亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種地址解析協(xié)議攻擊防范方法、設(shè)備和通信網(wǎng)絡(luò)的制作方法

文檔序號(hào):7923825閱讀:148來(lái)源:國(guó)知局
專(zhuān)利名稱(chēng):一種地址解析協(xié)議攻擊防范方法、設(shè)備和通信網(wǎng)絡(luò)的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及通信技術(shù)領(lǐng)域,特別是涉及一種地址解析協(xié)議攻擊防范方法、 設(shè)備和通信網(wǎng)絡(luò)。
背景技術(shù)
ARP ( Address Resolution Protocol,地址解析協(xié)議)由于本身過(guò)于簡(jiǎn)單和 開(kāi)放,沒(méi)有任何的安全手段,為非法攻擊留下了廣闊的空間。ARP攻擊可以 造成大面積的局域網(wǎng)用戶掉線而上不了網(wǎng),還可以竊聽(tīng)用戶數(shù)據(jù),偏l又網(wǎng)上 銀行的用戶名和密碼等一些重要數(shù)據(jù)。所以,對(duì)于防止ARP攻擊,保證用戶 正常上網(wǎng),隱私數(shù)據(jù)不被非法分子竊取,成了當(dāng)前局域網(wǎng)攻擊防范的重中之 重。
攻擊方式,針對(duì)用戶網(wǎng)關(guān)的攻擊方式主要是改變真實(shí)用戶的IP (Internet Protocol ,因特網(wǎng)協(xié)議)地址和MAC ( Media Access Control ,介質(zhì)訪問(wèn)控制) 地址的對(duì)應(yīng)關(guān)系,導(dǎo)致用戶無(wú)法接收返回的數(shù)據(jù)報(bào)文;針對(duì)用戶主機(jī)的攻擊 方式主要是改變用戶網(wǎng)關(guān)的IP地址和MAC地址的對(duì)應(yīng)關(guān)系,導(dǎo)致用戶往外發(fā) 送數(shù)據(jù)時(shí),不能正確發(fā)送到網(wǎng)關(guān),從而,造成用戶數(shù)據(jù)被竊取或者斷線。
現(xiàn)有技術(shù)中,主要是通過(guò)ARP雙向靜態(tài)綁定的方法防范以上ARP攻擊方 式,該方法是在接入設(shè)備(類(lèi)似于小區(qū)或?qū)W校的接入設(shè)備)和主機(jī)上分別進(jìn) 行ARP靜態(tài)綁定,可以防止ARP攻擊。在主機(jī)上綁定網(wǎng)關(guān)的IP地址和MAC地 址,可以采取手動(dòng)綁定的方式,也可以采取軟件輔助綁定。該方法可以抵御 現(xiàn)在所有的ARP攻擊方式,包括通過(guò)網(wǎng)絡(luò)剪刀手,網(wǎng)絡(luò)執(zhí)法官的攻擊方式。 在實(shí)現(xiàn)本發(fā)明的過(guò)程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問(wèn)題 現(xiàn)有技術(shù)所提供的ARP雙向靜態(tài)綁定的技術(shù)方案中,配置和維護(hù)的工作 量太大,容易出錯(cuò),而且不容易維護(hù),新用戶加入和老用戶退出都需要人工在網(wǎng)關(guān)設(shè)備上進(jìn)行操作,無(wú)形中增加了維護(hù)成本和工作量。

發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供了一種ARP攻擊防范方法、設(shè)備和通信網(wǎng)絡(luò),降低網(wǎng) 絡(luò)維護(hù)難度,提高網(wǎng)絡(luò)安全性。
為達(dá)到上述目的,本發(fā)明實(shí)施例一方面提出一種ARP攻擊防范方法,包 括以下步驟
接收ARP報(bào)文,根據(jù)所述ARP報(bào)文的第一信息,檢測(cè)預(yù)存的至少一個(gè) ARP表項(xiàng)中是否存在包含相同第 一信息的ARP表項(xiàng);
當(dāng)存在所述ARP表項(xiàng)時(shí),判斷所述ARP表項(xiàng)中的第二信息是否與所述 ARP報(bào)文的第二信息相同;
當(dāng)所述ARP表項(xiàng)的第二信息與所述ARP報(bào)文的第二信息不同時(shí),丟棄所 述ARP報(bào)文,并記錄攻擊日志。
另一方面,本發(fā)明實(shí)施例還提出一種接入網(wǎng)關(guān),包括
接收模塊,用于接收ARP報(bào)文;
第一檢測(cè)模塊,根據(jù)所述接收模塊所接收到的ARP報(bào)文的第一信息,檢 測(cè)預(yù)存的至少一個(gè)ARP表項(xiàng)中是否存在包含相同第一信息的ARP表項(xiàng);
第 一判斷模塊,用于當(dāng)所述第 一檢測(cè)模塊檢測(cè)到存在所述ARP表項(xiàng)時(shí), 判斷所述ARP表項(xiàng)中的第二信息是否與所述ARP報(bào)文的第二信息相同;
記錄模塊,用于當(dāng)所述第一判斷模塊判斷所述ARP表項(xiàng)的第二信息與所 述ARP報(bào)文的第二信息不同時(shí),記錄攻擊曰志。
另一方面,本發(fā)明實(shí)施例還提出一種ARP攻擊防范方法,包括以下步驟
當(dāng)接收到的ARP報(bào)文的發(fā)送方的第一地址為接入網(wǎng)關(guān)的第一地址時(shí),檢 測(cè)所述發(fā)送方的第二地址是否與預(yù)存的接入網(wǎng)關(guān)第二地址相同;
當(dāng)所述ARP ^t文的發(fā)送方的第二地址與所述預(yù)存的接入網(wǎng)關(guān)第二地址不 同時(shí),丟棄所述ARP報(bào)文。
另一方面,本發(fā)明實(shí)施例還提出一種交換機(jī),包括
接收模塊,用于接收ARP報(bào)文;檢測(cè)模塊,用于當(dāng)所述接收模塊所接收到的ARP報(bào)文的發(fā)送方的第一地
址為接入網(wǎng)關(guān)的第 一地址時(shí),檢測(cè)所述發(fā)送方的第二地址是否與預(yù)存的接入
網(wǎng)關(guān)第二地址相同;
丟棄模塊,用于當(dāng)所述檢測(cè)模塊檢測(cè)到所述ARP報(bào)文的發(fā)送方的第二地 址與所述預(yù)存的接入網(wǎng)關(guān)第二地址不同時(shí),丟棄所述ARP#Jl。
另一方面,本發(fā)明實(shí)施例還提出一種通信網(wǎng)絡(luò),包括交換機(jī)、接入網(wǎng)關(guān) 和認(rèn)證服務(wù)器
所述交換機(jī),用于當(dāng)用戶端通過(guò)第一信息和/或第二信息向所述服務(wù)器認(rèn) 證通過(guò)時(shí),根據(jù)所述用戶端對(duì)應(yīng)的接入網(wǎng)關(guān)的信息,生成檢驗(yàn)表項(xiàng),并根據(jù) 所述檢驗(yàn)表項(xiàng)過(guò)濾接收到的ARP報(bào)文;
所述接入網(wǎng)關(guān),用于當(dāng)所述用戶端認(rèn)證通過(guò)時(shí),接收所述認(rèn)證服務(wù)器發(fā) 送的認(rèn)證通過(guò)消息,并根據(jù)所述用戶端的信息保存相對(duì)應(yīng)的ARP表項(xiàng),并根 據(jù)所述ARP表項(xiàng)過(guò)濾接收到的ARP報(bào)文;
所述認(rèn)證服務(wù)器,用于對(duì)所述用戶端進(jìn)行認(rèn)證,并在認(rèn)證成功后,將所 述用戶端的信息通過(guò)認(rèn)證通過(guò)消息發(fā)送給所述接入網(wǎng)關(guān)。
本發(fā)明實(shí)施例的技術(shù)方案具有以下優(yōu)點(diǎn),因?yàn)椴捎昧苏W(wǎng)聯(lián)動(dòng)的根據(jù)多 種綁定信息進(jìn)行報(bào)文驗(yàn)證方法,從而,根據(jù)至少包括第一信息和第二信息的 認(rèn)證信息對(duì)ARP報(bào)文進(jìn)行多重過(guò)濾,防御ARP攻擊,不需要進(jìn)行人工維護(hù), 達(dá)到了降低網(wǎng)絡(luò)維護(hù)難度,提高網(wǎng)絡(luò)安全性的效果。


為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案,下面將對(duì)實(shí)施例描述中所 需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地,下面描述中的附圖僅僅是本發(fā) 明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前 提下,還可以根據(jù)這些附圖獲得其他的附圖。
圖1為本發(fā)明實(shí)施例一中的一種ARP攻擊防范方法的流程示意圖2為本發(fā)明實(shí)施例二中的一種接入網(wǎng)關(guān)的結(jié)構(gòu)示意圖3為本發(fā)明實(shí)施例三中的應(yīng)用在交換機(jī)上的一種ARP攻擊防范方法的
ii流程示意圖4為本發(fā)明實(shí)施例四中的一種交換機(jī)的結(jié)構(gòu)示意圖5為本發(fā)明實(shí)施例五中的一種通信網(wǎng)絡(luò)的結(jié)構(gòu)示意圖6為本發(fā)明實(shí)施例五中的一種通信網(wǎng)絡(luò)的網(wǎng)絡(luò)部署示意圖7為本發(fā)明實(shí)施例七中的用戶認(rèn)證流程示意圖8為本發(fā)明實(shí)施例八中的對(duì)偽造的用戶ARP凈艮文的防范流程示意圖9為本發(fā)明實(shí)施例八中的對(duì)偽造的網(wǎng)關(guān)ARP報(bào)文的防范流程示意圖10為本發(fā)明實(shí)施例九中的接入網(wǎng)關(guān)的報(bào)文過(guò)濾流程示意圖。
具體實(shí)施例方式
下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行 清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明的一部分實(shí)施例, 而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有 做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。
如圖1所示,為本發(fā)明實(shí)施例一提出的一種ARP攻擊防范方法的流程示 意圖,該方法包括以下步驟
步驟SIOI、接入網(wǎng)關(guān)接收ARP報(bào)文,并根據(jù)該ARP報(bào)文的第一信息, 檢測(cè)預(yù)存的至少 一個(gè)ARP表項(xiàng)中是否存在包含相同第 一信息的ARP表項(xiàng)。
進(jìn)一步的,在本步驟之前,還包括
識(shí)別ARP,艮文的報(bào)文類(lèi)型;
根據(jù)報(bào)文類(lèi)型的識(shí)別結(jié)果,檢測(cè)ARP報(bào)文是否符合預(yù)設(shè)的安全規(guī)則; 當(dāng)ARP報(bào)文不符合預(yù)設(shè)的安全規(guī)則時(shí),丟棄ARP報(bào)文;當(dāng)ARP報(bào)文符 合預(yù)設(shè)的安全規(guī)則時(shí),根據(jù)接收到的ARP報(bào)文的第一信息,檢測(cè)預(yù)存的至少 一個(gè)ARP表項(xiàng)中是否存在包含相同第 一信息的ARP表項(xiàng)。 其中,預(yù)設(shè)的安全規(guī)則具體包括以下內(nèi)容
當(dāng)ARP報(bào)文為ARP請(qǐng)求報(bào)文時(shí),ARP報(bào)文的源MAC為單播地址,和/ 或,ARP報(bào)文的ETH頭的源MAC與ARP報(bào)文的發(fā)送方MAC相同,和/或, ARP報(bào)文的目的IP地址為防火墻地址;
12當(dāng)ARP報(bào)文為ARP響應(yīng)報(bào)文時(shí),ARP報(bào)文的目的MAC為單播地址。 相應(yīng)的,根據(jù)上述報(bào)文類(lèi)型的識(shí)別結(jié)果,本發(fā)明實(shí)施例所提出的技術(shù)方 案中也包含了相應(yīng)的處理流程。
(1) 如果識(shí)別接收到的ARP報(bào)文為ARP請(qǐng)求報(bào)文,步驟S101的后續(xù) 處理流程為
當(dāng)不存在該ARP表項(xiàng)時(shí),向ARP報(bào)文的發(fā)送方返回ARP響應(yīng)報(bào)文;向 ARP報(bào)文的發(fā)送方發(fā)送第二 ARP請(qǐng)求報(bào)文;根據(jù)ARP報(bào)文的源信息創(chuàng)建ARP 表項(xiàng),并標(biāo)記ARP表項(xiàng)為未完成狀態(tài)。
當(dāng)存在該ARP表項(xiàng)時(shí),進(jìn)一步判斷ARP表項(xiàng)是否為網(wǎng)關(guān)ARP表項(xiàng)或代 理ARP表項(xiàng);當(dāng)ARP表項(xiàng)不是網(wǎng)關(guān)ARP表項(xiàng)或代理ARP表項(xiàng)時(shí),丟棄ARP 報(bào)文;當(dāng)ARP表項(xiàng)是網(wǎng)關(guān)ARP表項(xiàng)或代理ARP表項(xiàng)時(shí),4丸4亍步驟S102。
(2) 如果識(shí)別接收到的ARP纟艮文為ARP響應(yīng)報(bào)文,步驟S101的后續(xù) 處理流程為
當(dāng)不存在ARP表項(xiàng)時(shí),丟棄該ARP報(bào)文。
當(dāng)存在ARP表項(xiàng)時(shí),判斷ARP表項(xiàng)的狀態(tài)是否為未完成狀態(tài);當(dāng)ARP 表項(xiàng)的狀態(tài)為未完成狀態(tài)時(shí),標(biāo)記ARP表項(xiàng)為完成狀態(tài);當(dāng)ARP表項(xiàng)的狀態(tài) 為完成狀態(tài)時(shí),識(shí)別步驟S102。
步驟S102、接入網(wǎng)關(guān)判斷ARP表項(xiàng)的第二信息是否與ARP報(bào)文的第二 信息相同。
當(dāng)ARP表項(xiàng)的第二信息與ARP報(bào)文的第二信息相同時(shí),更新ARP表項(xiàng) 的老化時(shí)間。
當(dāng)ARP表項(xiàng)的第二信息與ARP報(bào)文的第二信息不同時(shí),執(zhí)行步驟S103。
步驟S103、接入網(wǎng)關(guān)丟棄該ARP報(bào)文,并記錄攻擊日志。
其中,接入網(wǎng)關(guān)丟棄該ARP報(bào)文,并記錄攻擊日志之后,本方法還包括
向認(rèn)證服務(wù)器上報(bào)攻擊日志。
進(jìn)一步的,如果識(shí)別接收到的ARP報(bào)文為ARP請(qǐng)求報(bào)文,在記錄攻擊日
志之后,本方法還包才舌
向ARP報(bào)文的發(fā)送方返回ARP響應(yīng)報(bào)文;
13向ARP才艮文的發(fā)送方發(fā)送第二 ARP請(qǐng)求才艮文;
根據(jù)ARP報(bào)文的源信息創(chuàng)建ARP表項(xiàng),并標(biāo)記該ARP表項(xiàng)為未完成狀態(tài)。
對(duì)于上述的本發(fā)明實(shí)施例所提出的方法,需要i兌明的是,步驟S101中提
及的預(yù)存的至少一個(gè)ARP表項(xiàng)具體通過(guò)以下步驟生成
接收認(rèn)證服務(wù)器發(fā)送的至少一個(gè)用戶端的認(rèn)證通過(guò)消息; 根據(jù)認(rèn)證通過(guò)消息中所包括的至少 一個(gè)用戶端的信息,生成至少一個(gè)
ARP表項(xiàng)。
其中,認(rèn)證服務(wù)器發(fā)送的至少一個(gè)用戶端的認(rèn)證通過(guò)消息具體通過(guò)以下 步驟生成
認(rèn)證服務(wù)器接收至少一個(gè)用戶端通過(guò)認(rèn)證客戶端發(fā)送的認(rèn)證請(qǐng)求; i人證服務(wù)器4艮據(jù)認(rèn)證請(qǐng)求,對(duì)至少 一個(gè)用戶端進(jìn)行認(rèn)證; 當(dāng)對(duì)至少一個(gè)用戶端i人i正通過(guò)時(shí),向至少一個(gè)用戶端和至少一個(gè)用戶端
所對(duì)應(yīng)的接入網(wǎng)關(guān)發(fā)送認(rèn)證通過(guò)消息,認(rèn)證通過(guò)消息中包括至少一個(gè)用戶端
的信息和至少一個(gè)用戶端所對(duì)應(yīng)的接入網(wǎng)關(guān)的信息。
相應(yīng)的,用戶端根據(jù)接收到的認(rèn)證通過(guò)消息保存接入網(wǎng)關(guān)的信息,以進(jìn)
行ARP消息的驗(yàn)證。
其中,用戶端的信息具體包括用戶端的IP地址、MAC地址和VLAN信
息中的一個(gè)或多個(gè);
接入網(wǎng)關(guān)的信息具體包括接入網(wǎng)關(guān)的IP地址和MAC地址。 進(jìn)一步的,對(duì)于預(yù)存的至少一個(gè)ARP表項(xiàng),本方法還包括 接收認(rèn)證服務(wù)器發(fā)送的至少一個(gè)用戶端的下線通知消息; 刪除至少 一個(gè)用戶端所對(duì)應(yīng)的至少 一個(gè)ARP表項(xiàng)。 需要進(jìn)一步指出的是,在本發(fā)明實(shí)施例所提出的方法的各步驟中,第一
信息和第二信息具體包括以下兩種情況
情況一、當(dāng)ARP報(bào)文為ARP請(qǐng)求報(bào)文時(shí),第一信息為ARP報(bào)文的目的
IP地址,和/或ARP報(bào)文的接入端口,和/或ARP報(bào)文的VLAN信息,第二信
息為ARP報(bào)文的源MAC地址;
14當(dāng)ARP報(bào)文為ARP響應(yīng)報(bào)文時(shí),第一信息為ARP報(bào)文的源IP地址,和 /或ARP報(bào)文的VLAN信息,第二信息為ARP報(bào)文的源MAC地址。
情況二、當(dāng)ARP報(bào)文為ARP請(qǐng)求報(bào)文時(shí),第一信息為ARP報(bào)文的目的 MAC地址,和/或ARP報(bào)文的接入端口 ,和/或ARP報(bào)文的VLAN信息,第 二信息為ARP報(bào)文的源IP地址;
當(dāng)ARP報(bào)文為ARP響應(yīng)報(bào)文時(shí),第一信息為ARP報(bào)文的源MAC地址, 和/或ARP報(bào)文的VLAN信息,第二信息為ARP才艮文的源IP地址。
在本發(fā)明實(shí)施例中,第一信息和第二信息共同組成了 ARP報(bào)文的認(rèn)證信 息,以下實(shí)施例也具有相同的設(shè)定,需要指出的是,在具體的應(yīng)用場(chǎng)景中, 第 一信息和第二信息的具體內(nèi)容可能會(huì)存在差別,但只要是能夠達(dá)到驗(yàn)證 ARP報(bào)文安全性的信息都可以作為上述的第一信息和第二信息,這樣的變化 并不影響本發(fā)明的保護(hù)范圍。
本發(fā)明實(shí)施例的技術(shù)方案具有以下優(yōu)點(diǎn),因?yàn)椴捎昧苏W(wǎng)聯(lián)動(dòng)的根據(jù)多 種綁定信息進(jìn)行報(bào)文驗(yàn)證方法,從而,實(shí)現(xiàn)了根據(jù)至少包括第一信息和第二 信息的認(rèn)證信息對(duì)ARP才良文進(jìn)行多重過(guò)濾,防御ARP攻擊,不需要人工控制, 達(dá)到了降低網(wǎng)絡(luò)維護(hù)難度,提高網(wǎng)絡(luò)安全性的效果。
對(duì)應(yīng)本發(fā)明實(shí)施例一所提出的技術(shù)方案,本發(fā)明實(shí)施例二提出了一種接 入網(wǎng)關(guān),以實(shí)現(xiàn)上述方案,其結(jié)構(gòu)示意圖如圖2所示,具體包括以下模塊 接收模塊201,用于接收ARP報(bào)文;
第一檢測(cè)模塊202,根據(jù)接收模塊201所接收到的ARP報(bào)文的第一信息, 檢測(cè)預(yù)存的至少一個(gè)ARP表項(xiàng)中是否存在包含相同第一信息的ARP表項(xiàng);
第一判斷模塊203,用于當(dāng)?shù)谝粰z測(cè)模塊202檢測(cè)到存在相應(yīng)ARP表項(xiàng) 時(shí),判斷ARP表項(xiàng)的第二信息是否與AIO^艮文的第二信息相同;
處理模塊204 ,用于當(dāng)?shù)?一判斷模塊203判斷ARP表項(xiàng)的第二信息與ARP 報(bào)文的第二信息不同時(shí),丟棄該ARP報(bào)文,并記錄攻擊日志。
進(jìn)一步的,接入網(wǎng)關(guān)還包括
識(shí)別模塊205,用于識(shí)別接收模塊201所接收的ARP報(bào)文的報(bào)文類(lèi)型;
15笫二檢測(cè)模塊206,用于根據(jù)識(shí)別模塊205的報(bào)文類(lèi)型識(shí)別結(jié)果,檢測(cè)接 收模塊201所接收的ARP報(bào)文是否符合預(yù)設(shè)的安全規(guī)則;
丟棄模塊207,用于當(dāng)?shù)诙z測(cè)模塊206檢測(cè)到ARP報(bào)文不符合預(yù)設(shè)的 安全規(guī)則時(shí),丟棄ARP報(bào)文。
進(jìn)一步的,接入網(wǎng)關(guān)還包括以下模塊
反向請(qǐng)求模塊208,用于向ARP報(bào)文的發(fā)送方返回ARP響應(yīng)報(bào)文,并向 ARP報(bào)文的發(fā)送方發(fā)送第二 ARP請(qǐng)求報(bào)文;
表項(xiàng)處理模塊209,用于在反向請(qǐng)求模塊208向ARP報(bào)文的發(fā)送方發(fā)送 第二ARP請(qǐng)求報(bào)文時(shí),根據(jù)ARP報(bào)文的源信息創(chuàng)建ARP表項(xiàng),并標(biāo)記ARP 表項(xiàng)為未完成狀態(tài),并在接收到第二 ARP請(qǐng)求才艮文對(duì)應(yīng)的第二 ARP響應(yīng)報(bào)文 時(shí),標(biāo)記ARP表項(xiàng)為完成狀態(tài)。
進(jìn)一步的,接入網(wǎng)關(guān)還包括以下模塊
第二判斷模塊210,用于當(dāng)識(shí)別模塊205識(shí)別ARP報(bào)文為ARP請(qǐng)求報(bào)文, 且第 一檢測(cè)模塊202檢測(cè)存在ARP表項(xiàng)時(shí),判斷ARP表項(xiàng)是否為網(wǎng)關(guān)ARP 表項(xiàng)或代理ARP表項(xiàng),當(dāng)?shù)诙袛嗄K210的判斷結(jié)果為是時(shí),將該ARP 報(bào)文轉(zhuǎn)發(fā)給第一判斷模塊203進(jìn)行處理,當(dāng)?shù)诙袛嗄K210的判斷結(jié)果為 否時(shí),將該ARP報(bào)文轉(zhuǎn)發(fā)給丟棄模塊207進(jìn)行處理;;
進(jìn)一步的,接入網(wǎng)關(guān)還包括以下模塊
第三判斷模塊211,用于當(dāng)識(shí)別模塊205識(shí)別ARP報(bào)文為ARP響應(yīng)報(bào)文, 且第 一檢測(cè)模塊202檢測(cè)存在ARP表項(xiàng)時(shí),判斷ARP表項(xiàng)的狀態(tài)是否為未完 成狀態(tài),當(dāng)?shù)谌袛嗄K211的判斷結(jié)果為是時(shí),將該ARP報(bào)文轉(zhuǎn)發(fā)給第一 判斷模塊203進(jìn)行處理,當(dāng)?shù)谌袛嗄K211的判斷結(jié)果為否時(shí),將該ARP 報(bào)文轉(zhuǎn)發(fā)給狀態(tài)標(biāo)記模塊212進(jìn)行處理;
狀態(tài)標(biāo)記模塊212,用于根據(jù)所述第三判斷模塊的判斷結(jié)果對(duì)ARP表項(xiàng) 進(jìn)行狀態(tài)標(biāo)記處理,當(dāng)ARP表項(xiàng)的狀態(tài)是否為未完成狀態(tài)時(shí),狀態(tài)標(biāo)記模塊 212標(biāo)記該ARP表項(xiàng)為完成狀態(tài)。
進(jìn)一步的,接入網(wǎng)關(guān)還包括以下模塊
更新模塊213,用于當(dāng)?shù)?一判斷模塊203判斷ARP表項(xiàng)的第二信息與ARP^J:的第二信息相同時(shí),更新相對(duì)應(yīng)ARP表項(xiàng)的老化時(shí)間。
進(jìn)一步的,丟棄模塊207,還用于當(dāng)?shù)谝粰z測(cè)模塊202檢測(cè)到不存在ARP 表項(xiàng)時(shí),丟棄ARP纟艮文。
接收才莫塊201,還用于接收認(rèn)證服務(wù)器發(fā)送的至少一個(gè)用戶端的認(rèn)證通過(guò) 消息,或接收認(rèn)證服務(wù)器發(fā)送的至少一個(gè)用戶端的下線通知消息;
表項(xiàng)處理模塊209,還用于根據(jù)接收模塊201接收到的認(rèn)證通過(guò)消息中所 包括的至少一個(gè)用戶端的信息,生成至少一個(gè)ARP表項(xiàng),或根據(jù)接收模塊201 接收到的至少 一個(gè)用戶端的下線通知消息,刪除至少 一個(gè)用戶端所對(duì)應(yīng)的至 少一個(gè)ARP表項(xiàng)。
上述模塊可以合并為一個(gè)模塊,也可以進(jìn)一步拆分成多個(gè)子模塊,這樣 的變化并不影響本發(fā)明的保護(hù)范圍。
本發(fā)明實(shí)施例的技術(shù)方案具有以下優(yōu)點(diǎn),因?yàn)椴捎昧苏W(wǎng)聯(lián)動(dòng)的根據(jù)多 種綁定信息進(jìn)行報(bào)文驗(yàn)證的接入網(wǎng)關(guān),從而,實(shí)現(xiàn)了根據(jù)至少包括第一信息 和第二信息的認(rèn)證信息對(duì)ARP報(bào)文進(jìn)行多重過(guò)濾,防御ARP攻擊,不需要人 工控制,達(dá)到了降低網(wǎng)絡(luò)維護(hù)難度,提高網(wǎng)絡(luò)安全性的效果。
對(duì)于本發(fā)明實(shí)施例一所提出的技術(shù)方案,主要是實(shí)現(xiàn)在接入網(wǎng)關(guān)中,為 了更充分的通過(guò)整網(wǎng)聯(lián)動(dòng)實(shí)現(xiàn)對(duì)ARP攻擊的防范,本發(fā)明實(shí)施例三進(jìn)一步提 出了應(yīng)用在交換機(jī)上的一種ARP攻擊防范方法,其流程示意圖如圖3所示, 包括以下步驟
步驟S301、當(dāng)接收到的ARP報(bào)文的發(fā)送方的第一地址為接入網(wǎng)關(guān)的第一 地址時(shí),交換機(jī)檢測(cè)發(fā)送方的第二地址是否與預(yù)存的接入網(wǎng)關(guān)的第二地址相 同;
當(dāng)ARP報(bào)文的發(fā)送方的第二地址與預(yù)存的接入網(wǎng)關(guān)的第二地址不同時(shí), 執(zhí)行步驟S302;
當(dāng)ARP報(bào)文的發(fā)送方的第二地址與預(yù)存的接入網(wǎng)關(guān)的第二地址相同時(shí), 執(zhí)行步驟S303。
步驟S302、交換機(jī)丟棄該ARP報(bào)文。
17步驟S3(B、交換機(jī)向ARP報(bào)文的目的地址轉(zhuǎn)發(fā)ARP報(bào)文。 在本實(shí)施例所提出的方法中,當(dāng)?shù)谝坏刂窞镮P地址時(shí),第二地址為MAC
地址;當(dāng)?shù)?一地址為MAC地址時(shí),第二地址為IP地址。
本發(fā)明實(shí)施例的技術(shù)方案具有以下優(yōu)點(diǎn),因?yàn)椴捎昧私粨Q機(jī)根據(jù)多種綁
定信息進(jìn)行報(bào)文驗(yàn)證的方法,從而,實(shí)現(xiàn)了根據(jù)至少包括第一信息和第二信
息的認(rèn)證信息對(duì)ARP報(bào)文進(jìn)行多重過(guò)濾,防御ARP攻擊,不需要進(jìn)行人工維
護(hù),達(dá)到了降低網(wǎng)絡(luò)維護(hù)難度,提高網(wǎng)絡(luò)安全性的效果。
對(duì)應(yīng)本發(fā)明實(shí)施例三所提出的技術(shù)方案,本發(fā)明實(shí)施例四提出了 一種交 換機(jī),以實(shí)現(xiàn)上述方案,其結(jié)構(gòu)示意圖如圖4所示,具體包括以下模塊 接收模塊41,用于接收ARP報(bào)文;
檢測(cè)模塊42,用于當(dāng)接收模塊41所接收到的ARP報(bào)文的發(fā)送方的第一 地址為接入網(wǎng)關(guān)的第 一地址時(shí),檢測(cè)發(fā)送方的第二地址是否與預(yù)存的接入網(wǎng) 關(guān)第二地址相同;
丟棄模塊43,用于當(dāng)檢測(cè)模塊42檢測(cè)到ARP報(bào)文的發(fā)送方的第二地址 與預(yù)存的接入網(wǎng)關(guān)第二地址不同時(shí),丟棄ARP報(bào)文。 進(jìn)一步的,交換機(jī)中還包括
轉(zhuǎn)發(fā)模塊44,用于當(dāng)檢測(cè)模塊42檢測(cè)到ARP報(bào)文的發(fā)送方的第二地址 與預(yù)存的接入網(wǎng)關(guān)第二地址相同時(shí),向ARP報(bào)文的目的地址轉(zhuǎn)發(fā)ARP報(bào)文。
上述模塊可以分布于一個(gè)裝置,也可以分布于多個(gè)裝置。上述模塊可以 合并為一個(gè)模塊,也可以進(jìn)一步拆分成多個(gè)子模塊,這樣的變化并不影響本 發(fā)明的保護(hù)范圍。
在以上本發(fā)明各實(shí)施例所提出的技術(shù)方案的基礎(chǔ)上,本發(fā)明實(shí)施例五提 出了一種通信網(wǎng)絡(luò),其結(jié)構(gòu)示意圖和網(wǎng)絡(luò)部署示意圖分別如圖5和圖6所示, 包括交換機(jī)2、接入網(wǎng)關(guān)3和認(rèn)證服務(wù)器4,結(jié)合具體的實(shí)施場(chǎng)景,該通信網(wǎng) 絡(luò)中還包括用戶端l,對(duì)系統(tǒng)中各設(shè)備說(shuō)明如下
用戶端1,包括iU正客戶端,用于通過(guò)用戶端1的IP地址和/或MAC地
18址向認(rèn)證服務(wù)器4進(jìn)行認(rèn)證。
其中,用戶端1在實(shí)際應(yīng)用中是指需要保護(hù)ARP攻擊的用戶終端,可以 是普通的Windows主機(jī),用戶端1上需要安裝與認(rèn)證服務(wù)器4相對(duì)應(yīng)的認(rèn)證 客戶端。
交換機(jī)2,用于當(dāng)用戶端1認(rèn)證通過(guò)時(shí),根據(jù)用戶端l對(duì)應(yīng)的接入網(wǎng)關(guān)3 的信息,生成檢驗(yàn)表項(xiàng),并根據(jù)檢驗(yàn)表項(xiàng)過(guò)濾接收到的ARP報(bào)文。
其中,交換機(jī)2在實(shí)際應(yīng)用中具體可以是指普通的二層或者三層交換機(jī), 但是需要該交換機(jī)支持MAC地址、IP地址、VLAN綁定。
接入網(wǎng)關(guān)3,用于當(dāng)用戶端1認(rèn)證通過(guò)時(shí),接收認(rèn)證服務(wù)器4發(fā)送的認(rèn)證 通過(guò)消息,并根據(jù)用戶端1的信息保存相對(duì)應(yīng)的ARP表項(xiàng),并根據(jù)ARP表項(xiàng) 過(guò)濾接收到的ARP報(bào)文。
其中,接入網(wǎng)關(guān)3在實(shí)際應(yīng)用中需要支持與認(rèn)證服務(wù)器4或由多個(gè)認(rèn)證 服務(wù)器4組成的認(rèn)證服務(wù)器群進(jìn)行聯(lián)動(dòng)功能。
進(jìn)一步的,接入網(wǎng)關(guān)3還用于識(shí)別接收到的ARP報(bào)文的類(lèi)型,并根據(jù)該 ARP報(bào)文的類(lèi)型識(shí)別結(jié)果,對(duì)該ARP報(bào)文進(jìn)行處理;當(dāng)判斷ARP表項(xiàng)與接 收到的ARP報(bào)文中的信息不一致時(shí),接入網(wǎng)關(guān)3還用于丟棄該ARP報(bào)文,并 i己錄攻擊日志。
認(rèn)證服務(wù)器4,用于對(duì)用戶端l進(jìn)行認(rèn)證,并在認(rèn)證成功后,將用戶端l 的信息通過(guò)認(rèn)證通過(guò)消息發(fā)送給接入網(wǎng)關(guān)3。
其中,認(rèn)證服務(wù)器4在實(shí)際應(yīng)用中是用于提供用戶安全認(rèn)證的服務(wù)器。 需要安裝認(rèn)證服務(wù)器軟件,并可以通過(guò)用戶端1上安裝的認(rèn)證客戶端所上報(bào) 的認(rèn)證信息,對(duì)用戶端1進(jìn)行認(rèn)證。在具體網(wǎng)絡(luò)中,可以包含多個(gè)認(rèn)證服務(wù) 器,組成認(rèn)證服務(wù)器群。
本發(fā)明實(shí)施例的技術(shù)方案具有以下優(yōu)點(diǎn),因?yàn)椴捎昧苏W(wǎng)聯(lián)動(dòng)的根據(jù)多 種綁定信息進(jìn)行報(bào)文驗(yàn)證的系統(tǒng),從而,實(shí)現(xiàn)了根據(jù)至少包括第一信息和第 二信息的認(rèn)證信息對(duì)ARP報(bào)文進(jìn)行多重過(guò)濾,防御ARP攻擊,不需要進(jìn)行人 工維護(hù),達(dá)到了降低網(wǎng)絡(luò)維護(hù)難度,提高網(wǎng)絡(luò)安全性的效果。如上圖基于上述本發(fā)明實(shí)施例五所提出的通信系統(tǒng),本發(fā)明實(shí)施例六提 出了相應(yīng)的實(shí)現(xiàn)方案,為了實(shí)現(xiàn)通過(guò)整網(wǎng)聯(lián)動(dòng)來(lái)對(duì)用戶進(jìn)行認(rèn)證,并對(duì)認(rèn)證
成功的用戶及其他網(wǎng)絡(luò)設(shè)備進(jìn)行ARP攻擊的防范,從而保證4矣入用戶正常上 網(wǎng),防止被ARP攻擊導(dǎo)致用戶斷線,對(duì)本通信網(wǎng)絡(luò)中各個(gè)相關(guān)設(shè)備的實(shí)現(xiàn)方 案說(shuō)明如下
用戶端1所對(duì)應(yīng)的接入用戶主機(jī)需要安裝與認(rèn)證服務(wù)器4相對(duì)應(yīng)的認(rèn)證 客戶端,該客戶端主要功能是利用用戶主機(jī)的MAC地址向認(rèn)證服務(wù)器4進(jìn) 行認(rèn)證,認(rèn)證通過(guò)后能把接入網(wǎng)關(guān)IP和接入網(wǎng)關(guān)MAC進(jìn)行靜態(tài)綁定,當(dāng)用戶 端1受到ARP攻擊后,將該攻擊的信息以攻擊日志的形式上報(bào)給認(rèn)證服務(wù)器 或認(rèn)證服務(wù)器群,為管理員提供分析的數(shù)據(jù)信息。
服務(wù)器4進(jìn)行認(rèn)證,這樣的變化并不影響本發(fā)明的保護(hù)范圍。
具體的,在實(shí)際應(yīng)用中,用戶端1中的認(rèn)證客戶端也可以采用用戶名和 密碼的方式進(jìn)行認(rèn)證,但是,此方式需要在發(fā)送給認(rèn)證服務(wù)器的認(rèn)證報(bào)文中 帶上主機(jī)的MAC地址和IP地址。
以上所說(shuō)明的是認(rèn)證客戶端在本方案中需要實(shí)現(xiàn)的功能,在實(shí)際應(yīng)用中, 該客戶端還可以具有其他功能,實(shí)現(xiàn)多種功能的組合,這樣的變化并不影響 本發(fā)明的保護(hù)范圍。
交換機(jī)2需要支持IP和MAC綁定,在本發(fā)明實(shí)施例中所提及的交換機(jī) 中的綁定功能是通過(guò)類(lèi)似交換機(jī)端口轉(zhuǎn)發(fā)表的表項(xiàng)來(lái)實(shí)現(xiàn)的,該表項(xiàng)中包括 IP、 MAC、 VLAN等基本信息。交換機(jī)2把接入網(wǎng)關(guān)3的IP和MAC地址進(jìn) 行綁定,對(duì)于收到是接入網(wǎng)關(guān)的IP,但是MAC與綁定表不一致的ARP報(bào)文, 或MAC地址一致但I(xiàn)P地址不同的ARP報(bào)文,在交換機(jī)2中實(shí)現(xiàn)丟棄功能, 不進(jìn)行轉(zhuǎn)發(fā),防止接入用戶或接入網(wǎng)關(guān)被偽造的ARP 4艮文欺騙,造成ARP 攻擊。
接入網(wǎng)關(guān)3需要支持與認(rèn)證服務(wù)器4或有多個(gè)認(rèn)證服務(wù)器組成的認(rèn)證服 務(wù)器群進(jìn)行聯(lián)動(dòng),提供安全認(rèn)證、授權(quán)、計(jì)費(fèi)等功能。用戶端1通過(guò)認(rèn)證客 戶端進(jìn)行認(rèn)證并通過(guò)認(rèn)證后,認(rèn)證服務(wù)器4向接入網(wǎng)關(guān)3發(fā)送認(rèn)證通過(guò)指令,
20接入網(wǎng)關(guān)3把認(rèn)證通過(guò)的用戶的IP地址、MAC地址、VLAN等信息生成靜 態(tài)的ARP表項(xiàng)。當(dāng)用戶端1下線退出登錄時(shí),認(rèn)證服務(wù)器4向接入網(wǎng)關(guān)3發(fā) 送用戶下線指令,接入網(wǎng)關(guān)3把該用戶的IP地址、VLAN和MAC地址對(duì)應(yīng) 的靜態(tài)ARP表項(xiàng)清除。
認(rèn)證服務(wù)器4或認(rèn)證服務(wù)器群需要安裝認(rèn)證服務(wù)器軟件,可以與安全接 入網(wǎng)關(guān)進(jìn)行聯(lián)動(dòng)。而且,提供安全認(rèn)證功能。
基于上述的網(wǎng)絡(luò)設(shè)置,本發(fā)明實(shí)施例七進(jìn)一步給出具體的實(shí)現(xiàn)流程,如 圖7所示,為用戶端的認(rèn)證流程示意圖,在用戶端上線,或希望接入通信網(wǎng) 絡(luò)時(shí),發(fā)起具體的用戶端認(rèn)證流程,具體包括以下步驟
步驟S701 、用戶端發(fā)送認(rèn)證請(qǐng)求才艮文。
用戶端通過(guò)安裝的iU正客戶端向認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求報(bào)文,在該認(rèn) 證請(qǐng)求報(bào)文中,攜帶用戶端的IP地址或MAC地址作為認(rèn)證信息。 步驟S702、認(rèn)證服務(wù)器根據(jù)認(rèn)證請(qǐng)求報(bào)文對(duì)用戶端進(jìn)行認(rèn)證。 具體的認(rèn)證規(guī)則可以根據(jù)實(shí)際的應(yīng)用情況進(jìn)行設(shè)置和調(diào)整。 認(rèn)證通過(guò)后,4丸行步驟S703和步驟S705。
需要指出的是,步驟S703和步驟S705是認(rèn)證服務(wù)器在完成認(rèn)證后向兩 個(gè)設(shè)備分別發(fā)送消息的步驟,沒(méi)有必然的先后順序,可以同時(shí)進(jìn)行,也可以 優(yōu)先進(jìn)行其中的任意一項(xiàng),這樣的變化并不影響本發(fā)明的保護(hù)范圍。
步驟S703、認(rèn)證服務(wù)器向用戶端發(fā)送認(rèn)證通過(guò)消息。
該消息中攜帶認(rèn)證通過(guò)的用戶端所對(duì)應(yīng)的接入網(wǎng)關(guān)的MAC地址和IP地址。
步驟S704、用戶端收到該認(rèn)證通過(guò)消息,并根據(jù)該消息進(jìn)行接入網(wǎng)關(guān)的 MAC地址和IP地址的綁定。
即存儲(chǔ)4妄入網(wǎng)關(guān)的MAC地址和IP地址的對(duì)應(yīng)關(guān)系。
該對(duì)應(yīng)關(guān)系通過(guò)靜態(tài)綁定的方式實(shí)現(xiàn),在本次認(rèn)證的有效時(shí)間范圍內(nèi), 該對(duì)應(yīng)關(guān)系不發(fā)生變化。
需要進(jìn)一步指出的是,在該認(rèn)證通過(guò)消息向用戶端發(fā)送的過(guò)程中,轉(zhuǎn)發(fā)
21該消息的交換機(jī)根據(jù)該認(rèn)證通過(guò)消息保存了接入網(wǎng)關(guān)信息,即同樣對(duì)接入網(wǎng)
關(guān)的IP地址和MAC地址進(jìn)行綁定,從而實(shí)現(xiàn)后續(xù)的才艮文過(guò)濾。 步驟S705、認(rèn)證服務(wù)器向接入網(wǎng)關(guān)發(fā)送認(rèn)證通過(guò)消息。 該消息中攜帶認(rèn)證通過(guò)的用戶端的MAC地址、IP地址和VLAN信息等信息。
步驟S706、接入網(wǎng)關(guān)根據(jù)收到的認(rèn)證通過(guò)消息,把認(rèn)證通過(guò)的用戶端的 IP地址、MAC地址、VLAN等信息生成靜態(tài)的ARP表項(xiàng)。
至此,用戶端的接入認(rèn)證流程結(jié)束,在接入網(wǎng)關(guān)中保存了用戶端的信息, 交換機(jī)和用戶端中保存了接入網(wǎng)關(guān)的信息,通過(guò)這樣的信息,實(shí)現(xiàn)對(duì)各自接 收到的ARP報(bào)文的過(guò)濾,從而,實(shí)現(xiàn)對(duì)ARP攻擊的防范。
進(jìn)一步的,本發(fā)明實(shí)施例八提出了基于上述通信網(wǎng)絡(luò)系統(tǒng)的ARP攻擊防 范流程,分為對(duì)偽造的用戶ARP報(bào)文的防范流程和對(duì)偽造的網(wǎng)關(guān)ARP報(bào)文的 防范流程,其流程示意圖分別如圖8和圖9所示。
其中,對(duì)偽造的用戶ARP報(bào)文的防范流程如圖8所示,包括以下步驟 步驟S801、 ARP攻擊者構(gòu)造正常用戶的ARP報(bào)文,并通過(guò)交換機(jī)向接 入網(wǎng)關(guān)發(fā)送。
該ARP t艮文可能是ARP請(qǐng)求報(bào)文或ARP響應(yīng)纟艮文。 步驟S802、接入網(wǎng)關(guān)根據(jù)已保存的ARP表項(xiàng)對(duì)接收到的ARP報(bào)文進(jìn)行 馬全i正和過(guò)濾。
接入網(wǎng)關(guān)根據(jù)ARP報(bào)文的信息查找已保存的ARP表項(xiàng)中是否存在相對(duì)應(yīng) 的表項(xiàng),并判斷信息內(nèi)容和表項(xiàng)內(nèi)容是否一致。
如果存在對(duì)應(yīng)表項(xiàng),但信息內(nèi)容和表項(xiàng)內(nèi)容不一致,則判斷該報(bào)文為ARP 攻擊,記錄攻擊日志,并向認(rèn)證服務(wù)器上報(bào)。
如果不存在對(duì)應(yīng)表項(xiàng),且該ARP報(bào)文為ARP響應(yīng)報(bào)文或發(fā)向別的接入網(wǎng) 關(guān)的ARP請(qǐng)求報(bào)文,則直接丟棄該報(bào)文。
如果不存在對(duì)應(yīng)表項(xiàng),且該ARP報(bào)文為發(fā)向本接入網(wǎng)關(guān)ARP請(qǐng)求報(bào)文, 則返回響應(yīng)報(bào)文,但不學(xué)習(xí)ARP表項(xiàng),并向該ARP請(qǐng)求報(bào)文的發(fā)送方反向發(fā)送ARP請(qǐng)求報(bào)文,等待響應(yīng)再做進(jìn)一步處理,具體的處理過(guò)程在后續(xù)的實(shí)施例中進(jìn)行詳細(xì)說(shuō)明,本實(shí)施例不再贅述。
進(jìn)一步的,對(duì)偽造的網(wǎng)關(guān)ARP報(bào)文的防范流程如圖9所示,包括以下步

步驟S901、 ARP攻擊者構(gòu)造接入網(wǎng)關(guān)的ARP報(bào)文,并通過(guò)交換機(jī)向接入網(wǎng)關(guān)發(fā)送。
步驟S902、交換才幾根據(jù)預(yù)先保存的網(wǎng)關(guān)IP地址和MAC地址信息對(duì)接收到的ARP報(bào)文進(jìn)4于過(guò)濾。
即將接收到的ARP報(bào)文的IP地址和MAC地址與預(yù)先保存的網(wǎng)關(guān)IP地址和MAC地址信息進(jìn)行比較,只有當(dāng)IP地址和MAC地址完全一致的情況下,交換機(jī)放行該ARP報(bào)文,向相應(yīng)用戶端進(jìn)行轉(zhuǎn)發(fā),如果IP地址和MAC地址中有任意一個(gè)信息不一致或兩個(gè)信息都不相同時(shí),則直接丟棄該報(bào)文,不進(jìn)行轉(zhuǎn)發(fā)。
在具體的實(shí)現(xiàn)過(guò)程中,可以是優(yōu)先比較接收到的ARP報(bào)文的IP地址信息或MAC地址信息,也可以使同時(shí)比較,這樣的變化并不影響本發(fā)明的保護(hù)范圍。
步驟S903、用戶端根據(jù)預(yù)先保存的網(wǎng)關(guān)IP地址和MAC地址信息對(duì)接收到的ARP報(bào)文進(jìn)行過(guò)濾。
即將接收到的ARP才艮文的IP地址和MAC地址與預(yù)先保存的網(wǎng)關(guān)IP地址和MAC地址信息進(jìn)行比較,如果存在任意一個(gè)信息或多個(gè)信息不一致時(shí),則判斷該ARP報(bào)文為ARP攻擊,記錄攻擊日志,并向認(rèn)證服務(wù)器上報(bào)。
需要進(jìn)一步指出的是,在用戶端中保存網(wǎng)關(guān)IP地址和MAC地址信息的對(duì)應(yīng)關(guān)系不僅可以防范接收到的報(bào)文所導(dǎo)致的ARP攻擊,同時(shí),也可以防止用戶端內(nèi)部由于系統(tǒng)漏洞或其他程序向外發(fā)送偽造的ARP報(bào)文,以及ARP攻擊者通過(guò)本用戶端向外發(fā)送偽造的ARP報(bào)文,從而進(jìn)一步提高網(wǎng)絡(luò)安全型,并降低了網(wǎng)絡(luò)減緩設(shè)備的過(guò)濾負(fù)擔(dān)。
23對(duì)于上述的技術(shù)方案,由于采用整網(wǎng)聯(lián)動(dòng)的安全策略,實(shí)現(xiàn)了多個(gè)設(shè)備
分別針對(duì)ARP攻擊的防范,其中,接入網(wǎng)關(guān)中的報(bào)文過(guò)濾流程最為復(fù)雜,同時(shí)也最為關(guān)鍵,因此,本發(fā)明實(shí)施例九詳細(xì)給出了接入網(wǎng)關(guān)的報(bào)文過(guò)濾流程,其流程示意圖如圖IO所示,具體包括以下步驟
步驟SIOOI、接入網(wǎng)關(guān)識(shí)別接收到的ARP報(bào)文的報(bào)文類(lèi)型。當(dāng)接收到的ARP報(bào)文為ARP請(qǐng)求報(bào)文時(shí),執(zhí)行步驟S1002;當(dāng)接收到的ARP才艮文為ARP響應(yīng)報(bào)文時(shí),才丸行步驟S1010。步驟S1002、接入網(wǎng)關(guān)檢測(cè)該ARP請(qǐng)求報(bào)文是否符合預(yù)設(shè)的安全規(guī)則。當(dāng)該ARP請(qǐng)求報(bào)文不符合預(yù)設(shè)的安全規(guī)則時(shí),執(zhí)行步驟S1003;當(dāng)該ARP請(qǐng)求報(bào)文符合預(yù)設(shè)的安全規(guī)則時(shí),執(zhí)行步驟S1004。其中,預(yù)設(shè)的安全MJ'J具體包括以下內(nèi)容中的 一項(xiàng)或多項(xiàng)ARP請(qǐng)求報(bào)文的源MAC為單播地址;
—A—RP請(qǐng)求報(bào)文的ETH頭的源MAC與—A—RP請(qǐng)求報(bào)—文的發(fā)送方MAC相同;ARP請(qǐng)求才艮文的目的IP地址為防火墻地址。
在具體的實(shí)現(xiàn)過(guò)程中,上述安全策略可以根據(jù)需要進(jìn)一步添加新的安全規(guī)則,這樣的變化同樣屬于本發(fā)明的保護(hù)范圍。步驟S1003、接入網(wǎng)關(guān)丟棄該ARP報(bào)文。
步驟S1004、接入網(wǎng)關(guān)根據(jù)接收到的ARP請(qǐng)求報(bào)文的IP地址信息,檢測(cè)預(yù)存的至少一個(gè)ARP表項(xiàng)中是否存在包含相同IP地址信息的ARP表項(xiàng)。
其中,預(yù)存的至少一個(gè)ARP表項(xiàng)是根據(jù)前述本發(fā)明實(shí)施例七中的認(rèn)證流程生成的。
而本步驟中所提及的表項(xiàng)檢測(cè)依據(jù)為ARP請(qǐng)求報(bào)文的IP地址信息,在實(shí)際應(yīng)用中,也可以采用ARP請(qǐng)求報(bào)文的MAC地址信息進(jìn)行檢測(cè),并且,還可以進(jìn)一步加上該ARP請(qǐng)求報(bào)文的接收端口信息和VLAN信息等其他信息,這樣,可以實(shí)現(xiàn)表項(xiàng)的精確快速查找,這樣的變化并不影響本發(fā)明的保護(hù)范圍。
當(dāng)檢測(cè)結(jié)果為否時(shí),執(zhí)行步驟S1005;當(dāng)檢測(cè)結(jié)果為是時(shí),執(zhí)行步驟S1006。
24步驟S1005、接入網(wǎng)關(guān)向該ARP請(qǐng)求報(bào)文的發(fā)送方返回ARP響應(yīng)報(bào)文,并發(fā)送反向ARP請(qǐng)求凈艮文。
在此過(guò)程中,接入網(wǎng)關(guān)還根據(jù)ARP報(bào)文的源信息創(chuàng)建ARP表項(xiàng),并標(biāo)記該ARP表項(xiàng)為未完成狀態(tài)。
在此步驟之后,接入網(wǎng)關(guān)等待該反向ARP請(qǐng)求報(bào)文的響應(yīng),當(dāng)接收到相關(guān)響應(yīng)報(bào)文時(shí),則執(zhí)行步驟SIOOI進(jìn)行進(jìn)一步處理。
步驟S1006、接入網(wǎng)關(guān)判斷查找到的ARP表項(xiàng)是否為網(wǎng)關(guān)ARP表項(xiàng)或代理ARP表項(xiàng)。
當(dāng)ARP表項(xiàng)不是網(wǎng)關(guān)ARP表項(xiàng)或代理ARP表項(xiàng)時(shí),執(zhí)行步驟S1003;
當(dāng)ARP表項(xiàng)是網(wǎng)關(guān)ARP表項(xiàng)或代理ARP表項(xiàng)時(shí),執(zhí)行步驟S1007。
其中,網(wǎng)關(guān)ARP表項(xiàng)具體是指本接入網(wǎng)關(guān)或接收該ARP報(bào)文的接口所對(duì)應(yīng)的ARP表項(xiàng),即對(duì)應(yīng)本地處理的ARP表項(xiàng);而代理ARP表項(xiàng)具體是指本接入網(wǎng)關(guān)可關(guān)聯(lián)的或非接收該ARP報(bào)文的接口所對(duì)應(yīng)的ARP表項(xiàng),即對(duì)應(yīng)非本地處理的ARP表項(xiàng),這樣的表項(xiàng)可以由本地進(jìn)行代理處理。
步驟SI007、 4妄入網(wǎng)關(guān)判斷該ARP表項(xiàng)所記錄的MAC地址信息是否與該ARP請(qǐng)求4艮文的MAC地址信息相同。
當(dāng)ARP表項(xiàng)的MAC地址信息與ARP報(bào)文的MAC地址信息相同時(shí),執(zhí)行步驟S1008。
當(dāng)ARP表項(xiàng)的MAC地址信息與ARP報(bào)文的MAC地址信息不同時(shí),執(zhí)行步驟S1009。
在前述的步驟S1004中,如果采用的檢測(cè)依據(jù)是MAC地址信息,則本步驟中的進(jìn)一步判斷依據(jù)則改為IP地址信息,這樣的變化并不影響本發(fā)明的保護(hù)范圍。
步驟S1008、接入網(wǎng)關(guān)更新該ARP表項(xiàng)的老化時(shí)間。通過(guò)本步驟可以記錄該ARP表項(xiàng)的最后確認(rèn)時(shí)間,從而為網(wǎng)絡(luò)中的表項(xiàng)管理提供依據(jù)。
在本步驟完成之后,接入網(wǎng)關(guān)還可以根據(jù)ARP請(qǐng)求報(bào)文向該ARP請(qǐng)求報(bào)文的發(fā)送方返回ARP響應(yīng)才艮文。需要進(jìn)一步指出的是,返回ARP響應(yīng)報(bào)文只是本發(fā)明實(shí)施例根據(jù)具體應(yīng)用場(chǎng)景需求而做出的處理,是否返回ARP響應(yīng)報(bào)文并不影響本發(fā)明的保護(hù)范圍。
步驟S1009、接入網(wǎng)關(guān)記錄攻擊曰志。
在本步驟執(zhí)行完成后,還可以包括向服務(wù)器上報(bào)攻擊日志,為管理員提供管理數(shù)據(jù)依據(jù)。
進(jìn)一步的,本步驟執(zhí)行后,還可以轉(zhuǎn)回執(zhí)行步驟S1005,這樣的變化同樣屬于本發(fā)明的保護(hù)范圍。
步驟SIOIO、接入網(wǎng)關(guān)檢測(cè)該ARP響應(yīng)報(bào)文是否符合預(yù)設(shè)的安全規(guī)則。
當(dāng)該ARP響應(yīng)報(bào)文不符合預(yù)設(shè)的安全規(guī)則時(shí),執(zhí)行步驟S1003;
當(dāng)該ARP響應(yīng)報(bào)文符合預(yù)設(shè)的安全規(guī)則時(shí),執(zhí)行步驟S1011 。
其中,預(yù)設(shè)的安全規(guī)則具體為
ARP響應(yīng)報(bào)文的源MAC為單播地址。
在具體的實(shí)現(xiàn)過(guò)程中,上述安全策略可以根據(jù)需要進(jìn)一步添加新的安全規(guī)則,這樣的變化同樣屬于本發(fā)明的保護(hù)范圍。
步驟S1011、接入網(wǎng)關(guān)根據(jù)接收到的ARP響應(yīng)報(bào)文的源IP地址信息,檢測(cè)預(yù)存的至少一個(gè)ARP表項(xiàng)中是否存在包含相同IP地址信息的ARP表項(xiàng)。
其中,預(yù)存的至少一個(gè)ARP表項(xiàng)是根據(jù)前述本發(fā)明實(shí)施例七中的認(rèn)證流程生成的,也可能是上述步驟S1005中所生成的未完成狀態(tài)的ARP表項(xiàng)。
而本步驟中所提及的表項(xiàng)檢測(cè)依據(jù)為ARP響應(yīng)報(bào)文的源IP地址信息,在實(shí)際應(yīng)用中,也可以采用ARP響應(yīng)報(bào)文的MAC地址信息進(jìn)行4企測(cè),并且,還可以進(jìn)一步加上該ARP響應(yīng)報(bào)文的接收端口信息和VLAN信息等其他信息,這樣,可以實(shí)現(xiàn)表項(xiàng)的精確快速查找,這樣的變化并不影響本發(fā)明的保護(hù)范圍。
當(dāng)檢測(cè)結(jié)果為是時(shí),執(zhí)行步驟S1012;當(dāng)檢測(cè)結(jié)果為否時(shí),執(zhí)行步驟S1003。
步驟S1012、接入網(wǎng)關(guān)判斷該ARP表項(xiàng)是否為未完成狀態(tài)。
當(dāng)接入網(wǎng)關(guān)判斷該ARP表項(xiàng)是未完成狀態(tài)時(shí),執(zhí)行步驟S1013;
26頁(yè)
當(dāng)接入網(wǎng)關(guān)判斷該ARP表項(xiàng)不是未完成狀態(tài)時(shí),即4矣入網(wǎng)關(guān)判斷該ARP表項(xiàng)是完成狀態(tài)時(shí),執(zhí)行步驟S1014。
步驟S1013、 4妄入網(wǎng)關(guān)標(biāo)記該ARP表項(xiàng)為完成狀態(tài)。
通過(guò)此步驟,可以實(shí)現(xiàn)在步驟S1005中所生成的ARP表項(xiàng)的確認(rèn),即通過(guò)反向ARP請(qǐng)求報(bào)文實(shí)現(xiàn)對(duì)ARP請(qǐng)求報(bào)文的發(fā)送方的身份確認(rèn),并在確認(rèn)后,學(xué)習(xí)該ARP表項(xiàng)信息,而在此之前,基于對(duì)接收到的ARP報(bào)文的不信任原貝'J,不會(huì)根據(jù)該ARP報(bào)文添加ARP表項(xiàng),從而,確保了 ARP表項(xiàng)信息的準(zhǔn)確,提高了網(wǎng)絡(luò)識(shí)別的準(zhǔn)確性。
步驟S1014、接入網(wǎng)關(guān)判斷該ARP表項(xiàng)所記錄的MAC地址信息是否與該ARP響應(yīng)報(bào)文的MAC地址信息相同。
當(dāng)ARP表項(xiàng)的MAC地址信息與ARP響應(yīng)報(bào)文的MAC地址信息相同時(shí),執(zhí)行步驟S1015。
當(dāng)ARP表項(xiàng)的MAC地址信息與ARP響應(yīng)報(bào)文的MAC地址信息不同時(shí),執(zhí)行步驟S1016。
在前述的步驟SlOll中,如果采用的檢測(cè)依據(jù)是MAC地址信息,則本步驟中的進(jìn)一步判斷依據(jù)則改為IP地址信息,這樣的變化并不影響本發(fā)明的保護(hù)范圍。
步驟S1015、 4妄入網(wǎng)關(guān)更新該ARP表項(xiàng)的老化時(shí)間。通過(guò)本步驟可以記錄該ARP表項(xiàng)的最后確認(rèn)時(shí)間,從而為網(wǎng)絡(luò)中的表項(xiàng)管理提供依據(jù)。
步驟S1016、 4婁入網(wǎng)關(guān)記錄攻擊日志。
在本步驟執(zhí)行完成后,還可以包括向服務(wù)器上報(bào)攻擊日志,為管理員提供管理數(shù)據(jù)依據(jù)。
本發(fā)明實(shí)施例的技術(shù)方案具有以下優(yōu)點(diǎn),因?yàn)椴捎昧私尤刖W(wǎng)關(guān)根據(jù)多種綁定信息進(jìn)行報(bào)文驗(yàn)證的方法,從而,實(shí)現(xiàn)了認(rèn)證信息的自動(dòng)生成和應(yīng)用,并根據(jù)至少包括第一信息和第二信息的認(rèn)證信息對(duì)ARP報(bào)文進(jìn)行多重過(guò)濾,防御ARP攻擊,不需要進(jìn)行人工維護(hù),達(dá)到了降低網(wǎng)絡(luò)維護(hù)難度,提高網(wǎng)絡(luò)安全性的效果。
27通過(guò)以上的實(shí)施方式的描述,本領(lǐng)域的4支術(shù)人員可以清楚地了解到本發(fā)明可以通過(guò)硬件實(shí)現(xiàn),也可以可借助軟件加必要的通用石更件平臺(tái)的方式來(lái)實(shí)現(xiàn)基于這樣的理解,本發(fā)明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出
來(lái),該軟件產(chǎn)品可以存儲(chǔ)在一個(gè)非易失性存儲(chǔ)介質(zhì)(可以是CD-ROM, U盤(pán),移動(dòng)硬盤(pán)等)中,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法。
本領(lǐng)域技術(shù)人員可以理解附圖只是一個(gè)優(yōu)選實(shí)施例的示意圖,附圖中的模塊或流程并不 一 定是實(shí)施本發(fā)明所必須的。
以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來(lái)說(shuō),在不脫離本發(fā)明原理的前提下,還可以做出若千改進(jìn)和潤(rùn)飾,這些改進(jìn)和潤(rùn)飾也應(yīng)視本發(fā)明的保護(hù)范圍。
權(quán)利要求
1、一種地址解析協(xié)議ARP攻擊防范方法,其特征在于,包括以下步驟接收ARP報(bào)文,根據(jù)所述ARP報(bào)文的第一信息,檢測(cè)預(yù)存的至少一個(gè)ARP表項(xiàng)中是否存在包含相同第一信息的ARP表項(xiàng);當(dāng)存在所述ARP表項(xiàng)時(shí),判斷所述ARP表項(xiàng)中的第二信息是否與所述ARP報(bào)文的第二信息相同;當(dāng)所述ARP表項(xiàng)的第二信息與所述ARP報(bào)文的第二信息不同時(shí),丟棄所述ARP報(bào)文,并記錄攻擊日志。
2、 如權(quán)利要求1所述的方法,其特征在于,所述接收ARP報(bào)文,根據(jù)所述ARP報(bào)文的第一信息,檢測(cè)預(yù)存的至少一個(gè)ARP表項(xiàng)中是否存在包含相同第一信息的ARP表項(xiàng)之前,還包括識(shí)別所述ARP報(bào)文的報(bào)文類(lèi)型;根據(jù)所述報(bào)文類(lèi)型的識(shí)別結(jié)果,檢測(cè)所述ARP報(bào)文是否符合預(yù)設(shè)的安全規(guī)則;當(dāng)所述ARP報(bào)文符合所述預(yù)設(shè)的安全規(guī)則時(shí),根據(jù)接收到的所述ARP報(bào)文的第一信息,檢測(cè)預(yù)存的至少一個(gè)ARP表項(xiàng)中是否存在包含相同第一信息的ARP表項(xiàng)。
3、 如權(quán)利要求2所述的方法,其特征在于,所述預(yù)設(shè)的安全規(guī)則,具體包括當(dāng)所述ARP報(bào)文為ARP請(qǐng)求報(bào)文時(shí),所述ARP報(bào)文的源MAC為單播地址,或,所述ARP報(bào)文的ETH頭的源MAC與所述ARP報(bào)文的發(fā)送方MAC相同,或,所述ARP報(bào)文的目的IP地址為防火墻地址;當(dāng)所述ARP報(bào)文為ARP響應(yīng)報(bào)文時(shí),所述ARP報(bào)文的目的MAC為單播地址。
4、 如權(quán)利要求1或2所述的方法,其特征在于,當(dāng)所述ARP報(bào)文為ARP請(qǐng)求報(bào)文時(shí),所述第一信息為所述ARP報(bào)文的目的IP地址,或所述ARP報(bào)文的接入端口 ,或所述ARP報(bào)文的VLAN信息,所述第二信息具體為所述ARP報(bào)文的源MAC地址;當(dāng)所述ARP報(bào)文為ARP響應(yīng)報(bào)文時(shí),所述第一信息為所述ARP報(bào)文的源IP地址,或所述ARP報(bào)文的VLAN信息,所述第二信息為所述ARP報(bào)文的源MAC;也址。
5、 如權(quán)利要求1或2所述的方法,其特征在于,當(dāng)所述ARP凈艮文為ARP請(qǐng)求報(bào)文時(shí),所述第一信息為所述ARP報(bào)文的目的MAC地址,或所述ARP報(bào)文的接入端口 ,或所述ARP報(bào)文的VLAN信息,所述第二信息為所述ARP報(bào)文的源IP地址;當(dāng)所述ARP寺艮文為ARP響應(yīng)才艮文時(shí),所述第 一信息為所述ARP l艮文的源MAC地址,或所述ARP ^艮文的VLAN信息,所述第二信息為所述ARP才艮文的源IP地址。
6、 如權(quán)利要求1或2所述的方法,其特征在于,當(dāng)識(shí)別所述ARP報(bào)文為ARP請(qǐng)求報(bào)文時(shí),所述根據(jù)接收到的ARP報(bào)文的笫一信息,檢測(cè)預(yù)存的至少一個(gè)ARP表項(xiàng)中是否存在包含相同第 一信息的ARP表項(xiàng)之后,還包括當(dāng)不存在所述ARP表項(xiàng)時(shí),向所述ARP報(bào)文的發(fā)送方返回ARP響應(yīng)報(bào)文;向所述ARP才艮文的發(fā)送方發(fā)送第二 ARP請(qǐng)求才艮文;根據(jù)所述ARP報(bào)文的源信息創(chuàng)建ARP表項(xiàng),并標(biāo)記所述ARP表項(xiàng)為未完成狀態(tài)。
7、 如權(quán)利要求6所述的方法,其特征在于,當(dāng)識(shí)別所述ARP才艮文為ARP請(qǐng)求報(bào)文時(shí),所述根據(jù)接收到的ARP報(bào)文的第一信息,4企測(cè)預(yù)存的至少一個(gè)ARP表項(xiàng)中是否存在包含相同第一信息的ARP表項(xiàng)之后,還包括當(dāng)存在所述ARP表項(xiàng)時(shí),判斷所述ARP表項(xiàng)是否為接入網(wǎng)關(guān)ARP表項(xiàng)或代理ARP表項(xiàng);ARP報(bào)文;當(dāng)所述ARP表項(xiàng)是網(wǎng)關(guān)ARP表項(xiàng)或代理ARP表項(xiàng)時(shí),判斷所述ARP表項(xiàng)的第二信息是否與所述ARP報(bào)文的第二信息相同。
8、 如權(quán)利要求1或2所述的方法,其特征在于,當(dāng)識(shí)別所述ARP報(bào)文為ARP請(qǐng)求報(bào)文,且所述ARP表項(xiàng)的第二信息與所述ARP報(bào)文的第二信息不同時(shí),記錄攻擊日志之后,還包括向所述ARP報(bào)文的發(fā)送方返回ARP響應(yīng)報(bào)文;向所述ARP報(bào)文的發(fā)送方發(fā)送第二 ARP請(qǐng)求才艮文;才艮據(jù)所述ARP報(bào)文的源信息創(chuàng)建ARP表項(xiàng),并標(biāo)記所述ARP表項(xiàng)為未完成狀態(tài)。
9、 如權(quán)利要求1或2所述的方法,其特征在于,當(dāng)識(shí)別所述ARP報(bào)文為ARP響應(yīng)報(bào)文時(shí),根據(jù)接收到的ARP報(bào)文的第一信息,檢測(cè)預(yù)存的至少一個(gè)ARP表項(xiàng)中是否存在包含相同第一信息的ARP表項(xiàng)之后,還包括當(dāng)不存在所述ARP表項(xiàng)時(shí),丟棄所述ARP報(bào)文。
10、 如權(quán)利要求1或2所述的方法,其特征在于,當(dāng)存在所述ARP表項(xiàng)時(shí),判斷所述ARP表項(xiàng)的第二信息是否與所述ARP報(bào)文的第二信息相同之前,還包括當(dāng)識(shí)別所述ARP報(bào)文為ARP響應(yīng)報(bào)文時(shí),判斷所述ARP表項(xiàng)的狀態(tài)是否為未完成狀態(tài);當(dāng)所述ARP表項(xiàng)的狀態(tài)為未完成狀態(tài)時(shí),標(biāo)記所述ARP表項(xiàng)為完成狀態(tài);當(dāng)所述ARP表項(xiàng)的狀態(tài)為完成狀態(tài)時(shí),判斷所述ARP表項(xiàng)的第二信息是否與所述ARP報(bào)文的第二信息相同。
11、 如權(quán)利要求l所述的方法,其特征在于,所述判斷ARP表項(xiàng)的第二信息是否與所述ARP報(bào)文的第二信息相同之后,還包括當(dāng)所述ARP表項(xiàng)的第二信息與所述ARP報(bào)文的第二信息相同時(shí),更新所述ARP表項(xiàng)的老化時(shí)間。
12、 如權(quán)利要求1所述的方法,其特征在于,所述預(yù)存的至少一個(gè)ARP表項(xiàng)是根據(jù)認(rèn)證服務(wù)器發(fā)送的至少一個(gè)用戶短的認(rèn)證通過(guò)消息生成,所述認(rèn)證服務(wù)器發(fā)送的至少一個(gè)用戶端的認(rèn)證通過(guò)消息,具體通過(guò)以下步驟生成所述認(rèn)證服務(wù)器接收所述至少一個(gè)用戶端通過(guò)認(rèn)證客戶端發(fā)送的認(rèn)證請(qǐng)求;所述認(rèn)證服務(wù)器根據(jù)所述認(rèn)證請(qǐng)求,對(duì)所述至少一個(gè)用戶端進(jìn)行認(rèn)證;當(dāng)對(duì)所述至少一個(gè)用戶端認(rèn)證通過(guò)時(shí),向所述至少一個(gè)用戶端和所述至少一個(gè)用戶端所對(duì)應(yīng)的接入網(wǎng)關(guān)發(fā)送認(rèn)證通過(guò)消息,所述認(rèn)證通過(guò)消息中包括所述至少一個(gè)用戶端的信息和所述至少一個(gè)用戶端所對(duì)應(yīng)的接入網(wǎng)關(guān)的信白、
13、 一種接入網(wǎng)關(guān),其特征在于,包括接收模塊,用于接收ARP報(bào)文;第一檢測(cè)模塊,根據(jù)所述接收模塊所接收到的ARP報(bào)文的第一信息,檢測(cè)預(yù)存的至少 一個(gè)ARP表項(xiàng)中是否存在包含相同第 一信息的ARP表項(xiàng);第一判斷模塊,用于當(dāng)所述第一檢測(cè)模塊檢測(cè)到存在所述ARP表項(xiàng)時(shí),判斷所述ARP表項(xiàng)中的第二信息是否與所述ARP報(bào)文的第二信息相同;記錄模塊,用于當(dāng)所述第一判斷模塊判斷所述ARP表項(xiàng)的第二信息與所述ARP報(bào)文的第二信息不同時(shí),記錄攻擊曰志。
14、 如權(quán)利要求13所述的接入網(wǎng)關(guān),其特征在于,還包括識(shí)別模塊,用于識(shí)別所述接收模塊所接收的ARP報(bào)文的報(bào)文類(lèi)型;第二檢測(cè)模塊,用于根據(jù)所述識(shí)別模塊的報(bào)文類(lèi)型識(shí)別結(jié)果,檢測(cè)所述接收模塊所接收的ARP報(bào)文是否符合預(yù)設(shè)的安全規(guī)則;丟棄模塊,用于當(dāng)所述第二檢測(cè)模塊檢測(cè)到所述ARP報(bào)文不符合所述預(yù)設(shè)的安全規(guī)則時(shí),丟棄所述ARP報(bào)文。
15、 如權(quán)利要求14所述的接入網(wǎng)關(guān),其特征在于,還包括反向請(qǐng)求模塊,用于向所述ARP報(bào)文的發(fā)送方返回ARP響應(yīng)報(bào)文,并向所述ARP報(bào)文的發(fā)送方發(fā)送第二 ARP請(qǐng)求報(bào)文;表項(xiàng)處理模塊,用于在所述反向請(qǐng)求模塊向所述ARP報(bào)文的發(fā)送方發(fā)送第二ARP請(qǐng)求報(bào)文時(shí),根據(jù)所述ARP報(bào)文的源信息創(chuàng)建ARP表項(xiàng),并標(biāo)記所述ARP表項(xiàng)為未完成狀態(tài),并在接收到所述第二 ARP請(qǐng)求報(bào)文對(duì)應(yīng)的第二ARP響應(yīng)報(bào)文時(shí),標(biāo)記所述ARP表項(xiàng)為完成狀態(tài)。
16、 如權(quán)利要求14所述的接入網(wǎng)關(guān),其特征在于,還包括第二判斷模塊,用于當(dāng)所述識(shí)別模塊識(shí)別所述ARP報(bào)文為ARP請(qǐng)求報(bào)文,且所述第一檢測(cè)模塊檢測(cè)存在所述ARP表項(xiàng)時(shí),判斷所述ARP表項(xiàng)是否為網(wǎng)關(guān)ARP表項(xiàng)或代理ARP表項(xiàng),當(dāng)所述第二判斷模塊的判斷結(jié)果為是時(shí),將所述ARP報(bào)文轉(zhuǎn)發(fā)給所述第 一判斷模塊進(jìn)行處理,當(dāng)所述第二判斷模塊的判斷結(jié)果為否時(shí),將所述ARP報(bào)文轉(zhuǎn)發(fā)給所述丟棄模塊進(jìn)行處理。
17、 如權(quán)利要求14所述的接入網(wǎng)關(guān),其特征在于,還包括第三判斷模塊,用于當(dāng)所述識(shí)別模塊識(shí)別所述ARP報(bào)文為ARP響應(yīng)報(bào)文,且所述第一檢測(cè)模塊檢測(cè)存在所述ARP表項(xiàng)時(shí),判斷所述ARP表項(xiàng)的狀態(tài)是否為未完成狀態(tài),當(dāng)所述第三判斷模塊的判斷結(jié)果為是時(shí),將所述ARP報(bào)文轉(zhuǎn)發(fā)給所述第一判斷模塊進(jìn)行處理,當(dāng)所述第三判斷模塊的判斷結(jié)果為否時(shí),將所述ARP報(bào)文轉(zhuǎn)發(fā)給狀態(tài)標(biāo)記模塊進(jìn)行處理;所述狀態(tài)標(biāo)記模塊,用于根據(jù)所述第三判斷模塊的判斷結(jié)果對(duì)ARP表項(xiàng)進(jìn)4亍狀態(tài)標(biāo)i己處理。
18、 如權(quán)利要求14所述的接入網(wǎng)關(guān),其特征在于,還包括更新模塊,用于當(dāng)所述第 一判斷模塊判斷所述ARP表項(xiàng)的第二信息與所述ARP報(bào)文的第二信息相同時(shí),更新所述ARP表項(xiàng)的老化時(shí)間。
19、 如權(quán)利要求13、 14或15所述的接入網(wǎng)關(guān),其特征在于,所述丟棄模塊,還用于當(dāng)所述笫 一檢測(cè)模塊檢測(cè)到不存在所述ARP表項(xiàng)時(shí),丟棄所述ARP纟艮文;所述接收模塊,還用于接收認(rèn)證服務(wù)器發(fā)送的至少一個(gè)用戶端的認(rèn)證通過(guò)消息,或接收所述認(rèn)證服務(wù)器發(fā)送的至少一個(gè)用戶端的下線通知消息;所述表項(xiàng)處理才莫塊,還用于根據(jù)所述接收模塊接收到的認(rèn)證通過(guò)消息中所包括的至少一個(gè)用戶端的信息,生成所述至少一個(gè)ARP表項(xiàng),或根據(jù)所述接收模塊接收到的至少一個(gè)用戶端的下線通知消息,刪除所述至少一個(gè)用戶端所對(duì)應(yīng)的至少 一個(gè)ARP表項(xiàng)。
20、 一種ARP攻擊防范方法,其特征在于,包括以下步驟當(dāng)接收到的ARP報(bào)文的發(fā)送方的第 一地址為接入網(wǎng)關(guān)的第 一地址時(shí),檢測(cè)所述發(fā)送方的第二地址是否與預(yù)存的接入網(wǎng)關(guān)第二地址相同;當(dāng)所述ARP報(bào)文的發(fā)送方的第二地址與所述預(yù)存的接入網(wǎng)關(guān)第二地址不同時(shí),丟棄所述ARP沖艮文。
21、 如權(quán)利要求20所述的方法,其特征在于,還包括當(dāng)所述ARP報(bào)文的發(fā)送方的第二地址與所述預(yù)存的接入網(wǎng)關(guān)第二地址相同時(shí),向所述ARP報(bào)文的目的地址轉(zhuǎn)發(fā)所述ARP報(bào)文。
22、 如權(quán)利要求20或21所述的方法,其特征在于,當(dāng)所述第一地址為IP地址時(shí),所述第二地址為MAC地址;當(dāng)所述第 一地址為MAC地址時(shí),所述第二地址為IP地址。
23、 一種交換機(jī),其特征在于,包括接收模塊,用于接收ARP報(bào)文;檢測(cè)模塊,用于當(dāng)所述接收模塊所接收到的ARP報(bào)文的發(fā)送方的第 一地址為接入網(wǎng)關(guān)的第 一地址時(shí),檢測(cè)所述發(fā)送方的第二地址是否與預(yù)存的接入網(wǎng)關(guān)第二地址相同;丟棄模塊,用于當(dāng)所述檢測(cè)模塊檢測(cè)到所述ARP報(bào)文的發(fā)送方的第二地址與所述預(yù)存的接入網(wǎng)關(guān)第二地址不同時(shí),丟棄所述ARP報(bào)文。
24、 如權(quán)利要求23所述的交換機(jī),其特征在于,還包括轉(zhuǎn)發(fā)模塊,用于當(dāng)所述檢測(cè)模塊檢測(cè)到所述ARP報(bào)文的發(fā)送方的第二地址與所述預(yù)存的接入網(wǎng)關(guān)第二地址相同時(shí),向所述ARP報(bào)文的目的地址轉(zhuǎn)發(fā)所述ARP^艮文。
25、 一種通信網(wǎng)絡(luò),其特征在于,包括交換機(jī)、接入網(wǎng)關(guān)和認(rèn)證服務(wù)器所述交換機(jī),用于當(dāng)用戶端通過(guò)第一信息和/或第二信息向所述服務(wù)器認(rèn)證通過(guò)時(shí),根據(jù)所述用戶端對(duì)應(yīng)的接入網(wǎng)關(guān)的信息,生成檢驗(yàn)表項(xiàng),并根據(jù)所述檢驗(yàn)表項(xiàng)過(guò)濾接收到的ARP報(bào)文;所述接入網(wǎng)關(guān),用于當(dāng)所述用戶端認(rèn)證通過(guò)時(shí),接收所述認(rèn)證服務(wù)器發(fā)送的認(rèn)證通過(guò)消息,并根據(jù)所述用戶端的信息保存相對(duì)應(yīng)的ARP表項(xiàng),并根據(jù)所述ARP表項(xiàng)過(guò)濾接收到的ARP報(bào)文;所述認(rèn)證服務(wù)器,用于對(duì)所述用戶端進(jìn)行認(rèn)證,并在認(rèn)證成功后,將所述用戶端的信息通過(guò)認(rèn)證通過(guò)消息發(fā)送給所述接入網(wǎng)關(guān)。
26、 如權(quán)利要求25所述的通信網(wǎng)絡(luò),其特征在于,所述接入網(wǎng)關(guān),還用于識(shí)別接收到的ARP報(bào)文的類(lèi)型,并根據(jù)所述ARP報(bào)文的類(lèi)型識(shí)別結(jié)果,對(duì)所述ARP報(bào)文進(jìn)行處理;當(dāng)判斷所述ARP表項(xiàng)與所述接收到的ARP報(bào)文中的信息不一致時(shí),所述接入網(wǎng)關(guān)還用于丟棄所述ARP才艮文,并記錄攻擊日志。
全文摘要
本發(fā)明實(shí)施例公開(kāi)了一種ARP攻擊防范方法、設(shè)備和通信網(wǎng)絡(luò),所述方法包括以下步驟接收ARP報(bào)文,根據(jù)所述ARP報(bào)文的第一信息,檢測(cè)預(yù)存的至少一個(gè)ARP表項(xiàng)中是否存在包含相同第一信息的ARP表項(xiàng);當(dāng)存在所述ARP表項(xiàng)時(shí),判斷所述ARP表項(xiàng)的第二信息是否與所述ARP報(bào)文的第二信息相同;當(dāng)所述ARP表項(xiàng)的第二信息與所述ARP報(bào)文的第二信息不同時(shí),丟棄所述ARP報(bào)文,并記錄攻擊日志。通過(guò)應(yīng)用本發(fā)明的技術(shù)方案,實(shí)現(xiàn)了根據(jù)至少包括第一信息和第二信息的認(rèn)證信息對(duì)ARP報(bào)文進(jìn)行多重過(guò)濾,防御ARP攻擊,不需要進(jìn)行人工維護(hù),達(dá)到了降低網(wǎng)絡(luò)維護(hù)難度,提高網(wǎng)絡(luò)安全性的效果。
文檔編號(hào)H04L29/06GK101488951SQ200810191760
公開(kāi)日2009年7月22日 申請(qǐng)日期2008年12月31日 優(yōu)先權(quán)日2008年12月31日
發(fā)明者勝 王, 章海剛 申請(qǐng)人:成都市華為賽門(mén)鐵克科技有限公司
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1