监听网络中返回发送的ARP报文;
根据第一系统时间,创建具有第一时间信息的虚拟MAC地址;
将创建的所述虚拟MAC地址作为源MAC地址,收到ARP请求的网卡IP地址为源IP地址,将监听到的所述ARP报文的源IP地址作为目的IP地址,将监听到的所述ARP报文的源MAC地址为目的MAC地址,发送用于校验所述ARP报文的所述ARP请求报文;
在预定时间窗口监听与所述ARP请求报文相对应的用于验证ARP报文的ARP响应报文;
执行第一验证,所述第一验证包括验证所述ARP响应报文的目的MAC地址是否与所述虚拟MAC地址一致;
执行第二验证,所述第二验证包括用所述第二系统时间减去所述ARP响应报文的目的MAC地址携带的时间来计算所述ARP响应报文是否超出所述预定时间窗口;
基于所述第一验证和所述第二验证的结果来确定是否将所述ARP响应报文中的IP地址与MAC地址的对应关系写入ARP缓存表。
进一步地,该针对ARP欺骗攻击的防御方法还包括:
所述根据第一系统时间,创建具有第一时间信息的虚拟MAC地址,包括:
所述虚拟MAC地址的第一部分用于标识MAC地址为所述虚拟MAC地址,所述虚拟MAC地址的第二部分包括基于第一系统时间进行进制换算得到的所述第一时间信息。
进一步地,该针对ARP欺骗攻击的防御方法还包括:
所述验证所述ARP响应报文的目的MAC地址是否与所述虚拟MAC地址一致,包括:
通过验证所述ARP响应报文的目的MAC地址携带的时间是否与所述第一时间信息一致来验证所述ARP响应报文中的目的MAC地址是否与所述虚拟MAC地址一致,
其中,若所述ARP响应报文的目的MAC地址携带的时间与所述第一时间一致,则所述ARP响应报文中的目的MAC地址与所述虚拟MAC地址一致;
若所述ARP响应报文的目的MAC地址携带的时间与所述第一时间不一致,则所述ARP响应报文中的目的MAC地址与所述虚拟MAC地址一致不一致。
进一步地,该针对ARP欺骗攻击的防御方法还包括:
所述基于所述第一验证和所述第二验证的结果来确定是否将所述ARP响应报文中的IP地址与MAC地址的对应关系写入ARP缓存表,包括:
若监听到所述ARP响应报文并且所述ARP响应报文中的目的MAC地址与所述虚拟MAC地址不一致,则丢弃所述ARP响应报文,并且不将所述ARP响应报文中的IP地址与MAC地址的对应关系写入所述ARP缓存表。
进一步地,该针对ARP欺骗攻击的防御方法还包括:所述方法还包括:
所述基于所述第一验证和所述第二验证的结果来确定是否将所述ARP响应报文中的IP地址与MAC地址的对应关系写入ARP缓存表,包括:
若监听到所述ARP响应报文,所述ARP响应报文中的目的MAC地址与所述虚拟MAC地址一致,并且所述ARP响应报文超出所述预定时间窗口,则丢弃所述ARP响应报文,并且不将所述ARP响应报文中的IP地址与MAC地址的对应关系写入所述ARP缓存表。
进一步地,该针对ARP欺骗攻击的防御方法还包括:
所述基于所述第一验证和所述第二验证的结果来确定是否将所述ARP响应报文中的IP地址与MAC地址的对应关系写入ARP缓存表,包括:
若监听到所述ARP响应报文,所述ARP响应报文中的目的MAC地址与所述虚拟MAC地址一致,并且所述ARP响应报文未超出所述预定时间窗口,则将所述ARP响应报文中的IP地址与MAC地址的对应关系写入所述ARP缓存表。
第二方面,本发明的实施例还提供一种针对ARP欺骗攻击的防御系统,包括:
ARP报文监听模块,用于监听网络中返回发送的ARP报文;
虚拟MAC地址创建模块,用于根据第一系统时间,创建具有第一时间信息的虚拟MAC地址;
ARP请求报文发送模块,用于将创建的所述虚拟MAC地址作为源MAC地址,收到ARP请求的网卡IP地址为源IP地址,将监听到的所述ARP报文的源IP地址作为目的IP地址,将监听到的所述ARP报文的源MAC地址为目的MAC地址,发送用于校验所述ARP报文的所述ARP请求报文;
ARP响应报文监听模块,用于在预定时间窗口监听与所述ARP请求报文相对应的用于验证ARP报文的ARP响应报文;
第一验证模块,用于执行第一验证,所述第一验证包括验证所述ARP响应报文的目的MAC地址是否与所述虚拟MAC地址一致;
第二验证模块,用于执行第二验证,所述第二验证包括用所述第二系统时间减去所述ARP响应报文的目的MAC地址携带的时间来计算所述ARP响应报文是否超出所述预定时间窗口;以及
ARP缓存表更新模块,用于基于所述第一验证和所述第二验证的结果来确定是否将所述ARP响应报文中的IP地址与MAC地址的对应关系写入ARP缓存表。
第三方面,本发明的实施例还提供一种设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现上述针对ARP欺骗攻击的防御方法的步骤。
第四方面,本发明的实施例还提供一种存储介质,包括其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现上述针对ARP欺骗攻击的防御方法的步骤。
由上面技术方案可知,本发明实施例提供的一种针对ARP欺骗攻击的防御方法、系统、设备及存储介质,旨在克服现有技术中的诸多问题,并且弥补传统的ARP防御技术的缺点,在原ARP协议的基础上增加了主动的校验机制,通过主动发包探测来验证所收到的ARP响应报文是真实的ARP响应还是恶意的攻击行为。相较于传统的绑定静态ARP表,本发明无需手动频繁的添加、更改ARP表绑定关系,减轻用户的工作量,且对于大型网络、终端更换频繁的网络有着更好的支持性。本发明通过对ARP协议增添校验机制,对收到的ARP响应报文的真实性、有效性进行鉴别,将虚假的、无效的ARP响应报文丢弃,只将校验成功的ARP响应报文写入ARP缓存表。能够有效的保护主机的ARP缓存表的大小,限制内存节点的数量。起到防止ARP中间人攻击和拒绝服务攻击的作用。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的针对ARP欺骗攻击的防御方法的流程图;
图2为本发明一实施例提供的针对ARP欺骗攻击的防御系统的结构示意图;
图3为本发明一实施例提供的电子设备的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明使用的各种术语或短语具有本领域普通技术人员公知的一般含义,即便如此,本发明仍然希望在此对这些术语或短语作更详尽的说明和解释。如果本文涉及的术语和短语有与公知含义不一致的,则以本发明所表述的含义为准;并且如果在本申请中没有定义,则其具有本领域普通技术人员通常理解的含义。
目前现有技术中,常用的防御ARP攻击的方式为绑定静态的ARP表。即将ARP缓存表中的IP地址、MAC地址的对应关系固化,不随收到的ARP报文而产生变化。
然而绑定静态ARP表的缺点在于无法将所有的IP地址、MAC地址的对应关系全部绑定,并且在终端、网络切换频繁的网络中更加无法实现。
针对于此,第一方面,本发明的一实施例提出一种针对ARP欺骗攻击的防御方法,旨在克服现有技术中的诸多问题,并且弥补传统的ARP防御技术的缺点,在原ARP协议的基础上增加了主动的校验机制,通过主动发包探测来验证所收到的ARP响应报文是真实的ARP响应还是恶意的攻击行为。相较于传统的绑定静态ARP表,本发明无需手动频繁的添加、更改ARP表绑定关系,减轻用户的工作量,且对于大型网络、终端更换频繁的网络有着更好的支持性。本发明通过对ARP协议增添校验机制,对收到的ARP响应报文的真实性、有效性进行鉴别,将虚假的、无效的ARP响应报文丢弃,只将校验成功的ARP响应报文写入ARP缓存表。能够有效的保护主机的ARP缓存表的大小,限制内存节点的数量。起到防止ARP中间人攻击和拒绝服务攻击的作用。
下面结合图1描述本发明的针对ARP欺骗攻击的防御方法。
图1为本发明一实施例提供的针对ARP欺骗攻击的防御方法的流程图。
在本实施例中,需要说明的是,该针对ARP欺骗攻击的防御方法可以包括以下步骤:
S1:监听网络中返回发送的ARP报文;
S2:根据第一系统时间,创建具有第一时间信息的虚拟MAC地址;
S3:将创建的虚拟MAC地址作为源MAC地址,收到ARP请求的网卡IP地址为源IP地址,将监听到的ARP报文的源IP地址作为目的IP地址,将监听到的ARP报文的源MAC地址为目的MAC地址,发送用于校验ARP报文的ARP请求报文;
S4:在预定时间窗口监听与ARP请求报文相对应的用于验证ARP报文的ARP响应报文;
S5:执行第一验证,第一验证包括验证ARP响应报文的目的MAC地址是否与虚拟MAC地址一致;
S6:执行第二验证,第二验证包括用第二系统时间减去ARP响应报文的目的MAC地址携带的时间来计算ARP响应报文是否超出预定时间窗口;以及
S7:基于第一验证和第二验证的结果来确定是否将ARP响应报文中的IP地址与MAC地址的对应关系写入ARP缓存表。
针对S2,在本实施例中,需要说明的是,该针对ARP欺骗攻击的防御方法包括:根据第一系统时间,创建具有第一时间信息的虚拟MAC地址,包括:虚拟MAC地址的第一部分用于标识MAC地址为虚拟MAC地址,虚拟MAC地址的第二部分包括基于第一系统时间进行进制换算得到的第一时间信息。
具体地,第一时间信息可以为基于第一系统时间进行进制换算得到的时间戳标记。更具体地,第一系统时间可以为发送ARP请求报文的时间。
具体地,进制换算可以为二进制到十六进制或十六进制到二进制的换算,并将二进制到十六进制的进制换算结果放到虚拟MAC地址的第二至五字节(即,第二部分)的位置,并且第一字节(即,第一部分)为虚拟MAC标识。
更具体地,虚拟MAC地址一共有6个字节空间,其中,第一字节固定为0x02(表示虚拟MAC类型),第二字节到第五字节是时间戳(精确到秒),第六字节是当前时间戳的毫秒数除以10(以10毫秒为单位)。例如,02:01:03:01:05:04。显然,本发明的实施例不限于此,并且本领域技术人员可以根据实际情况设置不同的虚拟MAC地址。
针对S4,预定时间窗口用于处理正常协议栈返回的ARP响应,即网络中正常的ARP交互行为,并且可以为100毫秒。显然,本发明的实施例不限于此,并且本领域技术人员可以根据实际情况设置不同的预定时间窗口。
针对S5,在本实施例中,需要说明的是,该针对ARP欺骗攻击的防御方法包括:验证ARP响应报文的目的MAC地址是否与虚拟MAC地址一致,包括:通过验证ARP响应报文的目的MAC地址携带的时间是否与第一时间信息一致来验证ARP响应报文中的目的MAC地址是否与虚拟MAC地址一致,其中,若ARP响应报文的目的MAC地址携带的时间与第一时间一致,则ARP响应报文中的目的MAC地址与虚拟MAC地址一致;若ARP响应报文的目的MAC地址携带的时间与第一时间不一致,则ARP响应报文中的目的MAC地址与虚拟MAC地址一致不一致。
具体地,ARP响应报文的目的MAC地址可能携带时间信息,若携带时间信息,则该时间信息与第一时间信息一致。
针对S6,具体地,第二系统时间可以为接收或监听到ARP响应报文的时间。
更具体地,虚拟MAC地址携带的时间戳A是由过去时间点a(即,第一系统时间)进制换算出来的,而在接收到携带虚拟MAC地址(即,ARP响应报文的目的MAC地址)的ARP响应报文时,将时间戳A(MAC地址第二至第五字节)重新进行进制转换以得到时间点a,然后根据系统现在的时间点b(即,第二系统时间),用b-a<预定时间窗口(例如,100毫秒)来判断是否超时。
针对S7,具体地,ARP缓存表的形式可以如表1所示。
| IP地址 | MAC地址 | 类型 |
| 192.168.16.1 | aa-aa-aa-aa-aa-aa | 动态 |
| 192.168.16.2 | bb-bb-bb-bb-bb-bb | 动态 |
| 192.168.16.3 | cc-cc-cc-cc-cc-cc | 动态 |
| 192.168.16.4 | dd-dd-dd-dd-dd-dd | 动态 |
表1
进一步地,针对S7,在本实施例中,需要说明的是,该针对ARP欺骗攻击的防御方法包括:基于第一验证和第二验证的结果来确定是否将ARP响应报文中的IP地址与MAC地址的对应关系写入ARP缓存表,包括:若监听到ARP响应报文并且ARP响应报文中的目的MAC地址与虚拟MAC地址不一致,则丢弃ARP响应报文,并且不将ARP响应报文中的IP地址与MAC地址的对应关系写入ARP缓存表。
类似地,针对S7,在本实施例中,需要说明的是,该针对ARP欺骗攻击的防御方法包括:基于第一验证和第二验证的结果来确定是否将ARP响应报文中的IP地址与MAC地址的对应关系写入ARP缓存表,包括:若监听到ARP响应报文,ARP响应报文中的目的MAC地址与虚拟MAC地址一致,并且ARP响应报文超出预定时间窗口,则丢弃ARP响应报文,并且不将ARP响应报文中的IP地址与MAC地址的对应关系写入ARP缓存表。
类似地,针对S7,在本实施例中,需要说明的是,该针对ARP欺骗攻击的防御方法包括:基于第一验证和第二验证的结果来确定是否将ARP响应报文中的IP地址与MAC地址的对应关系写入ARP缓存表,包括:若监听到ARP响应报文,ARP响应报文中的目的MAC地址与虚拟MAC地址一致,并且ARP响应报文未超出预定时间窗口,则将ARP响应报文中的IP地址与MAC地址的对应关系写入ARP缓存表。
基于同样的发明构思,另一方面,本发明的一实施例提出一种针对ARP欺骗攻击的防御系统。
下面结合图2对本发明提供的针对ARP欺骗攻击的防御系统进行描述,下文描述的针对ARP欺骗攻击的防御系统与上文描述的针对ARP欺骗攻击的防御方法可相互对应参照。
图2为本发明一实施例提供的针对ARP欺骗攻击的防御系统的结构示意图。
在本实施例中,需要说明的是,该针对ARP欺骗攻击的防御系统1包括:ARP报文监听模块10,用于监听网络中返回发送的ARP报文;虚拟MAC地址创建模块20,用于根据第一系统时间,创建具有第一时间信息的虚拟MAC地址;ARP请求报文发送模块30,用于将创建的虚拟MAC地址作为源MAC地址,收到ARP请求的网卡IP地址为源IP地址,将监听到的ARP报文的源IP地址作为目的IP地址,将监听到的ARP报文的源MAC地址为目的MAC地址,发送用于校验ARP报文的ARP请求报文;ARP响应报文监听模块40,用于在预定时间窗口监听与ARP请求报文相对应的用于验证ARP报文的ARP响应报文;第一验证模块50,用于执行第一验证,第一验证包括验证ARP响应报文的目的MAC地址是否与虚拟MAC地址一致;第二验证模块60,用于执行第二验证,第二验证包括用第二系统时间减去ARP响应报文的目的MAC地址携带的时间来计算ARP响应报文是否超出预定时间窗口;以及ARP缓存表更新模块70,用于基于第一验证和第二验证的结果来确定是否将ARP响应报文中的IP地址与MAC地址的对应关系写入ARP缓存表。
由于本发明实施例提供的针对ARP欺骗攻击的防御系统可以用于执行上述实施例所述的针对ARP欺骗攻击的防御方法,其工作原理和有益效果类似,故此处不再详述,具体内容可参见上述实施例的介绍。
在本实施例中,需要说明的是,本发明实施例的装置中的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子单元。
又一方面,基于相同的发明构思,本发明又一实施例提供了一种电子设备。
图3为本发明一实施例提供的电子设备的示意图。
在本实施例中,需要说明的是,该电子设备可以包括:处理器(processor)310、通信接口(Communications Interface)320、存储器(memory)330和通信总线340,其中,处理器310,通信接口320,存储器330通过通信总线340完成相互间的通信。处理器310可以调用存储器330中的逻辑指令,以执行针对ARP欺骗攻击的防御方法,该方法包括:监听网络中返回发送的ARP报文;根据第一系统时间,创建具有第一时间信息的虚拟MAC地址;将创建的虚拟MAC地址作为源MAC地址,收到ARP请求的网卡IP地址为源IP地址,将监听到的ARP报文的源IP地址作为目的IP地址,将监听到的ARP报文的源MAC地址为目的MAC地址,发送用于校验ARP报文的ARP请求报文;在预定时间窗口监听与ARP请求报文相对应的用于验证ARP报文的ARP响应报文;执行第一验证,第一验证包括验证ARP响应报文的目的MAC地址是否与虚拟MAC地址一致;执行第二验证,第二验证包括用第二系统时间减去ARP响应报文的目的MAC地址携带的时间来计算ARP响应报文是否超出预定时间窗口;以及基于第一验证和第二验证的结果来确定是否将ARP响应报文中的IP地址与MAC地址的对应关系写入ARP缓存表。
此外,上述的存储器330中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行针对ARP欺骗攻击的防御方法,该方法包括:监听网络中返回发送的ARP报文;根据第一系统时间,创建具有第一时间信息的虚拟MAC地址;将创建的虚拟MAC地址作为源MAC地址,收到ARP请求的网卡IP地址为源IP地址,将监听到的ARP报文的源IP地址作为目的IP地址,将监听到的ARP报文的源MAC地址为目的MAC地址,发送用于校验ARP报文的ARP请求报文;在预定时间窗口监听与ARP请求报文相对应的用于验证ARP报文的ARP响应报文;执行第一验证,第一验证包括验证ARP响应报文的目的MAC地址是否与虚拟MAC地址一致;执行第二验证,第二验证包括用第二系统时间减去ARP响应报文的目的MAC地址携带的时间来计算ARP响应报文是否超出预定时间窗口;以及基于第一验证和第二验证的结果来确定是否将ARP响应报文中的IP地址与MAC地址的对应关系写入ARP缓存表。
以上所描述的系统实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
此外,在本发明中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
此外,在本发明中,参考术语“实施例”、“本实施例”、“又一实施例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种针对ARP欺骗攻击的防御方法,其特征在于,包括:
监听网络中返回发送的ARP报文;
根据第一系统时间,创建具有第一时间信息的虚拟MAC地址;
将创建的所述虚拟MAC地址作为源MAC地址,收到ARP请求的网卡IP地址为源IP地址,将监听到的所述ARP报文的源IP地址作为目的IP地址,将监听到的所述ARP报文的源MAC地址为目的MAC地址,发送用于校验所述ARP报文的所述ARP请求报文;
在预定时间窗口监听与所述ARP请求报文相对应的用于验证ARP报文的ARP响应报文;
执行第一验证,所述第一验证包括验证所述ARP响应报文的目的MAC地址是否与所述虚拟MAC地址一致;
执行第二验证,所述第二验证包括用所述第二系统时间减去所述ARP响应报文的目的MAC地址携带的时间来计算所述ARP响应报文是否超出所述预定时间窗口;
基于所述第一验证和所述第二验证的结果来确定是否将所述ARP响应报文中的IP地址与MAC地址的对应关系写入ARP缓存表。
2.根据权利要求1所述的针对ARP欺骗攻击的防御方法,其特征在于,所述根据第一系统时间,创建具有第一时间信息的虚拟MAC地址,包括:
所述虚拟MAC地址的第一部分用于标识MAC地址为所述虚拟MAC地址,所述虚拟MAC地址的第二部分包括基于第一系统时间进行进制换算得到的所述第一时间信息。
3.根据权利要求2所述的针对ARP欺骗攻击的防御方法,其特征在于,所述验证所述ARP响应报文的目的MAC地址是否与所述虚拟MAC地址一致,包括:
通过验证所述ARP响应报文的目的MAC地址携带的时间是否与所述第一时间信息一致来验证所述ARP响应报文中的目的MAC地址是否与所述虚拟MAC地址一致,
其中,若所述ARP响应报文的目的MAC地址携带的时间与所述第一时间一致,则所述ARP响应报文中的目的MAC地址与所述虚拟MAC地址一致;
若所述ARP响应报文的目的MAC地址携带的时间与所述第一时间不一致,则所述ARP响应报文中的目的MAC地址与所述虚拟MAC地址一致不一致。
4.根据权利要求3所述的针对ARP欺骗攻击的防御方法,其特征在于,所述基于所述第一验证和所述第二验证的结果来确定是否将所述ARP响应报文中的IP地址与MAC地址的对应关系写入ARP缓存表,包括:
若监听到所述ARP响应报文并且所述ARP响应报文中的目的MAC地址与所述虚拟MAC地址不一致,则丢弃所述ARP响应报文,并且不将所述ARP响应报文中的IP地址与MAC地址的对应关系写入所述ARP缓存表。
5.根据权利要求3所述的针对ARP欺骗攻击的防御方法,其特征在于,所述基于所述第一验证和所述第二验证的结果来确定是否将所述ARP响应报文中的IP地址与MAC地址的对应关系写入ARP缓存表,包括:
若监听到所述ARP响应报文,所述ARP响应报文中的目的MAC地址与所述虚拟MAC地址一致,并且所述ARP响应报文超出所述预定时间窗口,则丢弃所述ARP响应报文,并且不将所述ARP响应报文中的IP地址与MAC地址的对应关系写入所述ARP缓存表。
6.根据权利要求3所述的针对ARP欺骗攻击的防御方法,其特征在于,所述基于所述第一验证和所述第二验证的结果来确定是否将所述ARP响应报文中的IP地址与MAC地址的对应关系写入ARP缓存表,包括:
若监听到所述ARP响应报文,所述ARP响应报文中的目的MAC地址与所述虚拟MAC地址一致,并且所述ARP响应报文未超出所述预定时间窗口,则将所述ARP响应报文中的IP地址与MAC地址的对应关系写入所述ARP缓存表。
7.一种针对ARP欺骗攻击的防御系统,其特征在于,
ARP报文监听模块,用于监听网络中返回发送的ARP报文;
虚拟MAC地址创建模块,用于根据第一系统时间,创建具有第一时间信息的虚拟MAC地址;
ARP请求报文发送模块,用于将创建的所述虚拟MAC地址作为源MAC地址,收到ARP请求的网卡IP地址为源IP地址,将监听到的所述ARP报文的源IP地址作为目的IP地址,将监听到的所述ARP报文的源MAC地址为目的MAC地址,发送用于校验所述ARP报文的所述ARP请求报文;
ARP响应报文监听模块,用于在预定时间窗口监听与所述ARP请求报文相对应的用于验证ARP报文的ARP响应报文;
第一验证模块,用于执行第一验证,所述第一验证包括验证所述ARP响应报文的目的MAC地址是否与所述虚拟MAC地址一致;
第二验证模块,用于执行第二验证,所述第二验证包括用所述第二系统时间减去所述ARP响应报文的目的MAC地址携带的时间来计算所述ARP响应报文是否超出所述预定时间窗口;以及
ARP缓存表更新模块,用于基于所述第一验证和所述第二验证的结果来确定是否将所述ARP响应报文中的IP地址与MAC地址的对应关系写入ARP缓存表。
8.一种设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-6任一项所述的针对ARP欺骗攻击的防御方法的步骤。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-6任一项所述的针对ARP欺骗攻击的防御方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110802849.0A CN113507476B (zh) | 2021-07-15 | 2021-07-15 | 针对arp欺骗攻击的防御方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110802849.0A CN113507476B (zh) | 2021-07-15 | 2021-07-15 | 针对arp欺骗攻击的防御方法、系统、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113507476A true CN113507476A (zh) | 2021-10-15 |
| CN113507476B CN113507476B (zh) | 2023-07-07 |
Family
ID=78012934
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110802849.0A Active CN113507476B (zh) | 2021-07-15 | 2021-07-15 | 针对arp欺骗攻击的防御方法、系统、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113507476B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114157602A (zh) * | 2021-11-03 | 2022-03-08 | 杭州迪普科技股份有限公司 | 一种处理报文的方法和装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20100040792A (ko) * | 2008-10-10 | 2010-04-21 | 플러스기술주식회사 | 가상 mac 주소를 이용하여 arp 스푸핑 공격에 대응하는 방법 |
| US20100242084A1 (en) * | 2007-09-07 | 2010-09-23 | Cyber Solutions Inc. | Network security monitor apparatus and network security monitor system |
| CN102185934A (zh) * | 2011-04-27 | 2011-09-14 | 深圳Tcl新技术有限公司 | 一种烧写mac地址的系统及方法 |
| CN103152255A (zh) * | 2013-02-20 | 2013-06-12 | 神州数码网络(北京)有限公司 | 一种数据转发的方法和装置 |
| CN103152335A (zh) * | 2013-02-20 | 2013-06-12 | 神州数码网络(北京)有限公司 | 一种网络设备上防止arp欺骗的方法及装置 |
| CN105049422A (zh) * | 2015-06-25 | 2015-11-11 | 上海迪爱斯通信设备有限公司 | 一种wifi探测识别设备、系统以及wifi探测识别方法 |
-
2021
- 2021-07-15 CN CN202110802849.0A patent/CN113507476B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100242084A1 (en) * | 2007-09-07 | 2010-09-23 | Cyber Solutions Inc. | Network security monitor apparatus and network security monitor system |
| KR20100040792A (ko) * | 2008-10-10 | 2010-04-21 | 플러스기술주식회사 | 가상 mac 주소를 이용하여 arp 스푸핑 공격에 대응하는 방법 |
| CN102185934A (zh) * | 2011-04-27 | 2011-09-14 | 深圳Tcl新技术有限公司 | 一种烧写mac地址的系统及方法 |
| CN103152255A (zh) * | 2013-02-20 | 2013-06-12 | 神州数码网络(北京)有限公司 | 一种数据转发的方法和装置 |
| CN103152335A (zh) * | 2013-02-20 | 2013-06-12 | 神州数码网络(北京)有限公司 | 一种网络设备上防止arp欺骗的方法及装置 |
| CN105049422A (zh) * | 2015-06-25 | 2015-11-11 | 上海迪爱斯通信设备有限公司 | 一种wifi探测识别设备、系统以及wifi探测识别方法 |
Non-Patent Citations (2)
| Title |
|---|
| 徐华中等: "基于ARP的攻击分析及对策研究", 《中国水运(理论版)》 * |
| 徐华中等: "基于ARP的攻击分析及对策研究", 《中国水运(理论版)》, no. 03, 20 March 2007 (2007-03-20) * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114157602A (zh) * | 2021-11-03 | 2022-03-08 | 杭州迪普科技股份有限公司 | 一种处理报文的方法和装置 |
| CN114157602B (zh) * | 2021-11-03 | 2023-08-25 | 杭州迪普科技股份有限公司 | 一种处理报文的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113507476B (zh) | 2023-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7734776B2 (en) | Automatically detecting malicious computer network reconnaissance by updating state codes in a histogram | |
| EP2154858A1 (en) | Method and device of preventing arp address from being cheated and attacked | |
| US11611567B2 (en) | Method and system for management and resolution of blockchain-based top-level domain | |
| CN102404741B (zh) | 移动终端上网异常检测方法和装置 | |
| US10129292B2 (en) | Front-end protocol for server protection | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| Song et al. | DS‐ARP: A New Detection Scheme for ARP Spoofing Attacks Based on Routing Trace for Ubiquitous Environments | |
| CN113347155A (zh) | 一种arp欺骗的防御方法、系统及装置 | |
| CN108810008B (zh) | 传输控制协议流量过滤方法、装置、服务器及存储介质 | |
| CN113507476B (zh) | 针对arp欺骗攻击的防御方法、系统、设备及存储介质 | |
| CN112383559B (zh) | 地址解析协议攻击的防护方法及装置 | |
| CN116708041B (zh) | 伪装代理方法、装置、设备及介质 | |
| RU2358395C2 (ru) | Способ уменьшения времени прохождения исполняемого файла через контрольную точку | |
| CN106453308A (zh) | 一种防止arp欺骗的方法 | |
| CN114301696B (zh) | 恶意域名检测方法、装置、计算机设备及存储介质 | |
| Song et al. | Using FDAD to prevent DAD attack in secure neighbor discovery protocol | |
| CN115603974A (zh) | 一种网络安全防护方法、装置、设备及介质 | |
| CN113872949A (zh) | 一种地址解析协议的应答方法及相关装置 | |
| CN111866005A (zh) | 基于区块链的arp欺骗攻击防御方法、系统及装置 | |
| CN112202776A (zh) | 源站防护方法和网络设备 | |
| WO2017163104A1 (en) | System and method for mitigating dns attacks | |
| CN116094779B (zh) | 一种IPv6中防ND欺骗的传输方法及装置 | |
| CN105471839A (zh) | 一种判断路由器数据是否被窜改的方法 | |
| CN116846687B (zh) | 一种网络安全监测方法、系统、装置及存储介质 | |
| Sharma et al. | Detection of ARP Spoofing: A command line execution method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |