CN104780139B - 一种基于mac地址攻击的防御方法和*** - Google Patents
一种基于mac地址攻击的防御方法和*** Download PDFInfo
- Publication number
- CN104780139B CN104780139B CN201410010594.4A CN201410010594A CN104780139B CN 104780139 B CN104780139 B CN 104780139B CN 201410010594 A CN201410010594 A CN 201410010594A CN 104780139 B CN104780139 B CN 104780139B
- Authority
- CN
- China
- Prior art keywords
- address
- mac address
- arp
- former
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于MAC地址攻击的防御方法和***,所述转发装置根据其接收到的ARP报文中的IP地址和对应的MAC地址建立转发列表,强制检测要求修改转发列表中的IP地址和对应的MAC地址的ARP报文;当ARP报文中MAC地址不是原MAC地址,所述转发装置向原IP地址发送构造的ARP请求报文,检测所述ARP答复报文中的IP地址和MAC地址;当不是原IP地址和MAC地址时,向该请求修改所述转发列表中的IP地址和对应的MAC地址的ARP报文中的目的IP地址发送该报文,本方法和***用以提高了交换机端口与网络设备进行配置的灵活性,同时解决MAC地址与IP地址的安全性和稳定性。
Description
技术领域
本发明涉及工业以太网技术领域,尤其涉及一种基于介质访问控制(Medium/Media Access Control, MAC)地址攻击的防御方法和***。
背景技术
地址解析协议 (Address Resolution Protocol,ARP)的功能是通过网际协议地址(Internet Protocol Address,IP)查找对应端口的MAC地址,以便在TCP/IP网络中实现共享信道的节点之间利用MAC地址进行通信。由于ARP协议在设计中存在主动发送ARP报文的漏洞,使得主机可以发送虚假的ARP请求报文或响应报文,而报文中的源IP地址和源MAC地址均可以进行伪造。在局域网中,既可以伪造成某一台主机(如服务器)的IP地址和MAC地址的组合,也可以伪造成网关IP地址与MAC地址的组合。这种组合可以根据攻击者的意图进行任意搭配,而现有的局域网却没有相应的机制和协议来防止这种伪造行为。近几年来,几乎所有局域网都遭遇过ARP欺骗攻击的侵害。
图1所示为假设主机C为局域网中的网关,主机D为ARP欺骗者。当局域网中的计算机要与其他网络进行通信(如访问Internet)时,所有发往其他网络的数据全部发给了主机D,而主机D并非真正的网关,这样整个网络将无法与其他网络进行通信。这种现象在ARP欺骗攻击中非常普遍。
针对常规的技术,采用了这样的技术方案,ARP缓存表中的记录既可以是动态的,也可以是静态的。如果ARP缓存表中的记录是动态的,则可以通过老化机制减少ARP缓存表的长度并加快查询速度;静态ARP缓存表中的记录是永久性的,用户可以使用TCP/IP工具来创建和修改,如Windows操作***白带的ARP工具。对于计算机来说,可以通过绑定网关等重要设备的IP与MAC地址记录来防止ARP欺骗攻击。在交换机上防范ARP欺骗攻击的方法与在计算机上基本相同,可以将网络设备的MAC地址与交换机端口进行绑定,并通过端口安全功能对违背规则的主机(攻击者)进行相应的处理。
现有的技术方案主要采用的将网络设备的MAC地址与交换机端口进行绑定,这种方案带来的问题就是每次网络设备只能与设定好的交换机端口进行绑定,如果连接的端口发生变化时,就是必须重新设定MAC地址和端口,虽然可以保持MAC地址与端口的稳定性,降低了交换机(转发装置)端口与网络设备进行配置的灵活性,同时,该方案并没有解决MAC地址与IP地址的安全性和稳定性。
发明内容
本发明实施例提供一种基于MAC地址攻击的防御方法和***,用以提高了交换机(转发装置)端口与网络设备进行配置的灵活性,同时,解决MAC地址与IP地址的安全性和稳定性。
本发明实施例提供了一种基于MAC地址攻击的防御方法,所述方法包括:
转发装置根据其接收到的ARP报文中的IP地址和对应的MAC地址建立转发列表,保持转发列表中的IP地址与其对应的MAC地址的稳定性;
检测要求修改转发列表中的IP地址与其对应的MAC地址的ARP报文的MAC地址是否为原MAC地址,如果是原MAC地址,保持转发列表中的IP地址与MAC地址不变;如果不是原MAC地址,所述转发装置向原IP地址发送构造的ARP请求报文;
获取原IP地址的网络设备回复相应的ARP答复报文后,检测所述ARP答复报文中的IP地址和MAC地址是否是原IP地址和MAC地址,当是原IP地址和原MAC地址时,将请求修改所述转发列表中的IP地址与其对应的MAC地址的ARP报文删除;当不是原IP地址和原MAC地址时,向该请求修改所述转发列表中的IP地址与其对应的MAC地址的ARP报文中的目的IP地址发送该报文。
所述方法还包括:在预设时间段内没有收到原IP地址的网络设备回复相应的ARP答复报文时,转发装置向该请求修改所述转发列表中的IP地址与其对应的MAC地址的ARP报文中的目的IP地址发送该报文。
还包括:在原IP地址的网络设备接收到所述构造的ARP请求报文后,向转发装置发送包括自身IP地址和MAC地址的ARP答复报文。
将请求修改所述转发列表中的IP地址和对应的MAC地址的ARP报文删除时,还包括:当转发装置多次从收到同一所述请求修改转发列表中的IP地址和对应的MAC地址的ARP请求报文时,确定该MAC地址的网络设备正在进行MAC地址攻击。
所述修改所述转发列表中的IP地址和对应的MAC地址的ARP报文为ARP请求报文。
本发明实施例提供了一种基于MAC地址攻击的防御***,所述***包括:
ARP报文保存装置,根据其接收到的ARP报文中的IP地址和对应的MAC地址建立转发列表,保持转发列表中的IP地址与其对应的MAC地址的稳定性;
ARP请求报文判断装置,检测要求修改转发列表中的IP地址与其对应的MAC地址的ARP报文的MAC地址是否为原MAC地址,如果是原MAC地址,保持转发列表中的IP地址与MAC地址不变;如果不是原MAC地址,ARP报文保存装置向原IP地址发送构造的ARP请求报文;
ARP答复报文判断装置,获取原IP地址的网络设备回复相应的ARP答复报文后,检测所述ARP答复报文中的IP地址和MAC地址是否是原IP地址和原MAC地址,如果是原IP地址和原MAC地址时,将请求修改所述转发列表中的IP地址与其对应的MAC地址的ARP报文删除;如果不是原IP地址和原MAC地址时,向该请求修改所述转发列表中的IP地址与其对应的MAC地址的ARP报文中的目的IP地址发送该报文。
所述***还包括:在预设时间段内没有收到原IP地址的网络设备回复相应的ARP答复报文时,ARP报文保存装置向该请求修改所述转发列表中的IP地址与其对应的MAC地址的ARP报文中的目的IP地址发送该报文。
所述***还包括:原IP地址的网络设备接收到所述构造的ARP请求报文,向ARP答复报文判断装置发送包括自身IP地址和MAC地址的ARP答复报文。
所述ARP报文保存装置还包括:当所述ARP报文保存装置请求修改所述转发列表中的IP地址和对应的MAC地址的ARP报文删除,且ARP报文保存装置多次从收到同一所述请求修改转发列表中的IP地址和对应的MAC地址的ARP报文时,确定该MAC地址的网络设备正在进行MAC地址攻击。
所述ARP报文保存装置还包括:所述修改所述转发列表中的IP地址和对应的MAC地址的ARP报文为ARP请求报文。
本发明的方案中,所述转发装置根据其接收到的ARP报文中的IP地址和对应的MAC地址建立转发列表,保持转发列表中的IP地址和其对应的MAC地址的稳定性,强制检测要求修改转发列表中的IP地址和对应的MAC地址的ARP报文;当ARP报文中MAC地址不是原MAC地址,所述转发装置向原IP地址发送构造的ARP请求报文,检测所述ARP答复报文中的IP地址和MAC地址;当不是原IP地址和MAC地址时,向该请求修改所述转发列表中的IP地址和对应的MAC地址的ARP报文中的目的IP地址发送该报文,本方法和***提高了交换机端口与网络设备进行配置的灵活性,同时解决MAC地址与IP地址的安全性和稳定性。
附图说明
图1为ARP欺骗的实现过程图;
图2为基于MAC地址攻击的防御流程示意图;
图3为基于MAC地址攻击的防御过程示意图;
图4为基于MAC地址攻击的防御***结构示意图。
具体实施方式
本发明提高了交换机端口与网络设备进行配置的灵活性,同时解决MAC地址与IP地址的安全性和稳定性,提供了一种基于MAC地址攻击的防御方法和***。
下面结合说明书附图,对本发明实施例进行详细说明。
图2为本发明实施例提供的基于MAC地址攻击的防御流程示意图,该过程包括以下步骤:
S201:所述转发装置根据其接收到的ARP报文中的IP地址和对应的MAC地址建立转发列表,保持转发列表中的IP地址和其对应的MAC地址的稳定性;
在本步骤中,这里的转发列表是根据首次ARP报文在各个网络设备中传输,从而各个网路设备的IP地址和MAC地址都会在转发装置中形成,也就是说,本发明不是针对的首次ARP报文建立的网络进行防御的,而是针对的用户自认为合理和合法的已经建立的网络提出的。这里的转发列表是保存在转发装置中的。
S202:检测要求修改转发列表中的IP地址和对应的MAC地址的ARP报文的MAC地址是否为原MAC地址,
转发装置接收要求修改转发列表中的IP地址和对应的MAC地址的ARP报文,这里的ARP报文在本发明中是ARP请求报文,现有的技术方案中,要求修改转发列表的报文是ARP回复报文,也就是由答复ARP请求报文的网络设备发出包括自身IP地址和MAC地址的ARP回复报文;本发明关键点之一就是转发装置不是通过ARP回复报文而是首先判断ARP请求报文中的源MAC地址是否是保存在转发列表中的MAC地址,这里的MAC地址与IP地址是相对应的。
S203:当是原MAC地址,保持转发列表中的IP地址与MAC地址不变;
如果ARP请求报文的源MAC地址是原MAC地址时,说明这里的ARP请求报文就是原来的网络设备发出的,此时发出的原因可能是该网络设备发生重新启动的情况,该网络设备向网络中的其它网络设备发送ARP请求报文,从而使得重新建立网络拓扑。
S204:当不是原MAC地址,所述转发装置向原IP地址发送构造的ARP请求报文,
本步骤也是本发明的关键点之一,当ARP请求报文的源MAC地址是原MAC地址时,这里的转发装置将会强制向原IP地址发送一个ARP请求报文,这里构造的ARP请求报文中的目的IP 地址就是原IP地址,原IP地址的网络设备接收该所述构造的ARP请求报文后,将向转发装置发送包括自身IP地址和MAC地址的ARP答复报文。
S205:获取原IP地址的网络设备回复相应的ARP答复报文后,检测所述ARP答复报文中的IP地址和MAC地址是否是原IP地址和原MAC地址,
在本步骤中,原IP地址的网络设备如果还一直存在的话,该设备将会基于转发装置发送的ARP请求报文的请求回复包括自身MAC地址和IP地址的ARP答复报文,转发装置将会根据用于检测ARP答复报文的MAC地址和IP地址是否是转发列表保存的MAC地址和IP地址。
S206:当是原IP地址和MAC地址时,将请求修改所述转发列表中的IP地址和对应的MAC地址的ARP报文删除;
在本步骤中,当ARP答复报文的MAC地址和IP地址为转发列表保存的MAC地址和IP地址时,说明转发装置接收到的请求修改转发列表中的IP地址和对应的MAC地址的ARP报文是无效请求报文,转发装置将不会根据该报文请求修改转发列表中的IP地址和对应的MAC地址。
S207:当不是原IP地址和MAC地址时,向该请求修改所述转发列表中的IP地址和对应的MAC地址的ARP报文中的目的IP地址发送该报文。
在本步骤中,当ARP答复报文的MAC地址和IP地址与转发列表保存的MAC地址和IP地址不一致时,说明目的IP地址的网络设备已经换成另一台MAC地址的网路设备,这时,转发装置将向目的IP地址的网络设备发送该修改转发列表中的IP地址和对应的MAC地址的ARP报文。
进一步地,包括如下步骤:
在预设时间段内没有收到回复所述构造的ARP请求报文时,转发装置向该请求修改所述转发列表中的IP地址和对应的MAC地址的ARP报文中的目的IP地址发送该报文。
本步骤中,如果原IP地址的网络设备已经不在网络中时,转发装置将预设时间段无法收到回复所述构造的ARP请求报文的ARP回复报文,从而向要求修改所述转发列表中的IP地址和对应的MAC地址的ARP报文中的目的IP地址发送ARP请求报文,这一步主要为了完成网络中有限的IP 地址可以被有效利用。
这里预设时间是人为设定的时间,例如可以使1m或30s等时间长度,该时间长度需要根据实际需要设定。
进一步地,包括如下步骤:
当是原IP地址和MAC地址时,将请求修改所述转发列表中的IP地址和对应的MAC地址的ARP报文删除,还包括:当转发装置多次从收到同一所述请求修改转发列表中的IP地址和对应的MAC地址的ARP报文时,确定该MAC地址的网络设备正在进行MAC地址攻击。
本步骤中,在确定原IP地址网络设备还在网络设备中时,如果还有多次的请求修改转发列表中的IP地址和对应的MAC地址的ARP报文的情况出现时,这里基本可以确定该MAC地址的网络正在进行MAC地址攻击。因为转发装置中建立的转发列表是基本确定的,也是稳定,如果某个设备一直希望更改这一转发列表时,可以确定该设备为MAC地址攻击源。
基于图1所示ARP欺骗实现过程和图2所示的基于MAC地址攻击的防御流程示意图,结合如图3基于MAC地址攻击的防御过程示意图,具体说明如下:在图3中,交换机作为转发装置,保存着网络中主机A、主机B(即为交换机)、主机C和主机D的MAC地址和对应的IP地址,如列表1。
表1
| 成员 | IP地址 | MAC地址 |
| 主机A | 192.168.1.1 | 11-11-11-11-11 |
| 主机B | 192.168.1.2 | 22-22-22-22-22 |
| 主机C | 192.168.1.3 | 33-33-33-33-33 |
| 主机D | 192.168.1.4 | 44-44-44-44-44 |
在本实施例中,主机B即为交换机;主机C作为网络网关,与网络外的互联网进行连接;主机D为ARP欺骗者。主机D仿冒作为网关的主机C的IP地址,首先根据主机C的IP地址作为源IP地址,将主机D的MAC地址作为源MAC地址,构造ARP请求报文,通过作为交换机的主机B向整个网络广播该报文,接收到该ARP请求报文时,主机B并不是立即向整个网络转发,而是识别该ARP请求报文中的源MAC地址和源IP地址是否与交换机保存的转发列表的MAC地址和源IP地址一致。
其中,由于主机D仿冒主机C的IP地址造成转发列表中IP地址与MAC地址不一致,此时,主机B构造一个自身为源MAC地址和源IP地址的ARP请求报文,并且只向主机C连接的端口广播发送或者将主机C的MAC地址作为目的MAC地址通过单播发送,主机C接收到该ARP请求报文后回复一个ARP答复报文,该ARP答复报文中包括了主机C的MAC地址和IP地址。
主机B收到ARP答复报文后,将该报文中主机C的IP地址和MAC地址与转发列表中对应的IP地址和MAC地址做对比,如果与转发列表中对应的IP地址和MAC地址一致时,主机B将从主机D接收到的ARP请求报文删除;如果接收到主机C的IP地址和MAC地址与转发列表中对应的IP地址和MAC地址不一致,主机B向整个网络广播从主机D接收到的ARP请求报文,同时主机B将接收到主机C的IP地址和MAC地址和ARP请求报文中携带的源IP地址和源MAC地址保存在转发列表中,删除原主机C保存的IP地址和MAC地址对应信息。
另外地,如果主机B在预设时间段内没有收到从主机C回复的ARP答复报文时,主机B将向ARP请求报文中的目的IP地址转发主机D发送的ARP请求报文,这里的转发可以开始广播、单播或组播。
当主机A接收到主机B构造的ARP请求报文后,向主机B发送包括主机A自身的IP地址和MAC地址的ARP答复报文。
当将请求修改主机B中转发列表的IP地址和对应的MAC地址的ARP请求报文删除时,还包括:当主机B多次从收到同一所述请求修改转发列表中的IP地址和对应的MAC地址的ARP报文时,确定该MAC地址的网络设备正在进行MAC地址攻击,例如主机D多次发送ARP请求报文,而该ARP请求报文的源IP地址和源MAC地址的修改没有获得主机B的验证通过,此时可以确定主机D就是正在进行MAC地址攻击。
图4为本发明实施例提供的一种基于MAC地址攻击的防御***结构示意图,这里的基于MAC地址攻击的防御***与基于MAC地址攻击的防御方法相对应,包括如下:
ARP报文保存装置,根据其接收到的ARP报文中的IP地址和对应的MAC地址建立转发列表,保持转发列表中的IP地址和其对应的MAC地址的稳定性;
ARP请求报文判断装置,检测要求修改转发列表中的IP地址和对应的MAC地址的ARP报文的MAC地址是否为原MAC地址,如果是原MAC地址,保持转发列表中的IP地址与MAC地址不变;如果不是原MAC地址,ARP报文保存装置向原IP地址发送构造的ARP请求报文,
ARP答复报文判断装置,获取原IP地址的网络设备回复相应的ARP答复报文后,检测所述ARP答复报文中的IP地址和MAC地址是否是原IP地址和MAC地址,如果是原IP地址和MAC地址时,将请求修改所述转发列表中的IP地址和对应的MAC地址的ARP报文删除;如果不是原IP地址和MAC地址时,向该请求修改所述转发列表中的IP地址和对应的MAC地址的ARP报文中的目的IP地址发送该报文。
需要说明的是,这里的ARP报文保存装置、ARP请求报文判断装置和ARP答复报文判断装置全部保存以交换机为例的转发装置中,整个***的判断过程也就是MAC地址攻击的防御方法的过程。具体参考附图3及其相关说明描述。
所述***还包括:
原IP地址的网络设备接收到所述构造的ARP请求报文,向ARP答复报文判断装置发送包括自身IP地址和MAC地址的ARP答复报文。
所述***还包括:
在预设时间段内ARP报文保存装置没有收到回复所述构造的ARP请求报文时,ARP报文保存装置向该请求修改所述转发列表中的IP地址和对应的MAC地址的ARP报文中的目的IP地址发送该报文。
所述ARP报文保存装置还包括:当所述ARP报文保存装置请求修改所述转发列表中的IP地址和对应的MAC地址的ARP报文删除,且ARP报文保存装置多次从收到同一所述请求修改转发列表中的IP地址和对应的MAC地址的ARP报文时,确定该MAC地址的网络设备正在进行MAC地址攻击。
所述ARP报文保存装置还包括:所述修改所述转发列表中的IP地址和对应的MAC地址的ARP报文为ARP请求报文。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (8)
1.一种基于MAC地址攻击的防御方法,其特征在于,所述方法包括:
转发装置根据其接收到的ARP报文中的IP地址和对应的MAC地址建立转发列表,保持转发列表中的IP地址与其对应的MAC地址的稳定性;
检测要求修改转发列表中的IP地址与其对应的MAC地址的ARP报文的MAC地址是否为原MAC地址,如果是原MAC地址,保持转发列表中的IP地址与MAC地址不变;如果不是原MAC地址,所述转发装置向原IP地址的网络设备连接的端口广播发送构造的ARP请求报文;
获取原IP地址的网络设备回复相应的ARP答复报文后,检测所述ARP答复报文中的IP地址和MAC地址是否是原IP地址和MAC地址,当是原IP地址和原MAC地址时,将请求修改所述转发列表中的IP地址与其对应的MAC地址的ARP报文删除;当不是原IP地址和原MAC地址时,转发装置向整个网络广播要求修改转发列表中的IP地址与其对应的MAC地址的ARP报文,同时将所述ARP答复报文中的IP地址和MAC地址和所述ARP报文中携带的IP地址和MAC地址保存在转发列表中,删除原转发列表中的IP地址与MAC地址;在预设时间段内没有收到原IP地址的网络设备回复相应的ARP答复报文时,转发装置向该请求修改所述转发列表中的IP地址与其对应的MAC地址的ARP报文中的目的IP地址发送该报文。
2.如权利要求1所述的方法,其特征在于,还包括:
在原IP地址的网络设备接收到所述构造的ARP请求报文后,向转发装置发送包括自身IP地址和MAC地址的ARP答复报文。
3.如权利要求1所述的方法,其特征在于,将请求修改所述转发列表中的IP地址和对应的MAC地址的ARP报文删除时,还包括:当转发装置多次从收到同一所述请求修改转发列表中的IP地址和对应的MAC地址的ARP请求报文时,确定该MAC地址的网络设备正在进行MAC地址攻击。
4.如权利要求1所述的方法,其特征在于,所述修改所述转发列表中的IP地址和对应的MAC地址的ARP报文为ARP请求报文。
5.一种基于MAC地址攻击的防御***,其特征在于,所述***包括:
ARP报文保存装置,根据其接收到的ARP报文中的IP地址和对应的MAC地址建立转发列表,保持转发列表中的IP地址与其对应的MAC地址的稳定性;
ARP请求报文判断装置,检测要求修改转发列表中的IP地址与其对应的MAC地址的ARP报文的MAC地址是否为原MAC地址,如果是原MAC地址,保持转发列表中的IP地址与MAC地址不变;如果不是原MAC地址,ARP报文保存装置向原IP地址的网络设备连接的端口广播发送构造的ARP请求报文;
ARP答复报文判断装置,获取原IP地址的网络设备回复相应的ARP答复报文后,检测所述ARP答复报文中的IP地址和MAC地址是否是原IP地址和原MAC地址,如果是原IP地址和原MAC地址时,将请求修改所述转发列表中的IP地址与其对应的MAC地址的ARP报文删除;如果不是原IP地址和原MAC地址时,转发装置向整个网络广播要求修改转发列表中的IP地址与其对应的MAC地址的ARP报文,同时将所述ARP答复报文中的IP地址和MAC地址和所述ARP报文中携带的IP地址和MAC地址保存在转发列表中,删除原转发列表中的IP地址与MAC地址;在预设时间段内没有收到原IP地址的网络设备回复相应的ARP答复报文时,转发装置向该请求修改所述转发列表中的IP地址与其对应的MAC地址的ARP报文中的目的IP地址发送该报文。
6.如权利要求5所述的***,其特征在于,所述***还包括:
原IP地址的网络设备接收到所述构造的ARP请求报文,向ARP答复报文判断装置发送包括自身IP地址和MAC地址的ARP答复报文。
7.如权利要求5所述的***,其特征在于,所述ARP报文保存装置还包括:当所述ARP报文保存装置请求修改所述转发列表中的IP地址和对应的MAC地址的ARP报文删除,且ARP报文保存装置多次从收到同一所述请求修改转发列表中的IP地址和对应的MAC地址的ARP报文时,确定该MAC地址的网络设备正在进行MAC地址攻击。
8.如权利要求5所述的***,其特征在于,所述ARP报文保存装置还包括:所述修改所述转发列表中的IP地址和对应的MAC地址的ARP报文为ARP请求报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410010594.4A CN104780139B (zh) | 2014-01-09 | 2014-01-09 | 一种基于mac地址攻击的防御方法和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410010594.4A CN104780139B (zh) | 2014-01-09 | 2014-01-09 | 一种基于mac地址攻击的防御方法和*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104780139A CN104780139A (zh) | 2015-07-15 |
| CN104780139B true CN104780139B (zh) | 2018-02-13 |
Family
ID=53621386
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410010594.4A Active CN104780139B (zh) | 2014-01-09 | 2014-01-09 | 一种基于mac地址攻击的防御方法和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104780139B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105530187B (zh) * | 2015-12-14 | 2019-06-14 | 小米科技有限责任公司 | 物理地址获取方法及装置 |
| CN106899554A (zh) * | 2015-12-21 | 2017-06-27 | 北京奇虎科技有限公司 | 一种防止arp欺骗的方法及装置 |
| CN108574674A (zh) * | 2017-03-10 | 2018-09-25 | 武汉安天信息技术有限责任公司 | 一种arp报文攻击检测方法及装置 |
| CN107360182B (zh) * | 2017-08-04 | 2020-05-01 | 南京翼辉信息技术有限公司 | 一种用于嵌入式的主动网络防御***及其防御方法 |
| CN110401617A (zh) * | 2018-04-24 | 2019-11-01 | 北京码牛科技有限公司 | 一种防止arp欺骗的方法和*** |
| CN110401616A (zh) * | 2018-04-24 | 2019-11-01 | 北京码牛科技有限公司 | 一种提高mac地址和ip地址安全性和稳定性的方法和*** |
| CN111010362B (zh) * | 2019-03-20 | 2021-09-21 | 新华三技术有限公司 | 一种异常主机的监控方法及装置 |
| CN111835764B (zh) * | 2020-07-13 | 2023-04-07 | 中国联合网络通信集团有限公司 | 一种arp防欺骗方法、隧道端点以及电子设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1921491A (zh) * | 2006-09-14 | 2007-02-28 | 杭州华为三康技术有限公司 | 防范利用地址解析协议进行网络攻击的方法及设备 |
| CN101110821A (zh) * | 2007-09-06 | 2008-01-23 | 华为技术有限公司 | 防止arp地址欺骗攻击的方法及装置 |
| US7464183B1 (en) * | 2003-12-11 | 2008-12-09 | Nvidia Corporation | Apparatus, system, and method to prevent address resolution cache spoofing |
| CN101370019A (zh) * | 2008-09-26 | 2009-02-18 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议报文欺骗攻击的方法及交换机 |
| CN101635713A (zh) * | 2009-06-09 | 2010-01-27 | 北京安天电子设备有限公司 | 一种防止局域网arp欺骗攻击的方法及*** |
| CN101820396A (zh) * | 2010-05-24 | 2010-09-01 | 杭州华三通信技术有限公司 | 一种报文安全性验证的方法和设备 |
| CN103152335A (zh) * | 2013-02-20 | 2013-06-12 | 神州数码网络(北京)有限公司 | 一种网络设备上防止arp欺骗的方法及装置 |
-
2014
- 2014-01-09 CN CN201410010594.4A patent/CN104780139B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7464183B1 (en) * | 2003-12-11 | 2008-12-09 | Nvidia Corporation | Apparatus, system, and method to prevent address resolution cache spoofing |
| CN1921491A (zh) * | 2006-09-14 | 2007-02-28 | 杭州华为三康技术有限公司 | 防范利用地址解析协议进行网络攻击的方法及设备 |
| CN101110821A (zh) * | 2007-09-06 | 2008-01-23 | 华为技术有限公司 | 防止arp地址欺骗攻击的方法及装置 |
| CN101370019A (zh) * | 2008-09-26 | 2009-02-18 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议报文欺骗攻击的方法及交换机 |
| CN101635713A (zh) * | 2009-06-09 | 2010-01-27 | 北京安天电子设备有限公司 | 一种防止局域网arp欺骗攻击的方法及*** |
| CN101820396A (zh) * | 2010-05-24 | 2010-09-01 | 杭州华三通信技术有限公司 | 一种报文安全性验证的方法和设备 |
| CN103152335A (zh) * | 2013-02-20 | 2013-06-12 | 神州数码网络(北京)有限公司 | 一种网络设备上防止arp欺骗的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104780139A (zh) | 2015-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104780139B (zh) | 一种基于mac地址攻击的防御方法和*** | |
| CN101997768B (zh) | 一种上送地址解析协议报文的方法和装置 | |
| US9083716B1 (en) | System and method for detecting address resolution protocol (ARP) spoofing | |
| JP6884135B2 (ja) | ネットワーク攻撃防止方法、装置及びシステム | |
| CN100563149C (zh) | 一种dhcp监听方法及其装置 | |
| CN105763440B (zh) | 一种报文转发的方法和装置 | |
| CN104219340A (zh) | 一种arp应答代理方法以及装置 | |
| CN103428032B (zh) | 一种攻击定位、辅助定位装置和方法 | |
| CN112769771A (zh) | 基于虚假拓扑生成的网络防护方法及***和***架构 | |
| CN104219338B (zh) | 授权地址解析协议安全表项的生成方法及装置 | |
| Song et al. | Novel duplicate address detection with hash function | |
| CN107623757A (zh) | 表项更新方法和装置 | |
| CN104901953A (zh) | 一种arp欺骗的分布式检测方法及*** | |
| CN104427004A (zh) | 一种基于网络设备的arp报文管理方法 | |
| US9992159B2 (en) | Communication information detecting device and communication information detecting method | |
| CN101808097B (zh) | 一种防arp攻击方法和设备 | |
| CN104023001B (zh) | 一种ac设备转发未认证报文信息的方法 | |
| CN101931627A (zh) | 安全检测方法、装置和网络侧设备 | |
| CN103023818B (zh) | 媒体接入控制强制转发arp报文的方法及装置 | |
| CN107689963A (zh) | 一种针对arp应答报文攻击的检测方法及装置 | |
| CN104506437B (zh) | 一种表项建立方法及装置 | |
| US11108797B2 (en) | Timely detection of network traffic to registered DGA generated domains | |
| CN103095858B (zh) | 地址解析协议arp报文处理的方法、网络设备及*** | |
| CN107241297A (zh) | 通信拦截方法及装置、服务器 | |
| CN107786496B (zh) | 针对局域网arp表项欺骗攻击的预警方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20150715 Assignee: Hubei Dongtu Taiyi Wisdom Technology Co., Ltd. Assignor: Beijing Dongtu Technology Co., Ltd. Contract record no.: 2019990000255 Denomination of invention: Defense system based on MAC (Medium/Media Access Control) address attack and system Granted publication date: 20180213 License type: Common License Record date: 20190729 |