一種防網關欺騙的方法及裝置制造方法
【專利摘要】本發(fā)明公開了一種防網關欺騙的方法及裝置���,該方法包括:發(fā)送包含設定的互聯網協議IP地址的用于探測是否存在網關欺騙病毒的探測報文�����;并接收探測響應報文����;獲得接收到的探測響應報文中的源IP地址�;判斷所述源IP地址是否和設定的網關IP地址一致;在確定出所述源IP地址和設定的網關IP地址一致時����,向網絡中各主機廣播包含正確網關IP地址的網關報文,其中�����,所述包含正確網關IP地址的網關報文使網絡中已被篡改的主機獲取正確的IP地址�,恢復與網關正常通信,用于解決網絡中存在ARP欺騙病毒時網絡的安全性���。
【專利說明】一種防網關欺騙的方法及裝置
【技術領域】
[0001 ] 本發(fā)明涉及數據通信【技術領域】�����,尤其是涉及一種防網關欺騙的方法及裝置���。
【背景技術】
[0002]地址解析協議(英文:Address Resolut1n Protocol,縮寫:ARP)是根據IP地址獲取物理地址的一個TCP/IP協議�����。網絡中的主機通過網關連接外網,在網絡中���,通常情況下會設置一個默認的網關��,網絡中的主機發(fā)送到局域網外的全部報文會發(fā)送到默認網關����,因此�����,網絡中的主機連接外網之前都會先發(fā)送ARP請求報文申請默認網關的介質訪問控制(英文:Medium Access Control,縮寫:MAC)地址��。
[0003]當網絡中存在網關ARP欺騙的病毒時�����,網關ARP病毒進行欺騙的過程如下述:當局域網中的某一臺主機向局域網外發(fā)送數據時,該主機會給全網絡發(fā)送廣播ARP請求報文�,來申請網關的MAC地址。當網關收到ARP請求報文時���,會回復一個ARP響應報文給請求主機����。此時攜帶ARP網關欺騙病毒的主機也會回復一個虛假的ARP響應報文給請求主機����,通常該虛假ARP報文的目的硬件地址被填成一個虛假的MAC地址或者其自身的MAC地址,而且通常虛假的ARP響應報文會比網關的ARP響應報文延遲一段時間或者多發(fā)幾個����。這樣,主機就會學到錯誤的網關的MAC地址���,后續(xù)發(fā)送的報文不是到達網關的MAC�����,而是到達一個錯誤的MAC地址��,或者病毒主機�����。從而網關ARP欺騙病毒達到了使局域網絡內主機斷網或者流量導入病毒主機的目的����。
[0004]綜上所述,網關ARP欺騙病毒的存在會導致網絡中的主機學習到錯誤的網關的MAC地址�����,從而造成網絡中的主機無法向局域網外發(fā)送數據或者發(fā)送的數據被錯誤的導入到病毒主機�,使得網絡安全性較差���。
【發(fā)明內容】
[0005]本發(fā)明提供了一種防網關欺騙的方法及裝置�����,用于解決網絡中存在ARP欺騙病毒時網絡的安全性�。
[0006]一種防網關欺騙的方法�����,包括:發(fā)送包含設定的互聯網協議IP地址的用于探測是否存在網關欺騙病毒的探測報文����;并接收探測響應報文�����;獲得接收到的探測響應報文中的源IP地址����;判斷所述源IP地址是否和設定的網關IP地址一致���;在確定出所述源IP地址和設定的網關IP地址一致時����,向網絡中各主機廣播包含正確網關IP地址的網關報文,其中����,所述包含正確網關IP地址的網關報文使網絡中已被篡改的主機獲取正確的IP地址,恢復與網關正常通信�����。
[0007]通過上述技術方案���,可以使得網絡中已被篡改的主機獲取正確的IP地址����,恢復與網關正常通信。
[0008]在確定出所述源IP地址和設定的網關IP地址一致之后�����,還包括:根據接收到的欺騙源發(fā)送的探測響應報文����,獲得發(fā)送所述探測響應報文的主機介質訪問控制MAC地址作為欺騙源MAC地址;將所述欺騙源MAC地址加入到用于標識網關欺騙病毒源的黑名單中���。
[0009]通過上述技術方案�����,可以定位到欺騙源,并進一步阻斷了欺騙源對于網關的欺騙��。
[0010]在接收網關ARP回應報文之前�����,還包括:通過設定端口廣播探測報文��,所述探測報文中包含設定的網關IP地址、設定的發(fā)送IP地址���、設定的發(fā)送MAC地址以及所述設定端口歸屬的虛擬局域網VLAN標識�。
[0011 ] 通過指定發(fā)送者IP地址字段�、發(fā)送者硬件地址字段,不使用網關的IP與MAC�����,可以防止某些智能病毒識別出網關的探測意圖�����。
[0012]通過設定端口廣播探測報文����,包括:以設定時長為間隔,周期性通過設定端口廣播探測報文���。
[0013]通過上述技術方案�����,可以使得已經被欺騙的網絡中的設備���,恢復與網關的正常通信����。
[0014]一種防網關欺騙的裝置��,包括:發(fā)送模塊���,用于發(fā)送包含設定的互聯網協議IP地址的用于探測是否存在網關欺騙病毒的探測報文����;接收模塊����,用于接收探測響應報文;獲得模塊���,用于獲得接收到的探測響應報文中的源IP地址;執(zhí)行模塊���,用于判斷所述源IP地址是否和設定的網關IP地址一致�����;在確定出所述源IP地址和設定的網關IP地址一致時�����,向網絡中各主機廣播包含正確網關IP地址的網關報文�����,其中���,所述包含正確網關IP地址的網關報文使網絡中已被篡改的主機獲取正確的IP地址���,恢復與網關正常通信。
[0015]通過上述技術方案���,可以使得網絡中已被篡改的主機獲取正確的IP地址���,恢復與網關正常通信。
[0016]所述獲得模塊���,還用于根據接收到的欺騙源發(fā)送的探測響應報文����,獲得發(fā)送所述探測響應報文的主機介質訪問控制MAC地址作為欺騙源MAC地址;所述執(zhí)行模塊��,還用于將所述欺騙源MAC地址加入到用于標識網關欺騙病毒源的黑名單中���。
[0017]通過上述技術方案�,可以定位到欺騙源����,并進一步阻斷了欺騙源對于網關的欺騙。
[0018]所述發(fā)送模塊��,具體用于通過設定端口廣播探測報文����,所述探測報文中包含設定的網關IP地址、設定的發(fā)送IP地址�、設定的發(fā)送MAC地址以及所述設定端口歸屬的虛擬局域網VLAN標識。
[0019]通過指定發(fā)送者IP地址字段�、發(fā)送者硬件地址字段,不使用網關的IP與MAC��,可以防止某些智能病毒識別出網關的探測意圖��。
[0020]所述發(fā)送模塊����,具體用于以設定時長為間隔,周期性通過設定端口廣播探測報文����。
[0021]通過上述技術方案,可以使得已經被欺騙的網絡中的設備�����,恢復與網關的正常通?目����。
【專利附圖】
【附圖說明】
[0022]圖1為本發(fā)明實施例一中,提出的防網關欺騙的方法流程圖��;
[0023]圖2為本發(fā)明實施例一中����,提出的防網關欺騙的裝置結構組成示意圖;
[0024]圖3為本發(fā)明實施例二中����,提出的防網關欺騙的方法流程圖;
[0025]圖4為本發(fā)明實施例二中,提出的網關ARP請求報文的具體格式示意圖����;
[0026]圖5為本發(fā)明實施例二中,提出的防網關欺騙的系統架構圖�;
[0027]圖6為本發(fā)明實施例二中,提出的應用環(huán)境系統架構圖�。
【具體實施方式】
[0028]針對當前情況下網關ARP欺騙病毒的存在會導致網絡中的主機學習到錯誤的網關的MAC地址,從而造成網絡中的主機無法向局域網外發(fā)送數據或者發(fā)送的數據被錯誤的導入到病毒主機��,使得網絡安全性較差的問題�����,本發(fā)明實施例提出一種防網關欺騙的方法��,通過對接收到的發(fā)送給網關的網關ARP回應報文中的源IP地址的比對以及判斷���,在確定出獲得的源IP地址和設定的網關IP地址一致時��,向網絡中各主機廣播包含正確網關IP地址的網關ARP報文�,可以使得已經被欺騙的網絡中的設備恢復正常的網關ARP表項��,恢復與網關的正常通信�。
[0029]下面將結合各個附圖對本發(fā)明實施例技術方案的主要實現原理��、【具體實施方式】及其對應能夠達到的有益效果進行詳細地闡述���。
[0030]實施例一
[0031]當局域網中的某一臺主機需要向局域網外部發(fā)送報文時���,該主機會給全網絡廣播請求報文��,申請網關的MAC地址����。當網關收到請求報文時����,會回復一個對請求報文的響應報文給主機。同時�,攜帶網關欺騙病毒的主機也會回復一個對請求報文的虛假的響應報文,也就是欺騙報文給請求主機����,通常該虛假的響應報文的目的硬件地址被填成一個虛假的MAC地址或者攜帶網關欺騙病毒的主機自身的MAC地址,而且通常虛假的響應報文會比網關的響應報文延遲一段時間或者多發(fā)幾個�����。
[0032]本發(fā)明實施例一提出的一種防網關欺騙的方法,如圖1所示����,其具體處理流程如下述:
[0033]步驟11,發(fā)送包含設定的IP地址的探測報文��。
[0034]其中�����,探測報文是用于探測網絡中是否存在網關欺騙病毒的報文�����。發(fā)送探測報文是一個引誘作用����,探測報文是模擬主機給全網絡廣播的請求報文,在IPV4網絡下�����,探測報文是ARP報文���,在IPV6網絡下�����,探測報文是NS報文�。
[0035]可以通過設定端口廣播探測報文,探測報文中包含設定的網關IP地址���、設定的發(fā)送IP地址、設定的發(fā)送MAC地址以及所述設定端口歸屬的虛擬局域網VLAN標識�。
[0036]具體地,可以以設定時長為間隔�,周期性通過設定端口廣播探測報文。
[0037]本發(fā)明實施例提出的技術方案中�,在一個局域網中,包含一個網關���、多個主機���。
[0038]可以由網關周期性地向設定端口廣播探測報文。
[0039]步驟12��,接收探測響應報文��。
[0040]其中�,探測響應報文是局域網中的各主機發(fā)送的對探測報文的響應報文����。在IPV4網絡下����,探測響應報文是ARP r印Iy報文,在IPV6網絡下��,探測響應報文是NA報文�。
[0041]步驟13,獲得接收到的探測響應報文中的源IP地址����。
[0042]步驟14,判斷獲得的源IP地址是否和設定的網關IP地址一致��。如果判斷結果為是���,執(zhí)行步驟15��,反之結束處理����。
[0043]本發(fā)明實施例提出的技術方案中����,在局域網中����,包括網關和主機���,本發(fā)明的方案直接在網關的功能上體現�����,此外,也可以采用單獨的防網關欺騙裝置部署在網絡中�,來防網關欺騙。本發(fā)明實施例的方案直接在網關的功能上體現����,局域網中的各主機通過網關向局域網外部發(fā)送報文,并通過網關接收外部發(fā)送的報文�����。該種網絡架構下�����,如果局域網中存在網關欺騙病毒,會導致局域網中的各主機學習到錯誤的網關MAC地址���,從而導致局域網中的主機無法向局域網外發(fā)送數據�����。
[0044]具體地�����,設定的網關IP地址為網絡中不與其他主機沖突的IP地址���。本發(fā)明實施例提出的技術方案中,采用設定的網關IP地址�����,可以較好地防止某些智能病毒識別出網關的探測網關欺騙病毒的意圖�。從而可以更為準確地確定出攜帶網關欺騙病毒的主機。
[0045]步驟15�,在確定出源IP地址和設定的網關IP地址一致時,向網絡中各主機廣播包含正確網關IP地址的網關報文���。
[0046]包含正確網關IP地址的網關報文使網絡中已被篡改的主機獲取正確的IP地址�����,恢復與網關正常通信�����。
[0047]可選地���,在上述步驟15之后�����,還可以包括:
[0048]根據接收到的欺騙源發(fā)送的探測響應報文��,獲得發(fā)送探測響應報文的主機MAC地址作為欺騙源MAC地址;將所述欺騙源MAC地址加入到用于標識網關欺騙病毒源的黑名單中�����。
[0049]相應地�����,本發(fā)明實施例一還提出一種防網關欺騙的裝置���,本發(fā)明中該防網關欺騙裝置可內嵌在網關上����,運行于網關內部,此外�,也該防網關欺騙裝置可以是一個外部裝置,在整個網絡中運行��,如圖2所示���,該防網關欺騙的裝置包括:
[0050]發(fā)送模塊201�,用于發(fā)送包含設定的互聯網協議IP地址的用于探測是否存在網關欺騙病毒的探測報文�����。
[0051]具體地�,上述發(fā)送模塊201,具體用于通過設定端口廣播探測報文��,所述探測報文中包含設定的網關IP地址�����、設定的發(fā)送IP地址、設定的發(fā)送MAC地址以及所述設定端口歸屬的虛擬局域網VLAN標識�。
[0052]具體地,上述發(fā)送模塊201�����,具體用于以設定時長為間隔����,周期性通過設定端口廣播探測報文。
[0053]接收模塊202���,用于接收探測響應報文���。
[0054]獲得模塊203,用于獲得接收到的探測響應報文中的源IP地址��。
[0055]執(zhí)行模塊204����,用于判斷所述源IP地址是否和設定的網關IP地址一致�;在確定出所述源IP地址和設定的網關IP地址一致時,向網絡中各主機廣播包含正確網關IP地址的網關報文�����,其中,所述包含正確網關IP地址的網關報文使網絡中已被篡改的主機獲取正確的IP地址���,恢復與網關正常通信�。
[0056]具體地�����,上述獲得模塊203����,還用于根據接收到的欺騙源發(fā)送的探測響應報文,獲得發(fā)送所述探測響應報文的主機介質訪問控制MAC地址作為欺騙源MAC地址�����;所述執(zhí)行模塊���,還用于將所述欺騙源MAC地址加入到用于標識網關欺騙病毒源的黑名單中���。
[0057]實施例二
[0058]本發(fā)明實施例一上述提出的方網關欺騙方法及裝置,可以應用在基于IPV4協議的網絡中����,也可以應用在基于IPV6協議的網絡中�,不同之處在于�,在IPV6中,所接收探測響應報文內容還包括有3個特殊的標志位,分別為R/S/0, R表示發(fā)送者是否為路由器,S表示Solicited, S表示該應答報文是免費的還是收到請求后應答的�����,O表示收到該報文后要不要覆蓋更新已有表項信息����。
[0059]本發(fā)明實施例二以應用在基于IPV4協議的網絡中為例,來進一步詳細闡述防網關欺騙的方法����,如圖3所示,其具體處理流程如下述:
[0060]步驟31���,發(fā)送包含設定的IP地址的APR探測報文���。ARP探測報文是模擬主機給全網絡廣播的ARP請求報文。
[0061]步驟32���,接收探測響應ARP報文����。
[0062]本發(fā)明實施例二提出的技術方案中����,在一個局域網中,包含一個網關����、多個主機。
[0063]其中����,探測響應ARP報文是局域網中的各主機向網關發(fā)送的對APR探測報文的響應報文,ARP r印Iy報文���。
[0064]步驟33�,獲得接收到的探測響應ARP reply報文中的源IP地址����。
[0065]在接收到的探測響應ARP reply報文的報文中獲得發(fā)送該探測響應ARP reply報文的主機的源IP地址。
[0066]步驟34�����,判斷獲得的源IP地址是否和設定的網關IP地址一致。如果判斷結果為是�����,執(zhí)行步驟35�����,反之結束處理���。
[0067]本發(fā)明實施例二提出的技術方案中�����,在局域網中����,包括網關和主機���。局域網中的各主機通過網關向局域網外部發(fā)送報文�,并通過網關接收外部發(fā)送的報文����。在IPV4網絡架構下�,如果局域網中存在網關欺騙病毒���,會導致局域網中的各主機學習到錯誤的網關MAC地址,從而導致局域網中的主機無法向局域網外發(fā)送數據����。其中,網關欺騙病毒進行欺騙的過程具體如下述:當局域網中的某一臺主機需要向局域網外部發(fā)送報文時���,該主機會給全網絡廣播ARP請求報文��,申請網關的MAC地址�。當網關收到ARP請求報文時��,會回復一個ARP reply響應報文給主機��。同時��,攜帶ARP網關欺騙病毒的主機也會回復一個虛假的ARPreply響應報文�����,也就是ARP欺騙報文給請求主機�,通常該虛假ARP報文的目的硬件地址被填成一個虛假的MAC地址或者攜帶ARP網關欺騙病毒的主機自身的MAC地址����,而且通常虛假的ARP reply響應報文會比網關的ARPr印Iy響應報文延遲一段時間或者多發(fā)幾個����。這樣,主機就會學到錯誤的網關的MAC地址����,發(fā)送的報文不是到達網關的MAC,而是到達一個錯誤的MAC地址�,或者病毒主機。因此�����,網關欺騙病毒達到了使局域網絡內主機斷網或者流量導入病毒主機的目的�。本發(fā)明實施例提出的技術方案中,在接收到網絡中的主機向網關發(fā)送的網關ARPr印Iy響應報文時���,確定出ARPr印Iy響應報文的報文頭中的源IP地址��,將獲得的源IP地址和設定的網關IP地址比較���。
[0068]具體地�,設定的網關IP地址為網絡中不與其他主機沖突的IP地址��。本發(fā)明實施例提出的技術方案中���,采用設定的網關IP地址����,可以較好地防止某些智能病毒識別出網關的探測網關欺騙病毒的意圖�����。從而可以更為準確地確定出攜帶網關欺騙病毒的主機���。
[0069]步驟35,在確定出獲得的源IP地址和設定的網關IP地址一致時�����,向網絡中各主機廣播包含正確網關IP地址的網關ARP報文��。
[0070]其中�����,包含正確網關IP地址的網關ARP報文用于指示網絡中的主機在發(fā)送報文時,使用該正確網關IP地址替換所述源IP地址���。通過本步驟�����,可以使得已經被欺騙的網絡中的設備恢復正常的網關ARP表項����,恢復與網關的正常通信��。
[0071]步驟36�����,網絡中各主機根據接收到的網關ARP報文中的正確網關IP地址發(fā)送報文���。
[0072]可選地���,在上述步驟35在確定出源IP地址和設定的網關IP地址一致之后,還可以包括:
[0073]可選地���,在上述步驟35之后���,還可以包括:
[0074]根據接收到的欺騙源發(fā)送的探測響應ARP報文���,獲得發(fā)送探測響應ARP報文的主機MAC地址作為欺騙源MAC地址;將欺騙源MAC地址加入到用于標識網關欺騙病毒源的黑名單中�。
[0075]在確定出源IP地址和設定的網關IP地址一致之后,則表明網絡中有設備冒充網關���,根據接收到的欺騙源發(fā)送的探測響應ARP報文��,獲得發(fā)送探測響應ARP報文的主機MAC地址�,即為欺騙源的MAC地址����,把該MAC地址加入黑名單或過濾表中��,這樣�����,后續(xù)可以定位到欺騙源并且阻斷了欺騙源對于網關的欺騙���。
[0076]可選地�����,在上述步驟32接收接收探測響應ARP報文之前�,還包括:
[0077]通過網關上設定端口廣播ARP探測報文。
[0078]ARP探測報文中包含設定的網關IP地址���、設定的發(fā)送IP地址��、設定的發(fā)送MAC地址以及所述設定端口歸屬的虛擬局域網VLAN標識����。
[0079]其中��,以設定時長為間隔����,周期性通過設定端口廣播ARP探測報文。例如����,默認發(fā)送周期可以為10s。
[0080]本發(fā)明實施例提出的技術方案中��,ARP探測報文的具體格式如圖4所示,包括發(fā)送者硬件地址字段�、發(fā)送者IP地址字段、目標硬件地址字段以及目標IP地址字段�����。依據圖4所示的ARP探測報文的具體格式�,預先設定網關IP地址、發(fā)送者IP地址�、發(fā)送者硬件地址(如發(fā)送者MAC地址)、以及報文發(fā)送端口所在的VALN標識���。然后根據設定的網關IP地址��、發(fā)送者IP地址���、發(fā)送者硬件地址(如發(fā)送者MAC地址)�、以及報文發(fā)送端口所在的VALN標識形成ARP探測報文,形成的ARP探測報文通過指定的端口向局域網中發(fā)送��。
[0081 ] 一種較佳的實現方式�,本發(fā)明實施例提出的技術方案中,如圖4所示的ARP探測報文的具體格式��,目標IP地址字段中填充網關的IP地址,目標硬件地址字段中填充為全0�,發(fā)送者IP地址字段填充發(fā)送者IP地址,發(fā)送者硬件地址字段填充發(fā)送者MAC地址�����。并且�,發(fā)送者MAC地址同時填充到以太頭部的源MAC地址中。發(fā)送者IP地址字段����、發(fā)送者硬件地址字段指定的一個不和其他主機沖突的IP地址與MAC。通過指定發(fā)送者IP地址字段���、發(fā)送者硬件地址字段�����,不使用網關的IP與MAC����,可以防止某些智能病毒識別出網關的探測意圖���。
[0082]進一步地����,本發(fā)明實施例二以一具體實施例來詳細闡述本發(fā)明提出的防網關欺騙的方法,如圖5所示的系統架構���,以一個VLAN為例來進行詳細闡述���,Rl為路由設備,交換口fal/l-fal/3同屬于VLAN 1���,Rl作為整個局域網的網關�����,Rl的IP地址為192.168.1.100����。在該VLAN中有三臺主機�,分別是PC1、PC2和PC3�����。假設PCl是攻擊者�。
[0083]基于圖5所示的系統架構,本發(fā)明實施例一提出的防網關欺騙的方法����,其具體流程為:
[0084]步驟一,在路由設備的交換口 fal/l-fal/3�,綁定網關IP地址:192.168.1.100,設置發(fā)送者IP地址:192.168.1.101����,設置發(fā)送者硬件地址(MAC):0000.0000.0001。
[0085]步驟二���,在完成步驟一的設定工作后���,三個交換端口 fal/l-fal/3周期性的發(fā)送ARP探測報文,請求網關192.168.1.100的MAC地址��,ARP探測報文的源IP地址字段為192.168.1.101�����,源 MAC 字段為 0000.0000.0001���。
[0086]步驟三���,局域網內的各個PC接收到ARP探測報文��。ARP探測報文是模擬主機給全網絡廣播的ARP請求報文���。
[0087]由于PCl上存在ARP欺騙病毒,PCl會對上述接收到的ARP探測報文進行響應��,針對ARP探測報文發(fā)送探測響應ARP報文��,也就是ARP reply報文���,實際上也是PCl偽裝成網關發(fā)送的ARP欺騙報文���。
[0088]PCl的探測響應ARP報文發(fā)送MAC地址為0000.0000.0001的設備,因為Rl在綁定的同時也把0000.0000.0001這個MAC地址下放到設備�,所以PCl的探測響應ARP報文即ARP欺騙報文實際上送到了 Rl。
[0089]步驟四��,Rl接收到PCl發(fā)來的探測響應ARP報文��。
[0090]步驟五���,Rl確定出PCl發(fā)來的探測響應ARP報文是網關ARP欺騙報文�����,根據PCl發(fā)送的探測響應ARP報文獲取發(fā)送探測響應ARP報文的源MAC地址�,即PCl的MAC地址����,加入到Rl的MAC過濾表或黑名單中。使得PCl不能夠在用此MAC地址向Rl發(fā)送任何數據�。
[0091]步驟六,Rl接收到ARP欺騙報文���,判斷同本身的ARP請求報文沖突�,則向各個交換口發(fā)送真實網關的免費ARP報文�。
[0092]步驟七,PC2和PC3接收免費ARP報文�,學習到正確的網關ARP信息,恢復同網關的正常通信�。
[0093]本發(fā)明實施例上述提出的技術方案,應用環(huán)境拓撲圖如圖6所示�,在金融網點,接入設備通過廣域網連到市分行���,而在金融網點內部�,通常都是一個局域網,網絡環(huán)境中可能充斥著ARP欺騙病毒或者ARP欺騙工具�����,接入設備作為網關的時候����,ARP欺騙源可能會偽裝網關進行ARP欺騙,使得局域網內的其他的設備學習到錯誤的網關MAC���。從而導致全局域網內的主機斷網��,或者使全局域網內的主機信息導入網關ARP欺騙源��,以達到盜竊信息的作用��。在金融網點這種對安全性要求很高的地方�����,發(fā)生網關ARP欺騙的危害尤其嚴重�。金融網點的接入設備一般是路由交換一體機�,既有連接主機的交換接口��,又有連接外網的路由接口����。而很多類型的路由交換一體機的交換芯片功能比較單一�,沒有交換機的交換芯片的一些功能���,例如�,硬件ACL�。本發(fā)明實施例提出的技術方案,可以應用在交換芯片沒有硬件ACL功能的路由設備上���,在軟件層面實現防網關ARP欺騙�����,并且可以有效地定位到網關ARP欺騙源����,對網關ARP欺騙源進行隔離限制�����。
[0094]本領域的技術人員應明白,本發(fā)明的實施例可提供為方法����、裝置(設備)、或計算機程序產品��。因此�,本發(fā)明可采用完全硬件實施例、完全軟件實施例�����、或結合軟件和硬件方面的實施例的形式����。而且,本發(fā)明可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(包括但不限于磁盤存儲器�����、只讀光盤��、光學存儲器等)上實施的計算機程序產品的形式��。
[0095]本發(fā)明是參照根據本發(fā)明實施例的方法���、裝置(設備)和計算機程序產品的流程圖和/或方框圖來描述的���。應理解可由計算機程序指令實現流程圖和/或方框圖中的每一流程和/或方框�、以及流程圖和/或方框圖中的流程和/或方框的結合�。可提供這些計算機程序指令到通用計算機���、專用計算機����、嵌入式處理機或其他可編程數據處理設備的處理器以產生一個機器�����,使得通過計算機或其他可編程數據處理設備的處理器執(zhí)行的指令產生用于實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置����。
[0096]這些計算機程序指令也可存儲在能引導計算機或其他可編程數據處理設備以特定方式工作的計算機可讀存儲器中�,使得存儲在該計算機可讀存儲器中的指令產生包括指令裝置的制造品,該指令裝置實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能��。
[0097]這些計算機程序指令也可裝載到計算機或其他可編程數據處理設備上��,使得在計算機或其他可編程設備上執(zhí)行一系列操作步驟以產生計算機實現的處理,從而在計算機或其他可編程設備上執(zhí)行的指令提供用于實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟���。
[0098]盡管已描述了本發(fā)明的優(yōu)選實施例�,但本領域內的技術人員一旦得知了基本創(chuàng)造性概念����,則可對這些實施例作出另外的變更和修改。所以���,所附權利要求意欲解釋為包括優(yōu)選實施例以及落入本發(fā)明范圍的所有變更和修改�����。
[0099]顯然�,本領域的技術人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍�����。這樣��,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權利要求及其等同技術的范圍之內���,則本發(fā)明也意圖包含這些改動和變型在內��。
【權利要求】
1.一種防網關欺騙的方法�����,其特征在于���,包括: 發(fā)送包含設定的互聯網協議IP地址的用于探測是否存在網關欺騙病毒的探測報文�;并 接收探測響應報文����; 獲得接收到的探測響應報文中的源IP地址; 判斷所述源IP地址是否和設定的網關IP地址一致�����; 在確定出所述源IP地址和設定的網關IP地址一致時�����,向網絡中各主機廣播包含正確網關IP地址的網關報文�,其中��,所述包含正確網關IP地址的網關報文使網絡中已被篡改的主機獲取正確的IP地址��,恢復與網關正常通信。
2.如權利要求1所述的方法��,其特征在于�,在確定出所述源IP地址和設定的網關IP地址一致之后,還包括: 根據接收到的欺騙源發(fā)送的探測響應報文,獲得發(fā)送所述探測響應報文的主機介質訪問控制MAC地址作為欺騙源MAC地址���; 將所述欺騙源MAC地址加入到用于標識網關欺騙病毒源的黑名單中�����。
3.如權利要求1所述的方法���,其特征在于,發(fā)送包含設定的IP地址的用于探測是否存在網關欺騙病毒的探測報文��,包括: 通過設定端口廣播探測報文���,所述探測報文中包含設定的網關IP地址�、設定的發(fā)送IP地址����、設定的發(fā)送MAC地址以及所述設定端口歸屬的虛擬局域網VLAN標識。
4.如權利要求3所述的方法,其特征在于���,通過設定端口廣播探測報文��,包括: 以設定時長為間隔����,周期性通過設定端口廣播探測報文�����。
5.一種防網關欺騙的裝置�,其特征在于,包括: 發(fā)送模塊��,用于發(fā)送包含設定的互聯網協議IP地址的用于探測是否存在網關欺騙病毒的探測報文�; 接收模塊,用于接收探測響應報文�����; 獲得模塊���,用于獲得接收到的探測響應報文中的源IP地址; 執(zhí)行模塊�,用于判斷所述源IP地址是否和設定的網關IP地址一致����;在確定出所述源IP地址和設定的網關IP地址一致時��,向網絡中各主機廣播包含正確網關IP地址的網關報文��,其中�,所述包含正確網關IP地址的網關報文使網絡中已被篡改的主機獲取正確的IP地址,恢復與網關正常通信�����。
6.如權利要求5所述的裝置���,其特征在于��,所述獲得模塊�,還用于根據接收到的欺騙源發(fā)送的探測響應報文�����,獲得發(fā)送所述探測響應報文的主機介質訪問控制MAC地址作為欺騙源MAC地址��; 所述執(zhí)行模塊,還用于將所述欺騙源MAC地址加入到用于標識網關欺騙病毒源的黑名單中�。
7.如權利要求5所述的裝置,其特征在于���,所述發(fā)送模塊���,具體用于通過設定端口廣播探測報文,所述探測報文中包含設定的網關IP地址����、設定的發(fā)送IP地址、設定的發(fā)送MAC地址以及所述設定端口歸屬的虛擬局域網VLAN標識���。
8.如權利要求7所述的裝置���,其特征在于,所述發(fā)送模塊����,具體用于以設定時長為間隔,周期性通過設定端口廣播探測報文�����。
【文檔編號】H04L29/06GK104363243SQ201410704705
【公開日】2015年2月18日 申請日期:2014年11月27日 優(yōu)先權日:2014年11月27日
【發(fā)明者】侯建棟 申請人:福建星網銳捷網絡有限公司