專利名稱:對網(wǎng)絡(luò)設(shè)備進行預警的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機網(wǎng)絡(luò)安全性����,尤其涉及對網(wǎng)絡(luò)設(shè)備進行預警的方法及裝置。
背景技術(shù):
在以太網(wǎng)中��,網(wǎng)絡(luò)層可以通過數(shù)據(jù)包的IP地址來識別網(wǎng)絡(luò)中的每個設(shè)備��。
數(shù)據(jù)鏈路層可以通過媒體訪問控制(MAC)地址來識別網(wǎng)絡(luò)中的每個設(shè)備����。網(wǎng)絡(luò) 設(shè)備可以維護一份地址解析協(xié)議(ARP)表,該表中包括了在IP地址和MAC地 址之間的一個或多個映射關(guān)系��,網(wǎng)絡(luò)設(shè)備通過查詢該ARP表中的映射關(guān)系�����,獲 得與數(shù)據(jù)包中的IP地址關(guān)聯(lián)的MAC地址���,從而將數(shù)據(jù)包傳遞至該MAC地址對應(yīng) 的設(shè)備�。
如果網(wǎng)絡(luò)設(shè)備在該APR表中未査詢到數(shù)據(jù)包中的IP地址對應(yīng)的MAC地址��, 則在該網(wǎng)絡(luò)設(shè)備的廣播域內(nèi)以廣播形式發(fā)送ARP請求包����,IP地址與該ARP請求 包中的IP地址相同的網(wǎng)絡(luò)設(shè)備將作出應(yīng)答,將其MAC地址通過應(yīng)答包反饋至該 ARP請求包的網(wǎng)絡(luò)設(shè)備��。所述IP地址及所述MAC地址的映射關(guān)系將被存儲在該 ARP表中�����,以供將來使用��。網(wǎng)絡(luò)設(shè)備將數(shù)據(jù)包傳遞至該MAC地址��。
惡意用戶可以通過偽造網(wǎng)絡(luò)地址進行ARP攻擊�,使網(wǎng)絡(luò)設(shè)備將非法的映射 關(guān)系寫入所述ARP表中。例如�����,進行ARP攻擊的用戶可以向欲攻擊的網(wǎng)絡(luò)設(shè)備 發(fā)送ARP數(shù)據(jù)包,所述ARP數(shù)據(jù)包包括該用戶的網(wǎng)絡(luò)設(shè)備的MAC地址及已在ARP 表中存儲的IP地址�。當網(wǎng)絡(luò)設(shè)備收到該ARP數(shù)據(jù)包時,將對ARP表中該IP地 址對應(yīng)的表項進行更新����,從而導致惡意用戶能夠接收到本來應(yīng)該發(fā)給另一個用 戶的數(shù)據(jù)包。此后�����,網(wǎng)絡(luò)設(shè)備將錯誤的向惡意用戶的設(shè)備傳遞本來發(fā)送給被偽 造的IP地址的所有數(shù)據(jù)包��。
另外�,惡意用戶可以使用同一技術(shù)來攻擊默認網(wǎng)關(guān)。惡意用戶通過上述方 法偽造以太網(wǎng)中網(wǎng)關(guān)的IP地址����,使得與該網(wǎng)關(guān)連接的所有終端設(shè)備無法通過正
確的網(wǎng)關(guān)進行通訊,從而導致網(wǎng)絡(luò)的安全性和隱私性受到傷害��。
針對以上惡意用戶的攻擊行為����,通常是由于ARP表中錯誤的IP地址與MAC 地址的映射關(guān)系造成的,目前通常通過建立正確的IP地址與MAC地址的映射關(guān) 系來排除攻擊源,或者對可能的攻擊源向用戶進行預警����,目前的一種做法是通 過DHCP服務(wù)器導入正確的IP地址與MAC地址的映射關(guān)系����,另外,對于沒有配 置DHCP機制或IP地址靜態(tài)分配的網(wǎng)絡(luò)����,目前通常通過靜態(tài)配置ARP的方式配 置正確的IP地址與MAC地址的映射關(guān)系。
由于合法用戶的MAC地址信息不易收集�,并且在用戶數(shù)較多的網(wǎng)絡(luò)中手工 配置的工作量大,操作復雜性較高���。
發(fā)明內(nèi)容
本發(fā)明的實施例提供一種對網(wǎng)絡(luò)設(shè)備進行預警的方法及預警裝置����,能夠自 動向用戶預警�,使用戶及時對異常設(shè)備進行定位。
本發(fā)明一方面提供一種對網(wǎng)絡(luò)設(shè)備進行預警的方法�,首先向檢測范圍內(nèi)的 網(wǎng)絡(luò)設(shè)備發(fā)送至少一次地址解析協(xié)議ARP請求包,在預定時間內(nèi)接收ARP應(yīng)答 包�����;將滿足第一判決條件的所述ARP應(yīng)答包的因特網(wǎng)協(xié)議IP地址和媒體訪問控 制地址MAC地址之間的映射關(guān)系進行存儲,所述第一判決條件至少包括所述 ARP應(yīng)答包與所述ARP請求包的數(shù)量一致�����;然后監(jiān)聽ARP數(shù)據(jù)包�,所述ARP數(shù)據(jù) 包包括ARP請求包和ARP應(yīng)答包,當滿足第二判決條件時�,發(fā)出預警通知,所 述第二判決條件至少包括所述ARP數(shù)據(jù)包中的源IP地址與源MAC地址與所存 儲的映射關(guān)系不一致����。
本發(fā)明另一方面提供一種預警裝置,包括收發(fā)單元��,用于向檢測范圍內(nèi) 的網(wǎng)絡(luò)設(shè)備發(fā)送至少一次地址解析協(xié)議ARP請求包�����,在預定時間內(nèi)接收ARP應(yīng) 答包��;分析單元����,用于將滿足第一判決條件的所述ARP應(yīng)答包的因特網(wǎng)協(xié)議IP 地址和媒體訪問控制地址MAC地址之間的映射關(guān)系進行存儲,所述第一判決條 件至少包括所述ARP應(yīng)答包與所述ARP請求包的數(shù)量一致;以及監(jiān)聽ARP數(shù) 據(jù)包�,所述ARP數(shù)據(jù)包包括ARP請求包和ARP應(yīng)答包,當滿足第二判決條件時����,
發(fā)出預警通知,所述第二判決條件至少包括所述ARP數(shù)據(jù)包中的源IP地址與 源MAC地址與所存儲的映射關(guān)系不一致���;另外還包括通訊單元,用于實現(xiàn)所述 收發(fā)單元與所述分析單元之間的通訊���。
上述技術(shù)方案中����,本發(fā)明的實施例通過主動發(fā)送ARP請求包����,自動獲取檢
測范圍內(nèi)網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)地址信息,并進行存儲����,同時,由于在進行存儲時對
ARP應(yīng)答包的正確性進行了一定的檢驗���,從而實現(xiàn)能夠自動建立正確性較高的映
射關(guān)系表�����。
另外����,由于建立了正確性較高的映射關(guān)系表,因此����,利用該映射關(guān)系表與
檢測范圍內(nèi)接收到的ARP數(shù)據(jù)包中的網(wǎng)絡(luò)地址信息進行對比時,能夠及時檢測
到網(wǎng)絡(luò)地址異常的設(shè)備�����,發(fā)出預警通知����,方便用戶及時定位。
圖1為一個實施例中對網(wǎng)絡(luò)設(shè)備進行預警的方法的流程圖�; 圖2為一個實施例中檢查ARP應(yīng)答包中網(wǎng)絡(luò)地址的流程圖; 圖3為一個實施例中利用映射關(guān)系表檢查ARP數(shù)據(jù)包的流程圖�����; 圖4為一個實施例中預警裝置的原理框圖。
具體實施例方式
本發(fā)明一方面提供一種對網(wǎng)絡(luò)設(shè)備進行預警的方法�,可以自動建立正確性 較高的映射關(guān)系表,利用該映射關(guān)系表能夠?qū)W(wǎng)絡(luò)地址異常的網(wǎng)絡(luò)設(shè)備進行預
塾e
如圖1所示��,該發(fā)明的一個實施例在迸行預警時�����,首先提供建立正確性較
高的映射關(guān)系表的過程�����,具體過程如下所述本發(fā)明的一個實施例中����,為了獲
取網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)地址信息(包括IP地址和MAC地址)�,首先向檢測范圍內(nèi)的 網(wǎng)絡(luò)設(shè)備發(fā)送請求包(SIOI),然后等待一段時間接收各網(wǎng)絡(luò)設(shè)備返回的ARP應(yīng) 答包(S102)�,為了能夠建立正確性較高的映射關(guān)系表,本發(fā)明的實施例中設(shè)置 了檢驗返回的ARP應(yīng)答包中的網(wǎng)絡(luò)地址信息是否正確的第一判決條件�����,當滿足 第一判決條件時�����,將ARP應(yīng)答包的IP地址和MAC地址之間的映射關(guān)系進行存儲 (S103)。對于檢驗網(wǎng)絡(luò)地址信息是否正確的第一判決條件可以設(shè)置多種條件的組合����,本發(fā)明的實施例中所述第一判決條件至少包括接收到的所述ARP應(yīng)答包 與發(fā)送的所述ARP請求包的數(shù)量一致。
當通過上述映射關(guān)系表對網(wǎng)絡(luò)設(shè)備進行預警時�,監(jiān)聽ARP數(shù)據(jù)包,此時的 ARP數(shù)據(jù)包可以是網(wǎng)絡(luò)設(shè)備發(fā)送的ARP請求包���,也可以是網(wǎng)絡(luò)設(shè)備發(fā)送的ARP應(yīng) 答包�,本發(fā)明的實施例中����,設(shè)置了檢驗接收到的ARP數(shù)據(jù)包中的網(wǎng)絡(luò)地址信息 是否正確的第二判決條件,如果滿足第二判決條件�����,則表明該ARP數(shù)據(jù)包中的 網(wǎng)絡(luò)地址信息可能發(fā)生異常�,則發(fā)出預警通知(S104)。本發(fā)明的一個實施例中 的第二判決條件可以是一條或多條判決條件的組合����,所述第二判決條件可以至 少包括所述ARP數(shù)據(jù)包中的源IP地址與源MAC地址與所存儲的映射關(guān)系不一致�。
上述技術(shù)方案中��,由于正常的網(wǎng)絡(luò)設(shè)備通常在收到ARP請求包時�,IP地址 與該ARP請求包中的IP地址相同的網(wǎng)絡(luò)設(shè)備將作出應(yīng)答,因此正確的應(yīng)答包應(yīng) 當與已發(fā)送的ARP請求包的數(shù)量一致���;而由于惡意用戶在進行網(wǎng)絡(luò)攻擊時����,可 以通過網(wǎng)絡(luò)設(shè)備在沒有收到ARP請求包的情況下����,主動發(fā)送ARP應(yīng)答包,因此 檢査收到的ARP應(yīng)答包與所述ARP請求包的數(shù)量是否一致可以作為判斷該ARP 應(yīng)答包對應(yīng)的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)地址是否異常的條件之一��,從而使得建立的映射 關(guān)系表中的網(wǎng)絡(luò)地址正確性較高�����。
如背景技術(shù)所述�����,惡意用戶對網(wǎng)絡(luò)設(shè)備進行攻擊常用的方法是構(gòu)造虛假IP 地址或MAC地址�����,通過ARP數(shù)據(jù)包(請求包或應(yīng)答包)更改正確的IP地址與MAC 地址的對應(yīng)關(guān)系�����,因此��,按照上述方法建立正確的映射關(guān)系表后���,可以通過監(jiān) 聽檢測范圍內(nèi)的ARP數(shù)據(jù)包�����,自動對網(wǎng)絡(luò)地址異常的網(wǎng)絡(luò)設(shè)備向用戶預警�,方 便用戶及時發(fā)現(xiàn)惡意用戶�,及時排除攻擊源。
作為上述方法中步驟SIOI的一個優(yōu)化�����,本發(fā)明的一個實施例中���,在建立映 射關(guān)系表時���,本發(fā)明的一個實施例中發(fā)送多次ARP請求包�,針對每一次發(fā)送的 ARP請求包�,均在一定的接收時間內(nèi)接收ARP應(yīng)答包,如果某一次接收到的ARP 應(yīng)答包數(shù)量與發(fā)送的ARP請求包數(shù)量不一致����,則認為不滿足第一判決條件。在 該實施例中發(fā)送ARP請求包的頻率可以相同也可以不同�����,另外�,接收ARP應(yīng)答
包的接收頻率可以相同也可以不同。
當ARP請求包發(fā)出后�,如果僅發(fā)送一次ARP請求包,剛好一個網(wǎng)絡(luò)地址異 常的ARP應(yīng)答包到達�����,或者存在多個網(wǎng)絡(luò)設(shè)備返回的響應(yīng)包與ARP請求包數(shù)量 一致���,則需要通過上述方法排除可能的網(wǎng)絡(luò)地址異常的設(shè)備并將正確的網(wǎng)絡(luò)地 址進行存儲,由于本實施例中的發(fā)送頻率可以按照需要確定��,從而使得惡意用 戶難以獲悉確切的發(fā)送頻率,而常見的偽造網(wǎng)絡(luò)地址的網(wǎng)絡(luò)設(shè)備主動發(fā)送ARP 應(yīng)答包的頻率通常是固定的�,因此可以進一步排除網(wǎng)絡(luò)地址異常的網(wǎng)絡(luò)設(shè)備。 另外�����,可以看出�,通過以上方式也可以及時發(fā)現(xiàn)發(fā)生IP沖突(即存在多個使用 相同IP地址的網(wǎng)絡(luò)設(shè)備)的網(wǎng)絡(luò)設(shè)備。
對于步驟103中確定是否滿足第一判決條件中的判決條件收到的ARP應(yīng) 答包與發(fā)送的ARP請求包的數(shù)量是否一致的過程可以通過多種途徑實現(xiàn)��,本發(fā) 明的一個實施例提供以下過程當向檢查范圍內(nèi)的網(wǎng)絡(luò)設(shè)備發(fā)送某一次ARP請 求包后���,在一段時間內(nèi)等待ARP應(yīng)答包�,如果尚未記錄過該ARP應(yīng)答包中的IP 地址與媒體訪問控制地址MAC之間的映射關(guān)系���,則將該映射關(guān)系進行記錄�,如 果該映射關(guān)系已被記錄�,則表明對于同一 ARP請求包,某一網(wǎng)絡(luò)設(shè)備反饋了多 次ARP應(yīng)答包����,由此判斷該ARP應(yīng)答包與所述ARP請求包的數(shù)量不一致。可以 通過建立臨時存儲表實現(xiàn)上述記錄過程���,也可以直接存儲在映射關(guān)系表中實現(xiàn) 上述過程�����。
由于在每次收到ARP應(yīng)答包時均會檢査應(yīng)答包的正確性�,由此可以獲得所 記錄的網(wǎng)絡(luò)地址信息中正確的IP地址與MAC地址映射關(guān)系信息��。如背景技術(shù)中 描述�����,惡意用戶對網(wǎng)絡(luò)設(shè)備進行攻擊常用的方法是通過偽造網(wǎng)絡(luò)地址��,構(gòu)造虛 假IP地址或MAC地址�,更改ARP表中IP地址與MAC地址的映射關(guān)系進行惡意 攻擊。由于上述方案檢查某一次發(fā)送ARP請求包后收到的ARP應(yīng)答包是否為多 次�,因此,通過上述方式可以判斷所述ARP應(yīng)答包與所述ARP請求包的數(shù)量是 否一致�����。
另外�����,對于步驟103中確定接收到的ARP應(yīng)答包與發(fā)送的ARP請求包數(shù)量
是否一致的途徑���,如圖2所示����,本發(fā)明的一個實施例還提供下述步驟當向檢
査范圍內(nèi)的網(wǎng)絡(luò)設(shè)備發(fā)送某一次ARP請求包后(S201)�,在一段時間內(nèi)等待ARP 應(yīng)答包(S202),與上述實施例的方式不同�����,本實施例中可以設(shè)置記數(shù)器��,如果 尚未記錄過該ARP應(yīng)答包中的IP地址與媒體訪問控制地址MAC之間的映射關(guān)系�����, 則將該映射關(guān)系進行記錄(S203�����、 S204),如果該映射關(guān)系已被記錄�,則將記數(shù) 器加一 (S205),當發(fā)送ARP請求包的次數(shù)已達到預先設(shè)定的次數(shù)時(S206), 如果記數(shù)器的數(shù)值與發(fā)送的請求包的數(shù)值相同,則表示收到的ARP應(yīng)答包與發(fā) 送的ARP請求包數(shù)量一致(S207)�。可以通過在臨時存儲表中記錄實現(xiàn)上述步驟�, 也可以在永久性存儲表中實現(xiàn)上述步驟。
對于上文步驟103���,本發(fā)明的一個實施例在下文將詳細敘述如何對映射關(guān)系 表進行更新的過程�����,以進一步優(yōu)化本發(fā)明的方案�。
在本發(fā)明的一個實施例中����,作為對上述步驟103將ARP應(yīng)答包的IP地址和 MAC地址之間的映射關(guān)系進行存儲的進二步優(yōu)化,考慮到當發(fā)送ARP請求包時����, 需要檢測的網(wǎng)絡(luò)內(nèi)可能存在未啟動的網(wǎng)絡(luò)設(shè)備或有更換IP地址的網(wǎng)絡(luò)設(shè)備,由 于當網(wǎng)絡(luò)設(shè)備啟動或更換IP地址時將有相應(yīng)的ARP通知機制����,通過發(fā)送目的和 源IP地址相同的ARP數(shù)據(jù)包將當前的IP地址通知相關(guān)的網(wǎng)絡(luò)設(shè)備,因此在本 實施例中����,當發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備狀態(tài)改變時�,所述狀態(tài)可以包括網(wǎng)絡(luò)設(shè)備啟動����、網(wǎng) 絡(luò)地址信息變更等���,如果監(jiān)聽到滿足ARP通知機制的ARP數(shù)據(jù)包��,同時該ARP 數(shù)據(jù)包中的網(wǎng)絡(luò)地址與已存儲在映射關(guān)系表中的IP地址與MAC地址的映射關(guān)系 不產(chǎn)生沖突�,則更新已存儲的映射關(guān)系表��,更新過程可以包括以下幾種情況 當該IP地址在檢測范圍內(nèi)�����,且該IP地址與MAC地址的映射關(guān)系未存儲在映射 關(guān)系表中時�����,將該IP地址與MAC地址的映射關(guān)系在映射關(guān)系表中進行存儲�����,如 果該ARP數(shù)據(jù)包中的IP地址未被存儲,同時MAC地址已被存儲時����,則將所述ARP 數(shù)據(jù)包中的IP地址與所述MAC地址之間的映射關(guān)系進行存儲,而已存儲的IP 地址與MAC地址的映射關(guān)系可以繼續(xù)保留��,也可以刪除��?�?梢钥闯?����,如果繼續(xù) 保留已記錄的IP地址與MAC地址的映射關(guān)系��,則該映射表可以支持同一臺網(wǎng)絡(luò)設(shè)備多個IP地址的情況�。
對于上文步驟104中通過上述映射關(guān)系表對網(wǎng)絡(luò)設(shè)備進行預警的過程,本
發(fā)明的實施例中判斷是否發(fā)出預警通知的第二判決條件可以是一條或多條判決 條件的組合�����,以下列舉幾種第二判決條件的組合�����,以及相應(yīng)的實現(xiàn)發(fā)出預警通 知的過程。
如圖3所示�����,發(fā)出預警通知的具體過程可以是當監(jiān)測到ARP數(shù)據(jù)包時 (S301)�����,將ARP數(shù)據(jù)包中IP地址與MAC地址的組合與映射關(guān)系表中存儲的IP 地址與MAC地址的映射關(guān)系進行比較(S302)����,所述第二判決條件可以包括該ARP 數(shù)據(jù)包中的網(wǎng)絡(luò)地址組合與映射關(guān)系表中存儲的映射關(guān)系不一致���,如果滿足該 條件��,則生成預警通知���,另外,所述第二判決條件還可以包括所述ARP數(shù)據(jù)包 中的MAC地址已被存儲���,即在生成通知之前���,還可以進一步檢查MAC地址是否 已經(jīng)存儲在所述映射關(guān)系表中(S303)��,如果已存儲����,則說明該ARP數(shù)據(jù)包中的 MAC地址為真實的MAC地址���,由于映射關(guān)系表中存儲的是正確的MAC地址與IP 地址的映射關(guān)系�,因此發(fā)送該ARP數(shù)據(jù)包的網(wǎng)絡(luò)設(shè)備可能為偽造網(wǎng)絡(luò)地址的網(wǎng) 絡(luò)設(shè)備�,此時生成預警通知(S305),及時通知用戶�����。另外����,本發(fā)明的一個實施 例中所述第二判決條件還可以包括所述ARP數(shù)據(jù)包中的MAC地址未被存儲,且 所述ARP數(shù)據(jù)包的發(fā)送頻率和請求范圍超過預定值���,即如果所述映射關(guān)系表中 不存在該ARP數(shù)據(jù)包中的MAC地址�����,則可能該MAC地址是發(fā)送ARP數(shù)據(jù)包的網(wǎng) 絡(luò)設(shè)備的虛假MAC地址�����,此時為了進一步增加判斷該網(wǎng)絡(luò)設(shè)備是否為異常網(wǎng)絡(luò) 地址的網(wǎng)絡(luò)設(shè)備的準確性��,本發(fā)明的一個實施例提供步驟檢測該網(wǎng)絡(luò)設(shè)備發(fā) 送ARP數(shù)據(jù)包的發(fā)送頻率和請求范圍(S304),當發(fā)送頻率和請求范圍超過預定 數(shù)值��,則生成通知(S305)�。
以上是當該ARP數(shù)據(jù)包中的網(wǎng)絡(luò)地址組合與映射關(guān)系表中存儲的映射關(guān)系 不一致時進行的處理,當該ARP數(shù)據(jù)包中的網(wǎng)絡(luò)地址組合與映射關(guān)系表中存儲 的映射關(guān)系一致時���,為了進一步增加判斷該網(wǎng)絡(luò)設(shè)備是否為異常網(wǎng)絡(luò)地址的網(wǎng) 絡(luò)設(shè)備的準確性����,本發(fā)明的一個實施例中�����,對于第二判決條件����,還可以包括所
述數(shù)據(jù)包中的源IP地址與源MAC地址與所存儲的IP地址與MAC地址的映射關(guān) 系一致��,且所述ARP數(shù)據(jù)包的發(fā)送頻率和請求范圍超過預定值���。也就是說���,當 該ARP數(shù)據(jù)包中的網(wǎng)絡(luò)地址組合與映射關(guān)系表中存儲的映射關(guān)系一致時��,需要 進一步檢測網(wǎng)絡(luò)設(shè)備發(fā)送ARP數(shù)據(jù)包的發(fā)送頻率和請求范圍(S304)���,當發(fā)送頻 率和請求范圍超過預定數(shù)值,則生成預警通知(S305)�����。
以下是本發(fā)明的一個實施例中�����,對于上述步驟S304中���,檢測該網(wǎng)絡(luò)設(shè)備發(fā) 送ARP數(shù)據(jù)包的發(fā)送頻率和請求范圍的具體實現(xiàn)過程當獲得網(wǎng)絡(luò)設(shè)備發(fā)送的 ARP數(shù)據(jù)包時�����,可以根據(jù)該ARP數(shù)據(jù)包中的源網(wǎng)絡(luò)地址信息(包括IP地址和MAC 地址)和目的網(wǎng)絡(luò)地址可以獲得該網(wǎng)絡(luò)設(shè)備發(fā)送ARP數(shù)據(jù)包的范圍�����,另外����,可 以記錄接收到該ARP數(shù)據(jù)包的時間,計算該網(wǎng)絡(luò)設(shè)備發(fā)送ARP數(shù)據(jù)包的發(fā)送頻 率�����。對于發(fā)送頻率超過一定數(shù)值可以生成通知�,以便用戶及時定位到異常網(wǎng)絡(luò) 地址的網(wǎng)絡(luò)設(shè)備,同時��,也可以根據(jù)發(fā)送頻率和接收時間對發(fā)送ARP數(shù)據(jù)包的 網(wǎng)絡(luò)設(shè)備的請求范圍進行刷新��。
通過上述實施例可以看出���,當收到的ARP數(shù)據(jù)包中的MAC地址與IP地址均 為異常的網(wǎng)絡(luò)地址的情況,利用映射關(guān)系表無法檢測到可能偽造網(wǎng)絡(luò)地址的網(wǎng)
絡(luò)設(shè)備�����,但是��,由于惡意用戶進行網(wǎng)絡(luò)攻擊時通常需要通過發(fā)送ARP數(shù)據(jù)包更 改APR表中的IP地址與MAC地址的映射關(guān)系,因此網(wǎng)絡(luò)通常會出現(xiàn)大量的ARP 數(shù)據(jù)包��,通過檢測網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備的發(fā)送ARP數(shù)據(jù)包的范圍以及頻率將可以 進一步檢測出偽造網(wǎng)絡(luò)地址的網(wǎng)絡(luò)設(shè)備����。
對于步驟101至103建立映射關(guān)系表時,由于存在步驟104����,因此如果發(fā)現(xiàn) 網(wǎng)絡(luò)地址異常的網(wǎng)絡(luò)設(shè)備,可以不發(fā)出預警通知����,當然也可以發(fā)出預警通知, 即第二判決條件還包括在建立映射關(guān)系表過程中�,收到的ARP應(yīng)答包與發(fā)送 的ARP請求包的數(shù)量不一致。當發(fā)現(xiàn)ARP應(yīng)答包與ARP請求包數(shù)量不一致時����, 發(fā)出預警通知。
另外����,對于在映射關(guān)系表進行更新的過程如果發(fā)現(xiàn)網(wǎng)絡(luò)地址異常的網(wǎng)絡(luò)設(shè)
備,同樣也可以發(fā)出預警通知��,此時第二判決條件還可以包括當網(wǎng)絡(luò)設(shè)備的 狀態(tài)發(fā)生改變時,收到的ARP數(shù)據(jù)包中的網(wǎng)絡(luò)地址信息與已存儲在映射關(guān)系表
中的IP地址與MAC地址的映射關(guān)系產(chǎn)生沖突���,即收到的ARP數(shù)據(jù)包中IP地址 已被存儲���,而該IP地址與MAC地址的對應(yīng)關(guān)系未被存儲。產(chǎn)生沖突情況中��,一 種情況可以是產(chǎn)生IP地址沖突���,另一種情況可以是存在偽造網(wǎng)絡(luò)地址的網(wǎng)絡(luò)設(shè) 備��,這兩種情況共有的特征都是收到的AJ P數(shù)據(jù)包中IP地址已被存儲�,而該IP 地址與MAC地址的對應(yīng)關(guān)系未被存儲����,因此可以通過生成通知的方式及時獲悉 產(chǎn)生IP沖突的網(wǎng)絡(luò)設(shè)備以及偽造網(wǎng)絡(luò)地址的網(wǎng)絡(luò)設(shè)備。
另外�����,本發(fā)明的一個實施例中����,如果檢測到開啟混雜模式的網(wǎng)卡的網(wǎng)絡(luò)設(shè) 備,則發(fā)送預警通知���,即第二判決條件還包括存在開啟混雜模式的網(wǎng)卡����。檢測 過程可以是首先構(gòu)造 一 個ARP數(shù)據(jù)包��,目的MAC地址可以為 FF:FF:FF:FF:FF:FE�����,對網(wǎng)內(nèi)所有主機發(fā)送該ARP請求包�����。如果沒有開啟混雜模 式的網(wǎng)卡�,因為與自身MAC地址不同,不會接收此數(shù)據(jù)包�����,而處于混雜模式的 網(wǎng)卡則會將數(shù)據(jù)包接收��,由此可以判斷哪臺主機是否開啟了網(wǎng)卡的混雜模式����。
由于開啟混雜模式的網(wǎng)卡將網(wǎng)絡(luò)內(nèi)的所有數(shù)據(jù)都接收���,因此有可能造成其 它網(wǎng)絡(luò)設(shè)備的信息泄漏,如密碼��,重要的文件信息�,通過上述實施例能夠及時 檢測到開啟混雜模式的網(wǎng)卡。
另外���,上文檢測開啟混雜模式的網(wǎng)絡(luò)設(shè)備的實施例也可以作為當收到的ARP 數(shù)據(jù)包中的MAC地址與IP地址均為虛假的網(wǎng)絡(luò)地址時��,檢測是否出現(xiàn)大量的ARP 數(shù)據(jù)包的一種途徑����。
針對上述各實施例中對偽造網(wǎng)絡(luò)地址的網(wǎng)絡(luò)設(shè)備進行預警的方法�,本發(fā)明 的一個實施例提供相應(yīng)的預警裝置,用于對異常網(wǎng)絡(luò)地址的設(shè)備進行預警�����,如 圖4所示����,該裝置包括收發(fā)單元401��,分析單元402和通訊單元403。
當需要建立映射關(guān)系表時��,該收發(fā)單元401需要向檢測范圍內(nèi)的網(wǎng)絡(luò)設(shè)備 發(fā)送至少一次地址解析協(xié)議ARP請求包�,然后在預定時間內(nèi)接收ARP應(yīng)答包;當利用建立的映射關(guān)系表進行預警時���,需要監(jiān)聽檢測范圍內(nèi)是否存在ARP數(shù)據(jù)
包��;分析單元402在建立映射關(guān)系表時�����,將滿足第一判決條件的所述ARP應(yīng)答 包的IP地址和MAC地址之間的映射關(guān)系進行存儲����;當利用該映射關(guān)系表進行預 警時���,分析收發(fā)單元401接收到的ARP數(shù)據(jù)包是否滿足第二判決條件����,當滿足 第二判決條件時�����,發(fā)出預警通知;通訊單元403���,實現(xiàn)所述收發(fā)單元401與所述 分析單元402之間的通訊�����,通訊單元403可以從收發(fā)單元401獲取接收到的ARP 數(shù)據(jù)包���,發(fā)送至分析單元402,以便分析單元402及時存儲IP地址和MAC地址 之間的映射關(guān)系以及及時發(fā)出預警通知;另外通訊單元403也可以僅向分析單 元402發(fā)送通知消息��,通知分析單元402從收發(fā)單元401獲取ARP數(shù)據(jù)包���,如 圖中虛線所示�。
進一步����,所述分析單元402當檢測范圍內(nèi)的網(wǎng)絡(luò)設(shè)備狀態(tài)變化時,如果來 自網(wǎng)絡(luò)設(shè)備的ARP數(shù)據(jù)包的IP地址未被存儲�����,且MAC地址已被存儲,則將所述 ARP應(yīng)答包的IP地址和MAC地址之間的映射關(guān)系進行存儲����。
上文所述的各實施例中的對異常網(wǎng)絡(luò)地址的網(wǎng)絡(luò)設(shè)備進行預警的方法中各 步驟可以通過一條或多條指令實現(xiàn),所述指令可以被配置在包含處理器的網(wǎng)絡(luò) 設(shè)備中���,有該處理器執(zhí)行,同時���,所述指令可以存儲在存儲介質(zhì)中��。所述網(wǎng)絡(luò) 設(shè)備可以是計算機等網(wǎng)絡(luò)設(shè)備���。
上列詳細說明是針對本發(fā)明之一可行實施例的具體說明,該實施例并非用 以限制本發(fā)明的專利范圍�,凡未脫離本發(fā)明所為的等效實施或變更,均應(yīng)包含 于本案的專利范圍中�����。
權(quán)利要求
1�����、一種對網(wǎng)絡(luò)設(shè)備進行預警的方法,其特征在于�,包括步驟向檢測范圍內(nèi)的網(wǎng)絡(luò)設(shè)備發(fā)送至少一次地址解析協(xié)議ARP請求包,在預定時間內(nèi)接收ARP應(yīng)答包�����;將滿足第一判決條件的所述ARP應(yīng)答包的因特網(wǎng)協(xié)議IP地址和媒體訪問控制地址MAC地址之間的映射關(guān)系進行存儲���,所述第一判決條件至少包括所述ARP應(yīng)答包與所述ARP請求包的數(shù)量一致����;接收ARP數(shù)據(jù)包��,所述ARP數(shù)據(jù)包包括ARP請求包和ARP應(yīng)答包�����,當滿足第二判決條件時��,發(fā)出預警通知���,所述第二判決條件至少包括所述ARP數(shù)據(jù)包中的源IP地址與源MAC地址與所存儲的映射關(guān)系不一致�����。
2��、 根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述步驟還包括 當檢測范圍內(nèi)的網(wǎng)絡(luò)設(shè)備狀態(tài)變化時�����,如果來自網(wǎng)絡(luò)設(shè)備的ARP數(shù)據(jù)包的IP地址未被存儲����,且MAC地址已被存儲��,則將所述ARP應(yīng)答包的IP地址和MAC 地址之間的映射關(guān)系進行存儲�����。
3��、 根據(jù)權(quán)利要求1所述的方法���,其特征在于����,所述第二判決條件還包括-所述ARP數(shù)據(jù)包中的MAC地址已被存儲。
4�、 根據(jù)權(quán)利要求1所述的方法,其特征在于��,所述第二判決條件還包括 所述ARP數(shù)據(jù)包中的MAC地址未被存儲����,且所述ARP數(shù)據(jù)包的發(fā)送頻率和請求范圍超過預定值。
5����、 根據(jù)權(quán)利要求1所述的方法,其特征在于����,所述第二判決條件還包括 所述數(shù)據(jù)包中的源IP地址與源MAC地址與所存儲的IP地址與MAC地址的映射關(guān)系一致,且所述ARP數(shù)據(jù)包的發(fā)送頻率和請求范圍超過預定值����。
6、 根據(jù)權(quán)利要求1所述的方法��,其特征在于,所述第二判決條件還包括 存在開啟混雜模式的網(wǎng)絡(luò)設(shè)備��。
7���、 根據(jù)權(quán)利要求1所述的方法��,其特征在于�,所述第二判決條件還包括 所述ARP應(yīng)答包與所述ARP請求包的數(shù)量不一致�����。
8����、 根據(jù)權(quán)利要求2所述的方法�����,其特征在于����,所述第二判決條件還包括當檢測范圍內(nèi)的網(wǎng)絡(luò)設(shè)備狀態(tài)變化時,來自網(wǎng)絡(luò)設(shè)備的ARP數(shù)據(jù)包的IP地 址已被存儲�。
9�、 一種執(zhí)行權(quán)利要求1至8所述的方法的預警裝置�,用于對網(wǎng)絡(luò)設(shè)備進行 預警,其特征在于�����,包括-收發(fā)單元����,用于向檢測范圍內(nèi)的網(wǎng)絡(luò)設(shè)備發(fā)送至少一次地址解析協(xié)議ARP 請求包,根據(jù)發(fā)送的所述ARP請求包�,在預定時間內(nèi)接收ARP應(yīng)答包;以及接收ARP數(shù)據(jù)包����,所述ARP數(shù)據(jù)包包括ARP請求包和ARP應(yīng)答包;分析單元�,用于將滿足第一判決條件的所述ARP應(yīng)答包的因特網(wǎng)協(xié)議IP地 址和媒體訪問控制地址MAC地址之間的映射關(guān)系進行存儲,所述第一判決條件 至少包括所述ARP應(yīng)答包與所述ARP請求包的數(shù)量一致����;以及當所述收發(fā)單元接收到的ARP數(shù)據(jù)包滿足第二判決條件時,發(fā)出預警通知��, 所述第二判決條件至少包括所述ARP數(shù)據(jù)包中的源IP地址與源MAC地址與所 存儲的映射關(guān)系不一致��;通訊單元,用于實現(xiàn)所述收發(fā)單元與所述分析單元之間的通訊�。
10、 根據(jù)權(quán)利要求9所述的預警裝置��,其特征在于��,所述分析單元還用于 當檢測范圍內(nèi)的網(wǎng)絡(luò)設(shè)備狀態(tài)變化時�����,如果來自網(wǎng)絡(luò)設(shè)備的ARP數(shù)據(jù)包的IP地 址未被存儲�����,且MAC地址巳被存儲�,則將所述ARP應(yīng)答包的IP地址和MAC地址 之間的映射關(guān)系進行存儲。
11�����、 一種網(wǎng)絡(luò)設(shè)備�����,其特征在于�����,包括處理器以及處理器所執(zhí)行的一個 或多個指令�����,所述處理器執(zhí)行所述指令時����,用于實現(xiàn)以下步驟向檢測范圍內(nèi)的網(wǎng)絡(luò)設(shè)備發(fā)送至少一次地址解析協(xié)議ARP請求包,在預定 時間內(nèi)接收ARP應(yīng)答包�����;將滿足第一判決條件的所述ARP應(yīng)答包的因特網(wǎng)協(xié)議IP地址和媒體訪問控 制地址MAC地址之間的映射關(guān)系進行存儲����,所述第一判決條件至少包括所述 ARP應(yīng)答包與所述ARP請求包的數(shù)量一致;接收ARP數(shù)據(jù)包�����,所述ARP數(shù)據(jù)包包括ARP請求包和ARP應(yīng)答包����,當滿足 第二判決條件時���,發(fā)出預警通知,所述第二判決條件至少包括所述ARP數(shù)據(jù) 包中的源IP地址與源MAC地址與所存儲的映射關(guān)系不一致��。
12���、 一種存儲介質(zhì)�,其特征在于�����,用于存儲一個或多個用于對網(wǎng)絡(luò)設(shè)備進行預警的指令�����,所述指令在被執(zhí)行時用于完成以下步驟向檢測范圍內(nèi)的網(wǎng)絡(luò)設(shè)備發(fā)送至少一次地址解析協(xié)議ARP請求包�,在預定時間內(nèi)接收ARP應(yīng)答包;將滿足第一判決條件的所述ARP應(yīng)答包的因特網(wǎng)協(xié)議IP地址和媒體訪問控 制地址MAC地址之間的映射關(guān)系進行存儲�,所述第一判決條件至少包括所述 ARP應(yīng)答包與所述ARP請求包的數(shù)量一致;接收ARP數(shù)據(jù)包�,所述ARP數(shù)據(jù)包包括ARP請求包和ARP應(yīng)答包,當滿足 第二判決條件時����,發(fā)出預警通知,所述第二判決條件至少包括所述ARP數(shù)據(jù) 包中的源IP地址與源MAC地址與所存儲的映射關(guān)系不一致���。
全文摘要
本發(fā)明一方面提供一種對網(wǎng)絡(luò)設(shè)備進行預警的方法�����,首向檢測范圍內(nèi)的網(wǎng)絡(luò)設(shè)備發(fā)送至少一次地址解析協(xié)議ARP請求包���,在預定時間內(nèi)接收ARP應(yīng)答包;將滿足第一判決條件的所述ARP應(yīng)答包的因特網(wǎng)協(xié)議IP地址和媒體訪問控制地址MAC地址之間的映射關(guān)系進行存儲�,所述第一判決條件至少包括所述ARP應(yīng)答包與所述ARP請求包的數(shù)量一致;監(jiān)聽ARP數(shù)據(jù)包����,所述ARP數(shù)據(jù)包包括ARP請求包和ARP應(yīng)答包,當滿足第二判決條件時���,發(fā)出預警通知����,所述第二判決條件至少包括所述ARP數(shù)據(jù)包中的源IP地址與源MAC地址與所存儲的映射關(guān)系不一致�。本發(fā)明還提供一種預警裝置、網(wǎng)絡(luò)設(shè)備及相應(yīng)的存儲介質(zhì)。本發(fā)明可以發(fā)現(xiàn)虛假的ARP應(yīng)答包�����,產(chǎn)生預警通知�����,從而使用戶及時定位到偽造網(wǎng)絡(luò)地址的設(shè)備����。
文檔編號H04L12/26GK101345643SQ20071002908
公開日2009年1月14日 申請日期2007年7月9日 優(yōu)先權(quán)日2007年7月9日
發(fā)明者碩 劉, 王嗣恩, 鵬 羅 申請人:珠海金山軟件股份有限公司