CN106027551A - 网络泛洪攻击的检测、存储及显示***及方法 - Google Patents
网络泛洪攻击的检测、存储及显示***及方法 Download PDFInfo
- Publication number
- CN106027551A CN106027551A CN201610499254.1A CN201610499254A CN106027551A CN 106027551 A CN106027551 A CN 106027551A CN 201610499254 A CN201610499254 A CN 201610499254A CN 106027551 A CN106027551 A CN 106027551A
- Authority
- CN
- China
- Prior art keywords
- frame
- arp request
- arp
- network
- request frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
一种网络泛洪攻击的检测、存储及显示***及方法,属于网络攻击检测领域,用于解决现有技术中网络泛洪无检测、无显示和无记录功能的缺点,技术要点是:检测***通过网线连接在交换机的网络端口上,用于接收局域网中所有的ARP请求帧;微处理器将接收到的ARP请求帧,按照源MAC地址进行分类,微处理器记录接收到该帧的接收时间,并判断多帧ARP请求帧的特征是否符合泛洪攻击的特征,当判定特征属于泛洪攻击的特征,微处理器将该帧的接收时间、源主机MAC地址进行记录,存储在存储器中,并将存储器中的多条ARP泛洪信息在液晶显示器上显示输出。效果是:具有可移动的效果,存储的效果和显示的效果。
Description
技术领域
本发明属于网络攻击检测领域,涉及一种网络泛洪攻击的检测、存储及显示***及方法。
背景技术
现有的局域网网络交换机仅按照网络标准通信协议进行网络数据转发,一般不具备网络泛洪的监督检测功能,因此给网络通信安全性带来了隐患,容易被恶意软件及病毒利用,造成网络泛洪,导致通信阻塞,严重影响了网络通信,具有无检测泛洪功能的缺点。
现有的局域网网络交换机一般没有显示功能,当网络中出现故障时,一般通过局域网中的其他计算机访问特定的IP地址的方式,查看交换机的***设置页面,但当局域网中出现ARP泛洪时,网络通信中断,无法通过常规局域网通信的方式进行查看交换机的***设置页面,具有无显示功能的缺点。
现有的局域网交换机中一般没有存储网络泛洪事件的专用存储器。当网络中发生ARP泛洪事件时,交换机中没有存储器将异常事件作为日志进行存储,造成网络管理者没有记录可查,具有无记录功能的缺点。
发明内容
为了解决现有技术中网络泛洪无检测、无显示和无记录功能的缺点,本发明提出了一种网络泛洪攻击的检测、存储及显示***,以实现对网络泛洪的检测、显示和记录。
为了实现上述目的,本发明技术方案的要点如下:
一种网络泛洪攻击的检测、存储及显示***,主要由网络物理层接口芯片、微处理器、存储器、液晶显示屏组成,且所述检测***通过网线连接在交换机的网络端口上,用于接收局域网中所有的ARP请求帧;所述微处理器将接收到的ARP请求帧,按照源MAC地址进行分类,微处理器记录接收到该帧的接收时间,并判断多帧ARP请求帧的特征是否符合泛洪攻击的特征,当判定特征属于泛洪攻击的特征,微处理器将该帧的接收时间、源主机MAC地址进行记录,存储在存储器中,并将存储器中的多条ARP泛洪信息在液晶显示器上显示输出。
有益效果:具有可移动的效果:可根据局域网受到ARP攻击的情况将本发明所述的设备接入受到攻击的局域网中,进行检测,也可以配套交换机长期安装在普通局域网交换机附近,方便网络管理者对局域网的管理。具有存储的效果:可对局域网中存在的异常信息进行存储,方便后期查看及分析问题原因。具有显示的效果:对局域网中ARP攻击信息进行逐条的滚动显示,方便网络管理者纠察问题根源,分析局域网中存在的病毒来源。
附图说明
图1为本发明***的组成框图;
图2为本发明方法的流程图。
具体实施方式
实施例1:一种网络泛洪攻击的检测、存储及显示***,所涉及的硬件装置由以下几部分组成:网络物理层接口芯片、微处理器、存储器、液晶显示屏。该***通过网线连接在网络交换机的网络端口上。
在局域网通信中,常使用地址解析协议(ARP,Address Resolution Protocol)通过IP地址获取MAC地址。当局域网中的一台计算机A需要通过目的计算机B的IP地址获取其MAC地址时,这台计算机A以广播的方式发送包含目的计算机B的IP地址的ARP请求信息到局域网中的所有计算机,目的计算机B会返回MAC地址信息,以此确定目标计算机B的MAC地址;收到返回消息后计算机A将该IP地址和MAC地址存入本机ARP缓存中并保留一定时间,这一时间一般设定为300秒,下次请求MAC地址时直接查询ARP缓存以节约资源。ARP请求是以广播的方式发送给局域网中所有的计算机,当局域网中的计算机感染计算机病毒或人为利用计算机恶意制造大量ARP请求时,在局域网中对其他计算机造成ARP泛洪攻击,阻碍局域网中计算机的正常通信。
本实施例所述的***,网络物理层接口芯片自动转换数据帧,从网络中接收到的数据发送给微处理器,微处理器需要发送的数据通过网络物理层接口芯片转换后通过网线发送给交换机。
微处理器快速处理网络数据,将检测到的异常网络信息逐条存储在存储器中,并通过液晶显示屏将异常网络信息逐条显示出来,供网络管理者检测。
本实施例中,ARP请求是以广播的方式发送给局域网中所有的计算机,ARP数据帧中主要含有:源MAC地址,源IP地址,目的MAC地址,目的IP地址信息以及帧类型,协议类型等信息。ARP请求帧的特征是,目的MAC地址是广播地址“0xff,0xff,0xff,0xff,0xff,0xff”,当交换机接收到ARP请求帧时,便会自动将ARP请求帧转发给局域网中其他计算机,本发明所述装置,通过网线连接在交换机的网络端口上,可以接收到局域网中所有的ARP请求帧,微处理器将接收到的ARP请求帧,按照源MAC地址进行分类,记录该帧的时间,并判断多帧ARP请求帧的特征是否符合泛洪攻击的特征,一旦判定其特征属于泛洪攻击,微处理器将时间、源主机MAC地址进行记录,存储在存储器中,并将存储器中的多条ARP泛洪信息在液晶显示器上不断滚动显示输出。
微处理器用如下表格记录ARP泛洪信息,液晶显示器按照序号递增方式,逐条显示ARP泛洪信息。
| 序号 | 时间 | 源主机MAC地址 | 源IP地址 | 目的IP地址 |
| 1 | ||||
| 2 | ||||
| 3 | ||||
| … | ||||
| N |
ARP泛洪的特点的是由源主机将ARP请求以广播的方式发送给局域网中的所有主机,所以,本装置接入交换机的端口并不受限制,可以是局域网中的任一交换机端口。该装置通过网线连接在网络交换机的网络端口上,一般与网络交换机一起安装在网络机柜中,也可以根据工作需要,临时接入待检测的局域网中。
作为一种实施例,基于上述技术方案中的***,本实施例记载了一种网络泛洪攻击的检测、存储及显示方法,包括以下步骤:
S1:网络物理层接口芯片接收局域网中的广播帧;
S2:微处理器判断数据帧为ARP请求帧;
S3:记录ARP请求帧的源MAC地址及收到该帧的时间;
S4:判断多帧ARP请求帧的特征是否符合泛洪攻击的特征;
S5:微处理器将时间、源主机MAC地址存储在存储器中;
S6:液晶显示器循环显示存储器中的内容。
实施例2:一种网络泛洪攻击的检测、存储及显示***,主要由网络物理层接口芯片、微处理器、存储器、液晶显示屏组成,且所述检测***通过网线连接在交换机的网络端口上,用于接收局域网中所有的ARP请求帧;所述微处理器将接收到的ARP请求帧,按照源MAC地址进行分类,微处理器记录接收到该帧的接收时间,并判断多帧ARP请求帧的特征是否符合泛洪攻击的特征,当判定特征属于泛洪攻击的特征,微处理器将该帧的接收时间、源主机MAC地址进行记录,存储在存储器中,并将存储器中的多条ARP泛洪信息在液晶显示器上显示输出。
本发明所述的泛洪攻击的特征是指:微处理器将接收到的ARP请求帧,按照ARP请求帧的帧头部的源MAC地址将ARP请求帧进行分类,由同一个源MAC地址主机所发出的ARP请求帧的数量,如果在单位时间内超出预设门限值,则判定该主机在发出恶意ARP请求帧,导致局域网中出现ARP泛洪现象。例如,一般情况下,局域网中正常通信的主机在1秒内发出的ARP请求帧数量在几帧到几十帧范围内,即可满足该主机在局域网中的正常通信,当该主机由于感染计算机病毒等原因发送恶意ARP请求帧时,该局域网中会出现大量ARP请求帧,由该主机发出的ARP请求帧的数量每1秒,可超过几千帧,因此,可将ARP泛洪的特征定义为来自同一源主机MAC地址的ARP请求帧数量在1秒时间内超过门限值100帧,则可以认定为ARP泛洪。检测ARP泛洪的特征可以根据具体的情况设置检测时间及门限值。
ARP请求是以广播的方式发送给局域网中所有的计算机,ARP数据帧中的信息主要含有:源MAC地址、源IP地址、目的MAC地址、目的IP地址、帧类型、协议类型。
所述ARP请求帧的特征是,目的MAC地址是广播地址“0xff,0xff,0xff,0xff,0xff,0xff”,当交换机接收到ARP请求帧时,自动将ARP请求帧转发给局域网中其他计算机。
所述微处理器用表格记录ARP泛洪信息,液晶显示器按照序号递增方式,逐条显示ARP泛洪信息,所述表格包括序号、时间、源主机MAC地址、源IP地址、目的IP地址。
所述检测***接入交换机的端口是局域网中的任一交换机端口,且该检测***与网络交换机一起安装在网络机柜中。
所述检测***接入交换机的端口是局域网中的任一交换机端口,且该检测***临时接入待检测的局域网中。
本实施例还记载了一种网络泛洪攻击的检测、存储及显示方法,具有如下特征步骤:
S1:网络物理层接口芯片接收局域网中的广播帧;
S2:微处理器判断数据帧为ARP请求帧;
S3:记录ARP请求帧的源MAC地址及收到该帧的时间;
S4:判断多帧ARP请求帧的特征是否符合泛洪攻击的特征;
S5:微处理器将时间、源主机MAC地址存储在存储器中;
S6:液晶显示器循环显示存储器中的内容。
以上所述,仅为本发明创造较佳的具体实施方式,但本发明创造的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明创造披露的技术范围内,根据本发明创造的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明创造的保护范围之内。
Claims (9)
1.一种网络泛洪攻击的检测、存储及显示***,其特征在于,主要由网络物理层接口芯片、微处理器、存储器、液晶显示屏组成,且所述检测***通过网线连接在交换机的网络端口上,用于接收局域网中所有的ARP请求帧;所述微处理器将接收到的ARP请求帧,按照源MAC地址进行分类,微处理器记录接收到该帧的接收时间,并判断多帧ARP请求帧的特征是否符合泛洪攻击的特征,当判定特征属于泛洪攻击的特征,微处理器将该帧的接收时间、源主机MAC地址进行记录,存储在存储器中,并将存储器中的多条ARP泛洪信息在液晶显示器上显示输出。
2.如权利要求1所述的网络泛洪攻击的检测、存储及显示***,其特征在于,ARP请求是以广播的方式发送给局域网中所有的计算机,ARP数据帧中的信息主要含有:源MAC地址、源IP地址、目的MAC地址、目的IP地址、帧类型、协议类型。
3.如权利要求1所述的网络泛洪攻击的检测、存储及显示***,其特征在于,所述ARP请求帧的特征是,目的MAC地址是广播地址“0xff,0xff,0xff,0xff,0xff,0xff”,当交换机接收到ARP请求帧时,自动将ARP请求帧转发给局域网中其他计算机。
4.如权利要求1所述的网络泛洪攻击的检测、存储及显示***,其特征在于,所述微处理器用表格记录ARP泛洪信息,液晶显示器按照序号递增方式,逐条显示ARP泛洪信息,所述表格包括序号、时间、源主机MAC地址、源IP地址、目的IP地址。
5.如权利要求1所述的网络泛洪攻击的检测、存储及显示***,其特征在于,所述检测***接入交换机的端口是局域网中的任一交换机端口,且该检测***与网络交换机一起安装在网络机柜中。
6.如权利要求1所述的网络泛洪攻击的检测、存储及显示***,其特征在于,所述的泛洪攻击的特征是指:微处理器将接收到的ARP请求帧,按照ARP请求帧的帧头部的源MAC地址将ARP请求帧进行分类,由同一个源MAC地址主机所发出的ARP请求帧的数量,如果在单位时间内超出预设门限值,则判定该主机在发出恶意ARP请求帧,导致局域网中出现ARP泛洪现象。
7.如权利要求1所述的网络泛洪攻击的检测、存储及显示***,其特征在于,所述检测***接入交换机的端口是局域网中的任一交换机端口,且该检测***临时接入待检测的局域网中。
8.一种网络泛洪攻击的检测、存储及显示方法,具有如下特征步骤:
S1:网络物理层接口芯片接收局域网中的广播帧;
S2:微处理器判断数据帧为ARP请求帧;
S3:记录ARP请求帧的源MAC地址及收到该帧的时间;
S4:判断多帧ARP请求帧的特征是否符合泛洪攻击的特征;
S5:微处理器将时间、源主机MAC地址存储在存储器中;
S6:液晶显示器循环显示存储器中的内容。
9.如权利要求8所述的网络泛洪攻击的检测、存储及显示方法,其特征在于,所述的泛洪攻击的特征是指:微处理器将接收到的ARP请求帧,按照ARP请求帧的帧头部的源MAC地址将ARP请求帧进行分类,由同一个源MAC地址主机所发出的ARP请求帧的数量,如果在单位时间内超出预设门限值,则判定该主机在发出恶意ARP请求帧,导致局域网中出现ARP泛洪现象。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610499254.1A CN106027551A (zh) | 2016-06-30 | 2016-06-30 | 网络泛洪攻击的检测、存储及显示***及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610499254.1A CN106027551A (zh) | 2016-06-30 | 2016-06-30 | 网络泛洪攻击的检测、存储及显示***及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106027551A true CN106027551A (zh) | 2016-10-12 |
Family
ID=57104509
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610499254.1A Pending CN106027551A (zh) | 2016-06-30 | 2016-06-30 | 网络泛洪攻击的检测、存储及显示***及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106027551A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107634971A (zh) * | 2017-10-26 | 2018-01-26 | 杭州迪普科技股份有限公司 | 一种检测洪水攻击的方法及装置 |
| CN109561111A (zh) * | 2019-01-24 | 2019-04-02 | 新华三技术有限公司 | 一种攻击源的确定方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101605061A (zh) * | 2008-06-10 | 2009-12-16 | 上海贝尔阿尔卡特股份有限公司 | 一种接入网络中防止拒绝服务攻击的方法及其装置 |
| CN103347031A (zh) * | 2013-07-26 | 2013-10-09 | 迈普通信技术股份有限公司 | 一种防范arp报文攻击的方法及设备 |
| CN103701818A (zh) * | 2013-12-30 | 2014-04-02 | 福建三元达通讯股份有限公司 | 无线控制器***arp攻击集中检测及防御方法 |
-
2016
- 2016-06-30 CN CN201610499254.1A patent/CN106027551A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101605061A (zh) * | 2008-06-10 | 2009-12-16 | 上海贝尔阿尔卡特股份有限公司 | 一种接入网络中防止拒绝服务攻击的方法及其装置 |
| CN103347031A (zh) * | 2013-07-26 | 2013-10-09 | 迈普通信技术股份有限公司 | 一种防范arp报文攻击的方法及设备 |
| CN103701818A (zh) * | 2013-12-30 | 2014-04-02 | 福建三元达通讯股份有限公司 | 无线控制器***arp攻击集中检测及防御方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107634971A (zh) * | 2017-10-26 | 2018-01-26 | 杭州迪普科技股份有限公司 | 一种检测洪水攻击的方法及装置 |
| CN109561111A (zh) * | 2019-01-24 | 2019-04-02 | 新华三技术有限公司 | 一种攻击源的确定方法及装置 |
| CN109561111B (zh) * | 2019-01-24 | 2021-07-23 | 新华三技术有限公司 | 一种攻击源的确定方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102301407B1 (ko) | Iot 보안 서비스 | |
| CN106713049B (zh) | 一种监控的告警方法及装置 | |
| US8224761B1 (en) | System and method for interactive correlation rule design in a network security system | |
| CN103095675B (zh) | Arp欺骗攻击检测***及方法 | |
| US8122494B2 (en) | Apparatus and method of securing network | |
| TWI453624B (zh) | 資訊安全防護主機 | |
| US11336617B2 (en) | Graphical representation of security threats in a network | |
| CN104717107B (zh) | 网络设备探测的方法、装置及*** | |
| CN101505247A (zh) | 一种共享接入主机数目的检测方法和装置 | |
| US6772349B1 (en) | Detection of an attack such as a pre-attack on a computer network | |
| CN105959290A (zh) | 攻击报文的检测方法及装置 | |
| KR102160950B1 (ko) | 보안취약점 점검 시 데이터 분산처리 시스템 및 그 방법 | |
| CN106549820A (zh) | 识别网络环路的方法、装置、流量清洗设备及*** | |
| CN101572609A (zh) | 检测拒绝服务攻击的方法及其装置 | |
| CN106027551A (zh) | 网络泛洪攻击的检测、存储及显示***及方法 | |
| CN105516073A (zh) | 网络入侵防御方法 | |
| CN103345439A (zh) | 一种信息***全链路健康状态监控方法及装置 | |
| CN103634166B (zh) | 一种设备存活检测方法及装置 | |
| CN102427460A (zh) | 针对arp欺骗的多级检测和防御方法 | |
| CN103139056B (zh) | 一种安全网关及一种网络数据的交互方法 | |
| CN101668002A (zh) | 具有数据包过滤的网络接口卡及其过滤方法 | |
| CN108989275A (zh) | 一种攻击防范方法和装置 | |
| JP7172104B2 (ja) | ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法 | |
| CN106534399A (zh) | Vsm***的检测方法和装置 | |
| US11818580B1 (en) | Detecting unauthorized access points in a network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161012 |