CN101197830A - 上报式防攻击信息通讯网络安全防御方法及防御*** - Google Patents
上报式防攻击信息通讯网络安全防御方法及防御*** Download PDFInfo
- Publication number
- CN101197830A CN101197830A CNA2007101248362A CN200710124836A CN101197830A CN 101197830 A CN101197830 A CN 101197830A CN A2007101248362 A CNA2007101248362 A CN A2007101248362A CN 200710124836 A CN200710124836 A CN 200710124836A CN 101197830 A CN101197830 A CN 101197830A
- Authority
- CN
- China
- Prior art keywords
- address
- information
- analysis protocol
- protocol proxy
- proxy portion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络安全防御领域,具体涉及一种上报式防攻击信息通讯网络安全防御方法及防御***。所述防御方法将请求端的地址解析广播请求单向发送至地址解析协议代理部进行信息确认后回应请求端,所述请求端根据上述回应信息与目的端进行通讯。该防御方法借助由用于对地址信息进行存储和管理的地址解析协议代理部,桥接装置和通讯终端组成的***进行网络安全防御。本发明上报式防攻击信息通讯网络安全防御方法原理简单,设计合理,该防御***在实际应用中能非常好的解决现有技术中存在的物理地址伪冒攻击、物理地址泛滥攻击和物理地址伪冒导致IP冲突等技术问题,具有很高的实用性。
Description
【技术领域】
本发明属于网络安全防御领域,具体涉及一种通过桥接装置将请求端的地址解析协议信息单向发送至地址解析协议代理部,并通过地址解析协议代理部进行单向信息反馈的上报式防攻击信息通讯网络安全防御方法及防御***。
【背景技术】
以太网协议是由一组IEEE 802.3标准定义的局域网协议集。现已是最为常用的局域网链路层协议。二层以太网交换机是基于链路层的物理地址进行包交换的一种设备。
IP协议是目前应用最为广泛的数据通信网络层协议标准。IP协议使用32bit的IP地址来唯一标识设备,数据报文在网络层之上的传播都是基于IP地址来完成寻址的。但IP地址仅仅对网络层有效,承载IP网络的硬件设备并不依赖于IP地址来进行寻址。比如,以太网物理设备是使用唯一的48bit以太网地址来识别硬件接口,在链路层中从不检查IP数据报中的目的IP地址。在广播网络上,这两种地址形式之间的映射是由地址解析协议完成的,该映射过程是自动完成的。
在实现地址解析协议的***中,地址解析协议会动态生成并在一段时间内保留IP地址和硬件地址之间的映射关系,在需要使用硬件地址的时候,***会以IP地址为唯一标识查找映射关系,所找到的映射关系中的硬件地址就是在物理网络上传发报文所需的硬件可识别的地址。此种映射关系的生成,依赖于地址解析协议的两种协议报文,地址解析协议请求和地址解析协议应答。
当运行地址解析协议的***没有能够找到所需要的IP地址和硬件地址的映射关系时,该***就会发送地址解析协议请求报文,请求所需要的IP地址的硬件地址。发出请求的***会将自己的IP地址和硬件地址对应关系包含在这个报文中,并指明需要请求硬件地址的IP地址信息。此报文在网络中以广播的方式广泛发送。根据通常的实现,任何一个接收到这个地址解析协议请求报文并运行地址解析协议的***,都应该使用这个请求报文中所包含的请求发送者的IP地址和硬件地址信息生成映射关系,如果已经存在以这个IP地址为标识的映射关系,则应该使用此报文中的硬件地址更新这个映射关系。
当某个运行地址解析协议的***发现接收到的地址解析协议请求报文中所指名的需要请求硬件地址的IP地址是自己的IP地址时,则会向请求者发送地址解析协议应答报文。将自己的硬件地址通知请求者,这个报文是单播方式发送的,当请求者接收到这个应答报文之后,就可以根据这个应答报文中包含的信息生成对应IP地址和硬件地址之间的映射关系。地址解析协议正常运行的关键,是保证IP地址和硬件地址的映射关系的正确性。运行地址解析协议的***并不能主动发现映射关系是否错误,如果生成了错误的映射关系,报文的发送者将会根据错误的硬件地址发送报文,接收者无法收到报文,从而导致数据转发的中断,更为严重的是,由于报文的发送者认为自己已经有了报文接收者的硬件地址,因此就不会发送地址解析协议的请求报文来更新这个映射关系,这种错误的映射就会在一定时间内一直保持,直到涉及报文发送的双方发送了地址解析协议报文才有可能的被纠正,这会严重影响数据网络的使用。
针对地址解析协议的这个弱点,恶意的攻击者可以通过伪造地址解析协议应答报文的方法来实现对运行地址解析协议的网络的攻击。
以下举出具体实施例对存在的问题进行说明:现有技术中信息发送端与信息接收端的通讯过程为:第一步:当信息发送端主机A与信息接收端主机B开始通信时,主机A需要查找自存储的地址解析协议表[主机名IP地址与物理地址对应关系表],查找主机B的物理地址,如查到则跳转到第五步与信息接收端主机B进行信息通讯;如果在主机A的自存储地址解析协议表内没有找到主机B的物理地址则执行地址解析协议学习流程,进入第二步;第二步、主机A将向网内广播一个地址解析协议请求,请求主机B所对应的物理地址;第三步、在此局域网络中的所有终端将会收到此地址解析协议请求,主机B收到此请求,发现这个请求是自己,其将回应主机A一个单播地址解析协议回应,告诉其自己的物理地址;第四步、主机A收到这个地址解析协议回应,将主机B的IP地址与主机B的物理地址对应关系存入主机A的地址解析协议表内;第五步、主机A查找地址解析协议表中的B主机的物理地址与B主机进行通讯。
在上述流程中有几个安全漏洞,可能被病毒或人为程序所利用,常用的攻击方法有下面三种:
第一种安全漏洞:物理地址伪冒攻击。物理地址欺骗行为发生在上述流程的第三步,此时因为地址解析协议请求报文是个广播报文,现有普通二层交换机会向所有终端进行广播,此请求报文在此局域网络中的所有终端都会收到,例如主机C也收到了给地址解析协议请求报文,如果主机C上有病毒或恶意程序,它可以伪装成主机B发送地址解析协议回应报文给主机A,在第四步中,主机A收到此伪装地址解析协议报文,会将其与主机C的物理地址对应关系存入其自身的地址解析协议表中,这样以后主机A与主机B通讯时的所有数据将全部发送给主机C,这样主机C就可以成功截获主机A和主机B之间的所有通讯数据信息。
第二种安全漏洞:物理地址泛滥攻击,导致网络瘫痪。通常广播网络内作为网关的设备的地址解析协议映射的数量是有限的,如果攻击者大量发送分别伪冒不同源IP地址的地址解析报文请求报文,就可以使整个广播网络的数据转发出现故障,此时攻击也可以被称为地址解析协议泛滥攻击。
第三种安全漏洞:物理地址伪冒导致IP冲突。通常的IP以太网主机***为防止IP地址冲突,会在联网的最初阶段向外发送几个地址解析协议宣告,查询此IP是否有人已经占用,如果有人占用,则此主机不可使用此IP,这就有可能有恶意攻击者在收到此宣告后,发起一个响应,伪装已经占用此IP造成此主机不可联网。
目前针对这些攻击行为的唯一解决方案只有禁用主机地址解析协议功能,使用静态配置地址解析协议映射关系方法。
如前文所说,地址解析协议映射关系是动态生成的,也正因为是动态生成的,给恶意的攻击造成了伪冒其他用户发送报文,阻断数据报文转发的机会。而静态配置地址解析协议是指用户配置生成IP地址和硬件地址的映射关系报文,而且这个映射关系是不随着时间而变更的。因为其优先级高于通过地址解析协议产生的动态的映射关系,因此也不会随着地址解析协议报文中所携带的信息进行变更。静态配置地址解析协议映射关系虽然可以有效地解决地址解析协议伪冒、泛滥攻击造成地数据报文转发被阻断地问题,但是,静态配置地址解析协议映射关系必须要人工生成并维护大量地IP地址和硬件地址的映射关系,完全废弃了地址解析协议所带来的益处,实际上仅仅是模拟了地址解析协议生成的最终结果,而摒弃了地址解析协议本身。
【发明内容】
为了更好的解决现有技术中存在的物理地址伪冒攻击、物理地址泛滥攻击和物理地址伪冒导致IP冲突等技术问题,本发明提供了一种上报式防攻击信息通讯网络安全防御方法
利用该上报式防攻击信息通讯网络安全防御方法本发明还提供了一种上报式防攻击信息通讯网络安全防御方法***。所述防御方法包括步骤:第一、通过桥接装置将请求端的地址解析协议信息单向发送至地址解析协议代理部;第二、通过所述地址解析协议代理部对所述信息进行确认;第三、所述请求端根据所述地址解析协议代理部的确认信息与目的端进行通讯。
根据本发明的一优选实施例:所述第一步、所述第二步和所述第三步中所述信息为所述请求端的地址解析协议宣告和所述目的端的地址查询信息。
根据本发明的一优选实施例:所述第一步进一步包括子步骤:首先、所述请求端将所述请求信息经端口单向发送给桥接装置;其次、所述桥接装置对交换端口入口中的所述信息数据包进行检测,确认地址解析协议请求;最后、通过所述交换机将所述地址解析协议请求单向发送至地址解析协议代理部。
根据本发明的一优选实施例:在进行所述第一步之前所述地址解析协议代理部应覆盖有各终端正确的地址信息,并通过所述地址解析代理部对所述地址信息进行管理。
根据本发明的一优选实施例:所述地址解析代理部建立有地址解析协议表,所述地址解析协议表包含各终端IP地址与物理地址的对应关系信息。
根据本发明的一优选实施例:所述第二步进一步包括子步骤:首先、所述地址解析协议代理部对所述请求端自身地址信息是否被占用进行确认,并将所述确认信息单向发送至所述请求端;其次、所述地址解析协议代理部对所述请求端的查询目的端的地址信息请求进行确认,并将所述确认信息单向发送至所述请求端。
根据本发明的一优选实施例:所述第三步进一步包括:所述请求端根据所述目的端的地址信息直接与所述目的端进行信息通讯或所述请求端将所述待发送信息发送至所述地址解析协议代理部,通过所述地址解析协议代理部将所述待发送信息发送至所述目的端。
本发明还提供了一种上报式防攻击信息通讯网络安全防御***,所述防御***包括:所述防御***包括:地址解析协议代理部,桥接装置和通讯终端,其中,所述各通讯终端与所述桥接装置连接,所述桥接装置与所述地址解析协议代理部连接,所述各终端相互之间通讯所需要的地址信息通过所述地址解析协议代理部进行存储和管理。
根据本发明的一优选实施例:所述地址解析协议代理部为独立装置或设置于相关装置上的功能部件。
根据本发明的一优选实施例:所述桥接装置为交换机或路由器。
桥接装置将终端设备发送的地址解析协议宣告广播包单向转发至地址解析协议代理部,在地址解析协议代理部上直接查询该IP是否被内网其他机器占用,所以其它终端不能此宣告包,这样就解决地址解析协议中物理地址伪冒导致IP冲突。
本发明中终端设备在相互通信时,地址解析协议请求广播包不会对内网所有的终端设备发送,而是直接通过地址解析协议代理部获取相关通信终端设备的物理地址,并通过获取到的目的端物理地址,直接单向与目的端进行信息通讯,解决了地址解析协议物理地址伪冒攻击。
本发明有效的防止了攻击者大量发送伪冒地址解析请求报文,解决地址解析协议泛滥攻击。
本发明上报式防攻击信息通讯网络安全防御方法原理简单,设计合理,通过防御***在实际中的应用能非常好的解决现有技术中存在的物理地址伪冒攻击、物理地址泛滥攻击和物理地址伪冒导致IP冲突等技术问题,具有很高的实用性。
【附图说明】
图1为本发明上报式防攻击信息通讯网络安全防御方法流程图;
图2为本发明上报式防攻击信息通讯网络安全防御***结构图。
【具体实施方式】
以下结合附图说明和具体实施方式对本发明进一步说明。
请参阅图1本发明上报式防攻击信息通讯网络安全防御方法流程图。如图1所示所述防御方法包括步骤:第一、通过桥接装置200将请求端的地址解析协议信息单向发送至地址解析协议代理部201;第二、通过所述地址解析协议代理部201对所述信息进行确认;第三、所述请求端根据所述地址解析协议代理部201的确认信息与目的端进行通讯。
在进行所述第一步之前所述地址解析协议代理部201应覆盖有各终端正确的地址信息,并通过所述地址解析代理部对所述地址信息进行管理。所述地址解析代理部建立有地址解析协议表,所述地址解析协议表包含各终端IP地址与物理地址的对应关系信息。在本实施例中所述将各终端正确的地址信息存入所述地址解析协议代理部201的方法可以为手工配置。
所述第一步进一步包括子步骤:首先、所述请求端将所述请求信息经端口单向发送给桥接装置200;其次、所述桥接装置200对交换端口入口中的所述信息数据包进行检测,确认地址解析协议请求;最后、通过所述交换机将所述地址解析协议请求单向发送至地址解析协议代理部201。
所述第二步进一步包括子步骤:首先、所述地址解析协议代理部201对所述请求端自身地址信息是否被占用进行确认,并将所述确认信息单向发送至所述请求端;其次、所述地址解析协议代理部201对所述请求端的查询目的端的地址信息请求进行确认,并将所述确认信息单向发送至所述请求端。
所述第三步进一步包括:所述请求端根据所述目的端的地址信息直接与所述目的端进行信息通讯或所述请求端将所述待发送信息发送至所述地址解析协议代理部201,通过所述地址解析协议代理部201将所述待发送信息发送至所述目的端。
其中,所述第一步、所述第二步和所述第三步中所述信息为所述请求端的地址解析协议宣告和所述目的端的地址查询信息。
请参阅图2本发明上报式防攻击信息通讯网络安全防御***结构图,如图2所示本发明还提供了一种上报式防攻击信息通讯网络安全防御***,所述防御***包括:地址解析协议代理部201,桥接装置200和通讯终端,其中,所述各通讯终端与所述桥接装置200连接,所述桥接装置200与所述地址解析协议代理部201连接,所述各终端相互之间通讯所需要的地址信息通过所述地址解析协议代理部201进行存储和管理。所述地址解析协议代理部201为一独立装置或部署于相关装置上的功能部件或者软件。所述桥接装置200为交换机或路由器。
以下举出一具体实施例对本发明上报式防攻击信息通讯网络安全防御问题进行详细说明,说明中可同时参阅图1和图2。在本实施例中所述桥接装置200为交换机。
第一步、用户首先将正确的终端设备的IP对应的物理地址写入地址解析协议代理部201,并运行地址解析协议代理部201;
第二步、当所有终设备在最初联网时,会向内网发送一个地址解析协议宣告广播包。
第三步、交换机200对交换端口的入口中的广播数据包进行检测,发现是地址解析协议请求报文时,将地址解析协议请求报文从指定端口(连接上一层交换机200或地址解析协议代理的接口)发送给上一层的交换机200或地址解析协议代理,直至最终发送给地址解析协议代理部201;
第四步、地址解析协议代理部201将收到的地址解析协议请求报文中的请求IP在物理表中查找到正确的终端设备B203的物理地址,将向终端设备A202单向发送终端设备B203的地址解析协议回应报文;
第五步、所有终端设备根据地址解析协议代理部201的回应包查询自己的IP是否被占用;
第六步、当终端设备A202与终端设备B203开始通信时,终端设备A202需要查找地址解析协议表[终端设备IP地址与物理地址对应关系表],查找终端设备B203的物理地址,如查到则跳转到第十一步;如果没找到终端设备B203的物理地址则执行地址解析协议学习流程;
第七步、终端设备A202将广播一个地址解析协议请求,请求终端设备B203所对应的物理地址;
第八步、交换机200对交换端口的入口中的广播数据包进行检测,发现是地址解析协议请求报文时,将地址解析协议请求报文从指定端口(连接上一层交换机200或地址解析协议代理的接口)发送给上一层的交换机200或地址解析协议代理,直至最终发送给地址解析协议代理;
第九步、地址解析协议代理将收到的地址解析协议请求报文中的请求IP在物理表查正确的物理地址,找到IP对应的物理地址后,将单向发送一个地址解析协议回应报文;
第十步、终端设备A202收到这个地址解析协议回应,将终端设备B203的IP地址与终端设备B203的物理地址对应关系存入自身地址解析协议表;
第十一步、终端设备A202查找地址解析协议表中的B终端设备的物理地址与B终端设备进行通讯。
本发明中术语在行业内有不同写法,例如:本专利中所述地址解析协议可写成ARP;所述物理地址也可写成MAC地址。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (10)
1.一种上报式防攻击信息通讯网络安全防御方法,其特征在于:所述防御方法包括步骤:
A:通过桥接装置(200)将请求端的地址解析协议信息单向发送至地址解析协议代理部(201);
B:通过所述地址解析协议代理部(201)对所述信息进行确认;
C:所述请求端根据所述地址解析协议代理部(201)的确认信息与目的端进行通讯。
2.根据权利要求1所述防御方法,其特征在于:所述步骤A、所述步骤B和所述步骤C中所述信息为所述请求端的地址解析协议宣告和对所述目的端的地址查询信息。
3.根据权利要求1所述防御方法,其特征在于:所述步骤A进一步包括子步骤:
A1:所述请求端将所述请求信息经连接端口发送给桥接装置(200);
A2:所述桥接装置(200)对交换端口入口中的所述信息数据包进行检测,确认地址解析协议请求;
A3:通过所述桥接装置将所述地址解析协议请求单向发送至地址解析协议代理部(201)。
4.根据权利要求1所述防御方法,其特征在于:在进行步骤A之前所述地址解析协议代理部(201)涵盖有各终端正确的地址信息,并通过所述地址解析代理部进行管理。
5.根据权利要求4所述防御方法,其特征在于:所述地址解析代理部建立有地址解析协议表,所述地址解析协议表包含各终端IP地址与物理地址的对应关系信息。
6.根据权利要求1所述防御方法,其特征在于:所述步骤B进一步包括子步骤:
B1:所述地址解析协议代理部(201)对所述请求端自身地址信息是否被占用进行确认,并将所述确认信息单向发送至所述请求端;
B2:所述地址解析协议代理部(201)对所述请求端的查询目的端的地址信息请求进行确认,并将所述确认信息单向发送至所述请求端。
7.根据权利要求1所述防御方法,其特征在于:所述步骤C进一步包括:所述请求端根据所述目的端的地址信息直接与所述目的端进行信息通讯或所述请求端将所述待发送信息发送至所述地址解析协议代理部(201),通过所述地址解析协议代理部(201)将所述待发送信息发送至所述目的端。
8.一种上报式防攻击信息通讯网络安全防御***,其特征在于:所述防御***包括:地址解析协议代理部(201),桥接装置(200)和通讯终端,其中,所述各通讯终端与所述桥接装置(200)连接,所述桥接装置(200)与所述地址解析协议代理部(201)连接,所述各终端相互之间通讯所需要的地址信息通过所述地址解析协议代理部(201)进行存储和管理。
9.根据权利要求8所述防御***,其特征在于:所述地址解析协议代理部(201)为独立装置或部署于相关装置上的功能部件或者软件。
10.根据权利要求8所述防御***,其特征在于:所述桥接装置(200)为交换机或路由器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2007101248362A CN101197830A (zh) | 2007-12-07 | 2007-12-07 | 上报式防攻击信息通讯网络安全防御方法及防御*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2007101248362A CN101197830A (zh) | 2007-12-07 | 2007-12-07 | 上报式防攻击信息通讯网络安全防御方法及防御*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101197830A true CN101197830A (zh) | 2008-06-11 |
Family
ID=39547979
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2007101248362A Pending CN101197830A (zh) | 2007-12-07 | 2007-12-07 | 上报式防攻击信息通讯网络安全防御方法及防御*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101197830A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101494536B (zh) * | 2009-02-20 | 2012-01-04 | 华为技术有限公司 | 一种防arp攻击的方法、装置和*** |
CN113259366A (zh) * | 2021-05-27 | 2021-08-13 | 国网电力科学研究院有限公司 | 针对恶意攻击的信息与物理协同分析与防御*** |
-
2007
- 2007-12-07 CN CNA2007101248362A patent/CN101197830A/zh active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101494536B (zh) * | 2009-02-20 | 2012-01-04 | 华为技术有限公司 | 一种防arp攻击的方法、装置和*** |
CN113259366A (zh) * | 2021-05-27 | 2021-08-13 | 国网电力科学研究院有限公司 | 针对恶意攻击的信息与物理协同分析与防御*** |
CN113259366B (zh) * | 2021-05-27 | 2024-04-26 | 国网电力科学研究院有限公司 | 针对恶意攻击的信息与物理协同分析与防御*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Nam et al. | Enhanced ARP: preventing ARP poisoning-based man-in-the-middle attacks | |
CN100566294C (zh) | 单播反向路径转发方法 | |
CN105721457B (zh) | 基于动态变换的网络安全防御***和网络安全防御方法 | |
CN101635628B (zh) | 一种防止arp攻击的方法及装置 | |
CN105262738A (zh) | 一种路由器及其防arp攻击的方法 | |
CN102132532B (zh) | 用于避免不需要的数据分组的方法和装置 | |
CN100581162C (zh) | 一种防止地址解析欺骗的方法 | |
Wu et al. | A source address validation architecture (SAVA) testbed and deployment experience | |
RU2006143768A (ru) | Ароматическое ограничение сетевого нарушителя | |
CN101662423A (zh) | 单一地址反向传输路径转发的实现方法及装置 | |
CN106657035B (zh) | 一种网络报文传输方法及装置 | |
CN102025734A (zh) | 一种防止mac地址欺骗的方法、***及交换机 | |
WO2015174100A1 (ja) | パケット転送装置、パケット転送システム及びパケット転送方法 | |
CN102932371A (zh) | 实现IPv6私网节点与公网节点之间通信的方法及路由转发设备 | |
CN106027491B (zh) | 基于隔离ip地址的独立链路式通信处理方法和*** | |
EP4013004A1 (en) | Data processing method and device | |
CN107071075B (zh) | 网络地址动态跳变的装置及方法 | |
CN101141396B (zh) | 报文处理方法和网络设备 | |
CN102347903A (zh) | 一种数据报文转发方法、装置及*** | |
CN102752266B (zh) | 访问控制方法及其设备 | |
CN114268491A (zh) | 一种基于蜜罐技术的网络安防*** | |
CN102447710B (zh) | 一种用户访问权限控制方法及*** | |
CN101197830A (zh) | 上报式防攻击信息通讯网络安全防御方法及防御*** | |
CN103516820A (zh) | 基于mac地址的端口映射方法和装置 | |
Bagnulo et al. | Secure neighbor discovery (send) source address validation improvement (savi) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080611 |