專利名稱:一種防御Arp病毒攻擊的方法
技術領域:
本發(fā)明涉及一種網絡安全防護技術�����,尤其涉及一種防御Arp病毒攻擊的方法。
背景技術:
Arp病毒是現(xiàn)在計算機網絡中出現(xiàn)的一種木馬病毒�����,它利用網絡傳輸協(xié)議的漏洞�,攻擊 二層網絡設備和二層網絡上的網關設備��,導致計算機網絡無法正常通信���。
通常人們在應用層上采用一些簡單辦法�����,往往只能夠解決一時問題�����,隨著病毒的進一歩 發(fā)展����,簡單方法又會失效��,所以計算機網絡中�,ARP病毒攻擊網絡的情況呈現(xiàn)周期性地爆發(fā); 有些防ARP攻擊的軟件雖然做得好,解決了安裝這種軟件電腦的問題���;但對一些運營大型網 絡的公司來說��,其用戶數(shù)量眾多���,情況復雜,很難動員安裝統(tǒng)一的防ARP攻擊軟件�����,使得網 絡經常發(fā)生難以克服的ARP病毒攻擊��,人們時常需要通過到現(xiàn)場逐一斷丌網絡分支線�����,查找 病毒攻擊源頭��,大大增加了網絡維護人員的勞動強度�����,并且ARP病毒攻擊網絡的地點和時間 都是隨機出現(xiàn)的��,單靠上述軟件的防御辦法是無法解決運營網絡的安全保護問題的。 發(fā)明內容本發(fā)明公開了一種防御Arp病毒攻擊的方法��,包括管理服務器為每個客戶端綁定一個 獨立的網關IP�����,采用客戶端軟件對用戶接收或發(fā)送的Arp數(shù)據(jù)包進行過濾�����,采用控制網關攔 截未安裝客戶端軟件的新用戶并將該用戶引導到提示用戶安裝防御Arp病毒攻擊客戶端軟件 的web頁�����,采用管理服務器對所有用戶信息進行實時統(tǒng)計并將客戶端Mac地址列表的更新信 息實時發(fā)送給控制網關�����。
所述的管理服務器為每個客戶端綁定一個獨立的網關IP��,包括客戶端軟件把本地信息 傳遞給管理服務器�,管理服務器為該客戶端分配一個獨立的網關IP����,管理服務器把該客戶端 的IP和Mac對應關系通知對應的控制網關�����,并實施綁定���,保護用戶Arp列表不被欺騙。
所述客戶端軟件包括Mac(Media Access Control,介質訪問控制)地址列表和規(guī)則表�,Mac 地址列表中存儲有客戶端IP、 Mac信息和網絡鄰居IP�、 Mac信息,規(guī)則表中存儲有網關Mac 地址����、IP地址,用戶登錄時客戶端軟件自動檢測是否有網關Mac地址列表的更新信息并對網 關Mac地址列表進行自動探測��。
采用客戶端軟件對用戶接收或發(fā)送的Arp數(shù)據(jù)包進行過濾���,包括
對于接收Arp數(shù)據(jù)包的情況客戶端軟件對源地址為網關IP的Arp數(shù)據(jù)包���,將其源地址 與網關Mac地址列表進行比對,如果IP和Mac地址與網關Mac地址列表中的相應信息完全 一樣�����,則將該Arp數(shù)據(jù)包交由上層程序處理;如果不一樣則丟棄該Arp數(shù)據(jù)包�����;對于網絡鄰 居發(fā)送的Arp數(shù)據(jù)包�����,檢測該網絡鄰居是否允許互訪����,允許則接收該Arp數(shù)據(jù)包���,不允許則
4丟棄該Arp數(shù)據(jù)包��;
對于發(fā)送Arp數(shù)據(jù)包的情況客戶端軟件檢測該Arp數(shù)據(jù)包的IP��、 Mac在規(guī)則表中是否 存在�����,存在則發(fā)送該Arp數(shù)據(jù)包并對發(fā)送數(shù)量實施流量控制�,否則丟棄改Arp數(shù)據(jù)包��;所述 規(guī)則表包括該Arp數(shù)據(jù)包發(fā)送的源Mac地址是否為本地Mac地址、目的Mac地址是否為 網關Mac地址列表中的網關地址����。
釆用令牌桶算法實施對發(fā)送數(shù)量的流量控制。
采用控制網關攔截未安裝客戶端軟件的新用戶并將該用戶引導到提示用戶安裝防御Arp 病毒攻擊客戶端軟件的web頁��,以此提示用戶安裝防御Arp病毒攻擊客戶端軟件�。
采用管理服務器對所有用戶信息進行實時統(tǒng)計,其統(tǒng)計的用戶信息包括用戶的登^帳 號����、操作系統(tǒng)版本、IP地址�����、Mac地址����、攻擊次數(shù)、被攻擊次數(shù)��。
管理服務器將客戶端Mac地址列表的更新信息實時發(fā)送給控制網關���,包括用戶安裝防 御Arp病毒攻擊客戶端軟件后����,防御Arp病毒攻擊客戶端軟件自動將該用戶的IP、 Mac�、所 在的網段、操作系統(tǒng)版本號���、網關信息上報給管理服務器�����,管理服務器將其作為網關Mac地 址列表的更新信息發(fā)送給控制網關并指不控制網關放行該用戶的數(shù)據(jù)包����。
本發(fā)明的有益技術效果是在用戶端驅動層實施Arp病毒包攔截���,客戶端與管理服務器 聯(lián)動,迫使網絡中每個用戶必須安裝Arp防御客廣端���,使防御系統(tǒng)規(guī)范化����,避免被攻擊���,并 能及時發(fā)現(xiàn)攻擊源�,無需投入大量資金升級、改造二層網絡�。
圖l,采用本發(fā)明的一種網絡結構拓撲圖中客戶端l��、 二層交換機2���、 CMTS3����、管理服務器4���、控制網關5���、三層交換機6。
具體實施例方式
參見附圖1���,拓撲圖由六部分組成客戶端1�����、 二層交換機2�、 CMTS 3 (Cable Modem Termination Systems,電纜調制解調器)、管理服務器4�、控制網關5、三層交換機6����。 控制網關IP:172.31.33.100/24 管理服務器IP: 172.31.33.200/24 客戶端172.31.33.0/24
從圖屮可以看出,用戶要上網��,必須安客戶端軟件��,因為控制網關放在網絡的關鍵地方��, 所有數(shù)據(jù)包必須通過它才能到達要訪問的目標服務器�。
客戶端軟件把本地信息傳遞給管理服務器,管理服務器為該客戶端分配-一個獨立的網關 IP�����,管理服務器把該客戶端的IP和Mac對應關系通知對應的控制網關�,并實施綁定,保護用 戶Arp列表不被欺騙�。
客戶端軟件中記錄有Mac地址列表和規(guī)則表�����,Mac地址列表中記錄的是客戶端IP、 Mac 信息和網絡鄰居IP���、 Mac信息��,規(guī)則表中記錄的是網關Mac地址����、IP地址��,用戶登錄時客戶端軟件自動檢測是否有網關Mac地址列表的更新信息并對網關Mac地址列表進行自動探測��。 當客戶端接收到Arp數(shù)據(jù)包時�,客戶端軟件對源地址為網關IP的Arp數(shù)據(jù)包,將其源地 址與網關Mac地址列表進行比對���,如果IP和Mac地址與網關Mac地址列表中的相應信息完 全一樣���,則將該Arp數(shù)據(jù)包交由上層程序處理;如果不一樣則丟棄該Arp數(shù)據(jù)包�����;對于網絡 鄰居發(fā)送的Arp數(shù)據(jù)包,檢測該網絡鄰居是否允許互訪����,允許則接收該Arp數(shù)據(jù)包, 不允許則丟棄該Arp數(shù)據(jù)包����;
當客戶端發(fā)送Arp數(shù)據(jù)包時,客戶端軟件檢測該Arp數(shù)據(jù)包的IP��、 Mac在規(guī)則表中是否 存在���,存在則發(fā)送改Arp數(shù)據(jù)包并對發(fā)送數(shù)量實施流量控制�����,否則丟棄該Arp數(shù)據(jù)包��;所述 規(guī)則表包括該Arp數(shù)據(jù)包發(fā)送的源Mac地址是否為本地Mac地址�����、目的Mac地址是否為 網關Mac地址列表中的網關地址��。
控制網關還可以攔截未安裝客戶端軟件的新用戶并將該用戶引導到提示用戶安裝防御 Arp病毒攻擊客戶端軟件的web頁����,以此提示用戶安裝防御Arp病毒攻擊客戶端軟件�。
管理服務器對所有用戶信息進行實時統(tǒng)計,其統(tǒng)計的用戶信息包括用戶的登錄帳號�����、 操作系統(tǒng)版本�����、IP地址�����、Mac地址����、攻擊次數(shù)、被攻擊次數(shù)�;
用戶安裝防御Arp病毒攻擊客戶端軟件后,防御Arp病毒攻擊客戶端軟件自動將該用戶 的IP�����、 Mac、所在的網段���、操作系統(tǒng)版本號����、網關信息上報給管理服務器��,管理服務器將其 作為網關Mac地址列表的更新信息發(fā)送給控制網關并指示控制網關放行該用戶的數(shù)據(jù)包�����。
權利要求
1��、一種防御Arp病毒攻擊的方法���,其特征在于管理服務器為每個客戶端綁定一個獨立的網關IP���,采用客戶端軟件對用戶接收或發(fā)送的Arp數(shù)據(jù)包進行過濾,采用控制網關攔截未安裝客戶端軟件的新用戶并將該用戶引導到提示用戶安裝防御Arp病毒攻擊客戶端軟件的web頁�,采用管理服務器對所有用戶信息進行實時統(tǒng)計并將客戶端Mac地址列表的更新信息實時發(fā)送給控制網關。
2����、 根據(jù)權利要求l所述的一種防御Arp病毒攻擊的方法�,其特征在于所述的管理服務 器為每個客戶端綁定一個獨立的網關IP,包括客戶端軟件把木地信息傳遞給管理服務器����, 管理服務器為該客戶端分配一個獨立的網關IP��,管理服務器把該客戶端的IP和Mac對應關 系通知對應的控制網關�����,并實施綁定��,保護用戶Arp列表不被欺騙�。
3、 根據(jù)權利要求l所述的一種防御Arp病毒攻擊的方法��,其特征在于所述客戶端軟件 包括Mac地址列表和規(guī)則表�����,Mac地址列表屮存儲有客戶端IP����、 Mac信息和網絡鄰居IP、 Mac信息���,規(guī)則表中存儲有網關Mac地址�、IP地址,用戶登錄時客戶端軟件自動檢測是否有 網關Mac地址列表的更新信息并對網關Mac地址列表進行fi動探測���。
4����、 根據(jù)權利要求1所述的一種防御Arp病毒攻擊的方法�����,其特征在于采用客戶端軟件 對用戶接收或發(fā)送的Arp數(shù)據(jù)包進行過濾�,包括對于接收Arp數(shù)據(jù)包的情況客戶端軟件對源地址為網關IP的Arp數(shù)據(jù)包,將其源地址 與網關Mac地址列表進行比對����,如果IP和Mac地址與網關Mac地址列表中的相應信息完全 -樣,則將該Arp數(shù)據(jù)包交由上層程序處理���;如果不樣則丟棄該Arp數(shù)據(jù)包����;對于網絡鄰 居發(fā)送的Arp數(shù)據(jù)包�,檢測該網絡鄰居是否允許互訪��,允許則接收該Arp數(shù)據(jù)包�����,不允許則 丟棄該Arp數(shù)據(jù)包���;對于發(fā)送Arp數(shù)據(jù)包的情況客戶端軟件檢測該Arp數(shù)據(jù)包的IP、 Mac在規(guī)則表中是否 存在���,存在則發(fā)送該Arp數(shù)據(jù)包并對發(fā)送數(shù)量實施流量控制,否則丟棄該Arp數(shù)據(jù)包�����;所述 規(guī)則表包括該Arp數(shù)據(jù)包發(fā)送的源Mac地址是否為本地Mac地址���、目的Mac地址是否為 網關Mac地址列表中的網關地址�。
5����、 根據(jù)權利要求4所述的一種防御Arp病毒攻擊的方法,其特征在于采用令牌桶算法 實施對發(fā)送數(shù)量的流量控制�。
6��、 根據(jù)權利要求1所述的一種防御Arp病毒攻擊的方法���,其特征在于采用控制網關攔 截未安裝客戶端軟件的新用戶并將該用戶引導到提示用戶安裝防御Arp病毒攻擊客戶端軟件 的web頁,以此提示用戶安裝防御Arp病毒攻擊客戶端軟件�。
7、 根據(jù)權利要求l所述的一種防御Arp病毒攻擊的方法����,其特征在于采用管理服務器對所有用戶信息進行實時統(tǒng)計,其統(tǒng)計的用戶信息包括用戶的登錄帳號�、操作系統(tǒng)版本、 IP地址����、Mac地址、攻擊次數(shù)��、被攻擊次數(shù)��。
8����、根據(jù)權利要求l所述的一種防御Arp病毒攻擊的方法,其特征在于管理服務器將客 戶端Mac地址列表的更新信息實時發(fā)送給控制網關,包括用戶安裝防御Arp病毒攻擊客戶 端軟件后���,防御Arp病毒攻擊客戶端軟件自動將該用戶的IP����、 Mac�、所在的網段、操作系統(tǒng) 版本號����、網關信息上報給管理服務器,管理服務器將其作為網關Mac地址列表的更新信息發(fā) 送給控制網關并指示控制網關放行該用戶的數(shù)據(jù)包����。
全文摘要
一種防御Arp病毒攻擊的方法����,包括管理服務器為每個客戶端綁定一個獨立的網關IP,采用客戶端軟件對用戶接收或發(fā)送的Arp數(shù)據(jù)包進行過濾���,采用控制網關攔截未安裝客戶端軟件的新用戶并將該用戶引導到提示用戶安裝防御Arp病毒攻擊客戶端軟件的web頁�����,采用管理服務器對所有用戶信息進行實時統(tǒng)計并將客戶端Mac地址列表的更新信息實時發(fā)送給控制網關�����;本發(fā)明的有益技術效果是在用戶端驅動層實施Arp病毒包攔截��,客戶端與管理服務器聯(lián)動�,迫使網絡中每個用戶必須安裝Arp防御客戶端,使防御系統(tǒng)規(guī)范化����,避免被攻擊,并能及時發(fā)現(xiàn)攻擊源����,無需投入大量資金升級、改造二層網絡��。
文檔編號H04L29/06GK101616131SQ20081006987
公開日2009年12月30日 申請日期2008年6月24日 優(yōu)先權日2008年6月24日
發(fā)明者成 徐, 領 王, 躍 趙, 趙良斌, 敏 鄧 申請人:重慶廣用通信技術有限責任公司