CN104883410A - 一种网络传输方法和网络传输装置 - Google Patents
一种网络传输方法和网络传输装置 Download PDFInfo
- Publication number
- CN104883410A CN104883410A CN201510262214.0A CN201510262214A CN104883410A CN 104883410 A CN104883410 A CN 104883410A CN 201510262214 A CN201510262214 A CN 201510262214A CN 104883410 A CN104883410 A CN 104883410A
- Authority
- CN
- China
- Prior art keywords
- address
- message
- camouflage
- address information
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络传输方法和网络传输装置,其中,该网络传输方法包括:接收来自网络侧设备的报文;若上述报文为地址解析协议ARP请求报文,则检测上述报文中请求的互联网协议IP地址是否存在于预设的第一伪装地址信息中,其中,上述第一伪装地址信息包含需要伪装的IP地址以及对应的伪物理地址;若检测到上述报文中请求的IP地址存在于上述第一伪装地址信息中,则向上述网络侧设备发送携带上述第一伪装地址信息中的一伪物理地址的ARP回应报文。本发明提供的技术方案提供一种新的网络攻击防御方法,能够有效降低网络安全的维护成本和管理难度,提高网络的安全性和可靠性。
Description
技术领域
本发明涉及通讯领域,具体涉及一种网络传输方法和网络传输装置。
背景技术
地址解析协议(ARP,Address Resolution Protocol)是根据IP地址获取物理地址的一个传输控制协议(TCP,Transmission Control Protocol)/IP协议。主机发送信息时将包含目标IP地址的ARP请求报文广播到网络上的所有主机,并接收ARP回应报文,以此确定目标主机的物理地址(MAC,Media AccessControl)。ARP是个早期的网络协议,其利用以太网的洪泛特点,能够很方便的用来查询主机的MAC。互联网协议地址(IP,Internet Protocol Address)跳板攻击是一种常见的网络渗透技术,攻击者在使用第一台被入侵的主机作为跳板入侵内网主机时,通常都会使用网络扫描技术,通过侦查目标主机的周知端口来发现目标主机的薄弱点,从而发动攻击。
目前,常用的防止局域网安全技术主要有入侵防御***(IPS,Intrusion Prevention System)、入侵检测***(IDS,Intrusion Detection Systems)杀毒软件、网络隔离和部署陷阱蜜罐等方法。
然而,现有的局域网安全技术存在以下几个问题:
1、多数是补救技术:比如IPS/IDS、杀毒软件等,都必须依赖云端服务器的恶意软件特征分析,需要不断升级;
2、成本较高:比如由于服务频繁重启的代价较高,通常只会在第一次改一下端口,在面对高级持续性威胁(APT,Advanced Persistent Threat)时,仍然存在很大可能被猜到;部署陷阱蜜罐的方式由于需要占用硬件资源,很难同时部署很多台;
3、管理不易:IPS、IDS和杀毒软件等都需要经常性升级,并且检测能力缺乏标准,效果不可控;网络隔离在网络规模较大或频繁变动时管理不易。
发明内容
本发明提供一种网络传输方法和网络传输装置,用于降低网络安全的维护成本和管理难度,提高网络的安全性和可靠性。
本发明第一方面提供一种网络传输方法,包括:
接收来自网络侧设备的报文;
若上述报文为地址解析协议ARP请求报文,则检测上述报文中请求的互联网协议IP地址是否存在于预设的第一伪装地址信息中,其中,上述第一伪装地址信息包含需要伪装的IP地址以及伪物理地址;
若检测到上述报文中请求的IP地址存在于上述第一伪装地址信息中,则向上述网络侧设备发送携带上述第一伪装地址信息中的一伪物理地址的ARP回应报文。
本发明第二方面提供一种网络传输装置,包括:
第一接收单元,用于接收来自网络侧设备的报文;
第一检测单元,用于当上述第一接收单元接收到的报文为地址解析协议ARP请求报文时,检测上述报文中请求的互联网协议IP地址是否存在于预设的第一伪装地址信息中,其中,上述第一伪装地址信息包含需要伪装的IP地址以及伪物理地址;
发送单元,用于当上述第一检测单元检测到上述报文中请求的互联网协议IP地址存在于预设的第一伪装地址信息中时,向上述网络侧设备发送携带上述第一伪装地址信息中的一伪物理地址的ARP回应报文。
由上可见,本发明中在接收到来自网络侧设备的ARP请求报文,且该ARP请求报文请求的IP地址存在于预设的第一伪装地址信息中时,向该网络侧设备发送携带第一伪装地址信息中的一伪物理地址的ARP回应报文,使得恶意的扫描者和攻击者仅能侦测到经伪装的伪物理地址,从而增加了主机及所在局域网抗扫描及抗攻击的能力,提高网络的安全性和可靠性,另外,相对于现有的局域网安全技术,本方案不需要频繁进行升级,有效降低了网络安全的维护成本和管理难度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种网络传输方法一个实施例流程示意图;
图2为本发明提供的一种网络传输方法另一个实施例流程示意图
图3为本发明提供的一种网络传输装置一个实施例结构示意图。
具体实施方式
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而非全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种网络传输方法,包括:接收来自网络侧设备的报文;若上述报文为地址解析协议ARP请求报文,则检测上述报文中请求的互联网协议IP地址是否存在于预设的第一伪装地址信息中,其中,上述第一伪装地址信息包含需要伪装的IP地址以及伪物理地址;若检测到上述报文中请求的IP地址存在于上述第一伪装地址信息中,则向上述网络侧设备发送携带上述第一伪装地址信息中的一伪物理地址的ARP回应报文。本发明实施例还提供相应的网络传输装置,以下分别进行详细说明。
下面对本发明实施例提供的一种网络传输方法进行描述,请参阅图1,本发明实施例中的网络传输方法包括:
101、接收来自网络侧设备的报文;
本发明实施例中,网络传输装置接收来自网络侧设备的报文,具体地,网络传输装置从局域网(LAN,Local Area Network)接收来自网络侧设备的报文。进一步,网络传输装置对该报文进行解析,以获知该报文的类型。
102、若该报文为ARP请求报文,则检测该报文中请求的IP地址是否存在于预设的第一伪装地址信息中;
本发明实施例中,预先设置第一伪装地址信息,该第一伪装地址信息包含需要伪装的IP地址以及伪物理地址。
可选地,该第一伪装地址信息可以由与该网络传输装置具有通讯连接的设备周期性或不定期下发给该网络传输装置,该网络传输装置在接收到第一伪装地址信息时,将该第一伪装地址信息进行更新存储从而实现第一伪装地址信息动态更新,加大攻击者破解主机真实地址的难度,进一步提高主动防御的效果,同时也可发送免费ARP通知其它网络设备更新其ARP表项。当然,该第一伪装地址信息也可以由用户通过该网络传输装置提供的第一伪装地址信息配置控件进行手动输入配置或按照一定规律自动生成,此处不作限定。
本发明实施例中,当网络传输装置确定步骤101接收到的报文为ARP请求报文时,检测该报文中请求的IP地址是否存在于预设的第一伪装地址信息中,即检测该ARP请求报文所要请求物理地址(即MAC地址)的IP地址是否存在于预设的第一伪装地址信息中,如果存在于预设的第一伪装地址信息中,则判定该ARP请求报文需要执行伪装策略,网络传输装置执行步骤103,若检测到该报文中请求的IP地址不存在于预设的第一伪装地址信息中,则执行步骤104,或者,不响应或直接转发该报文。
103、向上述网络侧设备发送携带上述第一伪装地址信息中的一伪MAC地址的ARP回应报文;
本发明实施例中,当检测该ARP请求报文所请求的IP地址存在于预设的第一伪装地址信息中时,网络传输装置将第一伪装地址信息中一MAC地址返回给请求者(即上述网络侧设备),以便请求者认为所请求IP地址所对应的MAC为网络传输装置返回的MAC地址,具体的,该MAC地址为另一IP地址的MAC地址,或者,也可以一为虚拟的MAC地址,此处不作限定。可选的,当检测该ARP请求报文所请求的IP地址存在于预设的第一伪装地址信息中时,网络传输装置将第一伪装地址信息中指定的MAC地址返回给上述网络侧设备,例如,在上述第一伪装地址信息中,一个IP地址与一个伪MAC地址存在映射关系,当检测该ARP请求报文所请求的IP地址存在于预设的第一伪装地址信息中时,网络传输装置将第一伪装地址信息中与该ARP请求报文所请求的IP地址对应的MAC地址通过ARP回应报文返回给上述网络侧设备,或者,在上述第一伪装地址信息中,一个IP地址也可以与多个伪MAC地址存在映射关系,则当网络传输装置检测该ARP请求报文所请求的IP地址存在于预设的第一伪装地址信息中时,网络传输装置从第一伪装地址信息中与该ARP请求报文所请求的IP地址对应的多个MAC地址随机或以其它预设规则选择一伪MAC地址,之后通过ARP回应报文将选择的伪MAC地址返回给上述网络侧设备,或者,在第一伪装地址信息中,IP地址也可以不与MAC地址存在映射关系,则当检测该ARP请求报文所请求的IP地址存在于预设的第一伪装地址信息中时,网络传输装置从第一伪装地址信息中的一个或多个MAC地址随机或以其它预设规则选择一伪MAC地址,之后通过ARP回应报文将选择的伪MAC地址返回给上述网络侧设备。
104、向上述网络侧设备发送携带与该报文请求的IP地址对应的真实MAC地址上的ARP回应报文;
本发明实施例中,网络传输装置可以具备MAC地址学习能力,该MAC地址学习能力可以参照以交换机的MAC地址学习功能。下面以交换机为例对MAC地址学习进行说明:当交换机接收到任一数据帧,它首先会记录该数据帧的源端口和源MAC地址的映射,如果在MAC地址表中已经存在该映射项,则更新映射的生存期,如果没有则在MAC地址表中保存该映射项,以便下次的转发,该功能称为MAC地址学习能力。交换机可以学习MAC地址,但不会主动响应非本地的MAC地址的ARP查询。
需要说明的是,本发明实施例中,当网络传输装置检测到该报文中请求的IP地址不存在于预设的第一伪装地址信息中时,向上述网络侧设备发送携带与该报文请求的IP地址对应的真实MAC地址上的ARP回应报文,当然,在其它实施例中,当网络传输装置检测到该报文中请求的IP地址不存在于预设的第一伪装地址信息中时,网络传输装置也可以直接转发或丢弃该报文,或者对该报文进行其它处理,此处不作限定。
需要说明的是,本发明实施例中的网络传输装置具体可以为交换机或其它具备交换路由功能的设备,此处不作限定。
由上可见,本发明中在接收到来自网络侧设备的ARP请求报文,且该ARP请求报文请求的IP地址存在于预设的第一伪装地址信息中时,向该网络侧设备发送携带第一伪装地址信息中的一伪物理地址的ARP回应报文,使得恶意的扫描者和攻击者仅能侦测到经伪装的伪物理地址,从而增加了主机及所在局域网抗扫描及抗攻击的能力,提高网络的安全性和可靠性,另外,相对于现有的局域网安全技术,本方案不需要频繁进行升级;在跨虚拟局域网(Vlan,Virtual Local Area Network)部署时不需要占用太多的硬件资源,并且,可以使网络应用层无感知,有效降低了网络安全的维护成本和管理难度。
下面以另一实施例对本发明实施例中的一种网络传输方法进行描述,请参阅图2,本发明实施例中的网络传输方法包括:
201、接收来自网络侧设备的报文;
本发明实施例中,网络传输装置接收来自网络侧设备的报文,具体地,网络传输装置从LAN接收来自网络侧设备的报文。
202、判断上述报文是否为ARP请求报文;
本发明实施例中,网络传输装置对接收到的报文进行解析,以判断该报文是否为ARP请求报文,当网络传输装置判断出步骤201接收到的报文为ARP请求报文时,进入步骤203,当网络传输装置判断出步骤201接收到的报文不为ARP请求报文时,进入步骤206。
203、检测该报文中请求的IP地址是否存在于预设的第一伪装地址信息中;
本发明实施例中,预先设置第一伪装地址信息,该第一伪装地址信息包含需要伪装的IP地址以及伪物理地址。
可选地,该第一伪装地址信息可以由与该网络传输装置具有通讯连接的设备周期性或不定期下发给该网络传输装置,该网络传输装置在接收到第一伪装地址信息时,将该第一伪装地址信息进行更新存储,从而实现第一伪装地址信息动态更新,加大攻击者破解主机真实地址的难度,进一步提高主动防御的效果,同时也可发送免费ARP通知其它网络设备更新其ARP表项。当然,该第一伪装地址信息也可以由用户通过该网络传输装置提供的第一伪装地址信息配置控件进行手动输入配置或按照一定规律自动生成,此处不作限定。
本发明实施例中,当网络传输装置确定步骤201接收到的报文为ARP请求报文时,检测该报文中请求的IP地址是否存在于预设的第一伪装地址信息中,即检测该ARP请求报文所要请求物理地址(即MAC地址)的IP地址是否存在于预设的第一伪装地址信息中,如果存在于预设的第一伪装地址信息中,则判定该ARP请求报文需要执行伪装策略,网络传输装置执行步骤204,若检测到该报文中请求的IP地址是否不存在于预设的第一伪装地址信息中,则执行步骤205。
204、向上述网络侧设备发送携带上述第一伪装地址信息中的一伪MAC地址的ARP回应报文;
本发明实施例中,当检测该ARP请求报文所请求的IP地址存在于预设的第一伪装地址信息中时,网络传输装置将第一伪装地址信息中一MAC地址返回给请求者(即上述网络侧设备),以便请求者认为所请求IP地址所对应的MAC为网络传输装置返回的MAC地址,具体的,该MAC地址为另一IP地址的MAC地址,或者,也可以一为虚拟的MAC地址,此处不作限定。可选的,当检测该ARP请求报文所请求的IP地址存在于预设的第一伪装地址信息中时,网络传输装置将第一伪装地址信息中指定的MAC地址返回给上述网络侧设备,例如,在第一伪装地址信息中,一个IP地址与一个伪MAC地址存在映射关系,当检测该ARP请求报文所请求的IP地址存在于预设的第一伪装地址信息中时,网络传输装置将第一伪装地址信息中与该ARP请求报文所请求的IP地址对应的MAC地址通过ARP回应报文返回给上述网络侧设备,或者,在上述第一伪装地址信息中,一个IP地址也可以与多个伪MAC地址存在映射关系,则当网络传输装置检测该ARP请求报文所请求的IP地址存在于预设的第一伪装地址信息中时,网络传输装置从第一伪装地址信息中与该ARP请求报文所请求的IP地址对应的多个MAC地址随机或以其它预设规则选择一伪MAC地址,之后通过ARP回应报文将选择的伪MAC地址返回给上述网络侧设备,或者,在第一伪装地址信息中,IP地址也可以不与MAC地址存在映射关系,则当检测该ARP请求报文所请求的IP地址存在于预设的第一伪装地址信息中时,网络传输装置从第一伪装地址信息中的一个或多个MAC地址随机或以其它预设规则选择一伪MAC地址,之后通过ARP回应报文将选择的伪MAC地址返回给上述网络侧设备。
205、向上述网络侧设备发送携带与该报文请求的IP地址对应的真实MAC地址上的ARP回应报文;
本发明实施例中,网络传输装置可以具备MAC地址学习能力,该MAC地址学习能力可以参照以交换机的MAC地址学习功能。下面以交换机为例对MAC地址学习进行说明:当交换机接收到任一数据帧,它首先会记录该数据帧的源端口和源MAC地址的映射,如果在MAC地址表中已经存在该映射项,则更新映射的生存期,如果没有则在MAC地址表中保存该映射项,以便下次的转发,该功能称为MAC地址学习能力。交换机可以学习MAC地址,但不会主动响应非本地的MAC地址的ARP查询。
需要说明的是,本发明实施例中,当网络传输装置检测到该报文中请求的IP地址不存在于预设的第一伪装地址信息中时,向上述网络侧设备发送携带与该报文请求的IP地址对应的真实MAC地址上的ARP回应报文,当然,在其它实施例中,当网络传输装置检测到该报文中请求的IP地址不存在于预设的第一伪装地址信息中时,网络传输装置也可以直接转发或丢弃该报文,或者对该报文进行其它处理,此处不作限定。
206、检测上述报文的目的地址是否为预设的第二伪装地址信息中的一伪装地址;
本发明实施例中,预先设置第二伪装地址信息,该第二伪装地址信息包含主机的伪装地址与主机的真实地址的映射关系。具体的,该第二伪装地址信息中包含的主机的伪装地址和相应的真实地址包括如下一种或多种组合:IP地址,逻辑端口号,vlan标识号(即vlan tag)和MAC地址。
可选地,该第二伪装地址信息可以由与该网络传输装置具有通讯连接的设备周期性或不定期下发给该网络传输装置,该网络传输装置在接收到第二伪装地址信息时,将该第二伪装地址信息进行更新存储,从而实现第二伪装地址信息动态更新,加大攻击者破解主机真实地址的难度,进一步提高主动防御的效果。当然,该第二伪装地址信息也可以由用户通过该网络传输装置提供的第二伪装地址信息配置控件进行手动输入配置,此处不作限定。
本发明实施例中,当网络传输装置确定步骤201接收到的报文不为ARP请求报文时,检测该报文的目的地址是否为预设的第二伪装地址信息中的一伪装地址,如果检测到该报文的目的地址为预设的第二伪装地址信息中的一伪装地址,则判定该报文需要执行伪装策略,网络传输装置执行步骤207,如果检测到该报文的目的地址不为预设的第二伪装地址信息中的一伪装地址,则执行步骤208。
207、根据第二伪装地址信息中的伪装地址与真实地址的映射关系,将上述报文中的目的地址转换为相应的真实地址并转发转换后的报文;
本发明实施例中,当网络传输装置确定步骤201接收到的报文不为ARP请求报文,且检测该报文的目的地址为预设的第二伪装地址信息中的一伪装地址时,网络传输装置根据第二伪装地址信息中的伪装地址与真实地址的映射关系,将上述报文中的目的地址转换为相应的真实地址,之后和真实主机建立地址转换连接,在和真实主机建立地址转换连接后,通过该连接和真实主机交换报文。
进一步,在步骤207之后,网络传输装置将来自真实主机发送到网络侧设备的报文的源地址转换为主机的伪装地址。具体的步骤如下:网络传输装置接收来自主机的报文;根据第二伪装地址信息中的伪装地址与真实地址的映射关系,将来自主机的报文中的源地址转换为相应的伪装地址并转发转换后的报文。
208、直接转发该报文;
本发明实施例中,当网络传输装置确定步骤201接收到的报文不为ARP请求报文,且检测该报文的目的地址不为预设的第二伪装地址信息中的一伪装地址时,网络传输装置直接转发该报文,或者,在其它实施例中,网络传输装置也可以丢弃该报文或采用其它策略对该报文进行处理,此处不作限定。
需要说明的是,本发明实施例中的网络传输装置具体可以为交换机或其它具备交换路由功能的设备,此处不作限定。
由上可见,本发明中在接收到来自网络侧设备的ARP请求报文,且该ARP请求报文请求的IP地址存在于预设的第一伪装地址信息中时,向该网络侧设备发送携带第一伪装地址信息中的一伪物理地址的ARP回应报文,使得恶意的扫描者和攻击者仅能侦测到经伪装的伪物理地址,从而增加了主机及所在局域网抗扫描及抗攻击的能力,提高网络管理的安全性和可靠性,另外,相对于现有的局域网安全技术,本方案不需要频繁进行升级,在跨Vlan部署蜜罐时不需要占用太多的硬件资源,并且,可以使网络应用层无感知,有效降低了网络安全的维护成本和管理难度。另外,在部署蜜罐时,可以有效隐藏逻辑端口信息。
将本发明实施例中的方案应用于局域网中,还有如下优势:
1、对主机上的应用层来说,该改进不会产生任何影响,是无感知、透明的;
2、对恶意的攻击和扫描者来说,其扫描到的局域网逻辑拓扑,是经过伪装的,无法简单从端口号判断其主机所提供的网络服务,增大其侦测主机漏洞的难度;
3、本方案可以将伪装地址信息的下发自动化,这样,对恶意的攻击和扫描者来说,其扫描到的网络可能是动态可变的,就达到了网络逻辑拓扑智能变化的效果,进一步增大其侦测主机漏洞的难度,如果配合先建立新地址转换、再删除旧地址转换的方式,可以极大减小伪装地址动态变换时合法分组交换的丢包率,达到更好的用户体验;
4、网络管理人员可以使用本发明实施例中的方案实现低成本的将网络上的蜜罐和陷阱跨Vlan虚拟成多个蜜罐和陷阱,并模糊蜜罐的网络指纹(即逻辑端口号),从而减小恶意攻击者探测到蜜罐的可能性,增加恶意攻击者跳入蜜罐的概率,增强了蜜罐的使用效能。
下面以另一实施例对本发明实施例中的网络传输装置进行描述,请参阅图3,本发明实施例中的网络传输装置300包括:
第一接收单元301,用于接收来自网络侧设备的报文;
第一检测单元302,用于当第一接收单元301接收到的报文为地址解析协议ARP请求报文时,检测上述报文中请求的互联网协议IP地址是否存在于预设的第一伪装地址信息中,其中,上述第一伪装地址信息包含需要伪装的IP地址以及伪物理地址;
发送单元303,用于当第一检测单元302检测到上述报文中请求的互联网协议IP地址存在于预设的第一伪装地址信息中时,向上述网络侧设备发送携带上述第一伪装地址信息中的一伪物理地址的ARP回应报文。
可选的,本发明实施例中的网络传输装置还包括:
第二检测单元,用于当第一接收单元301接收到的报文不为地址解析协议ARP请求报文时,检测上述报文的目的地址是否为预设的第二伪装地址信息中的一伪装地址,其中,上述第二伪装地址信息中包含:主机的伪装地址与主机的真实地址的映射关系;
发送单元303还用于:当上述第二检测单元检测到上述报文的目的地址为上述第二伪装地址信息中的一伪装目的地址时,根据上述伪装地址与真实地址的映射关系,将上述报文中的目的地址转换为相应的真实地址并转发转换后的报文。
可选的,本发明实施例中的网络传输装置还包括:第二接收单元,用于接收来自主机的报文;发送单元303还用于:根据上述伪装地址与真实地址的映射关系,将上述来自主机的报文中的源地址转换为相应的伪装地址并转发转换后的报文。
可选的,发送单元303还用于:当上述第二检测单元检测到上述报文的目的地址不为预设的第二伪装地址信息中的一伪装地址时,直接转发上述报文或丢弃上述报文。
可选的,本发明实施例中的网络传输装置还包括:第三接收单元,用于接收第一伪装地址信息;更新存储单元,用于将上述第三接收单元接收到的第一伪装地址信息进行更新存储。可选的,上述第三接收单元,用于接收第一伪装地址信息;上述更新存储单元,用于将上述第三接收单元接收到的第一伪装地址信息进行更新存储。
需要说明的是,本发明实施例中的网络传输装置具体可以为交换机或其它具备交换路由功能的设备,此处不作限定。
应理解,本发明实施例中的网络传输装置可以如上述方法实施例中提及的网络传输装置,可以用于实现上述方法实施例中的全部技术方案,其各个功能模块的功能可以根据上述方法实施例中的方法具体实现,其具体实现过程可参照上述实施例中的相关描述,此处不再赘述。
由上可见,本发明中在接收到来自网络侧设备的ARP请求报文,且该ARP请求报文请求的IP地址存在于预设的第一伪装地址信息中时,向该网络侧设备发送携带第一伪装地址信息中的一伪物理地址的ARP回应报文,使得恶意的扫描者和攻击者仅能侦测到经伪装的伪物理地址,从而增加了主机及所在局域网抗扫描及抗攻击的能力,提高网络管理的安全性和可靠性,另外,相对于现有的局域网安全技术,本方案不需要频繁进行升级,也不需要占用太多的硬件资源,有效降低了网络安全的维护成本和管理难度。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,上述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元可以采用软件、固件和/或硬件的不同组合来实现。
上述集成的单元可以在网络元件(例如交换器,路由器,桥接器,防火墙等)上实现,这里所说的网络元件是一件连网设备,包括软件与硬件,其在通信上与网络上的其他设备(例如,其他网络元件,计算机终端站等)互连,一些网络元件是多功能网络元件,其为多个连网功能(例如,路由选择、桥接、交换、第二层聚合、会话边界控制、服务质量和/或用户管理)提供支持和/或为多个应用服务提供支持。
上述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例上述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上为对本发明所提供的一种网络传输方法和网络传输装置的描述,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种网络传输方法,其特征在于,包括:
接收来自网络侧设备的报文;
若上述报文为地址解析协议ARP请求报文,则检测所述报文中请求的互联网协议IP地址是否存在于预设的第一伪装地址信息中,其中,所述第一伪装地址信息包含需要伪装的IP地址以及伪物理地址;
若检测到所述报文中请求的IP地址存在于所述第一伪装地址信息中,则向所述网络侧设备发送携带所述第一伪装地址信息中的一伪物理地址的ARP回应报文。
2.根据权利要求1所述的方法,其特征在于,所述接收来自网络侧设备的报文,之后包括:
若所述报文不为ARP请求报文,则检测所述报文的目的地址是否为预设的第二伪装地址信息中的一伪装地址,其中,所述第二伪装地址信息中包含:主机的伪装地址与主机的真实地址的映射关系。其中,所述地址可以包含:IP,MAC,Vlan,逻辑端口号;
若检测到所述报文的目的地址为所述第二伪装地址信息中的一伪装目的地址,则:根据所述伪装地址与真实地址的映射关系,将所述报文中的目的地址转换为相应的真实地址并转发转换后的报文。
3.根据权利要求2所述的方法,其特征在于,所述将报文中的目的地址转换为相应的真实地址并转发转换后的报文方法之后还包括:
接收来自主机的报文;
根据所述伪装地址与真实地址的映射关系,将所述来自主机的报文中的源地址转换为相应的伪装地址并转发转换后的报文。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述接收来自网络侧设备的报文之前包括:
接收第一伪装地址信息;
将接收到的第一伪装地址信息进行更新存储。
5.根据权利要求4所述的方法,其特征在于,所述接收来自网络侧设备的报文之前包括:
接收第二伪装地址信息;
将接收到的第二伪装地址信息进行更新存储。
6.一种网络传输装置,其特征在于,包括:
第一接收单元,用于接收来自网络侧设备的报文;
第一检测单元,用于当所述第一接收单元接收到的报文为地址解析协议ARP请求报文时,检测所述报文中请求的互联网协议IP地址是否存在于预设的第一伪装地址信息中,其中,所述第一伪装地址信息包含需要伪装的IP地址以及伪物理地址;
发送单元,用于当所述第一检测单元检测到所述报文中请求的互联网协议IP地址存在于预设的第一伪装地址信息中时,向所述网络侧设备发送携带所述第一伪装地址信息中的一伪物理地址的ARP回应报文。
7.根据权利要求6所述的网络传输装置,其特征在于,所述网络传输装置还包括:
第二检测单元,用于当所述第一接收单元接收到的报文不为地址解析协议ARP请求报文时,检测所述报文的目的地址是否为预设的第二伪装地址信息中的一伪装地址,其中,所述第二伪装地址信息中包含:主机的伪装地址与主机的真实地址的映射关系;
所述发送单元还用于:当所述第二检测单元检测到所述报文的目的地址为所述第二伪装地址信息中的一伪装目的地址时,根据所述伪装地址与真实地址的映射关系,将所述报文中的目的地址转换为相应的真实地址并转发转换后的报文。
8.根据权利要求7所述的网络传输装置,其特征在于,所述网络传输装置还包括:第二接收单元,用于接收来自主机的报文;
所述发送单元还用于:根据所述伪装地址与真实地址的映射关系,将所述来自主机的报文中的源地址转换为相应的伪装地址并转发转换后的报文。
9.根据权利要求6至8任一项所述的网络传输装置,其特征在于,所述网络传输装置还包括:
第三接收单元,用于接收第一伪装地址信息;
更新存储单元,用于将所述第三接收单元接收到的第一伪装地址信息进行更新存储。
10.根据权利要求9所述的网络传输装置,其特征在于,所述第三接收单元,还用于接收第二伪装地址信息;
所述更新存储单元,还用于将所述第三接收单元接收到的第一伪装地址信息进行更新存储。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510262214.0A CN104883410B (zh) | 2015-05-21 | 2015-05-21 | 一种网络传输方法和网络传输装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510262214.0A CN104883410B (zh) | 2015-05-21 | 2015-05-21 | 一种网络传输方法和网络传输装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104883410A true CN104883410A (zh) | 2015-09-02 |
| CN104883410B CN104883410B (zh) | 2018-03-02 |
Family
ID=53950743
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510262214.0A Active CN104883410B (zh) | 2015-05-21 | 2015-05-21 | 一种网络传输方法和网络传输装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104883410B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105721457A (zh) * | 2016-01-30 | 2016-06-29 | 耿童童 | 基于动态变换的网络安全防御***和网络安全防御方法 |
| CN105721442A (zh) * | 2016-01-22 | 2016-06-29 | 耿童童 | 基于动态变换虚假响应***、方法及网络安全***与方法 |
| CN106302525A (zh) * | 2016-09-27 | 2017-01-04 | 黄小勇 | 一种基于伪装的网络空间安全防御方法及*** |
| CN108243262A (zh) * | 2016-12-26 | 2018-07-03 | 大唐移动通信设备有限公司 | Arp表的学习方法、装置及网络三层设备 |
| CN110650154A (zh) * | 2019-07-03 | 2020-01-03 | 广州非凡信息安全技术有限公司 | 基于真实网络环境在多个网段部署虚拟蜜罐的***及方法 |
| CN111385236A (zh) * | 2018-12-27 | 2020-07-07 | 北京卫达信息技术有限公司 | 一种基于网络诱骗的动态防御*** |
| CN111786940A (zh) * | 2020-05-07 | 2020-10-16 | 宁波小遛共享信息科技有限公司 | 一种数据处理方法及装置 |
| CN107770072B (zh) * | 2016-08-18 | 2021-01-08 | 阿里巴巴集团控股有限公司 | 一种发送和接收报文的方法和设备 |
| CN113141347A (zh) * | 2021-03-16 | 2021-07-20 | 中国科学院信息工程研究所 | 社工信息保护方法、装置、电子设备和存储介质 |
| CN115065494A (zh) * | 2022-04-02 | 2022-09-16 | 北京北信源软件股份有限公司 | 网络连接的建立方法、装置、设备及介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1411208A (zh) * | 2002-04-23 | 2003-04-16 | 华为技术有限公司 | 防范网络攻击的方法 |
| CN1585346A (zh) * | 2004-05-28 | 2005-02-23 | 南京邮电学院 | 一种实现诱骗网络数据流重定向的方法 |
| CN1604586A (zh) * | 2003-09-29 | 2005-04-06 | 华为技术有限公司 | 一种防范网际协议以太网中假冒主机的方法 |
| CN101123614A (zh) * | 2007-09-04 | 2008-02-13 | 中兴通讯股份有限公司 | 一种处理地址解析协议报文的方法及通信装置 |
| CN101635713A (zh) * | 2009-06-09 | 2010-01-27 | 北京安天电子设备有限公司 | 一种防止局域网arp欺骗攻击的方法及*** |
| JP2010118745A (ja) * | 2008-11-11 | 2010-05-27 | Sumitomo Electric System Solutions Co Ltd | 検疫制御装置、検疫制御コンピュータプログラム、通信妨害方法、端末装置、エージェントコンピュータプログラム、コンピュータプログラムセット、及び誤学習処理方法 |
| CN104427004A (zh) * | 2013-08-19 | 2015-03-18 | 北京怀教网络技术服务有限公司 | 一种基于网络设备的arp报文管理方法 |
-
2015
- 2015-05-21 CN CN201510262214.0A patent/CN104883410B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1411208A (zh) * | 2002-04-23 | 2003-04-16 | 华为技术有限公司 | 防范网络攻击的方法 |
| CN1604586A (zh) * | 2003-09-29 | 2005-04-06 | 华为技术有限公司 | 一种防范网际协议以太网中假冒主机的方法 |
| CN1585346A (zh) * | 2004-05-28 | 2005-02-23 | 南京邮电学院 | 一种实现诱骗网络数据流重定向的方法 |
| CN101123614A (zh) * | 2007-09-04 | 2008-02-13 | 中兴通讯股份有限公司 | 一种处理地址解析协议报文的方法及通信装置 |
| JP2010118745A (ja) * | 2008-11-11 | 2010-05-27 | Sumitomo Electric System Solutions Co Ltd | 検疫制御装置、検疫制御コンピュータプログラム、通信妨害方法、端末装置、エージェントコンピュータプログラム、コンピュータプログラムセット、及び誤学習処理方法 |
| CN101635713A (zh) * | 2009-06-09 | 2010-01-27 | 北京安天电子设备有限公司 | 一种防止局域网arp欺骗攻击的方法及*** |
| CN104427004A (zh) * | 2013-08-19 | 2015-03-18 | 北京怀教网络技术服务有限公司 | 一种基于网络设备的arp报文管理方法 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105721442A (zh) * | 2016-01-22 | 2016-06-29 | 耿童童 | 基于动态变换虚假响应***、方法及网络安全***与方法 |
| CN105721442B (zh) * | 2016-01-22 | 2019-03-22 | 北京卫达信息技术有限公司 | 基于动态变换虚假响应***、方法及网络安全***与方法 |
| CN105721457B (zh) * | 2016-01-30 | 2019-04-30 | 北京卫达信息技术有限公司 | 基于动态变换的网络安全防御***和网络安全防御方法 |
| CN105721457A (zh) * | 2016-01-30 | 2016-06-29 | 耿童童 | 基于动态变换的网络安全防御***和网络安全防御方法 |
| CN107770072B (zh) * | 2016-08-18 | 2021-01-08 | 阿里巴巴集团控股有限公司 | 一种发送和接收报文的方法和设备 |
| CN106302525A (zh) * | 2016-09-27 | 2017-01-04 | 黄小勇 | 一种基于伪装的网络空间安全防御方法及*** |
| CN106302525B (zh) * | 2016-09-27 | 2021-02-02 | 黄小勇 | 一种基于伪装的网络空间安全防御方法及*** |
| CN108243262A (zh) * | 2016-12-26 | 2018-07-03 | 大唐移动通信设备有限公司 | Arp表的学习方法、装置及网络三层设备 |
| CN108243262B (zh) * | 2016-12-26 | 2020-04-21 | 大唐移动通信设备有限公司 | Arp表的学习方法、装置及网络三层设备 |
| CN111385236A (zh) * | 2018-12-27 | 2020-07-07 | 北京卫达信息技术有限公司 | 一种基于网络诱骗的动态防御*** |
| CN110650154A (zh) * | 2019-07-03 | 2020-01-03 | 广州非凡信息安全技术有限公司 | 基于真实网络环境在多个网段部署虚拟蜜罐的***及方法 |
| CN111786940A (zh) * | 2020-05-07 | 2020-10-16 | 宁波小遛共享信息科技有限公司 | 一种数据处理方法及装置 |
| CN113141347A (zh) * | 2021-03-16 | 2021-07-20 | 中国科学院信息工程研究所 | 社工信息保护方法、装置、电子设备和存储介质 |
| CN113141347B (zh) * | 2021-03-16 | 2022-06-10 | 中国科学院信息工程研究所 | 社工信息保护方法、装置、电子设备和存储介质 |
| CN115065494A (zh) * | 2022-04-02 | 2022-09-16 | 北京北信源软件股份有限公司 | 网络连接的建立方法、装置、设备及介质 |
| CN115065494B (zh) * | 2022-04-02 | 2023-11-14 | 北京北信源软件股份有限公司 | 网络连接的建立方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104883410B (zh) | 2018-03-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104883410A (zh) | 一种网络传输方法和网络传输装置 | |
| US11153336B2 (en) | Network security analysis for smart appliances | |
| CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| US9497213B2 (en) | System and method to manage sinkholes | |
| US10135633B2 (en) | Network security analysis for smart appliances | |
| US7607021B2 (en) | Isolation approach for network users associated with elevated risk | |
| CN112769771A (zh) | 基于虚假拓扑生成的网络防护方法及***和***架构 | |
| CN112134891B (zh) | 一种基于linux***的单主机产生多个蜜罐节点的配置方法、***、监测方法 | |
| CN107135187A (zh) | 网络攻击的防控方法、装置及*** | |
| CN103607399A (zh) | 基于暗网的专用ip网络安全监测***及方法 | |
| KR20200055403A (ko) | 디코이 장치 및 디셉션 네트워크를 이용한 거짓 공격 접점 확장 방법 | |
| CN110493366B (zh) | 一种接入点加入网络管理的方法及装置 | |
| CN111683106B (zh) | 主动防护***及方法 | |
| CN106302525B (zh) | 一种基于伪装的网络空间安全防御方法及*** | |
| CN102737119A (zh) | 统一资源定位符的查找方法、过滤方法和相关设备及*** | |
| CN105245629A (zh) | 基于dhcp的主机通信方法及装置 | |
| CN112688900A (zh) | 一种防御arp欺骗和网络扫描的局域网安全防护***及方法 | |
| CN108092940A (zh) | 一种dns的防护方法及相关设备 | |
| CN101330409B (zh) | 一种检测网络漏洞的方法和*** | |
| CN101931627A (zh) | 安全检测方法、装置和网络侧设备 | |
| CN103780589A (zh) | 病毒提示方法、客户端设备和服务器 | |
| US20220239671A1 (en) | Impeding forecast threat propagation in computer networks | |
| CN111698221B (zh) | 消息处理方法、词条、装置、存储介质及处理器 | |
| Guo et al. | IoTSTEED: Bot-side Defense to IoT-based DDoS Attacks (Extended) | |
| CN108282786B (zh) | 一种用于检测无线局域网中dns欺骗攻击的方法与设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20160413 Address after: 200433, room 1945, 1402 Siping Road, Shanghai, Yangpu District Applicant after: Shanghai Hujing Information Technology Co., Ltd. Address before: 518000, Changhong building, Nanshan District Science Park, Shenzhen, Guangdong Province, China 903 Applicant before: Shenzhen chin or cheek and network technology Co., Ltd |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |