亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

防范利用arp進行網(wǎng)絡(luò)攻擊的方法、客戶端、服務(wù)器及系統(tǒng)的制作方法

文檔序號:7655965閱讀:299來源:國知局
專利名稱:防范利用arp進行網(wǎng)絡(luò)攻擊的方法、客戶端、服務(wù)器及系統(tǒng)的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域,尤其涉及防范利用地址解析協(xié)議(Address Resolution Protocol,簡稱ARP)進行網(wǎng)絡(luò)攻擊的方法、客戶端、服務(wù)器及系統(tǒng)。
背景技術(shù)
在以太網(wǎng)中,使用邏輯地址(一般為IP地址)在網(wǎng)絡(luò)層面進行設(shè)備標 識,使用物理地址(一般為MAC (媒體接入控制)地址)在物理層面進行 設(shè)備標識;而為了實現(xiàn)不同設(shè)備之間的通信,需要通過ARP將IP地址解析 為MAC地址實現(xiàn)。由于ARP協(xié)議設(shè)計之初并未考慮安全層面的問題,沒有對協(xié)議應(yīng)用對 象采取任何認證等安全措施,因此很容易被用來進行網(wǎng)絡(luò)攻擊。比較常見的 網(wǎng)絡(luò)攻擊包括偽造其他用戶IP地址的ARP,以篡改網(wǎng)關(guān)設(shè)備ARP緩存中 的用戶ARP記錄,使網(wǎng)關(guān)與該用戶的通信失敗;偽造網(wǎng)關(guān)IP地址的ARP 報文,以篡改網(wǎng)絡(luò)內(nèi)其他用戶ARP緩存中的網(wǎng)關(guān)ARP記錄,使其他用戶與 網(wǎng)關(guān)的通信失??;以及,ARP掃描攻擊,通過發(fā)送大量不同IP的ARP報文, 使網(wǎng)絡(luò)設(shè)備ARP緩存達到最大規(guī)格,不能進行新ARP記錄的學習;等等。 當ARP被利用進行網(wǎng)絡(luò)攻擊時,不僅可以導(dǎo)致其他用戶與網(wǎng)關(guān)通信失敗, 更嚴重的是會導(dǎo)致通信重定向,使所有的數(shù)據(jù)都會通過攻擊者的主機,因此 存在極大的安全隱患;而且,上述ARP攻擊往往被結(jié)合使用, 一般不會針 對性的攻擊某一臺機器,而是針對整個局域網(wǎng),可以在很短的時間內(nèi)使整個 網(wǎng)絡(luò)癱瘓。鑒于利用ARP進行網(wǎng)絡(luò)攻擊的危害巨大,因此急需有效的技術(shù)手段加 以解決。目前,所廣泛采用的解決方案為雙向綁定方案,通過用戶在主機上 綁定安全網(wǎng)關(guān)的IP和MAC地址,以及通過管理員在安全網(wǎng)關(guān)上綁定用戶主 機的IP和MAC地址實現(xiàn)。其中,用戶在主機上綁定安全網(wǎng)關(guān)的IP和MAC
地址包括(1)獲得安全網(wǎng)關(guān)的內(nèi)網(wǎng)MAC地址,例如,對于IP地址為192.168.16.254的內(nèi)網(wǎng)網(wǎng)關(guān),獲得其MAC地址為0022aa0022aa; (2)編 寫一個批處理文件arp.bat內(nèi)容如下@6cho offarp -darp-s 192.168.16.254 00-22-aa-00-22-aa當然在實際使用中,用戶需要將上述文件中的網(wǎng)關(guān)IP地址和MAC地址 更改為實際使用的網(wǎng)關(guān)IP地址和MAC地址;(3)將這個批處理軟件拖到 "windows—開始一程序一啟動"中,使主機每一次重新啟動后都會進行上述 靜態(tài)設(shè)置。管理員在安全網(wǎng)關(guān)上綁定用戶主機的IP和MAC地址包括通過 交換機端口和MAC地址綁定,限制含有非法MAC地址的幀通過??梢钥闯觯p向綁定方案是針對單獨個體進行預(yù)防的,不但對管理員要 求較高,對主機用戶的要求也較高,需要主機用戶具備一定的計算機基礎(chǔ); 同時,配置工作量大,且當用戶IP地址發(fā)生變更時,還需要進行網(wǎng)關(guān)綁定 的同步,靈活性低。因此,雙向綁定方案實施難度大,且難以滿足不同應(yīng)用 環(huán)境下防ARP攻擊的需求。此外,在雙向綁定方案中,對于中毒主機的確定是利用抓包工具監(jiān)聽網(wǎng) 絡(luò)中的數(shù)據(jù)報文,如果發(fā)現(xiàn)大量的ARP請求報文或者ARP響應(yīng)報文從某一 臺主機發(fā)出,那么這臺主機就極有可能中毒。但是,雙向綁定方案下定位中 毒主機后,由于無法借助遠程管理軟件等解決,因此還存在依賴管理員現(xiàn)場 手工隔離中毒主機的缺陷,增加了管理員的工作量。發(fā)明內(nèi)容本發(fā)明為了克服上述現(xiàn)有技術(shù)的缺陷,提供了一種防范利用ARP進行 網(wǎng)絡(luò)攻擊的技術(shù)方案,以實現(xiàn)簡單、靈活、有效地防范ARP攻擊的目的。為實現(xiàn)上述目的,本發(fā)明的實施例提供了一種防范利用ARP進行網(wǎng) 絡(luò)攻擊的方法,應(yīng)用于用戶本地主機上,與網(wǎng)絡(luò)中的服務(wù)器配合防范ARP 攻擊,包括以下步驟A1-1、向服務(wù)器發(fā)起獲取網(wǎng)關(guān)地址列表的請求,該網(wǎng)關(guān)地址列表用 于記錄網(wǎng)關(guān)IP地址和對應(yīng)的MAC地址;A1-2、收到服務(wù)器響應(yīng)的網(wǎng)關(guān)地址列表后,對該網(wǎng)關(guān)地址列表加以保存;A1-3、使用該網(wǎng)關(guān)地址列表,更新本地主機的ARP緩存。 本發(fā)明的實施例還提供了一種防范利用ARP進行網(wǎng)絡(luò)攻擊的方法, 應(yīng)用于服務(wù)器上,與網(wǎng)絡(luò)中的用戶主機配合防范ARP攻擊,包括以下步驟A2-1、在服務(wù)器預(yù)設(shè)的網(wǎng)關(guān)地址列表中記錄網(wǎng)關(guān)IP地址和對應(yīng)的 MAC地址;A2-2、當接收到用戶主機獲取網(wǎng)關(guān)地址列表的請求時,將該預(yù)設(shè)的 網(wǎng)關(guān)地址列表下發(fā)給用戶主機,供其進行ARP緩存的更新。本發(fā)明的實施例還提供了一種防范利用ARP進行網(wǎng)絡(luò)攻擊的客戶 端,應(yīng)用于包括用戶主機、服務(wù)器和網(wǎng)關(guān)的網(wǎng)絡(luò),其特征在于,該客戶 端應(yīng)用于用戶主機上,包括網(wǎng)關(guān)地址列表請求單元,用于向該服務(wù)器 發(fā)起網(wǎng)關(guān)地址列表請求或身份認證請求,并在收到該服務(wù)器響應(yīng)的網(wǎng)關(guān) 地址列表后加以保存;該網(wǎng)關(guān)地址列表用于記錄網(wǎng)關(guān)IP地址和對應(yīng)的 MAC地址;ARP更新單元,用以使用所保存的網(wǎng)關(guān)地址列表更新本地主 機的ARP緩存。本發(fā)明的實施例還提供了一種防范利用ARP進行網(wǎng)絡(luò)攻擊的服務(wù) 器,應(yīng)用于包括用戶主機和網(wǎng)關(guān)的網(wǎng)絡(luò),該服務(wù)器包括網(wǎng)關(guān)地址列表 單元,用于在預(yù)設(shè)的網(wǎng)關(guān)地址列表中記錄網(wǎng)關(guān)IP地址和對應(yīng)的MAC地 址;網(wǎng)關(guān)地址列表發(fā)送單元,用于根據(jù)用戶主機獲取網(wǎng)關(guān)地址列表的請 求,將預(yù)設(shè)的網(wǎng)關(guān)地址列表發(fā)送給用戶主機,供其進行ARP緩存的更新。本發(fā)明的實施例還提供了一種防范利用ARP進行網(wǎng)絡(luò)攻擊的系統(tǒng), 包括如權(quán)利要求12-16所述的客戶端,以及如權(quán)利要求17-20所述的服 務(wù)器°由上述技術(shù)方案可知,本發(fā)明通過記錄正確的網(wǎng)關(guān)IP地址和對應(yīng)的 MAC地址,實現(xiàn)用戶主機ARP緩存中網(wǎng)關(guān)地址自動更新,具有以下有 益效果1、無需對主機個體逐一進行設(shè)置,簡化了在主機綁定安全網(wǎng)關(guān)的IP和 MAC地址的操作,降低了對主機用戶的要求,并減少了配置工作量,易于
實現(xiàn);2、無需隨著網(wǎng)關(guān)地址的變更進行主機個體綁定關(guān)系的逐一更新,提高 了靈活性和ARP攻擊防護的有效性。下面通過附圖和實施例,對本發(fā)明的技術(shù)方案做進一步的詳細描述。


圖1為本發(fā)明所提供的一種防范利用ARP進行網(wǎng)絡(luò)攻擊的方法實施例1 的流程圖;圖2為本發(fā)明所提供的一種防范利用ARP進行網(wǎng)絡(luò)攻擊的方法實施例2 的流程圖;圖3為圖1或圖2所示實施例中,進行用戶主機IP地址和MAC地址網(wǎng)關(guān)固化操作的實施例的流程圖;圖4為圖1或圖2所示實施例中,對用戶主機進行異常流量監(jiān)控的實施 例的流程圖;圖5為本發(fā)明所提供的另一種防范利用ARP進行網(wǎng)絡(luò)攻擊的方法實施 例1的流程圖;圖6為圖5所示實施例中,進行用戶主機認證的實施例的流程圖;圖7為圖5所示實施例中,進行用戶主機IP地址和MAC地址網(wǎng)關(guān)固化操作的實施例的流程圖;圖8為圖5所示實施例中,對用戶主機進行異常流量監(jiān)控的實施例的流程圖;圖9為在服務(wù)器-客戶端結(jié)構(gòu)下, 一種防范利用ARP進行網(wǎng)絡(luò)攻擊方法 的具體實施例的流程圖;圖10為圖9所示實施例中,進行用戶主機認證的實施例的流程圖;圖11為圖9所示實施例中,進行用戶主機IP地址和MAC地址網(wǎng)關(guān)固 化操作的實施例的流程圖;圖12為圖9所示實施例中,對用戶主機進行異常流量監(jiān)控的實施例的 流程圖;圖13為本發(fā)明所提供的防范利用ARP進行網(wǎng)絡(luò)攻擊的客戶端實施例1 的框圖14為本發(fā)明所提供的防范利用ARP進行網(wǎng)絡(luò)攻擊的客戶端實施例2 的框圖;圖15為本發(fā)明所提供的防范利用ARP進行網(wǎng)絡(luò)攻擊的服務(wù)器實施例1 的框圖;圖16為本發(fā)明所提供的防范利用ARP進行網(wǎng)絡(luò)攻擊的服務(wù)器實施例2 的框圖;圖17本發(fā)明所提供的防范利用ARP進行網(wǎng)絡(luò)攻擊的系統(tǒng)一具體實施例 的框圖;圖18為圖17所示系統(tǒng)進行本地主機ARP列表設(shè)置的處理示意圖; 圖19為圖17所示系統(tǒng)進行網(wǎng)關(guān)固化操作的處理示意圖; 圖20為圖17所示系統(tǒng)進行流量異常監(jiān)控的處理示意圖。
具體實施方式
為了有效遏制局域網(wǎng)中ARP病毒的泛濫,簡單、靈活的防范ARP網(wǎng)絡(luò) 攻擊,本發(fā)明的實施例提供了防御ARP欺騙的技術(shù)方案。一般情況下,網(wǎng)絡(luò)中ARP攻擊的行為中,70%-80%是通過偽造網(wǎng)關(guān)地 址的ARP報文,由于其針對的是整個局域網(wǎng),因此影響面廣且危害較大。 現(xiàn)有技術(shù)對此的處理手段需要用戶分別在主機上進行網(wǎng)關(guān)地址的綁定,對用 戶的技術(shù)要求高,配置工作量大,且靈活性低。本發(fā)明所提供的一種防范利 用ARP進行網(wǎng)絡(luò)攻擊的方法實施例1,應(yīng)用于用戶本地主機上,與網(wǎng)絡(luò)中的 服務(wù)器配合防范ARP攻擊, 一般來說,可以通過設(shè)置在用戶主機的客戶端 實現(xiàn)。其中,所謂客戶端,既可以采用安裝在用戶主機中的客戶端軟件實現(xiàn), 也可以采用主機外接硬件模塊,如插入用戶主機主板或者外界接口的功能卡 形式實現(xiàn),每一個客戶端與一臺用戶主機對應(yīng)。如圖1所示,本實施例1包括以下步驟A1-1、向服務(wù)器發(fā)起獲取網(wǎng)關(guān)地址列表的請求,該網(wǎng)關(guān)地址列表用 于記錄網(wǎng)關(guān)IP地址和對應(yīng)的MAC地址;其中,向服務(wù)器發(fā)起獲取網(wǎng)關(guān)地址列表的請求包括向服務(wù)器發(fā)起網(wǎng) 關(guān)地址列表請求或身份認證請求。對于網(wǎng)關(guān)地址列表請求,服務(wù)器可以 直接發(fā)送網(wǎng)關(guān)地址列表;而對于身份認證請求,服務(wù)器需要進行用戶主
機的身份認證操作,對于認證成功的用戶主機下發(fā)網(wǎng)關(guān)地址列表。A1-2、收到服務(wù)器響應(yīng)的網(wǎng)關(guān)地址列表后,對所述網(wǎng)關(guān)地址列表加以保存;A1-3、使用所述網(wǎng)關(guān)地址列表,更新本地主機的ARP緩存。 可以看出,通過從服務(wù)器獲取的網(wǎng)關(guān)地址列表進行用戶主機的ARP緩 存更新,只要服務(wù)器中記錄的網(wǎng)關(guān)地址列表信息正確,就能夠保證用戶主機 ARP緩存中網(wǎng)關(guān)地址數(shù)據(jù)的正確性,而在服務(wù)器中實現(xiàn)對正確網(wǎng)關(guān)地址的記 錄,對于本領(lǐng)域普通技術(shù)人員來說,是容易實現(xiàn)的。在更新時機的選擇上,較佳的實施方式為按照該網(wǎng)關(guān)地址列表周期性更 新本地主機的ARP緩存當?shù)竭_預(yù)設(shè)周期時,無論當前本地主機的ARP緩 存是何種狀態(tài),均按照該網(wǎng)關(guān)地址列表更新本地主機的ARP緩存,以保證 本地主機ARP緩存中網(wǎng)關(guān)地址數(shù)據(jù)的正確性。具體的,該周期可以設(shè)定為 常見ARP攻擊的刷新周期,比如1s,從而及時對兩次更新之間ARP被篡改 的情況進行糾正。但是,通過網(wǎng)關(guān)地址列表更新用戶主機的ARP緩存的時機并不局限于 周期性更新,比如,當檢測發(fā)現(xiàn)ARP緩存中網(wǎng)關(guān)地址數(shù)據(jù)被修改后主動使 用網(wǎng)關(guān)地址列表進行更新,同樣可以保證當用戶主機査詢ARP緩存以獲取 到達網(wǎng)關(guān)的路徑時,能夠獲得正確的網(wǎng)關(guān)地址數(shù)據(jù),從而對ARP攻擊進行 防范,避免了網(wǎng)關(guān)ARP信息被篡改所導(dǎo)致的災(zāi)難性后果。通過上述實施例1的技術(shù)方案,由于用戶主機ARP緩存的更新不需要 主機用戶的人工參與,因此不再要求用戶具有一定的網(wǎng)絡(luò)和計算機知識,也 不再需要用戶進行程序的配置,簡便易行。進一步的,當網(wǎng)關(guān)地址發(fā)生變化 時,只需要更改網(wǎng)關(guān)地址列表上對應(yīng)的記錄,即可實現(xiàn)全部用戶主機更新獲 得更改后的正確地址,靈活快捷。一般來說,從服務(wù)器所獲得的網(wǎng)關(guān)地址列表中記錄的都是正確的網(wǎng)關(guān)地 址,但在管理員配置不當時,也可能導(dǎo)致本地網(wǎng)關(guān)IP不在預(yù)設(shè)的網(wǎng)關(guān)地址 列表范圍內(nèi),這時采用錯誤的網(wǎng)關(guān)地址列表進行刷新,將導(dǎo)致主機尋址不到 網(wǎng)關(guān)。因此,較佳的實施方式如圖2所示,為本發(fā)明所提供的一種防范利用 ARP進行網(wǎng)絡(luò)攻擊的方法實施例2,在實施例1的基礎(chǔ)上,步驟A1-3包括A1-3-1、獲取本地主機內(nèi)網(wǎng)網(wǎng)關(guān)IP;A1-3-2、檢査所述網(wǎng)關(guān)地址列表中是否存在與所述內(nèi)網(wǎng)網(wǎng)關(guān)IP匹配 的列表項;A1-3-3、是則,使用所述匹配的列表項更新本地主機的ARP緩存; A1-3-4、否則,重新執(zhí)行步驟A1-1。在本實施例2中,重新執(zhí)行步驟A1-1能夠獲取新的網(wǎng)關(guān)地址列表。當 在預(yù)定時間內(nèi)始終沒有匹配上,則向服務(wù)器報警。管理員可以根據(jù)警報檢查 網(wǎng)關(guān)地址列表的配置情況。或者,出現(xiàn)不存在與所述內(nèi)網(wǎng)網(wǎng)關(guān)IP匹配的列表項的情況,也可能是 用戶的動態(tài)主機配置協(xié)議(Dynamic Host Configuration Protocol,簡稱 DHCP)請求沒有得到正確的網(wǎng)關(guān)回應(yīng),導(dǎo)致本地網(wǎng)關(guān)IP不在服務(wù)器下發(fā)的 ARP列表范圍內(nèi)。為了克服這一問題,步驟A1-3-4也可以采取重新執(zhí)行步 驟A1-3-1來重新獲取內(nèi)網(wǎng)網(wǎng)關(guān)地址。較佳的實施方式可以采取如下操作當歩驟A1-3-2未發(fā)現(xiàn)匹配列表項 時,首先通過DHCP請求重新一次或者多次獲取內(nèi)網(wǎng)網(wǎng)關(guān)地址;如果重新獲 取的內(nèi)網(wǎng)網(wǎng)關(guān)地址始終無法匹配,則重新一次或者多次重新獲取網(wǎng)關(guān)地址列 表;如果重新獲取的網(wǎng)關(guān)地址列表還是無法匹配,則向服務(wù)器進行報警??偟膩碚f,通過使用內(nèi)網(wǎng)網(wǎng)關(guān)的IP地址匹配網(wǎng)關(guān)地址列表,可在ARP 緩存中針對性更新需要的地址,降低了更新數(shù)量。上述實施例1或2是從在ARP緩存自動更新網(wǎng)關(guān)地址的角度加以改進, 而對于網(wǎng)關(guān)的設(shè)置,仍可以按照現(xiàn)有技術(shù)中雙向綁定的方案,由管理員執(zhí)行 相應(yīng)綁定操作;或者,可以在實施例1或2的基礎(chǔ)上,通過下述操作實現(xiàn)對 于網(wǎng)關(guān)的相應(yīng)設(shè)置,如圖3所示,包括C1-1、獲取本地主機的IP地址和MAC地址;C1-2、將本地主機的IP地址和MAC地址發(fā)送給服務(wù)器,供服務(wù)器進行 相應(yīng)IP地址和MAC地址的網(wǎng)關(guān)固化操作。本步驟C1-1和C1-2與實施例1或2的步驟不存在嚴格的時序關(guān)系;比 如,可以發(fā)生在步驟A1-1的同時,即向服務(wù)器發(fā)起獲取網(wǎng)關(guān)地址列表的請 求的同時,就將本地主機的IP地址和MAC地址上報給服務(wù)器;或者,也可 以發(fā)生在接收到服務(wù)器響應(yīng)的網(wǎng)關(guān)地址列表之后。無論步驟C1-1和C1-2與實施例1或2步驟的時序關(guān)系如何,都在自動
更新用戶主機ARP緩存的基礎(chǔ)上,對于篡改網(wǎng)關(guān)設(shè)備ARP緩存中的用戶 ARP記錄行為提供了一種防范方案,不但有效防范了偽造網(wǎng)關(guān)地址的ARP 報文攻擊網(wǎng)絡(luò)的情況,還有效防范了偽造用戶地址進行網(wǎng)絡(luò)攻擊的情況,因 此從用戶主機和網(wǎng)關(guān)設(shè)備兩個方面綜合避免ARP病毒的大規(guī)模爆發(fā)。由于 是用戶主機主動上報,因此無需管理員進行網(wǎng)關(guān)側(cè)的綁定,也無需管理員在 用戶終端的地址發(fā)生改變時進行手動綁定調(diào)整,因此,進一步提高了簡便性 和靈活性,有效實現(xiàn)了對ARP攻擊的遏制。進一歩的,如果用戶主機是ARP攻擊源,其ARP信息可能不斷改變而 無法跟蹤,但由于該主機會不斷地向網(wǎng)絡(luò)中發(fā)送ARP請求或者回應(yīng)報文來 影響其它主機,因此通過檢測用戶主機ARP流量異常的情況,就能夠及時 發(fā)現(xiàn)中毒主機,因此在實施例1或?qū)嵤├?的基礎(chǔ)上,本發(fā)明還提供了對用 戶主機進行異常流量監(jiān)控的實施例,其流程圖如圖4所示,包括D1-1、監(jiān)控本地主機的ARP流量,主要監(jiān)控二層廣播報文流量;下面通過一個具體的實施例來說明對于本地主機ARP流量的監(jiān)控, 包括根據(jù)流量異常監(jiān)控項,周期性計算流經(jīng)網(wǎng)卡的流量;其中,該流量 異常監(jiān)控項可為服務(wù)器下發(fā),包括ARP廣播報文告警流量閾值和流量 統(tǒng)計時長;流量閾值分為兩種,包括ARP廣播報文告警流量閾值NU1 和ARP廣播報文告警流量閾值NU2。計算公式如下cFlow = cFlowEnd _ cFlowStart ;其中CFIOW為網(wǎng)卡流量;cFlowEnd:統(tǒng)計周期結(jié)束時間點,網(wǎng)卡流量信息; cFlowStart:統(tǒng)計周期開始時間點,網(wǎng)卡流量信息。 D1-2、當超過預(yù)設(shè)的流量閾值時,向服務(wù)器進行報警;比如上報流 里《曰息;D1-3、根據(jù)服務(wù)器對報警的響應(yīng),對本地主機進行相應(yīng)處理。 在本實施例中,該相應(yīng)處理包括告警終端用戶或者強制用戶下線等。 比如,當監(jiān)控本地主機的ARP流量超過預(yù)設(shè)的第一流量閾值NU1時, 客戶端根據(jù)所述服務(wù)器返回的指令對本地主機報警;當監(jiān)控本地主機的 ARP流量超過預(yù)設(shè)的第二流量閾值NU2時,客戶端根據(jù)所述服務(wù)器指
令,向主機發(fā)送下線報文,斷開本地主機的網(wǎng)絡(luò)連接??梢钥闯?,通過執(zhí)行本步驟D1-1至步驟D1-3,通過對用戶主機異常流 量的監(jiān)控,能夠進一步提高網(wǎng)絡(luò)安全性能夠?qū)崿F(xiàn)對用戶主機的強制下線處理,不再需要管理員現(xiàn)場操作來終止中毒主機對網(wǎng)絡(luò)的攻擊行為;同時,由 于能夠迅速對本地主機進行強制處理,因此即使用戶中了 ARP病毒,也不 會對局域網(wǎng)內(nèi)其它用戶造成破壞;以及,在監(jiān)控ARP病毒爆發(fā)的同時,還 可以有效控制其它病毒的爆發(fā)和廣播風暴的發(fā)生。綜上所述,通過上述圖1-圖4所示實施例,提供了一種適用于用戶 主機的方法,能夠簡單、靈活、有效地防范利用ARP進行網(wǎng)絡(luò)攻擊的行為。同時,本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述方法實施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成,所述的程序可以存儲 于一計算機可讀取存儲介質(zhì)中,應(yīng)用于用戶本地主機上,與網(wǎng)絡(luò)中的服務(wù)器配合防范ARP攻擊,該程序在執(zhí)行時,包括如下歩驟A1-1、向服務(wù)器發(fā)起獲取網(wǎng)關(guān)地址列表的請求,所述網(wǎng)關(guān)地址列表 用于記錄網(wǎng)關(guān)IP地址和對應(yīng)的MAC地址;A1-2、收到服務(wù)器響應(yīng)的網(wǎng)關(guān)地址列表后,對所述網(wǎng)關(guān)地址列表加 以保存;A1-3、使用所述網(wǎng)關(guān)地址列表,更新本地主機的ARP緩存。 所述的存儲介質(zhì)包括ROM/RAM、磁碟或者光盤等。 本發(fā)明還提供了一種防范利用ARP進行網(wǎng)絡(luò)攻擊的方法,其實施例1如圖5所示,應(yīng)用于服務(wù)器上,與網(wǎng)絡(luò)中的用戶主機配合防范ARP攻擊,包括以下步驟A2-1、在服務(wù)器預(yù)設(shè)的網(wǎng)關(guān)地址列表中記錄網(wǎng)關(guān)IP地址和對應(yīng)的 MAC地址;其中,由于每個局域網(wǎng)的網(wǎng)關(guān)IP和MAC都不確定,系統(tǒng)很難自動學習 和區(qū)分,因此,在服務(wù)器中預(yù)設(shè)網(wǎng)關(guān)地址列表的步驟一般由管理員手動操作 完成,即由管理員在管理服務(wù)器上設(shè)置網(wǎng)關(guān)IP、 MAC對應(yīng)列表,且隨著網(wǎng) 關(guān)情況的變化,隨時進行更新調(diào)整,以保證該網(wǎng)關(guān)列表的正確性;而且,在 該列表中所記錄局域網(wǎng)的網(wǎng)關(guān)地址可以為多個。A2-2、當接收到用戶主機獲取網(wǎng)關(guān)地址列表的請求時,將預(yù)設(shè)的網(wǎng)關(guān)地 址列表下發(fā)給用戶主機,供其進行ARP緩存的更新,該更新優(yōu)選為周期性更新。其中,接收到用戶主機獲取網(wǎng)關(guān)地址列表的請求包括兩種情況 一種情況是,接收到用戶主機發(fā)出的網(wǎng)關(guān)地址列表請求。在這種情況下,服務(wù)器只需要根據(jù)該請求直接返回預(yù)設(shè)的網(wǎng)關(guān)地址列表即可。另一種情況是,接收到用戶主機發(fā)出的身份認證請求。在這種情況下,需要進行用戶主機的身份認證,以進一步提高網(wǎng)絡(luò)安全性,其實施例如圖6所示,步驟A2-2包括A2-2-1、接收到用戶主機的身份認證請求, 一般來說,該請求中攜 帶有用戶主機的用戶名和密碼;A2-2-2、對所述用戶主機進行認證;A2-2-3、認證通過,將預(yù)設(shè)的網(wǎng)關(guān)地址列表下發(fā)給用戶主機,供其 進行ARP緩存的更新;A2-2-4、認證不通過,返回認證失敗報文,拒絕下發(fā)預(yù)設(shè)的網(wǎng)關(guān)地址列表。可以看出,通過本實施例1的上述步驟A2-1至A2-2,實現(xiàn)了對用戶主 機ARP緩存中網(wǎng)關(guān)正確地址的更新,避免了網(wǎng)關(guān)ARP信息被篡改所導(dǎo)致的 災(zāi)難性后果。同時,由于用戶主機ARP緩存的更新是通過服務(wù)器自動下發(fā) 的,不需要主機用戶的人工參與,因此不再要求用戶具有一定的網(wǎng)絡(luò)和計算 機知識,也不再需要用戶進行程序的配置,簡便易行。進一步的,當網(wǎng)關(guān)地 址發(fā)生變化時,只需要更改服務(wù)器上對應(yīng)的記錄即可,避免了用戶手動修改 的時間滯后,靈活快捷。與本發(fā)明所提供的前一種防范利用ARP進行網(wǎng)絡(luò)攻擊的方法類似,本 實施例同樣可以通過網(wǎng)關(guān)地址固化實現(xiàn)雙向綁定,通過對用戶主機的異常流 量監(jiān)控進一歩增強網(wǎng)絡(luò)安全性。具體的,如圖7所示,為進行用戶主機IP 地址和MAC地址網(wǎng)關(guān)固化操作的實施例的流程圖,包括C2-1、接收到所述用戶主機的IP地址和MAC地址;C2-2、檢查所述用戶主機是否通過認證,是則執(zhí)行步驟C2-3,否則 丟棄所述IP地址和MAC地址;之所以要進行認證檢驗,是為了增加安全性,使該綁定操作基于已
認證通過的客戶端進行。C2-3、將所述IP地址和MAC地址同步給所述網(wǎng)關(guān)地址列表上的網(wǎng)關(guān), 指令所述網(wǎng)關(guān)在ARP緩存中固化所述IP地址和MAC地址。需要指出,由于網(wǎng)關(guān)的存儲空間較大,因此在本步驟C2-3中采用的 是將IP地址和MAC地址同步給所述網(wǎng)關(guān)地址列表上的全部網(wǎng)關(guān);如果 從節(jié)約空間的角度來考慮,也可以采用將IP地址和MAC地址同步給用 戶主機對應(yīng)網(wǎng)關(guān)。另外,具體的固化過程可以按下述操作進行在網(wǎng)關(guān)的ARP列表中, 指令網(wǎng)關(guān)設(shè)備軟件對待固化ARP進行標識,并使其拒絕除老化或者可靠服 務(wù)器通知之外的任何修改請求。圖8所示,則為對用戶主機進行異常流量監(jiān)控的實施例的流程圖,包括:D2-1、向用戶主機下發(fā)流量異常監(jiān)控項,供所述用戶主機進行ARP 流量的監(jiān)控;舉例來說,下發(fā)的ARP流量異常監(jiān)控項可以包括ARP廣播報文 告警流量閾值和流量統(tǒng)計時長;技術(shù)人員可以根據(jù)實際處理需要,設(shè)置 所需的監(jiān)控項。D2-2、當收到所述用戶主機的超過預(yù)設(shè)流量閾值的報警時,定位異 常主機;D2-3、向所述異常主機下發(fā)處理指令,供其進行相應(yīng)處理。 綜上所述,通過上述圖5-圖8所示實施例,提供了一種適用于服務(wù) 器的方法,能夠簡單、靈活、有效地防范利用ARP進行網(wǎng)絡(luò)攻擊的行為。 同時,本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述方法實施例的全部或部 分步驟可以通過程序指令相關(guān)的硬件來完成,所述的程序可以存儲于一 計算機可讀取存儲介質(zhì)中,應(yīng)用于用戶本地主機上,與網(wǎng)絡(luò)中的服務(wù)器 配合防范ARP攻擊,該程序在執(zhí)行時,包括如下步驟A2-1、在服務(wù)器預(yù)設(shè)的網(wǎng)關(guān)地址列表中記錄網(wǎng)關(guān)IP地址和對應(yīng)的 MAC地址;A2-2、當接收到用戶主機獲取網(wǎng)關(guān)地址列表的請求時,將所述預(yù)設(shè)的網(wǎng) 關(guān)地址列表下發(fā)給用戶主機,供其進行ARP緩存的更新。 所述的存儲介質(zhì)包括ROM/RAM 、磁碟或者光盤等。
綜合上述提供的兩種方法可以看出,本發(fā)明的方法同樣能夠適用于服務(wù)器-客戶端聯(lián)合聯(lián)合防御和共同協(xié)作,如圖9所示,為在服務(wù)器-客戶端結(jié)構(gòu) 下, 一種防范利用ARP進行網(wǎng)絡(luò)攻擊方法的具體實施例的流程圖,包括以下歩驟A3-1、 一客戶端向服務(wù)器發(fā)起獲取網(wǎng)關(guān)地址列表的請求;A3-2、所述服務(wù)器將預(yù)設(shè)的網(wǎng)關(guān)地址列表發(fā)送給所述客戶端;.A3-3、所述客戶端使用所述網(wǎng)關(guān)地址列表,更新本地主機的ARP緩存??梢钥闯觯?wù)器應(yīng)客戶端的請求下發(fā)預(yù)設(shè)的網(wǎng)關(guān)地址列表,并由 客戶端進行本地主機的刷新,將能夠屏蔽ARP攻擊對于本地主機ARP 緩存的篡改,保證本地主機的報文得以發(fā)送給正確的網(wǎng)關(guān)。為了提高安全性,步驟A3-2之前還包括所述服務(wù)器對所述客戶端進 行認證的步驟。其一具體實施例如圖10所示,A3-2包括以下步驟 A3-2-1、客戶端向服務(wù)器上報用戶名、密碼,請求認證; A3-2-2、服務(wù)器根據(jù)該認證請求,對該用戶名和密碼執(zhí)行校驗; A3-2-3、校驗通過,則執(zhí)行步驟A3-2-4,否則執(zhí)行步驟A3-2-5; A3-24、服務(wù)器向客戶端返回認證成功報文,并在該報文中攜帶網(wǎng)關(guān)地 址列表;A3-2-5、校驗失敗,服務(wù)器向客戶端返回認證失敗報文,拒絕下發(fā) 預(yù)設(shè)的網(wǎng)關(guān)地址列表。同樣的,服務(wù)器-客戶端結(jié)構(gòu)下,也可以實現(xiàn)在網(wǎng)關(guān)進行用戶主機IP 地址和MAC地址的綁定操作;特別是,為了增加安全性,該綁定操作應(yīng) 該對已認證通過的客戶端進行。具體步驟如圖11所示,包括C3-1 、所述客戶端通過DHCP獲取本地主機的IP地址和MAC地址, 并發(fā)送給所述服務(wù)器;C3-2、所述服務(wù)器檢查所述用戶主機是否通過認證,是則執(zhí)行步驟 C3-3,否則丟棄所述IP地址和MAC地址;C3-3、將所述IP地址和MAC地址同步給所述網(wǎng)關(guān)地址列表上的網(wǎng)關(guān);C3-4、服務(wù)器指令所述網(wǎng)關(guān)將所述IP地址和MAC地址'在ARP緩存
中固化。服務(wù)器-客戶端結(jié)構(gòu)下,可以實現(xiàn)對用戶主機異常流量的協(xié)同監(jiān)控, 如圖12所示,包括以下歩驟D3-1、服務(wù)器向所述客戶端下發(fā)流量異常監(jiān)控項; D3-2、所述客戶端監(jiān)控本地主機的ARP流量,主要監(jiān)控二層廣播報 文流量;D3-3、當超過預(yù)設(shè)的流量閾值時,向所述服務(wù)器報警,比如上報流 里fe息;D3-4、所述服務(wù)器定位異常終端,并下發(fā)處理指令;D3-5、所述客戶端根據(jù)所述服務(wù)器返回的指令,對本地主機進行相 應(yīng)處理,包括告警終端用戶或者強制用戶下線等??梢钥闯?,本服務(wù)器-客戶端下防范利用ARP進行網(wǎng)絡(luò)攻擊的方法 的實施例,使服務(wù)器應(yīng)客戶端的請求下發(fā)預(yù)設(shè)的網(wǎng)關(guān)地址列表,并由客 戶端進行本地主機的刷新,將能夠屏蔽ARP攻擊對于本地主機ARP緩 存的篡改,保證本地主機的報文得以發(fā)送給正確的網(wǎng)關(guān)。因此,通過服 務(wù)器和客戶端的聯(lián)合防御和共同協(xié)作,能夠從根本上避免ARP病毒的大 規(guī)模爆發(fā)。本發(fā)明還提供了一種防范利用ARP進行網(wǎng)絡(luò)攻擊的客戶端200,應(yīng) 用于包括用戶主機400、服務(wù)器100和網(wǎng)關(guān)300的網(wǎng)絡(luò)中,且該客戶端 200對用戶主機400進行監(jiān)控,與用戶主機400 —一對應(yīng)。其實施例1 如圖13所示,包括網(wǎng)關(guān)地址列表請求單元201,用于向所述服務(wù)器100發(fā)起網(wǎng)關(guān)地址 列表請求或身份認證請求,并在收到所述服務(wù)器100響應(yīng)的網(wǎng)關(guān)地址列 表后加以保存;該網(wǎng)關(guān)地址列表用于記錄網(wǎng)關(guān)IP地址和對應(yīng)的MAC地 址;ARP更新單元202,用以使用上述保存的網(wǎng)關(guān)地址列表更新本地主 機400的ARP緩存。通過上述裝置,能夠?qū)崿F(xiàn)用戶主機400中網(wǎng)關(guān)地址的更新較佳的, 這種更新可以周期性的發(fā)生,比如1秒鐘進行一次更新;由于1秒為常 見ARP攻擊的刷新周期,因而以該周期進行主動更新,能夠及時對兩次
更新之間ARP緩存被篡改的情況進行糾正。為了實現(xiàn)這一目的,防范利用ARP進行網(wǎng)絡(luò)攻擊的客戶端的實施例2如圖14所示,該客戶端還包 括定時器203,用于周期性觸發(fā)ARP更新單元202??梢钥闯?,通過上述實施例1或?qū)嵤├?提供的客戶端,能夠?qū)崿F(xiàn) 在用戶主機自動更新正確的網(wǎng)關(guān)地址,實現(xiàn)了用戶主機400ARP緩存的 自動配置,簡便、靈活的對ARP攻擊加以防.范。較佳的,圖14所示的實施例2還提供了在網(wǎng)關(guān)側(cè)綁定用戶主機地址 的技術(shù)方案,即還包括主機地址上報單元204,用于獲取本地主機400 的IP地址和MAC地址,并發(fā)送給所述服務(wù)器100,供其進行相應(yīng)IP地 址和MAC地址的網(wǎng)關(guān)固化操作。進一歩的,為了全方位的實現(xiàn)ARP攻擊防御,實施例2所示客戶端 200還可進一步包括監(jiān)控報警單元205和監(jiān)控處理單元206,其中,監(jiān) 控報警單元205用于監(jiān)控本地主機400的ARP流量,并在超過預(yù)設(shè)的流 量閾值的情況下,向服務(wù)器100進行報警;監(jiān)控處理單元206用于根據(jù) 服務(wù)器100對報警的響應(yīng),對本地主機400進行相應(yīng)處理。更佳的,為 了保證ARP緩存更新內(nèi)容的正確性,所述客戶端200還可以包括內(nèi)網(wǎng)網(wǎng)關(guān)IP獲取單元207,用于獲取本地主機400內(nèi)網(wǎng)網(wǎng)關(guān)IP;網(wǎng)關(guān)IP匹配單元208,用于檢査網(wǎng)關(guān)地址列表請求單元201保存的 網(wǎng)關(guān)地址列表是否存在與所述內(nèi)網(wǎng)網(wǎng)關(guān)IP匹配的列表項,存在則觸發(fā)所 述ARP更新單元202。對由于網(wǎng)關(guān)地址列表本身存在問題,或者獲取的內(nèi)網(wǎng)網(wǎng)關(guān)IP存在問 題的情況,將無法匹配到合適的列表項,則此時,網(wǎng)關(guān)IP匹配單元208 將相應(yīng)觸發(fā)內(nèi)網(wǎng)網(wǎng)關(guān)IP獲取單元207,通過DHCP協(xié)議重新獲取內(nèi)網(wǎng)網(wǎng) 關(guān)IP;以及,在多次獲取內(nèi)網(wǎng)網(wǎng)關(guān)IP仍不匹配的情況下,觸發(fā)網(wǎng)關(guān)地址 列表請求單元201重新獲取網(wǎng)關(guān)地址列表,或者報警。通過上述圖13和圖14所示實施例,可以看出本發(fā)明所提供的防范 利用ARP進行網(wǎng)絡(luò)攻擊的客戶端能夠與預(yù)設(shè)有網(wǎng)關(guān)地址列表的服務(wù)器配 合,簡單、靈活、有效地防范利用ARP進行網(wǎng)絡(luò)攻擊的行為。其中,預(yù) 設(shè)網(wǎng)關(guān)地址列表的服務(wù)器100可以由本領(lǐng)域普通技術(shù)人員根據(jù)公知技術(shù) 實現(xiàn)。
本發(fā)明還提供了一種防范利用ARP進行網(wǎng)絡(luò)攻擊的服務(wù)器100,應(yīng) 用于包括用戶主機400和網(wǎng)關(guān)300的網(wǎng)絡(luò),如圖15所示,包括網(wǎng)關(guān)地址列表單元101,用于在預(yù)設(shè)的網(wǎng)關(guān)地址列表中記錄網(wǎng)關(guān)IP 地址和對應(yīng)的MAC地址;網(wǎng)關(guān)地址列表發(fā)送單元102,用于根據(jù)用戶主機400獲取網(wǎng)關(guān)地址 列表的請求,將預(yù)設(shè)的網(wǎng)關(guān)地址列表發(fā)送給用戶主機400,供其進行ARP 緩存的更新。由于用戶主機400獲取網(wǎng)關(guān)地址列表的請求包括網(wǎng)關(guān)地址列表請求 或身份認證請求;則較佳的,服務(wù)器100還可包括認證單元103,如圖 16所示,用于對用戶主機400的身份認證請求進行認證,并根據(jù)認證成 功結(jié)果觸發(fā)所述網(wǎng)關(guān)地址列表發(fā)送單元102。圖16為本發(fā)明提供的防范利用ARP進行網(wǎng)絡(luò)攻擊的服務(wù)器100實 施例2的框圖,其進一步可以包括主機地址固化單元104,用于接收用戶主機400發(fā)送的IP地址和 MAC地址,并在所述用戶主機400通過認證的情況下,同步給所述網(wǎng)關(guān) 地址列表上的網(wǎng)關(guān)300,指令所述網(wǎng)關(guān)300在ARP緩存中固化所述IP 地址和MAC地址,從而實現(xiàn)雙向綁定。以及,監(jiān)控指令單元105,用于向用戶主機400下發(fā)流量異常監(jiān)控 項,供所述用戶主機400進行ARP流量的監(jiān)控,以及收到用戶主機400 的超過預(yù)設(shè)流量閾值的報警時,定位異常主機并向所述異常主機下發(fā)處 理指令,供其進行相應(yīng)處理。通過上述圖15和圖16所示實施例,可以看出本發(fā)明所提供的防范 利用ARP進行網(wǎng)絡(luò)攻擊的服務(wù)器能夠與用戶主機配合,簡單、靈活、有 效地防范利用ARP進行網(wǎng)絡(luò)攻擊的行為。其中,用戶主機可以通過單獨 設(shè)置的客戶端進行與服務(wù)器的配合。較佳的,將上述提供的服務(wù)器和客戶端結(jié)合起來,能夠提供一種防 范利用ARP進行網(wǎng)絡(luò)攻擊的系統(tǒng),其具體實施例框圖如圖17所示。參見圖18,為本系統(tǒng)進行本地主機ARP列表設(shè)置的處理示意圖,包括以下處理操作(1)客戶端發(fā)起認證流程;(2) 認證成功,服務(wù)器返回管理員預(yù)設(shè)置的ARP列表;(3) 客戶端發(fā)起并處理DHCP請求,獲得網(wǎng)關(guān)的IP地址;(4) 客戶端根據(jù)ARP列表,更新本地主機的ARP緩存。 參見圖19,為本系統(tǒng)進行網(wǎng)關(guān)ARP固化的處理示意圖,通過服務(wù)器、客戶端和網(wǎng)關(guān)設(shè)備的協(xié)同處理,聯(lián)合防御ARP欺騙,包括以下處理操作(1) 客戶端發(fā)起認證流程;(2) 認證成功,服務(wù)器返回管理員預(yù)設(shè)置的ARP列表;(5) 客戶端發(fā)起并處理DHCP請求,獲得本地終端的IP地址和MAC地 址;(6) 客戶端向服務(wù)器上報本地主機的IP+MAC;(7) 服務(wù)器向網(wǎng)關(guān)下發(fā)用戶主機的IP+MAC;(8) 網(wǎng)關(guān)在ARP表中固化對應(yīng)的IP+MAC。參見圖20,為本系統(tǒng)進行主機異常流量監(jiān)控的處理示意圖,包括以下處理操作(9) 服務(wù)器向客戶端下發(fā)流量異常監(jiān)控項;(10) 客戶端統(tǒng)計本地主機流量;(11) 當有流量異常時,客戶端向服務(wù)器上報流量信息;(12) 服務(wù)器向客戶端下發(fā)控制信息;(13) 客戶端根據(jù)控制信息提示用戶流量異?;蚴菍⒂脩魪娭葡戮€。 綜上所述,通過本發(fā)明所提供的防范利用ARP進行網(wǎng)絡(luò)攻擊的系統(tǒng),能夠在服務(wù)器上配置正確的ARP表,由客戶端定時刷新,網(wǎng)關(guān)設(shè)備固化正 確的用戶ARP表項以及客戶端進行異常流量監(jiān)控,即通過服務(wù)器、客戶端 和網(wǎng)關(guān)三個環(huán)節(jié)的共同協(xié)作,自動完成了在網(wǎng)關(guān)和用戶主機的雙向綁定,靈 活、簡便、有效的防范了網(wǎng)絡(luò)ARP攻擊。最后所應(yīng)說明的是,以上實施例僅用以說明本發(fā)明的技術(shù)方案而非限 制,盡管參照較佳實施例對本發(fā)明進行了詳細說明,本領(lǐng)域的普通技術(shù)人員 應(yīng)當理解,可以對本發(fā)明的技術(shù)方案進行修改或者等同替換,而不脫離本發(fā) 明技術(shù)方案的精神和范圍。
權(quán)利要求
1.一種防范利用ARP進行網(wǎng)絡(luò)攻擊的方法,應(yīng)用于用戶本地主機上,與網(wǎng)絡(luò)中的服務(wù)器配合防范ARP攻擊,其特征在于,包括以下步驟A1-1、向服務(wù)器發(fā)起獲取網(wǎng)關(guān)地址列表的請求,所述網(wǎng)關(guān)地址列表用于記錄網(wǎng)關(guān)IP地址和對應(yīng)的MAC地址;A1-2、收到服務(wù)器響應(yīng)的網(wǎng)關(guān)地址列表后,對所述網(wǎng)關(guān)地址列表加以保存;A1-3、使用所述網(wǎng)關(guān)地址列表,更新本地主機的ARP緩存。
2. 根據(jù)權(quán)利要求1所述的防范利用ARP進行網(wǎng)絡(luò)攻擊的方法,其特 征在于,所述更新本地主機的ARP緩存為周期性更新用戶主機的ARP緩存。
3. 根據(jù)權(quán)利要求1或2所述的防范利用ARP進行網(wǎng)絡(luò)攻擊的方法, 其特征在于,還包括C1-1、獲取本地主機的IP地址和MAC地址;C1-2、將本地主機的IP地址和MAC地址發(fā)送給服務(wù)器,供服務(wù)器 進行相應(yīng)IP地址和MAC地址的網(wǎng)關(guān)固化操作。
4. 根據(jù)權(quán)利要求1或2所述的防范利用ARP進行網(wǎng)絡(luò)攻擊的方法, 其特征在于,還包括D1-1、監(jiān)控本地主機的ARP流量;D1-2、當超過預(yù)設(shè)的流量閾值時,向服務(wù)器進行報警;D1-3、根據(jù)服務(wù)器對報警的響應(yīng),對本地主機進行相應(yīng)處理。
5. 根據(jù)權(quán)利要求4所述的防范利用ARP進行網(wǎng)絡(luò)攻擊的方法,其特 征在于,所述對本地主機進行相應(yīng)處理包括當監(jiān)控本地主機的ARP流量超過預(yù)設(shè)的第一流量閾值時,對本地主 機報警;當監(jiān)控本地主機的ARP流量超過預(yù)設(shè)的第二流量閾值時,斷開本地 主機的網(wǎng)絡(luò)連接;其中,監(jiān)控本地主機的ARP流量為監(jiān)控本地主機的二層廣播報文數(shù)。
6. 根據(jù)權(quán)利要求1或2所述的防范利用ARP進行網(wǎng)絡(luò)攻擊的方法, 其特征在于,歩驟A1-1中所述向服務(wù)器發(fā)起獲取網(wǎng)關(guān)地址列表的請求包 括向服務(wù)器發(fā)起網(wǎng)關(guān)地址列表請求或身份認證請求。
7. 根據(jù)權(quán)利要求1或2所述的防范利用ARP進行網(wǎng)絡(luò)攻擊的方法, 其特征在于,所述步驟A1-3包括A1-3-1、獲取本地主機內(nèi)網(wǎng)網(wǎng)關(guān)IP;A1-3-2、檢查所述網(wǎng)關(guān)地址列表中是否存在與所述內(nèi)網(wǎng)網(wǎng)關(guān)IP匹配 的列表項;A1-3-3、是則,使用所述匹配的列表項更新本地主機的ARP緩存; 否則,重新執(zhí)行步驟A1-1或步驟A1-3-1或向服務(wù)器報警。
8. —種防范利用ARP進行網(wǎng)絡(luò)攻擊的方法,應(yīng)用于服務(wù)器上,與網(wǎng) 絡(luò)中的用戶主機配合防范ARP攻擊,其特征在于,包括以下步驟A2-1、在服務(wù)器預(yù)設(shè)的網(wǎng)關(guān)地址列表中記錄網(wǎng)關(guān)IP地址和對應(yīng)的 MAC地址;A2-2、當接收到用戶主機獲取網(wǎng)關(guān)地址列表的請求時,將所述預(yù)設(shè) 的網(wǎng)關(guān)地址列表下發(fā)給用戶主機,供其進行ARP緩存的更新。
9. 根據(jù)權(quán)利要求8所述的防范利用ARP進行網(wǎng)絡(luò)攻擊的方法,其特 征在于,所述接收到用戶主機獲取網(wǎng)關(guān)地址列表的請求包括接收到網(wǎng)關(guān) 地址列表請求或身份認證請求;對于接收到身份認證請求的情況,步驟 A2-2包括A2-2-1、接收到用戶主機的身份認證請求; A2-2-2、對所述用戶主機進行認證;A2-2-3、認證通過,將預(yù)設(shè)的網(wǎng)關(guān)地址列表下發(fā)給用戶主機,供其 進行ARP緩存的更新;A2-2-4、認證不通過,拒絕下發(fā)預(yù)設(shè)的網(wǎng)關(guān)地址列表。
10. 根據(jù)權(quán)利要求9所述的防范利用ARP進行網(wǎng)絡(luò)攻擊的方法,其 特征在于,還包括C2-1、接收到所述用戶主機的IP地址和MAC地址;C2-2、檢查所述用戶主機是否通過認證,是則執(zhí)行步驟C2-3,否則丟棄所述IP地址和MAC地址;C2-3、將所述IP地址和MAC地址同歩給所述網(wǎng)關(guān)地址列表上的網(wǎng)關(guān),指令所述網(wǎng)關(guān)在ARP緩存中固化所述IP地址和MAC地址。
11. 根據(jù)權(quán)利要求8或9所述的防范利用ARP進行網(wǎng)絡(luò)攻擊的方法,其特征在于,還包括D2-1、向用戶主機下發(fā)流量異常監(jiān)控項,供所述用戶主機進行ARP流量的監(jiān)控;D2-2、當收到所述用戶主機的超過預(yù)設(shè)流量閾值的報警時,定位異 常主機;D2-3、向所述異常主機下發(fā)處理指令,供其進行相應(yīng)處理。
12. —種防范利用ARP進行網(wǎng)絡(luò)攻擊的客戶端,應(yīng)用于包括用戶主 機、服務(wù)器和網(wǎng)關(guān)的網(wǎng)絡(luò),其特征在于,所述客戶端應(yīng)用于用戶主機上, 包括網(wǎng)關(guān)地址列表請求單元,用于向所述服務(wù)器發(fā)起網(wǎng)關(guān)地址列表請求 或身份認證請求,并在收到所述服務(wù)器響應(yīng)的網(wǎng)關(guān)地址列表后加以保存; 所述網(wǎng)關(guān)地址列表用于記錄網(wǎng)關(guān)IP地址和對應(yīng)的MAC地址;ARP更新單元,用以使用上述保存的網(wǎng)關(guān)地址列表更新本地主機的 ARP緩存。
13. 根據(jù)權(quán)利要求12所述的防范利用ARP進行網(wǎng)絡(luò)攻擊的客戶端, 其特征在于,還包括定時器,用于周期性觸發(fā)所述ARP更新單元。
14. 根據(jù)權(quán)利要求12或13所述的防范利用ARP進行網(wǎng)絡(luò)攻擊的客 戶端,其特征在于,還包括主機地址上報單元,用于獲取本地主機的IP 地址和MAC地址,并發(fā)送給所述服務(wù)器,供其進行相應(yīng)IP地址和MAC 地址的網(wǎng)關(guān)固化操作。
15. 根據(jù)權(quán)利要求12或13所述的防范利用ARP進行網(wǎng)絡(luò)攻擊的客 戶端,其特征在于,還包括監(jiān)控報警單元和監(jiān)控處理單元;所述監(jiān)控報警單元,用于監(jiān)控本地主機的ARP流量,并在超過預(yù)設(shè) 的流量閾值的情況下,向所述服務(wù)器進行報警;所述監(jiān)控處理單元,用于根據(jù)服務(wù)器對報警的響應(yīng),對本地主機進 行相應(yīng)處理。
16. 根據(jù)權(quán)利要求12或13所述的防范利用ARP進行網(wǎng)絡(luò)攻擊的客戶端,其特征在于,還包括內(nèi)網(wǎng)網(wǎng)關(guān)IP獲取單元,用于獲取本地主機內(nèi)網(wǎng)網(wǎng)關(guān)IP; 網(wǎng)關(guān)IP匹配單元,用于檢査網(wǎng)關(guān)地址列表請求單元保存的網(wǎng)關(guān)地址列表是否存在與所述內(nèi)網(wǎng)網(wǎng)關(guān)IP匹配的列表項,存在則觸發(fā)所述ARP更新單元。
17. —種防范利用ARP進行網(wǎng)絡(luò)攻擊的服務(wù)器,應(yīng)用于包括用戶主 機和網(wǎng)關(guān)的網(wǎng)絡(luò),其特征在于,所述服務(wù)器包括網(wǎng)關(guān)地址列表單元,用于在預(yù)設(shè)的網(wǎng)關(guān)地址列表中記錄網(wǎng)關(guān)IP地址 和對應(yīng)的MAC地址;網(wǎng)關(guān)地址列表發(fā)送單元,用于根據(jù)用戶主機獲取網(wǎng)關(guān)地址列表的請 求,將預(yù)設(shè)的網(wǎng)關(guān)地址列表發(fā)送給用戶主機,供其進行ARP緩存的更新。
18. 根據(jù)權(quán)利要求17所述的防范利用ARP進行網(wǎng)絡(luò)攻擊的服務(wù)器, 其特征在于,所述用戶主機獲取網(wǎng)關(guān)地址列表的請求包括網(wǎng)關(guān)地址列表 請求或身份認證請求;則所述服務(wù)器還包括認證單元,用于對用戶主機 的身份認證請求進行認證,并根據(jù)認證成功結(jié)果觸發(fā)所述網(wǎng)關(guān)地址列表 發(fā)送單元。
19. 根據(jù)權(quán)利要求18所述的防范利用ARP進行網(wǎng)絡(luò)攻擊的服務(wù)器, 其特征在于,還包括主機地址固化單元,用于接收用戶主機發(fā)送的IP地 址和MAC地址,并在所述用戶主機通過認證的情況下,同歩給所述網(wǎng)關(guān) 地址列表上的網(wǎng)關(guān),指令所述網(wǎng)關(guān)在ARP緩存中固化所述IP地址和MAC地址。
20. 根據(jù)權(quán)利要求17所述的防范利用ARP進行網(wǎng)絡(luò)攻擊的服務(wù)器, 其特征在于,還包括監(jiān)控指令單元,用于向用戶主機下發(fā)流量異常監(jiān)控 項,供所述用戶主機進行ARP流量的監(jiān)控,以及收到用戶主機的超過預(yù) 設(shè)流量閾值的報警時,定位異常主機并向所述異常主機下發(fā)處理指令, 供其進行相應(yīng)處理。
21. —種防范利用ARP進行網(wǎng)絡(luò)攻擊的系統(tǒng),其特征在于包括如 權(quán)利要求12-16任一所述的客戶端,以及如權(quán)利要求17-20任一所述的 服務(wù)器。
全文摘要
本發(fā)明公開了防范利用ARP進行網(wǎng)絡(luò)攻擊的方法以及應(yīng)用該方法的客戶端、服務(wù)器及系統(tǒng)。其中應(yīng)用于客戶端的方法包括向服務(wù)器發(fā)起獲取網(wǎng)關(guān)地址列表的請求,該網(wǎng)關(guān)地址列表用于記錄網(wǎng)關(guān)IP地址和對應(yīng)的MAC地址;收到服務(wù)器響應(yīng)的網(wǎng)關(guān)地址列表后,對該網(wǎng)關(guān)地址列表加以保存;使用該網(wǎng)關(guān)地址列表,更新本地主機的ARP緩存。應(yīng)用于服務(wù)器的方法包括在服務(wù)器預(yù)設(shè)的網(wǎng)關(guān)地址列表中記錄網(wǎng)關(guān)IP地址和對應(yīng)的MAC地址;當接收到用戶主機獲取網(wǎng)關(guān)地址列表的請求時,將所述預(yù)設(shè)的網(wǎng)關(guān)地址列表下發(fā)給用戶主機,供其進行ARP緩存的更新。通過本發(fā)明的技術(shù)方案,能夠簡單、靈活、有效地防范利用ARP進行網(wǎng)絡(luò)攻擊的行為。
文檔編號H04L29/12GK101119371SQ20071012086
公開日2008年2月6日 申請日期2007年8月28日 優(yōu)先權(quán)日2007年8月28日
發(fā)明者劉恒勝 申請人:杭州華三通信技術(shù)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1