CN114980113A - 终端侧防止arp攻击的方法 - Google Patents
终端侧防止arp攻击的方法 Download PDFInfo
- Publication number
- CN114980113A CN114980113A CN202210695831.XA CN202210695831A CN114980113A CN 114980113 A CN114980113 A CN 114980113A CN 202210695831 A CN202210695831 A CN 202210695831A CN 114980113 A CN114980113 A CN 114980113A
- Authority
- CN
- China
- Prior art keywords
- mac address
- time delay
- arp
- network
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 230000004044 response Effects 0.000 claims abstract description 46
- 238000012795 verification Methods 0.000 abstract description 14
- 230000002159 abnormal effect Effects 0.000 description 7
- 230000008859 change Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 2
- 230000002035 prolonged effect Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种终端侧防止ARP攻击的方法,包括:确定收到更新MAC地址的ARP应答包时,依据预定的判断顺序,判断ARP缓存表中的第一MAC地址能否成功访问网络以及判断ARP应答包中的第二MAC地址访问目标网络的第一时延是否大于目标时延;当所述第一MAC地址不能成功访问网络,且第一时延大于目标时延时,向用户发出风险提示。本发明提供的终端侧防止ARP攻击的方法,能够通过原MAC地址的状态验证以及新MAC地址的时延验证,及时发现ARP攻击。
Description
技术领域
本发明涉及通信安全技术领域,尤其涉及一种终端侧防止ARP攻击的方法。
背景技术
网络中,终端本地会维护一张ARP缓存表,当终端要进行网络操作时,需要先把数据包打包成以太网帧,再把以太网帧发送路由器,而以太网帧中需要知道路由器的MAC地址,若第一次连接时,由于本地ARP缓存表中无路由器IP对应的MAC地址,则终端A会广播一个ARP请求包进行请求,路由器则会将含其MAC地址的ARP应答包返回给终端。终端收到ARP应答包后,会更新本地的ARP缓存表,接着使用这个MAC地址发送数据。基于上述的ARP机制,当攻击者向终端发送欺骗ARP数据包,源IP为伪造的网关IP,MAC为攻击者的MAC,则终端的ARP缓存表中网关IP的MAC地址将变为C的MAC。同样,为保证终端可上网,攻击者同样伪装为终端将数据转发给网关。这样,攻击者就变为中间人转发终端到网关的数据,从而盗取网络数据。
发明内容
本发明提供的终端侧防止ARP攻击的方法,能够通过原MAC地址的状态验证以及新MAC地址的时延验证,及时发现ARP攻击。
本发明提供一种终端侧防止ARP攻击的方法,包括:
确定收到更新MAC地址的ARP应答包时,依据预定的判断顺序,判断ARP缓存表中的第一MAC地址能否成功访问网络以及判断ARP应答包中的第二MAC地址访问目标网络的第一时延是否大于目标时延;
当所述第一MAC地址不能成功访问网络,且第一时延大于目标时延时,向用户发出风险提示。
可选地,确定收到更新MAC地址的ARP应答包包括:
当收到ARP应答包时,判断当前ARP缓存表中是否具有与所述ARP应答包发送者IP地址对应的第一MAC地址;
当具有与所述ARP应答包发送者IP地址对应的第一MAC地址时,确定收到更新MAC地址的ARP应答包。
可选地,当不具有与所述ARP应答包发送者IP地址对应的第一MAC地址时,将ARP应答包携带的MAC地址作为第一MAC地址保存到ARP缓存表中。
可选地,将ARP应答包携带的MAC地址作为第一MAC地址保存到ARP缓存表中之后,还包括:
采用因特网包探索器检查第一MAC地址访问目标网络的第二时延,并将所述第二时延进行保存。
可选地,判断ARP应答包中的第二MAC地址访问目标网络的第一时延是否大于目标时延包括:
读取保存的所述第二时延,并获取第一时延;
确定所述第一时延和所述第二时延的差值是否超出预定范围;
当超出预定范围时,确定所述第一时延大于目标延时;
当不超出预定范围时,确定所述第一时延不大于目标时延。
可选地,获取第一时延包括:
保持第一MAC地址的存储状态;
启用所述第二MAC地址,并采用因特网包探索器检查第二MAC地址访问目标网络的第一时延。
可选地,当第一MAC地址能成功访问网络时,继续使用第一MAC地址访问网络。
可选地,当第一时延不大于目标时延时,将ARP应答包中携带的第二MAC地址作为新的第一MAC地址更新到ARP缓存表中。
可选地,所述预定的判断顺序包括:
先判断ARP缓存表中的第一MAC地址能否成功访问网络;
当第一MAC地址不能成功访问网络时,再判断ARP应答包中的第二MAC地址访问目标网络的第一时延是否大于目标时延。
可选地,所述预定的判断顺序包括:
先判断ARP应答包中的第二MAC地址访问目标网络的第一时延是否大于目标时延;
当第一时延大于目标时延时,再判断ARP缓存表中的第一MAC地址能否成功访问网络。
在本发明提供的技术方案中,在收到更新MAC地址的ARP应答包时,采用两种方式进行验证,当采用原MAC地址不能成功访问网络时,可能是网关遭到了供给,也可能是网关改变了MAC地址,当新的MAC地址时延超出目标时延时,表明新的MAC地址是由攻击者进行了数据转发。当两种验证方式均不能验证通过时,表明攻击者同时对终端和网关进行了攻击,此时向用户及时发出提醒,能够使用户尽快的发现ARP攻击。
附图说明
图1为本发明一实施例终端侧防止ARP攻击的方法的流程图;
图2为本发明另一实施例终端侧防止ARP攻击的方法确定收到更新MAC地址应答包的流程图;
图3为本发明另一实施例终端侧防止ARP攻击的方法判断收到更新MAC地址应答包的流程图;
图4为本发明另一实施例终端侧防止ARP攻击的方法首次接入网关存储第二时延的流程图;
图5为本发明另一实施例终端侧防止ARP攻击的方法判断第一时延是否超出目标时延的流程图;
图6为本发明另一实施例终端侧防止ARP攻击的方法确定启用第二MAC地址并确定第一时延的流程图;
图7为本发明另一实施例终端侧防止ARP攻击的方法第一MAC地址能成功访问网络的流程图;
图8为本发明另一实施例终端侧防止ARP攻击的方法第一时延不超出目标时延的流程图;
图9为本发明另一实施例终端侧防止ARP攻击的方法确定判断顺序的流程图;
图10为本发明另一实施例终端侧防止ARP攻击的方法确定判断顺序的示例性流程图;
图11为本发明另一实施例终端侧防止ARP攻击的方法确定判断顺序的流程图;
图12为本发明另一实施例终端侧防止ARP攻击的方法确定判断顺序的示例性流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种终端侧防止ARP攻击的方法,如图1所示,包括:
步骤100,确定收到更新MAC地址的ARP应答包时,依据预定的判断顺序,判断ARP缓存表中的第一MAC地址能否成功访问网络以及判断ARP应答包中的第二MAC地址访问目标网络的第一时延是否大于目标时延;
在一些实施例中,在ARP机制中,终端本地会维护一张ARP缓存表,当终端要进行网络操作时,需要先把数据包打包成以太网帧,再把以太网帧发送路由器,而以太网帧中需要知道路由器的MAC地址。依据ARP机制的前述说明可知,在终端发送数据时,对网关的MAC地址具有依赖,因此,网关在更新MAC地址时,需要向终端发送更新MAC地址的ARP应答包。网关发送的ARP应答包通常携带有网关当前的MAC地址,但是,如果不对新MAC地址的ARP应答包加以验证,在遭受到ARP攻击时,将会应用攻击者的MAC地址,导致网络数据泄露。在本步骤中,对第一MAC地址能够访问网络加以验证,该验证方式能够验证网关当前是否正常;同时还对第二MAC地址的时延加以验证,该验证方式则能够验证收到的MAC地址是否为网关真实更改的地址。在两种验证方式中,一个是针对网关侧状态的判断,一个是针对终端侧收到的第二MAC地址的判断,两者结合,能够及时的发现APR攻击。预定的判断顺序是指针对两种验证方式预先设定的执行顺序。
步骤200,当所述第一MAC地址不能成功访问网络,且第一时延大于目标时延时,向用户发出风险提示。
在一些实施例中,当第一MAC地址不能成功访问网络时,有两种可能,一种是ARP欺骗攻击同时攻击网关,使得网关不能处理终端的数据导致网络不通;另一种是网关MAC地址真实进行了更换。ARP应答包中的第二MAC地址也有两种可能,一种是路由器真实的更改了MAC,此时网络时延变化小;另一种是ARP欺骗攻击并作为中间人进行数据包转发,此时网络时延相对会拉长。当所述第一MAC地址不能成功访问网络,且第一时延大于目标时延时,可以确定MAC地址不能成功访问网络是由于ARP欺骗攻击同时攻击网关导致的,并且,收到的第二MAC地址为ARP欺骗攻击发送的。两种判断方式的结合,从终端侧和网络侧综合判断,能够快速的发现ARP攻击。
在本发明实施例提供的技术方案中,在收到更新MAC地址的ARP应答包时,采用两种方式进行验证,当采用原MAC地址不能成功访问网络时,可能是网关遭到了供给,也可能是网关改变了MAC地址,当新的MAC地址时延超出目标时延时,表明新的MAC地址是由攻击者进行了数据转发。当两种验证方式均不能验证通过时,表明攻击者同时对终端和网关进行了攻击,此时向用户及时发出提醒,能够使用户尽快的发现ARP攻击。
作为一种可选的实施方式,如图2所示,步骤100中,确定收到更新MAC地址的ARP应答包:
步骤110,当收到ARP应答包时,判断当前ARP缓存表中是否具有与所述ARP应答包发送者IP地址对应的第一MAC地址;
在一些实施例中,在终端第一次连接到网关时,终端的APR缓存表中未保存有第一MAC地址,而在终端收到更新MAC地址的ARP应答包时,终端的APR缓存表中已保存有第一MAC地址;两种情况应当采用不同的处理方式进行处理,因此,需要首先判断当前收到的应答包是不是更新MAC地址的ARP应答包。
步骤111,当具有与所述ARP应答包发送者IP地址对应的第一MAC地址时,确定收到更新MAC地址的ARP应答包。
在一些实施例中,通过对ARP应答包发送者IP地址的查找,确定当前的ARP缓存表中是否已经保存了对应于IP地址的MAC地址。当已经保存了MAC地址时,显然该应答包为更新MAC地址的应答包。此时,由于尚未确定第二MAC地址的安全性,可以先将应答包携带的MAC地址作为第二MAC地址保存在ARP缓存表中。
作为一种可选的实施方式,如图3所示,还包括步骤112,当不具有与所述ARP应答包发送者IP地址对应的第一MAC地址时,将ARP应答包携带的MAC地址作为第一MAC地址保存到ARP缓存表中。
在一些实施例中,当ARP缓存表中不具有与IP地址对应的第一MAC地址时,表明当前为第一次连接到网关,此时,需要将获取到的MAC地址进行保存,以为终端的数据发送提供条件。
作为一种可选的实施方式,如图4所示,步骤112中,将ARP应答包携带的MAC地址作为第一MAC地址保存到ARP缓存表中之后,还包括:
步骤113,采用因特网包探索器检查第一MAC地址访问目标网络的第二时延,并将所述第二时延进行保存。
在一些实施例中,在终端第一次连接到网关时,将获取到的第一MAC地址应用后,通过PING一个目标IP地址,获取应用第一MAC地址时访问目标IP地址的第二时延并保存,为后续第二MAC地址的时延验证过程提供比较基准。
作为一种可选的实施方式,如图5所示,步骤100中,判断ARP应答包中的第二MAC地址访问目标网络的第一时延是否大于目标时延包括:
步骤120,读取保存的所述第二时延,并获取第一时延;
在一些实施例中,第二时延是在首次连接到网关时保存的,第一时延时采用第二MAC地址访问目标网络确定的。
步骤121,确定所述第一时延和所述第二时延的差值是否超出预定范围;
在一些实施例中,由于访问网络的时延通常会受到网络运营商以及目标网站服务器等因素的影响,在网关更换MAC地址时,甚至网关使用同一MAC地址时,访问目标网站的时延通常会存在波动,因此,本步骤中,设定了预定的范围,在差值超出预定范围之后,才认定MAC地址的异常。预定范围时依据网络波动情况预先设定的范围值。
步骤122,当超出预定范围时,确定所述第一时延大于目标延时;
在一些实施例中,当攻击者对网络数据进行劫持和转发时,延长了数据的传递路径,会将访问目标网络的时延拉长,因此,当差值超出预定范围时,可以确定当前的以太网帧不是直接发送到网关的,而是由攻击者转发到网关的。
步骤123,当不超出预定范围时,确定所述第一时延不大于目标时延。
在一些实施例中,当以太网帧直接发送到网关时,时延通常会在正常的波动范围之内,即,不超出预定范围。当检测到差值未超出预定范围时,即可确定当前的以太网帧时直接发送到网关的。
作为一种可选的实施方式,如图6所示,步骤120中,获取第一时延包括:
步骤124,保持第一MAC地址的存储状态;
在一些实施例中,在未确定第二MAC地址是否安全时,首先需要保持第一MAC地址的存储状态不变,即,不更新ARP缓存表,以避免第一MAC地址的丢失。
步骤125,启用所述第二MAC地址,并采用因特网包探索器检查第二MAC地址访问目标网络的第一时延。
在一些实施例中,在启用第二MAC地址之后,就可以采用第二MAC地址进行数据的发送,此时,尚未确定第二MAC地址的安全性。为了后续验证第二MAC地址的安全性,通过PING目标IP地址获取第一时延,以便后续与目标时延的比对。
作为一种可选的实施方式,如图7所示,在步骤100之后,还包括步骤300,当第一MAC地址能成功访问网络时,继续使用第一MAC地址访问网络。
在一些实施例中,当第一MAC地址能成功访问网络时,表明网关并未修改MAC地址,同时,也未遭到攻击者的攻击。即,仅终端接收到了攻击者的欺骗信息。此时,采用第一MAC地址访问网络,数据不会经过第二MAC地址的网关,不会出现网络数据的泄露。
作为一种可选的实施方式,如图8所示,在步骤100之后,还包括步骤400,当第一时延不大于目标时延时,将ARP应答包中携带的第二MAC地址作为新的第一MAC地址更新到ARP缓存表中。
在一些实施例中,当第一时延不大于目标时延时,表明当前的第二MAC地址是网关真实修改的MAC地址,此时,可以将采用第二MAC地址进行数据的发送。
作为一种可选的实施方式,如图9所示,在步骤100中,所述预定的判断顺序包括:
先判断ARP缓存表中的第一MAC地址能否成功访问网络;
当第一MAC地址不能成功访问网络时,再判断ARP应答包中的第二MAC地址访问目标网络的第一时延是否大于目标时延。
如图10所示,示例性的展示了图9中的判断顺序所对应的具体实施方式:
当终端收到ARP应答包后,检查当前ARP缓存表是否有此应答包中的发送者IP地址所对应的发送者MAC地址:
ARP缓存表若没有对应的发送者MAC地址,即没有第一MAC地址,则将应答包携带的MAC地址,即第二MAC地址保存至终端的ARP缓存表中作为第一MAC地址,同时记录第二时延。其中,第二时延可通过Ping某一稳定IP,将结果作为其网络时延;其目的是作为判断MAC地址更改后的时延比较的输入。
ARP缓存表若有对应的发送者MAC地址,即有第一MAC地址,执行后续步骤;
将此ARP应答包中携带的MAC地址设置为此IP地址的第二MAC地址保存到ARP缓存表中,同时继续使用原ARP缓存表中的MAC地址作为目的地址进行数据交互。此时监测网络是否通畅:
若网络正常,则此时继续使用原第一MAC地址。由于ARP欺骗攻击时,若不法分子不攻击网关,则原第一MAC地址可继续使用,终端侧不启用第二地址,则其数据不会通过第二地址的网关。用户网络数据不会泄漏。
若网络不正常,启用第二MAC地址,但暂不修改ARP缓存表中IP与第一MAC地址的关系,同时记录网络第一时延。网络不正常可能有两种可能:一种是ARP欺骗攻击同时攻击网关,使得网关不能处理终端的数据导致网络不通;另一种网关MAC地址真实进行了更换。为了确定当前是哪一种情况,需要继续执行后续的时延对比步骤。
比较第二网络时延与第一网络时延的差值,若此时延小于固定阀值,则将第二MAC地址作为目标MAC地址并更新ARP缓存表;否则,提醒用户当前用户网络存在异常,可能被ARP攻击,请检查路由器状态,并选择是否继续使用此无线网络。终端收到MAC地址更改有两种可能,一种是路由器真的更改了MAC,此时网络时延变化小;另一种是ARP欺骗攻击并作为中间人进行数据包转发,则时延相对会拉长,此时需要提醒用户关注路由器状态,如:检查路由器设置,是否有其他异常终端连接等,从而预防由于ARP欺骗攻击导致的私人数据泄漏。
在本实施方式中,对于攻击者仅发送虚假的MAC地址而未攻击网关的情况,响应更快,能够更快的访问网络。
作为一种可选的实施方式,如图11所示,在步骤100中,所述预定的判断顺序包括:
先判断ARP应答包中的第二MAC地址访问目标网络的第一时延是否大于目标时延;
当第一时延大于目标时延时,再判断ARP缓存表中的第一MAC地址能否成功访问网络。
如图12所示,示例性的展示了图11中的判断顺序所对应的具体实施方式:
当终端收到ARP应答包后,检查当前ARP缓存表是否有此应答包中的发送者IP地址所对应的发送者MAC地址:
ARP缓存表若没有对应的发送者MAC地址,即没有第一MAC地址,则将应答包携带的MAC地址,即第二MAC地址保存至终端的ARP缓存表中作为第一MAC地址,同时记录第二时延。其中,第二时延可通过Ping某一稳定IP,将结果作为其网络时延;其目的是作为判断MAC地址更改后的时延比较的输入。
ARP缓存表若有对应的发送者MAC地址,即有第一MAC地址,执行后续步骤;
将此ARP应答包中携带的MAC地址设置为此IP地址的第二MAC地址保存到ARP缓存表中,启用第二MAC地址,但暂不修改ARP缓存表中IP与第一MAC地址的关系,同时记录网络第一时延。
比较第二网络时延与第一网络时延的差值,若此时延小于固定阀值,则将第二MAC地址作为目标MAC地址并更新ARP缓存表;否则,提醒用户当前用户网络存在异常,可能被ARP攻击,请检查路由器状态,并选择是否继续使用此无线网络。终端收到MAC地址更改有两种可能,一种是路由器真的更改了MAC,此时网络时延变化小;另一种是ARP欺骗攻击并作为中间人进行数据包转发,则时延相对会拉长。此时可以确定当前收到的ARP应答包为欺骗信息,但是,不能确定第一MAC地址是否可用,为了能够正常的访问网络,需要继续执行后续对网关状态的验证。
继续使用原ARP缓存表中的MAC地址作为目的地址进行数据交互。此时监测网络是否通畅:
若网络正常,则此时继续使用原第一MAC地址。由于ARP欺骗攻击时,若不法分子不攻击网关,则原第一MAC地址可继续使用,终端侧不启用第二地址,则其数据不会通过第二地址的网关。用户网络数据不会泄漏。
若网络不正常,网络不正常可能有两种可能:一种是ARP欺骗攻击同时攻击网关,使得网关不能处理终端的数据导致网络不通;另一种网关MAC地址真实进行了更换。由于已经预先确定了终端遭到了ARP攻击,再结合网关状态,此时需要提醒用户关注路由器状态,如:检查路由器设置,是否有其他异常终端连接等,从而预防由于ARP欺骗攻击导致的私人数据泄漏。
在本实施方式中,对于网关正常更换MAC地址的情况,响应更快,能够更快的访问网络。
本领域普通技术人员可以理解实现上述方法实施例中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种终端侧防止ARP攻击的方法,其特征在于,包括:
确定收到更新MAC地址的ARP应答包时,依据预定的判断顺序,判断ARP缓存表中的第一MAC地址能否成功访问网络以及判断ARP应答包中的第二MAC地址访问目标网络的第一时延是否大于目标时延;
当所述第一MAC地址不能成功访问网络,且第一时延大于目标时延时,向用户发出风险提示。
2.根据权利要求1所述的方法,其特征在于,确定收到更新MAC地址的ARP应答包包括:
当收到ARP应答包时,判断当前ARP缓存表中是否具有与所述ARP应答包发送者IP地址对应的第一MAC地址;
当具有与所述ARP应答包发送者IP地址对应的第一MAC地址时,确定收到更新MAC地址的ARP应答包。
3.根据权利要求2所述的方法,其特征在于,当不具有与所述ARP应答包发送者IP地址对应的第一MAC地址时,将ARP应答包携带的MAC地址作为第一MAC地址保存到ARP缓存表中。
4.根据权利要求3所述的方法,其特征在于,将ARP应答包携带的MAC地址作为第一MAC地址保存到ARP缓存表中之后,还包括:
采用因特网包探索器检查第一MAC地址访问目标网络的第二时延,并将所述第二时延进行保存。
5.根据权利要求4所述的方法,其特征在于,判断ARP应答包中的第二MAC地址访问目标网络的第一时延是否大于目标时延包括:
读取保存的所述第二时延,并获取第一时延;
确定所述第一时延和所述第二时延的差值是否超出预定范围;
当超出预定范围时,确定所述第一时延大于目标延时;
当不超出预定范围时,确定所述第一时延不大于目标时延。
6.根据权利要求5所述的方法,其特征在于,获取第一时延包括:
保持第一MAC地址的存储状态;
启用所述第二MAC地址,并采用因特网包探索器检查第二MAC地址访问目标网络的第一时延。
7.根据权利要求1所述的方法,其特征在于,当第一MAC地址能成功访问网络时,继续使用第一MAC地址访问网络。
8.根据权利要求1所述的方法,其特征在于,当第一时延不大于目标时延时,将ARP应答包中携带的第二MAC地址作为新的第一MAC地址更新到ARP缓存表中。
9.根据权利要求1所述的方法,其特征在于,所述预定的判断顺序包括:
先判断ARP缓存表中的第一MAC地址能否成功访问网络;
当第一MAC地址不能成功访问网络时,再判断ARP应答包中的第二MAC地址访问目标网络的第一时延是否大于目标时延。
10.根据权利要求1所述的方法,其特征在于,所述预定的判断顺序包括:
先判断ARP应答包中的第二MAC地址访问目标网络的第一时延是否大于目标时延;
当第一时延大于目标时延时,再判断ARP缓存表中的第一MAC地址能否成功访问网络。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210695831.XA CN114980113A (zh) | 2022-06-17 | 2022-06-17 | 终端侧防止arp攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210695831.XA CN114980113A (zh) | 2022-06-17 | 2022-06-17 | 终端侧防止arp攻击的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114980113A true CN114980113A (zh) | 2022-08-30 |
Family
ID=82963985
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210695831.XA Pending CN114980113A (zh) | 2022-06-17 | 2022-06-17 | 终端侧防止arp攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114980113A (zh) |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1534933A (zh) * | 2003-03-28 | 2004-10-06 | 华为技术有限公司 | 一种针对互联网协议的安全访问控制方法 |
| US20060209818A1 (en) * | 2005-03-18 | 2006-09-21 | Purser Jimmy R | Methods and devices for preventing ARP cache poisoning |
| US7516487B1 (en) * | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
| CN106790010A (zh) * | 2016-12-13 | 2017-05-31 | 北京金山安全软件有限公司 | 基于Android系统的ARP攻击检测方法、装置及系统 |
| CN107018136A (zh) * | 2017-04-06 | 2017-08-04 | 福建中金在线信息科技有限公司 | 一种arp攻击的检测方法及装置 |
| KR20180016157A (ko) * | 2016-08-05 | 2018-02-14 | 한국전자통신연구원 | 분산 이동성 관리 시스템 및 그 방법 |
| CN108574672A (zh) * | 2017-03-10 | 2018-09-25 | 武汉安天信息技术有限责任公司 | 应用于移动终端的arp攻击感知的方法及装置 |
| CN109039989A (zh) * | 2017-06-08 | 2018-12-18 | 腾讯科技(深圳)有限公司 | 地址解析协议欺骗检测方法及装置 |
| CN109067751A (zh) * | 2018-08-14 | 2018-12-21 | 腾讯科技(深圳)有限公司 | 一种非Root环境下ARP欺骗检测方法、装置及终端 |
| CN109428862A (zh) * | 2017-08-29 | 2019-03-05 | 武汉安天信息技术有限责任公司 | 一种在局域网内检测arp攻击的方法和装置 |
| TWI696362B (zh) * | 2019-09-03 | 2020-06-11 | 國立成功大學 | 基於無線網路的語音通訊安全防護方法 |
| CN111726429A (zh) * | 2020-06-12 | 2020-09-29 | 海信视像科技股份有限公司 | 一种通信方法、装置、设备及介质 |
| CN111866005A (zh) * | 2020-07-28 | 2020-10-30 | 中国银行股份有限公司 | 基于区块链的arp欺骗攻击防御方法、系统及装置 |
| CN113347155A (zh) * | 2021-05-10 | 2021-09-03 | 西安交大捷普网络科技有限公司 | 一种arp欺骗的防御方法、系统及装置 |
-
2022
- 2022-06-17 CN CN202210695831.XA patent/CN114980113A/zh active Pending
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1534933A (zh) * | 2003-03-28 | 2004-10-06 | 华为技术有限公司 | 一种针对互联网协议的安全访问控制方法 |
| US7516487B1 (en) * | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
| US20060209818A1 (en) * | 2005-03-18 | 2006-09-21 | Purser Jimmy R | Methods and devices for preventing ARP cache poisoning |
| KR20180016157A (ko) * | 2016-08-05 | 2018-02-14 | 한국전자통신연구원 | 분산 이동성 관리 시스템 및 그 방법 |
| CN106790010A (zh) * | 2016-12-13 | 2017-05-31 | 北京金山安全软件有限公司 | 基于Android系统的ARP攻击检测方法、装置及系统 |
| CN108574672A (zh) * | 2017-03-10 | 2018-09-25 | 武汉安天信息技术有限责任公司 | 应用于移动终端的arp攻击感知的方法及装置 |
| CN107018136A (zh) * | 2017-04-06 | 2017-08-04 | 福建中金在线信息科技有限公司 | 一种arp攻击的检测方法及装置 |
| CN109039989A (zh) * | 2017-06-08 | 2018-12-18 | 腾讯科技(深圳)有限公司 | 地址解析协议欺骗检测方法及装置 |
| CN109428862A (zh) * | 2017-08-29 | 2019-03-05 | 武汉安天信息技术有限责任公司 | 一种在局域网内检测arp攻击的方法和装置 |
| CN109067751A (zh) * | 2018-08-14 | 2018-12-21 | 腾讯科技(深圳)有限公司 | 一种非Root环境下ARP欺骗检测方法、装置及终端 |
| TWI696362B (zh) * | 2019-09-03 | 2020-06-11 | 國立成功大學 | 基於無線網路的語音通訊安全防護方法 |
| CN111726429A (zh) * | 2020-06-12 | 2020-09-29 | 海信视像科技股份有限公司 | 一种通信方法、装置、设备及介质 |
| CN111866005A (zh) * | 2020-07-28 | 2020-10-30 | 中国银行股份有限公司 | 基于区块链的arp欺骗攻击防御方法、系统及装置 |
| CN113347155A (zh) * | 2021-05-10 | 2021-09-03 | 西安交大捷普网络科技有限公司 | 一种arp欺骗的防御方法、系统及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 李莹;: "ARP欺骗攻击分析", 《广西轻工业》, no. 04, 15 April 2010 (2010-04-15) * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8302190B2 (en) | Method and apparatus for defending against ARP spoofing attacks | |
| US10469532B2 (en) | Preventing DNS cache poisoning | |
| EP2469787B1 (en) | Method and device for preventing network attacks | |
| US8990573B2 (en) | System and method for using variable security tag location in network communications | |
| US9756071B1 (en) | DNS denial of service attack protection | |
| CN107547510B (zh) | 一种邻居发现协议安全表项处理方法和装置 | |
| US11658995B1 (en) | Methods for dynamically mitigating network attacks and devices thereof | |
| CN113328972B (zh) | 设备监测方法、装置、设备及存储介质 | |
| CN108965263B (zh) | 网络攻击防御方法及装置 | |
| JP2020017809A (ja) | 通信装置及び通信システム | |
| CN107689965A (zh) | 网络设备的防护方法、装置及系统 | |
| CN111786905A (zh) | 报文重组方法及装置、处理器、存储介质及网络设备 | |
| JP2008060766A (ja) | ネットワーク監視装置、検疫システム、セキュアゲートウェイ、ネットワーク監視プログラム及びネットワーク監視方法 | |
| CN106878326A (zh) | 基于反向检测的IPv6邻居缓存保护方法及其装置 | |
| CN113347155A (zh) | 一种arp欺骗的防御方法、系统及装置 | |
| CN112272164A (zh) | 报文处理方法及装置 | |
| US11736528B2 (en) | Low latency cloud-assisted network security with local cache | |
| CN111726429B (zh) | 一种通信方法、装置、设备及介质 | |
| CN114980113A (zh) | 终端侧防止arp攻击的方法 | |
| CN113810398B (zh) | 一种攻击防护方法、装置、设备及存储介质 | |
| CN113872949B (zh) | 一种地址解析协议的应答方法及相关装置 | |
| JP2019041176A (ja) | 不正接続遮断装置及び不正接続遮断方法 | |
| WO2009110327A1 (ja) | ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム | |
| JP6897254B2 (ja) | 通信システム、通信プログラム、およびコンピュータ読取可能な記録媒体 | |
| CN112153036A (zh) | 一种基于代理服务器的安全防御方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |