CN107689963A - 一种针对arp应答报文攻击的检测方法及装置 - Google Patents
一种针对arp应答报文攻击的检测方法及装置 Download PDFInfo
- Publication number
- CN107689963A CN107689963A CN201710880994.4A CN201710880994A CN107689963A CN 107689963 A CN107689963 A CN 107689963A CN 201710880994 A CN201710880994 A CN 201710880994A CN 107689963 A CN107689963 A CN 107689963A
- Authority
- CN
- China
- Prior art keywords
- arp
- address
- target
- message
- reply message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种针对ARP应答报文攻击的检测方法及装置。其中的方法包括向对端网络设备发送ARP请求报文;响应于接收到的对端网络设备发出的ARP应答报文,判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应;如果是,基于所述ARP应答报文生成ARP表项;如果否,则确定所述ARP应答报文为攻击报文。本申请可以针对ARP应答报文攻击进行有效的检测。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种针对ARP应答报文攻击的检测方法及装置。
背景技术
网络通信中,通常采用ARP(Address Resolution Protocol,地址解析协议)将IP地址解析为物理地址。源设备将包含目标IP地址的ARP请求报文广播到网络上的所有设备,并接收返回的包含有目标物理地址的应答报文,在源设备的ARP缓存表中生成记录目标IP地址和目标物理地址映射关系的ARP表项。同时,目标设备的ARP缓存表中也生成记录目标IP地址和目标物理地址映射关系的ARP表项。当源设备和目标设备再次通信时,就可以直接查询ARP缓存表来获取相应的物理地址,有效地节约网络资源。
由于ARP协议是建立在网络中各个设备相互信任的基础上的,因此,ARP协议可以被利用发起攻击,攻击方式主要分为通过ARP请求报文发起攻击和通过ARP应答报文发起攻击。
针对使用ARP请求报文发起的ARP攻击,网络设备会通过主动确认ARP请求报文真实性的方法来进行检测。例如,网络设备收到ARP请求报文1后,会主动发送新的ARP请求报文2,其中ARP请求报文2的目的IP地址是其接收的ARP请求报文1的源IP地址,并通过比较接收的ARP请求报文2的响应报文的源MAC地址、接收端口是否与其接收的ARP请求报文1的源MAC地址、接收端口一致,来判断其接收的ARP请求报文1是否为攻击报文。
然而,针对使用ARP应答报文发起的ARP攻击,由于攻击者的IP地址和MAC地址(即ARP应答报文的源IP地址和MAC地址)可能随机变化,因此在检测上存在一定困难。
发明内容
本申请提供一种针对ARP应答报文攻击的检测方法,应用于网络设备,包括:
向对端网络设备发送ARP请求报文;
响应于接收到的对端网络设备发出的ARP应答报文,判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应;
如果是,基于所述ARP应答报文生成ARP表项;
如果否,则确定所述ARP应答报文为攻击报文。
可选的,所述方法还包括:
当确定所述ARP应答报文为攻击报文,从该ARP应答报文中提取报文特征;
基于提取到的报文特征生成ACL防护规则;
将所述ACL防护规则下发到底层转发硬件。
可选的,所述ACL防护规则对应的处理动作为丢弃;所述ACL防护规则被配置了有效时长;其中,底层转发硬件在所述有效时长内再次接收到报文特征与所述ACL防护规则匹配的ARP应答报文时,基于所述ACL防护规则对该ARP应答报文进行丢弃处理。
可选的,所述响应于接收到的对端网络设备发出的ARP应答报文,判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应之前,还包括:
提取发送的ARP请求报文中的目标IP地址;
在预设的目标IP地址表中创建与提取到的目标IP地址对应的表项。
可选的,所述判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应,包括:
提取所述对端网络设备发出的ARP应答报文中的源IP地址;
在所述目标IP地址表中查找与提取到的源IP地址对应的表项;
如果在所述目标IP地址表中查找到了与所述源IP地址对应的表项时,判断所述ARP应答报文为对端网络设备针对所述ARP请求报文作出的响应。
可选的,所述目标IP地址表中的表项被配置了老化时长;
可选的,所述方法还包括:
在所述目标IP地址表中任一表项的老化时间内,若从ARP请求报文中提取的目标IP地址与该表项对应的目标IP地址一致,则重置该表项的老化时间;
在所述目标IP地址表中任一表项的老化时间内,若从ARP应答报文中提取的源IP地址与该表项对应的目标IP地址一致,则删除该表项;
若所述目标IP地址表中任一表项超出老化时间,从所述目标IP地址表中删除该表项。
本申请还提供一种针对ARP应答报文攻击的检测装置,应用于网络设备,包括:
发送模块,用于向对端网络设备发送ARP请求报文;
判断模块,用于响应于接收到的对端网络设备发出的ARP应答报文,判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应;
生成模块,如果所述判断模块得到的判断结果为是,则用于基于所述ARP应答报文生成ARP表项;
确定模块,如果所述判断模块得到的判断结果为否,则用于确定所述ARP应答报文为攻击报文。
可选的,所述装置还包括:
规则下发模块,
用于当确定所述ARP应答报文为攻击报文,从该ARP应答报文中提取报文特征;
基于提取到的报文特征生成ACL防护规则;
将所述ACL防护规则下发到底层转发硬件。
可选的,所述ACL防护规则对应的处理动作为丢弃;所述ACL防护规则被配置了有效时长;其中,底层转发硬件在所述有效时长内再次接收到报文特征与所述ACL防护规则匹配的ARP应答报文时,基于所述ACL防护规则对该ARP应答报文进行丢弃处理。
可选的,执行判断模块之前,还包括:
表项创建模块,
用于提取发送的ARP请求报文中的目标IP地址;
在预设的目标IP地址表中创建与提取到的目标IP地址对应的表项。
可选的,所述判断模块具体用于:
提取所述对端网络设备发出的ARP应答报文中的源IP地址;
在所述目标IP地址表中查找与提取到的源IP地址对应的表项;
如果在所述目标IP地址表中查找到了与所述源IP地址对应的表项时,判断所述ARP应答报文为对端网络设备针对所述ARP请求报文作出的响应。
可选的,所述目标IP地址表中的表项被配置了老化时长;
可选的,所述装置还包括:
表项处理模块,
用于在所述目标IP地址表中任一表项的老化时间内,若从ARP请求报文中提取的目标IP地址与该表项对应的目标IP地址一致,则重置该表项的老化时间;
在所述目标IP地址表中任一表项的老化时间内,若从ARP应答报文中提取的源IP地址与该表项对应的目标IP地址一致,则删除该表项;
若所述目标IP地址表中任一表项超出老化时间,用于从所述目标IP地址表中删除该表项。
本申请通过向对端网络发送ARP请求报文,并响应于接收到的对端网络设备发出的ARP应答报文,判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应,然后确定所述ARP应答报文是否为攻击报文。
本申请方案中,网络设备在基于接收到的ARP应答报文生成ARP表项之前,可以通过在预设的目标IP地址表中记录本端网络设备发送的ARP请求报文的源IP地址,比较接收到的ARP应答报文中的源IP地址是否与所述目标IP地址表中已记录的目标IP地址一致,来判断该ARP应答报文是否为对端网络设备针对本端网络设备发出的ARP请求报文作出的响应,从而确定所述ARP应答报文是否为攻击报文。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种针对ARP应答报文攻击的检测方法流程图;
图2是本申请实施例提供的一种判断ARP应答报文是否为针对ARP请求报文作出的响应的算法流程图;
图3是本申请实施例提供的一种下发ACL规则的流程图;
图4是本申请实施例提供的一种针对ARP应答报文攻击的检测装置的逻辑框图;
图5是本申请实施例提供的一种承载所述ARP应答报文攻击的检测装置的网络设备的硬件结构图。
具体实施方式
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
下面对现有的针对ARP应答报文攻击的检测方法进行说明。
现有技术中,为实现ARP应答报文攻击的检测,一种方法是采用动态ARP表项固化。网络设备通过对局域网内的邻居进行ARP固化扫描,也就是说,向邻居发送ARP请求报文,获取邻居的MAC地址,从而建立动态ARP表项,再将自动扫描生成的动态ARP表项转换为静态ARP表项;还可以通过者手动配置静态ARP表项,防止攻击者利用ARP应答报文篡改网络设备上正确的动态ARP表项。
但是该方法中,动态ARP表项固化方案无法及时适应网络环境的变化。当新的设备接入局域网时,网络设备需要重新开始ARP固化扫描或者配置静态ARP表项,才能使其与新接入设备进行正常通信。
现有技术中,另一种方法是采用ARP报文抑制。针对从相同源MAC地址或者源IP地址发出的ARP应答报文,网络设备限制对其的接收数量以及接收速度。也就是说,当网络设备在短时间内收到来自相同源MAC地址或者源IP地址的ARP报文数量超过已设定的阈值,就认定存在ARP应答报文发起的攻击。
但是该方法中,针对使用ARP应答报文发起的ARP攻击,由于攻击者的IP地址和MAC地址(即ARP应答报文的源IP地址和MAC地址)可能随机变化,因此在检测上存在一定困难。
鉴于以上考虑,本申请提出一种针对ARP应答报文攻击检测的方法,通过向对端网络设备发送ARP请求报文,并响应于接收到的对端网络设备发出的ARP应答报文,判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应,然后确定所述ARP应答报文是否为攻击报文。
本申请方案中,网络设备在基于接收到的ARP应答报文生成ARP表项之前,可以通过在预设的目标IP地址表中记录本端网络设备发送的ARP请求报文的源IP地址,比较接收到的ARP应答报文中的源IP地址是否与所述目标IP地址表中已记录的目标IP地址一致,来判断该ARP应答报文是否为对端网络设备针对本端网络设备发出的ARP请求报文作出的响应,从而确定所述ARP应答报文是否为攻击报文。
下面通过具体实施例并结合具体的应用场景对本申请进行描述。
请参考图1,图1是本申请一实施例提供的一种针对ARP应答报文攻击的检测方法,应用于网络设备,执行以下步骤:
S101,向对端网络设备发送ARP请求报文;
S102,响应于接收到的对端网络设备发出的ARP应答报文,判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文做出的响应;
S103,如果是,基于所述ARP应答报文生成ARP表项;
S104,如果否,则确定所述ARP应答报文为攻击报文。
上述网络设备可以包括任意形式具有转发功能的网络设备:例如,可以是路由器、交换机等。上述网络设备中,在本端网络设备预先设置有ARP表,所述ARP表保存网络内网络设备的IP地址和MAC地址的映射关系,当网络内的网络设备间再次通信时,通过查询ARP表来获取对方的IP地址和MAC地址,提高了传输效率。
上述网络设备中,在本端网络设备预先还可以设置有目标IP地址表,所述目标IP地址表用于存储本端发送的ARP请求报文中的目标IP地址。
上述底层转发硬件可以包括任意形式的具有底层通信功能的转发硬件:例如,可以是具有通信功能的转发芯片。
本例中,本端网络设备先向对端网络设备发送ARP请求报文,且本端网络设备从发送的ARP请求报文中提取目标IP地址,然后基于提取到的目标IP地址在上述目标IP地址表中生成新的一条表项。可以理解的是,提取到的一个目标IP地址对应与一条表项。
其中,所述发送的ARP请求报文可以理解为已发送的ARP请求报文,即本端网络设备在发送ARP请求报文之后,再从已发送的ARP请求报文中提取目标IP地址;所述发送的ARP请求报文也可以理解为待发送的ARP请求报文,即本端网络设备先从待发送的ARP请求报文中提取目标IP地址,在将该ARP请求报文向对端网络设备进行发送。可以理解的是,两种顺序的改变对本实施例并不构成影响。
本例中,向对端网络设备发送ARP请求报文后,对端网络设备向本端网络设备返回ARP应答报文。本端响应于接收到的对端网络设备返回的ARP应答报文,通过指定的算法判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应。
在示出的一种实施方式中,请参考图2,图2是本申请实施例提供的一种判断ARP应答报文是否为针对ARP请求报文作出的响应的算法流程图,包括:
S201,提取所述对端网络设备发出的ARP应答报文中的源IP地址。其中,所述源IP地址即为所述对端网络设备的IP地址。提取到所述源IP地址后,可以将其缓存在本端网络设备中;也可以将其缓存在外部缓存设备中,待需要时再从该外部缓存设备中进行读取并操作。
S202,在所述目标IP地址表中查找与提取到的源IP地址对应的表项。其中,本端网络设备从缓存或者外部缓存设备中读取所述提取到的源IP地址,也就是对端网络设备的IP地址,在本端网络设备的目标IP地址表中查找是否存在一表项,该表项包含的目标IP地址和对端网络设备的IP地址相同。
S203,如果在所述目标IP地址表中查找到了与所述源IP地址对应的表项时,判断所述ARP应答报文为对端网络设备针对所述ARP请求报文作出的响应。
例如,所述目标IP地址表中已存在一个目标IP地址为191.255.255.254的表项。如果提取所述对端网络设备发出的ARP应答报文中的源IP地址为191.255.255.254,在所述目标IP地址表中进行查找发现存在对应表项,便可判断所述ARP应答报文为对端网络设备针对所述ARP请求报文做出的响应,从而在本端的ARP表中生成对端网络设备的IP地址和MAC地址映射关系。
在示出的一种实施方式中,由于目标IP地址表可以存储的目标IP地址表项存在数量限制,因此所述目标IP地址表中的表项可以配置有老化时长,基于老化时长可以对所述目标IP地址表不断进行更新。
其中,对所述目标地址IP标进行的更新可以包括:在所述目标IP地址表中任一表项的老化时间内,若从ARP请求报文中提取的目标IP地址与该表项对应的目标IP地址一致,则重置所述该表项的老化时间;在所述目标IP地址表中任一表项的老化时间内,若从ARP应答报文中提取的源IP地址与该表项对应的目标IP地址一致,则删除该表项;若所述目标IP地址表中任一表项超出老化时间,从所述目标IP地址表中删除该表项。
在示出的一种实施方式中,如果判断所述ARP应答报文不是对端网络设备针对所述ARP请求报文作出的响应,则确定所述ARP应答报文为攻击报文。请参考图3,图3为本申请实施例提供的一种下发ACL规则的流程图,包括:
S301,当确定所述ARP应答报文为攻击报文,从该ARP应答报文中提取报文特征。其中,从该ARP应答报文中提取的报文特征可以是源IP地址、源MAC地址等用于指示该报文为攻击报文的特征,提取出的报文特征可以是其中的任一或者多个特征。
S302,基于提取到的报文特征生成ACL防护规则。其中,该步骤由本端网络设备的CPU完成,所述ACL防护规则对应的处理动作可以设置为丢弃,可以理解的是,也可以根据实际需要将对应动作设置为其他类型的处理动作。所述ACL防护规则还被配置了有效时长,在有效时长内所述ACL规则才是有效的。
S303,将所述ACL防护规则下发到底层转发硬件。其中,本端网络设备的CPU在生成ACL防护规则后将ACL防护规则下发到底层转发硬件,当底层转发硬件在所述有效时长内再次接收到报文特征与所述ACL防护规则匹配的ARP应答报文时,基于所述ACL防护规则对该ARP应答报文进行丢弃处理。
例如,所述ARP应答报文的源IP地址为191.255.255.250,如果在本端的目标IP地址表中未查找到对应的表项,则确定该ARP应答报文为攻击报文;可以从该ARP应答报文中提取源IP地址191.255.255.250作为报文特征;CPU生成一条配置有有效时长的ACL防护规则中:如果在有效时长内,接收到源IP地址为191.255.255.250的ARP应答报文,则直接丢弃;CPU再将该ACL防护规则下发到底层转发硬件,如果在有效时长内,所述底层转发硬件接收到源IP地址为191.255.255.250的ARP应答报文,则直接丢弃该ARP应答报文,即不再进行在本端地目标IP地址表中查找与所述源IP地址对应表项的动作。
本申请通过向对端网络发送ARP请求报文,并响应于接收到的对端网络设备发出的ARP应答报文,判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应,然后确定所述ARP应答报文是否为攻击报文。
本申请方案中,网络设备在基于接收到的ARP应答报文生成ARP表项之前,可以通过在预设的目标IP地址表中记录本端网络设备发送的ARP请求报文的源IP地址,比较接收到的ARP应答报文中的源IP地址是否与所述目标IP地址表中已记录的目标IP地址一致,来判断该ARP应答报文是否为对端网络设备针对本端网络设备发出的ARP请求报文作出的响应,从而确定所述ARP应答报文是否为攻击报文。
与上述方法的实施例相对应,本申请还提供了装置的实施例。
请参考图4,图4是本申请实施例提供的一种针对ARP应答报文攻击的检测装置40的逻辑框图,应用于网络设备;其中,请参考图5,作为承载所述针对ARP应答报文攻击的检测装置40的网络设备所涉及的硬件架构中,通常包括CPU、内存、非易失性存储器、网络接口、底层转发硬件以及内部总线等;以软件实现为例,所述针对ARP应答报文攻击的检测装置40通常可以理解为加载在内存中的计算机程序,通过CPU运行之后形成的软硬件相结合的逻辑装置,所述针对ARP应答报文攻击的检测装置40包括:
发送模块401,用于向对端网络设备发送ARP请求报文;
判断模块402,用于响应于接收到的对端网络设备发出的ARP应答报文,判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应;
生成模块403,如果所述判断模块得到的判断结果为是,则用于基于所述ARP应答报文生成ARP表项;
确定模块404,如果所述判断模块得到的判断结果为否,则用于确定所述ARP应答报文为攻击报文。
在本例中,所述装置还包括:
规则下发模块405,
用于当确定所述ARP应答报文为攻击报文,从该ARP应答报文中提取报文特征;
基于提取到的报文特征生成ACL防护规则;
将所述ACL防护规则下发到底层转发硬件。
在本例中,所述ACL防护规则对应的处理动作为丢弃;所述ACL防护规则被配置了有效时长;其中,底层转发硬件在所述有效时长内再次接收到报文特征与所述ACL防护规则匹配的ARP应答报文时,基于所述ACL防护规则对该ARP应答报文进行丢弃处理。
在本例中,执行判断模块之前,还包括:
表项创建模块406,
用于提取发送的ARP请求报文中的目标IP地址;
在预设的目标IP地址表中创建与提取到的目标IP地址对应的表项。
在本例中,所述判断模块具体用于:
提取所述对端网络设备发出的ARP应答报文中的源IP地址;
在所述目标IP地址表中查找与提取到的源IP地址对应的表项;
如果在所述目标IP地址表中查找到了与所述源IP地址对应的表项时,判断所述ARP应答报文为对端网络设备针对所述ARP请求报文作出的响应。
在本例中,所述目标IP地址表中的表项被配置了老化时长;
在本例中,所述装置还包括:
表项处理模块407,
用于在所述目标IP地址表中任一表项的老化时间内,若从ARP请求报文中提取的目标IP地址与该表项对应的目标IP地址一致,则重置该表项的老化时间;
在所述目标IP地址表中任一表项的老化时间内,若从ARP应答报文中提取的源IP地址与该表项对应的目标IP地址一致,则删除该表项;
若所述目标IP地址表中任一表项超出老化时间,用于从所述目标IP地址表中删除该表项。
本实施例中,通过向对端网络发送ARP请求报文,并响应于接收到的对端网络设备发出的ARP应答报文,判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应,然后确定所述ARP应答报文是否为攻击报文。
本申请方案中,网络设备在基于接收到的ARP应答报文生成ARP表项之前,可以通过在预设的目标IP地址表中记录本端网络设备发送的ARP请求报文的源IP地址,比较接收到的ARP应答报文中的源IP地址是否与所述目标IP地址表中已记录的目标IP地址一致,来判断该ARP应答报文是否为对端网络设备针对本端网络设备发出的ARP请求报文作出的响应,从而确定所述ARP应答报文是否为攻击报文。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要确定不会选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (12)
1.一种针对ARP应答报文攻击的检测方法,其特征在于,包括:
向对端网络设备发送ARP请求报文;
响应于接收到的对端网络设备发出的ARP应答报文,判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应;
如果是,基于所述ARP应答报文生成ARP表项;
如果否,则确定所述ARP应答报文为攻击报文。
2.根据权利要求1所述的方法,其特征在于,还包括:
当确定所述ARP应答报文为攻击报文,从该ARP应答报文中提取报文特征;
基于提取到的报文特征生成ACL防护规则;
将所述ACL防护规则下发到底层转发硬件。
3.根据权利要求2所述的方法,其特征在于,所述ACL防护规则对应的处理动作为丢弃;所述ACL防护规则被配置了有效时长;其中,底层转发硬件在所述有效时长内再次接收到报文特征与所述ACL防护规则匹配的ARP应答报文时,基于所述ACL防护规则对该ARP应答报文进行丢弃处理。
4.根据权利要求1所述的方法,其特征在于,所述响应于接收到的对端网络设备发出的ARP应答报文,判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应之前,还包括:
提取发送的ARP请求报文中的目标IP地址;
在预设的目标IP地址表中创建与提取到的目标IP地址对应的表项。
5.根据权利要求4所述的方法,其特征在于,所述判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应,包括:
提取所述对端网络设备发出的ARP应答报文中的源IP地址;
在所述目标IP地址表中查找与提取到的源IP地址对应的表项;
如果在所述目标IP地址表中查找到了与所述源IP地址对应的表项时,判断所述ARP应答报文为对端网络设备针对所述ARP请求报文作出的响应。
6.根据权利要求4所述的方法,其特征在于,其中,所述目标IP地址表中的表项被配置了老化时长;
所述方法还包括:
在所述目标IP地址表中任一表项的老化时间内,若从ARP请求报文中提取的目标IP地址与该表项对应的目标IP地址一致,则重置该表项的老化时间;
在所述目标IP地址表中任一表项的老化时间内,若从ARP应答报文中提取的源IP地址与该表项对应的目标IP地址一致,则删除该表项;
若所述目标IP地址表中任一表项超出老化时间,从所述目标IP地址表中删除该表项。
7.一种针对ARP应答报文攻击的检测装置,其特征在于,包括:
发送模块,用于向对端网络设备发送ARP请求报文;
判断模块,用于响应于接收到的对端网络设备发出的ARP应答报文,判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应;
生成模块,如果所述判断模块得到的判断结果为是,则用于基于所述ARP应答报文生成ARP表项;
确定模块,如果所述判断模块得到的判断结果为否,则用于确定所述ARP应答报文为攻击报文。
8.根据权利要求7所述的装置,其特征在于,还包括:
规则下发模块,
用于当确定所述ARP应答报文为攻击报文,从该ARP应答报文中提取报文特征;
基于提取到的报文特征生成ACL防护规则;
将所述ACL防护规则下发到底层转发硬件。
9.根据权利要求8所述的装置,其特征在于,所述ACL防护规则对应的处理动作为丢弃;所述ACL防护规则被配置了有效时长;其中,底层转发硬件在所述有效时长内再次接收到报文特征与所述ACL防护规则匹配的ARP应答报文时,基于所述ACL防护规则对该ARP应答报文进行丢弃处理。
10.根据权利要求7所述的装置,其特征在于,执行判断模块之前,还包括:
表项创建模块,
用于提取发送的ARP请求报文中的目标IP地址;
在预设的目标IP地址表中创建与提取到的目标IP地址对应的表项。
11.根据权利要求10所述的装置,其特征在于,所述判断模块,具体用于:
提取所述对端网络设备发出的ARP应答报文中的源IP地址;
在所述目标IP地址表中查找与提取到的源IP地址对应的表项;
如果在所述目标IP地址表中查找到了与所述源IP地址对应的表项时,判断所述ARP应答报文为对端网络设备针对所述ARP请求报文作出的响应。
12.根据权利要求10所述的装置,其特征在于,其中,所述目标IP地址表中的表项被配置了老化时长;
所述装置还包括:
表项处理模块,
用于在所述目标IP地址表中任一表项的老化时间内,若从ARP请求报文中提取的目标IP地址与该表项对应的目标IP地址一致,则重置该表项的老化时间;
在所述目标IP地址表中任一表项的老化时间内,若从ARP应答报文中提取的源IP地址与该表项对应的目标IP地址一致,则删除该表项;
若所述目标IP地址表中任一表项超出老化时间,用于从所述目标IP地址表中删除该表项。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710880994.4A CN107689963A (zh) | 2017-09-26 | 2017-09-26 | 一种针对arp应答报文攻击的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710880994.4A CN107689963A (zh) | 2017-09-26 | 2017-09-26 | 一种针对arp应答报文攻击的检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107689963A true CN107689963A (zh) | 2018-02-13 |
Family
ID=61156528
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710880994.4A Pending CN107689963A (zh) | 2017-09-26 | 2017-09-26 | 一种针对arp应答报文攻击的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107689963A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111835735A (zh) * | 2020-06-29 | 2020-10-27 | 新华三信息安全技术有限公司 | 一种防攻击方法、装置、设备及机器可读存储介质 |
| CN113660666A (zh) * | 2021-06-21 | 2021-11-16 | 上海电力大学 | 一种中间人攻击的双向请求应答检测方法 |
| CN113872953A (zh) * | 2021-09-18 | 2021-12-31 | 杭州迪普信息技术有限公司 | 一种访问报文处理方法及装置 |
| CN115242895A (zh) * | 2022-07-19 | 2022-10-25 | 杭州迪普科技股份有限公司 | 基于dpdk的访问本机方法和装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104853001A (zh) * | 2015-04-21 | 2015-08-19 | 杭州华三通信技术有限公司 | 一种arp报文的处理方法和设备 |
| CN105939332A (zh) * | 2016-03-03 | 2016-09-14 | 杭州迪普科技有限公司 | 防御arp攻击报文的方法及装置 |
| CN106060085A (zh) * | 2016-07-15 | 2016-10-26 | 杭州华三通信技术有限公司 | 防止arp报文攻击方法以及装置 |
| CN106131083A (zh) * | 2016-08-30 | 2016-11-16 | 迈普通信技术股份有限公司 | 一种攻击报文检测和防范的方法及交换机 |
| CN106506531A (zh) * | 2016-12-06 | 2017-03-15 | 杭州迪普科技股份有限公司 | Arp攻击报文的防御方法及装置 |
| CN106911724A (zh) * | 2017-04-27 | 2017-06-30 | 杭州迪普科技股份有限公司 | 一种报文处理方法及装置 |
| CN106982234A (zh) * | 2017-05-26 | 2017-07-25 | 杭州迪普科技股份有限公司 | 一种arp攻击防御方法及装置 |
-
2017
- 2017-09-26 CN CN201710880994.4A patent/CN107689963A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104853001A (zh) * | 2015-04-21 | 2015-08-19 | 杭州华三通信技术有限公司 | 一种arp报文的处理方法和设备 |
| CN105939332A (zh) * | 2016-03-03 | 2016-09-14 | 杭州迪普科技有限公司 | 防御arp攻击报文的方法及装置 |
| CN106060085A (zh) * | 2016-07-15 | 2016-10-26 | 杭州华三通信技术有限公司 | 防止arp报文攻击方法以及装置 |
| CN106131083A (zh) * | 2016-08-30 | 2016-11-16 | 迈普通信技术股份有限公司 | 一种攻击报文检测和防范的方法及交换机 |
| CN106506531A (zh) * | 2016-12-06 | 2017-03-15 | 杭州迪普科技股份有限公司 | Arp攻击报文的防御方法及装置 |
| CN106911724A (zh) * | 2017-04-27 | 2017-06-30 | 杭州迪普科技股份有限公司 | 一种报文处理方法及装置 |
| CN106982234A (zh) * | 2017-05-26 | 2017-07-25 | 杭州迪普科技股份有限公司 | 一种arp攻击防御方法及装置 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111835735A (zh) * | 2020-06-29 | 2020-10-27 | 新华三信息安全技术有限公司 | 一种防攻击方法、装置、设备及机器可读存储介质 |
| CN111835735B (zh) * | 2020-06-29 | 2023-12-29 | 新华三信息安全技术有限公司 | 一种防攻击方法、装置、设备及机器可读存储介质 |
| CN113660666A (zh) * | 2021-06-21 | 2021-11-16 | 上海电力大学 | 一种中间人攻击的双向请求应答检测方法 |
| CN113660666B (zh) * | 2021-06-21 | 2023-12-22 | 上海电力大学 | 一种中间人攻击的双向请求应答检测方法 |
| CN113872953A (zh) * | 2021-09-18 | 2021-12-31 | 杭州迪普信息技术有限公司 | 一种访问报文处理方法及装置 |
| CN113872953B (zh) * | 2021-09-18 | 2024-03-26 | 杭州迪普信息技术有限公司 | 一种访问报文处理方法及装置 |
| CN115242895A (zh) * | 2022-07-19 | 2022-10-25 | 杭州迪普科技股份有限公司 | 基于dpdk的访问本机方法和装置 |
| CN115242895B (zh) * | 2022-07-19 | 2023-04-18 | 杭州迪普科技股份有限公司 | 基于dpdk的访问本机方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107689963A (zh) | 一种针对arp应答报文攻击的检测方法及装置 | |
| CN106657044B (zh) | 一种用于提高网站***安全防御的网页地址跳变方法 | |
| CN112995151B (zh) | 访问行为处理方法和装置、存储介质及电子设备 | |
| US10218717B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| CN105939332B (zh) | 防御arp攻击报文的方法及装置 | |
| US10218733B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| CN110768999B (zh) | 一种设备非法外联的检测方法及装置 | |
| GB2512954A (en) | Detecting and marking client devices | |
| CN105429953B (zh) | 一种用于访问网站的方法、装置和*** | |
| CN110313147B (zh) | 数据处理方法、装置和*** | |
| CN107241301A (zh) | 防御反射攻击的方法、装置和*** | |
| WO2014185394A1 (ja) | 中継装置および中継装置の制御方法 | |
| CN104780139B (zh) | 一种基于mac地址攻击的防御方法和*** | |
| CN105430711B (zh) | 信息的传输方法、装置和设备 | |
| CN108234522A (zh) | 防止地址解析协议arp攻击方法、装置、计算机设备和存储介质 | |
| CN101997768A (zh) | 一种上送地址解析协议报文的方法和装置 | |
| CN102045327B (zh) | 防范cc攻击的方法和设备 | |
| JP2013009185A (ja) | 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム | |
| CN106789486B (zh) | 共享接入的检测方法、装置、电子设备及计算机可读存储介质 | |
| JP6050162B2 (ja) | 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム | |
| US20170279854A1 (en) | Identifying data usage via active data | |
| CN104239798B (zh) | 移动办公***及其杀毒方法和***中的移动端、服务器端 | |
| Nawrocki et al. | Transparent forwarders: an unnoticed component of the open DNS infrastructure | |
| US8112803B1 (en) | IPv6 malicious code blocking system and method | |
| CN111865876B (zh) | 网络的访问控制方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180213 |