WO2009033402A1 - Procédé et dispositif pour éviter l'usurpation et l'attaque d'une adresse arp - Google Patents
Procédé et dispositif pour éviter l'usurpation et l'attaque d'une adresse arp Download PDFInfo
- Publication number
- WO2009033402A1 WO2009033402A1 PCT/CN2008/072240 CN2008072240W WO2009033402A1 WO 2009033402 A1 WO2009033402 A1 WO 2009033402A1 CN 2008072240 W CN2008072240 W CN 2008072240W WO 2009033402 A1 WO2009033402 A1 WO 2009033402A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- arp
- entry
- address
- packet
- mac address
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/145—Detection or countermeasures against cache poisoning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Description
说明书 防止 ARP地址欺骗攻击的方法及装置
[1] 技术领域
[2] 本发明涉及网络通信技术领域, 尤其涉及一种网络中防止 ARP地址欺骗攻击的 方法及装置。
[3] 发明背景
[4] 在目前的网络环境下, 地址解析协议 (ARP, Address Resolution
Protocol) 作为传输控制协议 /互联网协议 (TCP/IP, Transmission Control Protocol/Internet
Protocol) 协议栈中较低层的协议之一, 其作用是实现 IP地址到媒质接入控制 ( MAC, Media Access
Control) 地址, 也就是以太网物理地址的转换。 网络设备之间的通信是使用 MA C地址来寻址的, 而基于 TCP/IP的各种应用是以 IP地址来寻址的, 基于 IP地址寻 址的各种数据包最终都需要封装在基于 MAC地址寻址的以太网帧内进行传输。 因此, 网络设备在进行通信吋, 需要通过协议从对端的 IP地址解析出对端的 MA C地址, 完成这一解析过程的协议就是 ARP协议。
[5] 为了加快地址转换的速度, 网络设备在实现 ARP协议吋都会用到 ARP缓存技术
, 也就是在本地通过表结构来缓存一定数量的地址映射关系, 这张表通常叫做 A RP缓存表 (简称 ARP表) 。 ARP缓存表项的来源有两种途径: 一种是根据 ARP 报文动态生成, 即设备可以从 ARP请求报文或 ARP响应报文中学习到 IP地址与 M AC地址的映射关系, 并生成动态的 ARP缓存表项; 一种是由手动静态配置而生 成。 为了保持动态 ARP缓存表项的有效性, 这些动态表项在经过一定吋间后就会 老化掉, 而静态配置的 ARP缓存表项不会被老化, 它的增加或删除都需要通过手 动的方式来进行。
[6] ARP协议的处理过程比较复杂, 通常是由转发平面在接收到 ARP报文后上传到 控制平面进行处理, 控制平面生成 ARP缓存表项, 再下发到转发平面的 ARP缓存 表中供转发平面封装发送报文吋使用。 由于目前 ARP协议的处理过程只是简单地
提供了高层协议地址与低层物理地址之间的相互映射, 并没有为这种映射提供 任何的安全认证手段, 在上网接入等较复杂的网络环境下, 这种简单性和开放 性就为各种地址欺骗攻击留下了可乘之机。 这里所述的 ARP地址欺骗攻击一般是 以窃取用户私密信息为目的, 通过发送具有错误地址映射关系的 ARP请求或 ARP 响应报文来污染网络设备的 ARP缓存表, 使网络设备将数据报文发送到错误的物 理地址, 从而达到攻击目的, 这里所述的网络设备可以是网关或主机, 也可以 是其他的网络设备。 目前为了解决网络设备 ARP缓存表遭受地址欺骗的问题, 一 般釆用以下几种方法:
ARP特性后, 不论是通过 ARP请求报文还是 ARP响应报文学习到的 ARP缓存表项 在老化之前将不再进行更新, 在老化吋间到达后, 该 ARP缓存表项被删除, 可以 开始新的学习过程。 这种实现方案较为简单, 但也带来了一个问题, 就是一旦 A RP攻击报文先于正常 ARP报文在网络设备中生成了 ARP缓存表项, 正常主机就 无法在网络设备中形成正确的 ARP缓存表项, 从而影响了正常主机的使用, 无法 达到防止 ARP地址欺骗攻击的目的。
[9] 2) 主动验证方案
[10] 网络设备在收到 ARP请求报文或响应报文后, 根据该 ARP报文中的 IP地址, 总 是向该 IP地址发送一个 ARP请求报文, 以验证地址映射关系的正确性。 如果该地 址不存在, 网络设备将收不到该 IP地址对应的 ARP响应报文; 如果该 IP地址对应 的 ARP缓存表项中的 MAC地址被欺骗了, 网络设备将收到一个具有不同 MAC地 址的 ARP响应报文。 不论是哪种情况, 网络设备都可以感知到欺骗的发生, 从而 可以根据情况进行相应的处理。 这种方案的缺点是对于每一个 IP地址的 ARP报文 都会有一个这样的验证过程, 那么在没有欺骗攻击发生的情况下就会浪费网络 的带宽和性能。
[11] 综上所述, 在实现本发明过程中, 发明人发现现有技术中至少存在如下问题: 现有防止 ARP地址欺骗攻击的方法缺乏可靠、 有效的验证机制, 在没有欺骗攻击 发生的情况下将会浪费网络的带宽和性能。
[12] 发明内容
[13] 本发明实施例所要解决的技术问题在于提供一种防止 ARP地址欺骗攻击的方法 及装置, 能够进行可靠、 有效的 ARP地址验证, 减少报文交互过程, 节省网络资 源。
[14] 本发明实施例是通过以下技术方案实现的:
[15] 一种防止 ARP地址欺骗攻击的方法, 包括:
[16] 当 ARP表项为可更新状态吋, 判断所收到的与所述 ARP表项具有相同 IP地址的
ARP报文中的 MAC地址和所述 ARP表项中 MAC地址是否相同;
[17] 若不相同, 贝 I」确定所收到的 ARP报文为引起歧义的 ARP报文, 并发起 ARP验证 过程。
[18] 本发明实施例还提供一种防止 ARP地址欺骗攻击的装置, 包括:
[19] 接收判断单元, 用于当 ARP表项为可更新状态吋, 判断所接收到的与所述 ARP 表项具有相同 IP地址的 ARP报文中的 MAC地址和所述 ARP表项中的 MAC地址是 否相同; 若不相同, 贝綱断所收到的所述 ARP报文为引起歧义的 ARP报文, 并将 判断结果发送给验证单元;
[20] 验证单元, 用于根据所述接收判断单元发送的判断结果, 发起 ARP验证过程。
[21] 由上述所提供的技术方案可以看出, 当 ARP表项为可更新状态吋, 首先判断所 收到的与该 ARP表项具有相同 IP地址的 ARP报文中的 MAC地址, 和该 ARP表项 中 MAC地址是否相同; 若不相同, 则所收到的 ARP报文就是引起歧义的 ARP报 文, 此吋就可以发起 ARP验证过程; 反之, 则不进行 ARP验证过程。 这样在没有 收到引起歧义的 ARP表项更新吋, 就不需要进行 ARP验证过程, 从而减少了报文 交互的过程, 节省了网络资源。
[22] 附图简要说明
[23] 图 1为本发明一个实施例中所提供方法的流程示意图;
[24] 图 2为本发明一个实施例中所提供装置的结构示意图;
[25] 图 3为本发明一个实施例中的更新标志状态变化示意图。
[26] 实施本发明的方式
[27] 本发明实施例提供了一种防止 ARP地址欺骗攻击的方法及装置。 当 ARP表项为
可更新状态吋, 若收到的与所述 ARP表项具有相同 IP地址的 ARP报文中的 MAC 地址, 和所述 ARP表项中 MAC地址不相同, 则可以判断所收到的 ARP报文并不 是引起歧义的 ARP报文, 也就是说并没有发生地址欺骗攻击, 那么就不需要引入 验证过程, 从而不会增加验证报文开销; 但是一旦后续收到引起歧义的 ARP报文 , 就会通过向该 IP地址发出 ARP验证请求报文来发起一个 ARP验证过程。 这样就 可以在没有收到引起歧义的 ARP报文吋, 也就是在没有发生地址欺骗吋, 不产生 额外的验证报文, 从而减少报文交互的过程, 节省了网络资源。
[28] 另外, 当 ARP表项为不可更新状态吋, 表明该 ARP表项已经被固定, 那么再收 到 ARP报文吋, 是不需要对该 ARP报文中的 MAC地址进行判断的, 也同样不需 要引入验证过程, 也不会增加验证报文的开销。
[29] 同吋在正常情况下, 所述的 ARP验证请求报文发出后会收到 ARP验证响应报文 , 网络设备就可以将 ARP验证响应报文中的 MAC地址、 所述 ARP表项中的 MAC 地址以及所述弓 I起歧义的 ARP报文中的 MAC地址三者进行比较, 若能够根据比 较结果做出最优判决并决定真正的 MAC地址, 则将真正的 MAC地址的 ARP表项 作为最优的 ARP表项, 并固定该最优的 ARP表项, 也就是将其变为不可更新的状 态, 且该状态将一直持续到该 ARP表项被老化为止。 这样就可以拒绝随吋可能发 生的欺骗攻击, 有效防止釆用随机扫描方式进行的地址欺骗攻击, 保护实际存 在的主机的正常应用。
[30] 为更好的描述本发明实施例, 现结合附图对本发明的具体实施例进行说明:
[31] 如图 1所示为本发明实施例所述方法的流程示意图, 图中包括:
[32] 步骤 11 : 判断是否收到引起歧义的 ARP报文。
[33] 当 ARP表项为可更新状态吋, 例如在 ARP表项进行初始学习吋, 其过程和正常 的处理方式是一样的, 也就是通过 ARP请求报文或 ARP响应报文学习生成相应的 ARP表项, 并将其作为初始学习到的 ARP表项来正常使用, 即网络设备利用其来 封装转发报文, 此吋初始学习到的 ARP表项就为可更新状态。
[34] 如果之后收到的与所述 ARP表项具有相同 IP地址的 ARP报文是弓 |起歧义的 ARP 报文, 也就是说该 ARP报文中的 MAC地址和所述 ARP表项中的 MAC地址不一样 , 则此吋就需要针对所述 ARP表项进行验证, 即执行步骤 12, 如果收到的 ARP报
文中的 MAC地址和所述 ARP表项中的 MAC地址一样, 则执行步骤 13。
[35] 步骤 12: 发起 ARP验证过程, 然后执行步骤 14。
[36] 这里所述的 ARP验证过程的方法是向该 IP地址发送 ARP验证请求报文, 通过收 到的 ARP验证响应报文中包含的 MAC地址来进行验证判断。 举例来说, 可以釆 用广播的形式向网段内所有的网络设备发送 ARP请求报文, 请求该 IP地址的 MA C地址; 拥有该 IP地址的网络设备在收到 ARP请求报文之后, 就会向请求者单播 发送 ARP响应报文来通知自己的 MAC地址; 网络设备, 也就是请求者在收到该 A RP响应报文之后, 就可以利用该 ARP响应报文中包含的 MAC地址来进行验证判 断了。
[37] 另外, 在发起 ARP验证过程中, 还需要对所述 ARP表项进行设置, 表明它只接 收 ARP响应的更新, 也就是说在收到 ARP验证响应报文之前, 它的表项内容是不 更新的, 这样就能够避免在收到 ARP验证响应报文之前, 表项内容发生了更新变 化, 使得无法进行相应的验证判断。
[38] 步骤 13: 不进行 ARP验证过程, 将所述 ARP表项作为正常的 ARP表项来使用。
[39] 这样由于没有引入验证过程, 所以也不会增加验证报文开销, 从而就可以在没 有发生地址欺骗吋, 不产生额外的验证报文, 减少了报文交互的过程, 节省了 网络资源。
[40] 步骤 14: 进行比较和最优判决。 在执行步骤 12吋, 也就是发起 ARP验证过程吋 , 需要利用 ARP验证响应报文中包含的 MAC地址来进行验证判断, 具体来说就 是将 ARP验证响应报文中的 MAC地址、 所述 ARP表项中的 MAC地址以及所述引 起歧义的 ARP报文中的 MAC地址进行比较。
[41] 若收到的 ARP验证响应报文中的 MAC地址与上述其他两个 MAC地址中的一个 相同, 也就是说 ARP验证响应报文中的 MAC地址与所述 ARP表项中的 MAC地址 相同, 或者是与引起歧义的 ARP报文中的 MAC地址相同吋, 则可以做出最优判 决, 将具有相同 MAC地址的 ARP表项作为最优判决的 ARP表项, 然后再执行步 骤 15; 若收到的 ARP验证响应报文中的 MAC地址与上述其他两个 MAC地址都不 相同, 此吋就无法做出最优判决, 则执行步骤 16。
[42] 步骤 15: 固定所述的最优判决的 ARP表项, 然后执行步骤 17。
[43] 这里所述的固定最优判决的 ARP表项, 具体来说就是在该最优判决的 ARP表项 老化之前, 不对其进行更新, 从而拒绝了随吋可能发生的地址欺骗攻击, 使验 证过程更加的可靠、 有效。
[44] 步骤 16: 维持所述 ARP表项。 也就是维持原来的 ARP表项不变, 仍然将其作为 正常表项来使用, 然后返回执行步骤 11, 也就是再次判断是否收到引起歧义的 A
RP报文。
[45] 步骤 17: 老化前进行新一轮更新。 具体来说就是, 在所述最优判决的 ARP表项 老化之前, 会重新发送 ARP请求, 进行新一轮的更新学习过程。
[46] 另外, 还可以对所述 ARP表项设置计数器, 当所述的 ARP验证过程的次数, 在 该表项的一个老化周期内达到所述计数器设置的次数后, 就不再发起针对所述 A RP表项的验证过程, 这样就可以防止在遭受大流量地址欺骗吋, 网络设备发送 过多的验证报文而消耗过度的 CPU资源, 节省了设备资源。
[47] 本发明实施例还提供了一种防止 ARP地址欺骗攻击的装置, 如图 2所示为所述 装置的结构示意图, 包括接收判断单元和验证单元, 其中接收判断单元用于当 A RP表项为可更新状态吋, 判断所接收到的与所述 ARP表项具有相同 IP地址的 AR P报文中的 MAC地址, 和所述 ARP表项中的 MAC地址是否相同;
[48] 若不相同, 则判断所收到的所述 ARP报文为引起歧义的 ARP报文, 并将判断结 果上传; 若相同, 则判断没有接收到引起歧义的 ARP报文, 那么可以不进行操作 , 维持现状, 或将不进行操作的结果上传。
[49] 验证单元用于根据所述接收判断单元上传的判断结果, 发起 ARP验证过程。 验 证过程可以是釆用广播的形式向网段内所有的网络设备发送 ARP请求报文, 请求 需要判断的 IP地址的 MAC地址; 拥有该 IP地址的网络设备在收到 ARP请求报文 之后, 就会向请求者单播发送 ARP响应报文来通知自己的 MAC地址; 网络设备 , 也就是请求者在收到该 ARP响应报文之后, 就可以利用该 ARP响应报文中包含 的 MAC地址来进行验证判断了。
[50] 另外, 所述的装置中还包括比较单元, 用于在所述验证单元发起 ARP验证过程 中, 将 ARP验证响应报文中的 MAC地址、 所述 ARP表项中的 MAC地址以及所述 引起歧义的 ARP报文中的 MAC地址进行比较。 若所述 ARP验证响应报文中的 MA
C地址与其他两个 MAC地址中的一个相同吋, 则做出最优判决, 具有相同 MAC 地址的 ARP表项为所述最优判决的 ARP表项; 若所述 ARP验证响应报文中的 MA C地址与其他两个 MAC地址都不相同吋, 则无法做出最优判决。
[51] 另外, 所述的装置中还包括判决执行单元, 用于根据所述比较单元的判决结果 执行相应的操作, 具体来说就是: 若所述比较单元做出最优判决, 则固定所述 最优判决的 ARP表项, 也就是在该最优判决的 ARP表项老化之前, 不对其进行更 新, 从而拒绝了随吋可能发生的地址欺骗攻击, 使验证过程更加的可靠、 有效 ; 若所述比较单元无法做出最优判决, 则维持所述 ARP表项, 将其作为正常的 A RP表项来使用。
[52] 另外, 在所述的装置中还可以包括计数控制单元, 用于对所述 ARP表项设置计 数器, 并当所述的 ARP验证过程的次数, 在该表项的一个老化周期内达到所述计 数器设置的次数后, 控制所述的验证单元不再发起针对所述 ARP表项的验证过程 。 这样就可以防止在遭受大流量地址欺骗吋, 网络设备发送过多的验证报文而 消耗过度的 CPU资源, 节省了设备资源。
[53] 为进一步描述本发明实施例, 现结合具体的实施例对其技术方案作进一步说明 , 以防止网络设备中 ARP表被欺骗为例进行说明如下:
[54] 在开始吋, 网络设备中 ARP表项的初始学习过程与正常的处理方法是一样的, 也就是说不论是 ARP请求报文还是 ARP响应报文, 网络设备都会从最初收到的 A RP报文中生成相应的 ARP表项, 用于封装转发报文, 此吋初始学习到的 ARP表 项就为可更新状态。
[55] 图 3是本发明一个实施例中的更新标志状态变化示意图。 如图 3所示, 首先在 A RP表项中设立一个更新标志, 该标志的初始值为 0, 表明该 ARP表项为可更新状 态, 可以更新该 ARP表项中的 MAC地址; 并设定网络设备中的每个 ARP表项都 可以缓存二个 MAC地址, 其中一个为主用 MAC地址, 另一个为暂存 MAC地址。 这里将所述 ARP表项中的 MAC地址, 也就是初始学习到的 MAC地址作为主用的 MAC地址, 且下发到转发平面的只有主用的 MAC地址。
[56] 若判断出收到更新的 ARP报文中的 MAC地址与主用的 MAC地址不一样吋, 也 就是收到引起歧义的 ARP报文吋, 将所述弓 I起歧义的 ARP报文中的 MAC地址作
为暂存的 MAC地址, 并发起验证过程, 验证的方法为: 向该所述 ARP表项中的 I P地址发送 ARP请求报文。
[57] 此吋还需要将 ARP表项中的更新标志转变为 1, 如图 3中的 21所示, 此吋表明 A RP表项只接受 ARP响应的更新, 然后再将验证的 ARP请求报文发出, 这样在收 到 ARP应答报文之前, ARP表项的内容是不更新, 包括暂存的 MAC地址也不更 新。 这样就能够避免在收到 ARP响应报文之前, 表项内容发生了更新变化, 使得 无法进行相应的验证判断。
[58] 假定目前 ARP表项中已有的两个 MAC地址分别为 MAC1和 MAC2, 其中 MAC1 为正在使用的主用 MAC地址, MAC2为引起歧义的暂存 MAC地址, MAC3为收 到的 ARP验证响应报文中的发送方的 MAC地址。 那么在收到 ARP验证响应报文 之后, 将有可能出现以下三种情况:
[59] 1) MAC I s MAC2、 MAC3各不相同
[60] 如图 3中的 22所示, 在这种情况下, 无法做出最优判决, 则维持 ARP表项中的 MAC1地址, 忽略 MAC2, MAC3地址, ARP表项中的更新标志变为 0, 此吋维持 所述 ARP表项不变, 将其作为正常表项来使用, 同吋表明可以更新该 ARP表项。
[61] 2) MAC1与 MAC3相同
[62] 如图 3中的 23所示, 在这种情况下, 可以做出最优判决, 则维持所述 ARP表项 中的 MAC1地址, 将其作为最优判决的 ARP表项, 并忽略 MAC2地址 (表明 MAC 2是欺骗攻击) 。 同吋将更新标志变为 2。 此吋固定该最优判决的 ARP表项, 也就 是说该表项在老化之前不可更新。
[63] 3) MAC2与 MAC3相同
[64] 同样如图 3中的 23所示, 在这种情况下, 可以做出最优判决, 则更新 ARP表项 中的主用 MAC地址为 MAC2地址 (表明 MAC1是欺骗攻击) , 将其作为最优判决 的 ARP表项, 并刷新转发平面中的 ARP表项。 同吋将更新标志变为 2。 此吋固定 该最优判决的 ARP表项, 也就是说该表项在老化之前不可更新。
[65] 另外, 在最优判决的 ARP表项老化之前, 会发出 ARP请求报文, 此吋将更新标 志置为 0, 如图 3中 24所示。 此吋表明可以重新进行新一轮的更新。
[66] 另外, 为了防止在遭受大流量地址欺骗吋网关发送过多的验证报文而消耗过度
的 CPU资源, 还可以对所述 ARP表项设置计数器, 当针对该表项发出的验证过程
, 在该表项的一个老化周期内到达设定的计数后, 就不再发起针对该表项的新 的验证, 从而节省了设备资源。
[67] 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以 通过程序来指令相关的硬件完成, 所述的程序可以存储于一种计算机可读存储 介质中, 该程序在执行吋, 包括如下步骤:
[68] 当 ARP表项为可更新状态吋, 判断所收到的与所述 ARP表项具有相同 IP地址的
ARP报文中的 MAC地址, 和所述 ARP表项中 MAC地址是否相同;
[69] 若不相同, 则所收到的所述 ARP报文为引起歧义的 ARP报文, 并发起 ARP验证 过程; 反之, 则不进行 ARP验证过程。
[70] 上述提到的存储介质可以是只读存储器, 磁盘或光盘等。
[71] 综上所述, 本发明实施例可以减少报文交互的过程, 节省了网络资源; 同吋可 以拒绝随吋可能发生的欺骗攻击, 有效防止釆用随机扫描方式进行的地址欺骗 攻击, 保护实际存在的主机的正常应用; 并且能够防止在遭受大流量地址欺骗 吋网络设备发送过多的验证报文而消耗过度的 CPU资源, 节省设备资源。
[72] 以上所述, 仅为本发明较佳的具体实施例, 但本发明的保护范围并不局限于此 , 任何熟悉本技术领域的技术人员在本发明实施例揭露的技术范围内, 可轻易 想到的变化或替换, 都应涵盖在本发明的保护范围之内。 因此, 本发明的保护 范围应该以权利要求的保护范围为准。
Claims
[1] 一种防止 ARP地址欺骗攻击的方法, 其特征在于:
当 ARP表项为可更新状态吋, 判断所收到的与所述 ARP表项具有相同 IP地 址的 ARP报文中的 MAC地址和所述 ARP表项中 MAC地址是否相同; 若不相同, 贝鴨定所收到的 ARP报文为引起歧义的 ARP报文, 并发起 ARP 验证过程。
[2] 如权利要求 1所述的方法, 其特征在于, 所述发起 ARP验证过程, 进一步包 括:
向所述 ARP表项中的 IP地址发送 ARP验证请求报文,
接收所述 IP地址发送的 ARP验证响应报文,
根据所述 ARP验证响应报文中的 MAC地址来进行验证判断。
[3] 如权利要求 2所述的方法, 其特征在于, 所述根据所述 ARP验证响应报文中 的 MAC地址来进行验证判断, 进一步包括:
将 ARP验证响应报文中的 MAC地址、 所述 ARP表项中的 MAC地址以及所述 弓 I起歧义的 ARP报文中的 MAC地址进行比较;
若所述 ARP验证响应报文中的 MAC地址与其他两个 MAC地址中的一个相同 吋, 则做出最优判决, 将具有相同 MAC地址的 ARP表项作为所述最优判决 的 ARP表项, 并固定所述最优判决的 ARP表项;
若所述 ARP验证响应报文中的 MAC地址与其他两个 MAC地址都不相同吋, 则无法做出最优判决, 维持所述 ARP表项。
[4] 如权利要求 3所述的方法, 其特征在于, 所述固定所述最优判决的 ARP表项
, 具体包括:
设置所述最优判决的 ARP表项为不可更新状态, 在所述最优判决的 ARP表 项老化之前, 不对其进行更新。
[5] 如权利要求 1所述的方法, 其特征在于, 当发起 ARP验证过程吋, 还包括: 在收到 ARP验证响应报文之前, 不更新所述 ARP表项。
[6] 如权利要求 1 - 5中任一权利要求所述的方法, 其特征在于, 还包括:
对所述 ARP表项设置计数器, 当所述 ARP验证过程的次数在该表项的一个
老化周期内达到所述计数器设置的次数后, 不再发起针对所述 ARP表项的 验证过程。
[7] 一种防止 ARP地址欺骗攻击的装置, 其特征在于, 包括:
接收判断单元, 用于当 ARP表项为可更新状态吋, 判断所接收到的与所述 ARP表项具有相同 IP地址的 ARP报文中的 MAC地址和所述 ARP表项中的 MA C地址是否相同; 若不相同, 则判断所收到的所述 ARP报文为引起歧义的 A RP报文, 并将判断结果发送给验证单元;
验证单元, 用于根据所述接收判断单元发送的判断结果, 发起 ARP验证过 程。
[8] 如权利要求 7所述的装置, 其特征在于, 所述装置还包括:
比较单元, 用于在所述验证单元发起 ARP验证过程中, 将 ARP验证响应报 文中的 MAC地址、 所述 ARP表项中的 MAC地址以及所述弓 I起歧义的 ARP报 文中的 MAC地址进行比较;
若所述 ARP验证响应报文中的 MAC地址与其他两个 MAC地址中的一个相同 吋, 则做出最优判决, 将具有相同 MAC地址的 ARP表项作为所述最优判决 的 ARP表项;
若所述 ARP验证响应报文中的 MAC地址与其他两个 MAC地址都不相同吋, 则无法做出最优判决。
[9] 如权利要求 8所述的装置, 其特征在于, 所述装置还包括:
判决执行单元, 用于根据所述比较单元做出的判决比较结果执行相应的操 作;
其中, 若所述比较单元做出最优判决, 则固定所述最优判决的 ARP表项; 若所述比较单元无法做出最优判决, 则维持所述 ARP表项。
[10] 如权利要求 7 - 9中任一权利要求所述的装置, 其特征在于, 所述装置还包 括:
计数控制单元, 用于对所述 ARP表项设置计数器, 当所述的 ARP验证过程 的次数在所述 ARP表项的一个老化周期内达到所述计数器设置的次数后, 控制所述的验证单元不再发起针对所述 ARP表项的验证过程。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP08800752.1A EP2154858B1 (en) | 2007-09-06 | 2008-09-02 | Method and device of preventing ARP address from being cheated and attacked |
| ES08800752.1T ES2455716T3 (es) | 2007-09-06 | 2008-09-02 | Método y dispositivo para evitar que una dirección ARP sea falsificada y atacada |
| US12/647,336 US8302190B2 (en) | 2007-09-06 | 2009-12-24 | Method and apparatus for defending against ARP spoofing attacks |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710121472.2 | 2007-09-06 | ||
| CN2007101214722A CN101110821B (zh) | 2007-09-06 | 2007-09-06 | 防止arp地址欺骗攻击的方法及装置 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| US12/647,336 Continuation US8302190B2 (en) | 2007-09-06 | 2009-12-24 | Method and apparatus for defending against ARP spoofing attacks |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2009033402A1 true WO2009033402A1 (fr) | 2009-03-19 |
Family
ID=39042713
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/CN2008/072240 WO2009033402A1 (fr) | 2007-09-06 | 2008-09-02 | Procédé et dispositif pour éviter l'usurpation et l'attaque d'une adresse arp |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8302190B2 (zh) |
| EP (1) | EP2154858B1 (zh) |
| CN (1) | CN101110821B (zh) |
| ES (1) | ES2455716T3 (zh) |
| WO (1) | WO2009033402A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2432163A4 (en) * | 2009-06-19 | 2016-08-10 | Zte Corp | METHOD FOR PROCESSING MESSAGES AND NETWORK DEVICE |
| CN111083109A (zh) * | 2019-11-14 | 2020-04-28 | 国网河南省电力公司驻马店供电公司 | 交换机联动防火墙防护提升方法 |
| CN111835764A (zh) * | 2020-07-13 | 2020-10-27 | 中国联合网络通信集团有限公司 | 一种arp防欺骗方法、隧道端点以及电子设备 |
Families Citing this family (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101110821B (zh) * | 2007-09-06 | 2010-07-07 | 华为技术有限公司 | 防止arp地址欺骗攻击的方法及装置 |
| CN101370019B (zh) * | 2008-09-26 | 2011-06-22 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议报文欺骗攻击的方法及交换机 |
| CN101997768B (zh) * | 2009-08-21 | 2012-10-17 | 华为技术有限公司 | 一种上送地址解析协议报文的方法和装置 |
| TWI413375B (zh) * | 2010-03-04 | 2013-10-21 | Gemtek Technology Co Ltd | 路由裝置及相關的控制電路 |
| CN102195862A (zh) * | 2010-03-11 | 2011-09-21 | 正文科技股份有限公司 | 路由装置及相关的封包处理电路 |
| CN102035851A (zh) * | 2010-12-28 | 2011-04-27 | 汉柏科技有限公司 | 防arp攻击的方法 |
| KR101236822B1 (ko) * | 2011-02-08 | 2013-02-25 | 주식회사 안랩 | Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체 |
| KR101231975B1 (ko) * | 2011-05-12 | 2013-02-08 | (주)이스트소프트 | 차단서버를 이용한 스푸핑 공격 방어방법 |
| CN102255984B (zh) * | 2011-08-08 | 2015-06-03 | 华为技术有限公司 | 一种arp请求报文验证方法及装置 |
| CN102595250B (zh) * | 2012-03-05 | 2013-11-06 | 山东泰信电子股份有限公司 | 实现数字电视前端设备抵御arp攻击的方法 |
| KR101228089B1 (ko) * | 2012-09-10 | 2013-02-01 | 한국인터넷진흥원 | Ip 스푸핑 탐지 장치 |
| BR112015017451B1 (pt) | 2013-02-05 | 2023-01-10 | Purdue Pharma L.P. | Formulações farmacêuticas resistentes à violação |
| US9282115B1 (en) * | 2014-01-03 | 2016-03-08 | Juniper Networks, Inc. | Systems and methods for detecting cache-poisoning attacks in networks using service discovery protocols |
| CN104780139B (zh) * | 2014-01-09 | 2018-02-13 | 北京东土科技股份有限公司 | 一种基于mac地址攻击的防御方法和系统 |
| CN104917729A (zh) * | 2014-03-12 | 2015-09-16 | 国基电子(上海)有限公司 | 网络设备及其防止地址解析协议报文攻击的方法 |
| TWI506472B (zh) * | 2014-03-12 | 2015-11-01 | Hon Hai Prec Ind Co Ltd | 網路設備及其防止位址解析協定報文攻擊的方法 |
| CN104009999B (zh) * | 2014-06-10 | 2017-06-23 | 北京星网锐捷网络技术有限公司 | 防止arp欺骗的方法、装置及网络接入服务器 |
| CN104883360B (zh) * | 2015-05-05 | 2018-05-18 | 中国科学院信息工程研究所 | 一种arp欺骗的细粒度检测方法及系统 |
| CN106376003B (zh) * | 2015-07-23 | 2019-11-19 | 中移(杭州)信息技术有限公司 | 检测无线局域网连接及无线局域网数据发送方法及其装置 |
| CN105262738B (zh) * | 2015-09-24 | 2019-08-16 | 上海斐讯数据通信技术有限公司 | 一种路由器及其防arp攻击的方法 |
| CN106899554A (zh) * | 2015-12-21 | 2017-06-27 | 北京奇虎科技有限公司 | 一种防止arp欺骗的方法及装置 |
| US10320838B2 (en) | 2016-07-20 | 2019-06-11 | Cisco Technology, Inc. | Technologies for preventing man-in-the-middle attacks in software defined networks |
| CN106506536A (zh) * | 2016-12-14 | 2017-03-15 | 杭州迪普科技股份有限公司 | 一种防御arp攻击的方法及装置 |
| CA3108330A1 (en) * | 2017-08-02 | 2019-02-07 | CipherTooth, Inc. | Detecting man in the middle attacks on a local area network |
| US11201853B2 (en) | 2019-01-10 | 2021-12-14 | Vmware, Inc. | DNS cache protection |
| CN111526108B (zh) * | 2019-02-01 | 2021-08-20 | 华为技术有限公司 | 防止网络攻击的方法与装置 |
| US11277442B2 (en) * | 2019-04-05 | 2022-03-15 | Cisco Technology, Inc. | Verifying the trust-worthiness of ARP senders and receivers using attestation-based methods |
| US11050650B1 (en) * | 2019-05-23 | 2021-06-29 | Juniper Networks, Inc. | Preventing traffic outages during address resolution protocol (ARP) storms |
| US10855644B1 (en) * | 2019-09-09 | 2020-12-01 | Vmware, Inc. | Address resolution protocol entry verification |
| US11575646B2 (en) * | 2020-03-12 | 2023-02-07 | Vmware, Inc. | Domain name service (DNS) server cache table validation |
| CN111490977B (zh) * | 2020-03-27 | 2022-03-08 | 福建福链科技有限公司 | 一种基于dag区块链的防arp欺骗攻击方法及平台端 |
| CN111756700B (zh) * | 2020-05-29 | 2022-06-21 | 苏州浪潮智能科技有限公司 | 一种局域网内防arp攻击的方法及系统 |
| CN115118681B (zh) * | 2022-06-22 | 2023-05-30 | 烽火通信科技股份有限公司 | 一种软硬件相结合配置mac地址条目的方法、系统和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20040109985A (ko) * | 2003-06-19 | 2004-12-29 | 주식회사 인티게이트 | Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법 |
| US20050198242A1 (en) * | 2004-01-05 | 2005-09-08 | Viascope Int. | System and method for detection/interception of IP collision |
| CN1921491A (zh) * | 2006-09-14 | 2007-02-28 | 杭州华为三康技术有限公司 | 防范利用地址解析协议进行网络攻击的方法及设备 |
| CN1925493A (zh) * | 2006-09-15 | 2007-03-07 | 杭州华为三康技术有限公司 | 一种arp报文处理方法及装置 |
| CN101110821A (zh) * | 2007-09-06 | 2008-01-23 | 华为技术有限公司 | 防止arp地址欺骗攻击的方法及装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070253430A1 (en) * | 2002-04-23 | 2007-11-01 | Minami John S | Gigabit Ethernet Adapter |
| US7464183B1 (en) * | 2003-12-11 | 2008-12-09 | Nvidia Corporation | Apparatus, system, and method to prevent address resolution cache spoofing |
| CN100563245C (zh) * | 2005-04-27 | 2009-11-25 | 华为技术有限公司 | 一种针对arp泛滥攻击的防范方法 |
-
2007
- 2007-09-06 CN CN2007101214722A patent/CN101110821B/zh active Active
-
2008
- 2008-09-02 ES ES08800752.1T patent/ES2455716T3/es active Active
- 2008-09-02 WO PCT/CN2008/072240 patent/WO2009033402A1/zh active Application Filing
- 2008-09-02 EP EP08800752.1A patent/EP2154858B1/en active Active
-
2009
- 2009-12-24 US US12/647,336 patent/US8302190B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20040109985A (ko) * | 2003-06-19 | 2004-12-29 | 주식회사 인티게이트 | Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법 |
| US20050198242A1 (en) * | 2004-01-05 | 2005-09-08 | Viascope Int. | System and method for detection/interception of IP collision |
| CN1921491A (zh) * | 2006-09-14 | 2007-02-28 | 杭州华为三康技术有限公司 | 防范利用地址解析协议进行网络攻击的方法及设备 |
| CN1925493A (zh) * | 2006-09-15 | 2007-03-07 | 杭州华为三康技术有限公司 | 一种arp报文处理方法及装置 |
| CN101110821A (zh) * | 2007-09-06 | 2008-01-23 | 华为技术有限公司 | 防止arp地址欺骗攻击的方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| See also references of EP2154858A4 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2432163A4 (en) * | 2009-06-19 | 2016-08-10 | Zte Corp | METHOD FOR PROCESSING MESSAGES AND NETWORK DEVICE |
| CN111083109A (zh) * | 2019-11-14 | 2020-04-28 | 国网河南省电力公司驻马店供电公司 | 交换机联动防火墙防护提升方法 |
| CN111835764A (zh) * | 2020-07-13 | 2020-10-27 | 中国联合网络通信集团有限公司 | 一种arp防欺骗方法、隧道端点以及电子设备 |
| CN111835764B (zh) * | 2020-07-13 | 2023-04-07 | 中国联合网络通信集团有限公司 | 一种arp防欺骗方法、隧道端点以及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2154858A1 (en) | 2010-02-17 |
| US20100107250A1 (en) | 2010-04-29 |
| CN101110821A (zh) | 2008-01-23 |
| EP2154858A4 (en) | 2010-06-09 |
| ES2455716T3 (es) | 2014-04-16 |
| US8302190B2 (en) | 2012-10-30 |
| EP2154858B1 (en) | 2014-01-22 |
| CN101110821B (zh) | 2010-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2009033402A1 (fr) | Procédé et dispositif pour éviter l'usurpation et l'attaque d'une adresse arp | |
| CN108667730B (zh) | 基于负载均衡的报文转发方法、装置、存储介质和设备 | |
| CN107547510B (zh) | 一种邻居发现协议安全表项处理方法和装置 | |
| JP4743894B2 (ja) | データ・パケットを伝送しながらセキュリティを改良するための方法及び装置 | |
| WO2009012663A1 (fr) | Procédé, système de communication et dispositif pour le traitement de paquets arp | |
| WO2010063228A1 (zh) | 防御域名系统欺骗攻击的方法及装置 | |
| WO2011140795A1 (zh) | 一种防止介质访问控制地址欺骗攻击的方法和交换设备 | |
| WO2011020254A1 (zh) | 防范网络攻击的方法和装置 | |
| WO2012151904A1 (zh) | 一种数据报文转发方法及装置 | |
| US20200220838A1 (en) | In-vehicle communication device, and communication control method | |
| CN107547321B (zh) | 报文处理方法、装置、相关电子设备及可读存储介质 | |
| WO2012075850A1 (zh) | 一种防止mac地址欺骗的方法、系统及交换机 | |
| US20070171927A1 (en) | Multicast traffic forwarding in system supporting point-to-point (PPP) multi-link | |
| CN110838935B (zh) | 高可用sdn控制器集群方法、系统、存储介质及设备 | |
| US7343485B1 (en) | System and method for maintaining protocol status information in a network device | |
| CN113347155A (zh) | 一种arp欺骗的防御方法、系统及装置 | |
| US9674283B2 (en) | Method for solving coherency lock issues in proxy services | |
| US9438439B2 (en) | Dynamic optimization of advertisement packets | |
| CN111431871A (zh) | Tcp半透明代理的处理方法和装置 | |
| TWM541160U (zh) | 網路封鎖設備以及電腦可讀取儲存媒體 | |
| US10250635B2 (en) | Defending against DoS attacks over RDMA connections | |
| JP2019041176A (ja) | 不正接続遮断装置及び不正接続遮断方法 | |
| JP2006013732A (ja) | ルーティング装置および情報処理装置の認証方法 | |
| US8935406B1 (en) | Network adaptor configured for connection establishment offload | |
| WO2018233844A1 (en) | METHODS AND APPARATUS EMPLOYED TO ANSWER DNS REQUEST AND MANAGE CONNECTION REQUEST |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 08800752 Country of ref document: EP Kind code of ref document: A1 |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2008800752 Country of ref document: EP |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |