CN109561111A - 一种攻击源的确定方法及装置 - Google Patents
一种攻击源的确定方法及装置 Download PDFInfo
- Publication number
- CN109561111A CN109561111A CN201910069170.8A CN201910069170A CN109561111A CN 109561111 A CN109561111 A CN 109561111A CN 201910069170 A CN201910069170 A CN 201910069170A CN 109561111 A CN109561111 A CN 109561111A
- Authority
- CN
- China
- Prior art keywords
- message
- request message
- arp request
- counter
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种攻击源的确定方法及装置,该方法可包括:统计报文摘要相同的地址解析协议ARP请求报文的数量;若确定在第一预设时长内接收到的报文摘要相同的目标ARP请求报文的数量大于或等于第一预设阈值,则针对所述目标ARP请求报文生成对应的目标ARP应答报文,并向发送所述目标ARP请求报文的第一发送端返回所述目标ARP应答报文;所述目标ARP应答报文的源MAC地址是预设MAC地址;在向所述第一发送端返回所述目标ARP应答报文后,若确定在第二预设时长内接收到所述目标ARP请求报文的数量大于或等于第二预设阈值,则将所述第一发送端确定为攻击源。使用本申请提供的方法,可以更加准确地确定出攻击源。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及一种攻击源的确定方法及装置。
背景技术
ARP(Address Resolution Protocol,地址解析协议)是以太网等数据链路层的基础协议,负责完成IP(Internet Protocol,互联网协议)地址到MAC(Media AccessControl,介质访问控制)地址的映射。ARP的工作机制如下:
当第一网络设备要解析一个IP地址对应的MAC地址时,会广播发送ARP请求报文。第二网络设备在接收到ARP请求报文后,若该ARP请求报文的目的IP地址与本设备的IP地址相同,则会向该发送端返回携带有本设备的IP地址和MAC地址的ARP应答报文,同时,根据ARP请求报文中第一网络设备的IP地址和MAC地址的对应关系建立ARP表项。第一网络设备在接收到ARP应答报文后,同样会将ARP应答报文中该第二网络设备的IP地址和MAC地址的映射关系记录下来,生成ARP表项。
然而,由于ARP技术实现简单、应用广泛,攻击者经常利用ARP技术对网络进行攻击,且ARP攻击的类型多种多样,因此,在防御ARP攻击时,如何准确、有效地确定出攻击源,成为业界持续探讨的问题。
发明内容
有鉴于此,本申请提供一种攻击源的确定方法及装置,用以实现攻击源的确定。
具体地,本申请是通过如下技术方案实现的:
根据本申请的第一方面,提供一种攻击源的确定方法,所述方法应用于转发设备,包括:
统计报文摘要相同的地址解析协议ARP请求报文的数量;
若确定在第一预设时长内接收到的报文摘要相同的目标ARP请求报文的数量大于或等于第一预设阈值,则针对所述目标ARP请求报文生成对应的目标ARP应答报文,并向发送所述目标ARP请求报文的第一发送端返回所述目标ARP应答报文;所述目标ARP应答报文的源MAC地址是预设MAC地址;
在向所述第一发送端返回所述目标ARP应答报文后,若确定在第二预设时长内接收到所述目标ARP请求报文的数量大于或等于第二预设阈值,则将所述第一发送端确定为攻击源。
可选的,所述方法还包括:
在向所述第一发送端返回目标ARP应答报文后,若确定在第二预设时长内接收到的所述目标ARP请求报文的数量小于第二预设阈值,则确定所述第一发送端不是攻击源。
可选的,所述统计报文摘要相同的ARP请求报文的数量的步骤包括:
在接收到一个ARP请求报文后,提取所述一个ARP请求报文的报文摘要;
确定本地是否维护有所述一个ARP请求报文的报文摘要对应的计数器;
若是,则将该计数器的取值加1;
若否,则创建与所述一个ARP请求报文的报文摘要对应的计数器,将该计数器的初始值加1,并维护所述一个ARP请求报文的报文摘要和该计数器的对应关系。
可选的,所述确定在第一预设时长内接收到的报文摘要相同的目标ARP请求报文的数量大于或等于第一预设阈值的步骤包括:
在维护的报文摘要和计数器的对应关系中,查找所述目标ARP请求报文的报文摘要对应的第一计数器;
若所述第一计数器的取值大于或等于第一预设阈值,则确定在第一预设时长内接收到的报文摘要相同的目标ARP请求报文的数量大于或等于第一预设阈值;所述对应关系中的计数器会被周期性复位;
所述在向发送所述目标ARP请求报文的第一发送端返回所述目标ARP应答报文之后,所述方法还包括:
将所述第一计数器复位。
可选的,所述方法还包括:
在将所述第一发送端确定为攻击源后的第三预设时长内,阻塞接收该目标ARP请求报文的端口。
根据本申请的第二方面,提供一种攻击源的确定装置,所述装置应用于转发设备,包括:
统计单元,用于统计报文摘要相同的地址解析协议ARP请求报文的数量;
返回单元,用于若确定在第一预设时长内接收到的报文摘要相同的目标ARP请求报文的数量大于或等于第一预设阈值,则针对所述目标ARP请求报文生成对应的目标ARP应答报文,并向发送所述目标ARP请求报文的第一发送端返回所述目标ARP应答报文;所述目标ARP应答报文的源MAC地址是预设MAC地址;
确定单元,用于在向所述第一发送端返回所述目标ARP应答报文后,若确定在第二预设时长内接收到所述目标ARP请求报文的数量大于或等于第二预设阈值,则将所述第一发送端确定为攻击源。
可选的,所述确定单元,还用于在向所述第一发送端返回目标ARP应答报文后,若确定在第二预设时长内接收到的所述目标ARP请求报文的数量小于第二预设阈值,则确定所述第一发送端不是攻击源。
可选的,所述统计单元,具体用于在接收到一个ARP请求报文后,提取所述一个ARP请求报文的报文摘要;确定本地是否维护有所述一个ARP请求报文的报文摘要对应的计数器;若是,则将该计数器的取值加1;若否,则创建与所述一个ARP请求报文的报文摘要对应的计数器,将该计数器的初始值加1,并维护所述一个ARP请求报文的报文摘要和该计数器的对应关系。
可选的,所述返回单元,在确定在第一预设时长内接收到的报文摘要相同的目标ARP请求报文的数量大于或等于第一预设阈值时,具体用于在维护的报文摘要和计数器的对应关系中,查找所述目标ARP请求报文的报文摘要对应的第一计数器;若所述第一计数器的取值大于或等于第一预设阈值,则确定在第一预设时长内接收到的报文摘要相同的目标ARP请求报文的数量大于或等于第一预设阈值;所述对应关系中的计数器会被周期性复位;
所述返回单元,还用于在向发送所述目标ARP请求报文的第一发送端返回所述目标ARP应答报文之后,将所述第一计数器复位。
可选的,所述装置还包括:
阻塞单元,用于在将所述第一发送端确定为攻击源后的第三预设时长内,阻塞接收该目标ARP请求报文的端口。
由上述描述可知,本申请采用了在检测到第一预设时长内接收到的目标ARP请求报文的数量大于或等于第一预设阈值时,转发设备向第一发送端返回源MAC地址是预设MAC地址的目标ARP应答报文以及检测在发送目标ARP应答报文后在第二预设时长内接收到的目标ARP请求报文的数量是否大于或等于第二预设阈值来区分攻击源和被攻击者。
具体地,在本设备发送目标ARP应答报文后,若确定在第二预设时长内接收到的目标ARP请求报文的数量大于或等于第二预设阈值,则确定该第一发送端为攻击者。若确定在第二预设时长内接收到的目标ARP请求报文的数量小于第二预设阈值,则可确定该第一发送端不是攻击源,而是被攻击者,从而可以防止将被攻击者确定为攻击源的误判问题的产生,因此采用本申请提供的方法确定出的攻击源更为准确。
附图说明
图1a是本申请实施例示出的一种ARP泛洪攻击的场景示意图;
图1b是本申请实施例示出的另一种ARP泛洪攻击的场景示意图;
图2是本申请实施例示出的一种攻击源确定方法的流程图;
图3是本申请实施例示出的一种攻击源确定装置的框图;
图4是本申请实施例示出的一种转发设备的硬件结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
ARP攻击具有多种类型,比如仿冒网关攻击、仿冒用户攻击,ARP泛洪攻击等。在ARP泛洪攻击中,通常存在两种情况。
第一种,ARP请求报文的发送端是攻击源。
具体地,ARP请求报文的发送端广播大量的ARP请求报文至其他网络设备。当其他网络设备接收到大量攻击源发送的ARP请求报文后,其他网络设备会不断地学习该攻击源发送的ARP请求报文,这就使得该其他网络设备上的ARP表资源以及CPU资源被严重占用,严重干扰其他网络设备对于正常ARP表项的学习。
例如,如图1a所示,图1a是本申请实施例示出的一种ARP泛洪攻击的场景示意图。
假设网络设备101是攻击源,网络设备101不断发送ARP请求报文给交换机。交换机不断将ARP请求报文广播给网络设备102和网络设备103。网络设备102和网络设备103不断学习该攻击源发送的ARP请求报文,这就使得网络设备102和网络设备103上的CPU资源和ARP表资源被严重占用,严重干扰网络设备102和网络设备103学习正常的ARP表项。
第二种,ARP请求报文的发送端是被攻击者。
具体地,攻击源向被攻击者发送大量目的IP地址不能解析的IP报文,被攻击者在接收到大量目的IP地址不能解析的IP报文后,为了解析IP报文的目的IP地址(即获取该目的IP地址对应的MAC地址),被攻击者会大量广播针对每一个IP报文的ARP请求报文,从而致使网络中的其他网络设备的ARP表资源和CPU资源被攻击者发送的大量的ARP请求报文所占用,严重影响正常ARP表项的学习。
例如,如图1b所示,图1b是本申请实施例示出的另一种ARP泛洪攻击的场景示意图。
假设网络设备111是攻击源,网络设备112是被攻击者,IP地址为1.0.0.1,网络设备113的IP地址为1.0.0.2,网络设备114的IP地址为1.0.0.3。
所述目的IP地址不能解析是指:该网络设备112对应的广播域中不存在的具有该不能解析的目的IP地址的设备,或者该网络设备112对应的广播域中具有该目的IP地址的设备还未上线。比如,在本例中,该不能解析目的IP地址可以为1.0.0.4。
网络设备111首次向网络设备112发送目的IP地址为1.0.0.4的IP报文,网络设备112在本地的ARP表中没有查找到1.0.0.4对应的MAC地址,则发送目的IP地址为1.0.0.4的ARP请求报文给交换机,交换机在接收到该ARP请求报文后,可以广播给网络设备113和网络设备114。
由于网络设备112的广播域中不存在IP地址为1.0.0.4的设备,则没有网络设备向网络设备112返回该目的IP地址对应的MAC地址,致使网络设备112无法学习到1.0.0.4对应的MAC地址,致使网络设备112的ARP表中一直不存在1.0.0.4对应的MAC地址。
接着,网络设备111一直向网络设备112发送目的IP地址为1.0.0.4的IP报文,由于网络设备112的ARP表中一直不存在1.0.0.4对应的MAC地址,所以网络设备112一直向其他网络设备广播ARP请求报文,致使网络设备113和网络设备114接收到大量的网络设备112发送的ARP请求报文。
现有的确定攻击源的方式是:交换机统计预设时长内接收到的源MAC地址相同的ARP请求报文的总数量,若该总数量大于预设阈值,则确定该源MAC地址对应的设备为攻击源。
然而,由上述两种ARP泛洪攻击方式可以看出,当某一网络设备为攻击源或者被攻击者时,均会广播大量的ARP请求报文,所以现有的确定攻击源的方式会误将被攻击者确定为攻击源,造成攻击源的误判。
有鉴于此,本申请提供一种攻击源确定方法,可以防止误将被攻击者确定为攻击源这种误判问题的产生。
下面对本申请提供的攻击源确定方法进行详细地描述。
参见图2,图2是本申请实施例示出的一种攻击源确定方法的流程图,该攻击源确定方法可应用在转发设备(比如交换机等)上,可包括如下所示步骤。
步骤201:统计报文摘要相同的地址解析协议ARP请求报文的数量。
其中,上述报文摘要是指ARP请求报文的报文特征信息,该报文摘要可包括:ARP请求报文的源IP地址,目的IP地址和源MAC地址,当然该报文摘要也可以包括ARP请求报文中的其他信息,这里只是对报文摘要进行示例性地说明,不进行具体地限定。
在一种实施方式中,当转发设备接收到一个ARP请求报文后,转发设备可提取该一个ARP请求报文的报文摘要。然后,转发设备可确定本地是否维护有该一个ARP请求报文的报文摘要对应的计数器。
若本地维护有该一个ARP请求报文的报文摘要对应的计数器,则将该计数器的取值加1。若本地没有维护该一个ARP请求报文的报文摘要对应的计数器,则创建该一个ARP请求报文的报文摘要对应的计数器,并将该创建的计数器的初始值加1,并维护该一个ARP请求报文的报文摘要与该计数器的对应关系。
此外,转发设备还可以周期性地将上述各个对应关系中计数器复位,换句话来说,上述各个对应关系中的计数器在对应的当前周期结束时被复位,在下一个周期开始时重新进行统计。
此外,针对上述每一个对应关系设置有老化机制,在该对应关系的老化时长达到时,删除该对应关系。
步骤202:若确定在第一预设时长内接收到的报文摘要相同的目标ARP请求报文的数量大于或等于第一预设阈值,则针对所述目标ARP请求报文生成对应的目标ARP应答报文,并向发送所述目标ARP请求报文的第一发送端返回所述目标ARP应答报文;所述目标ARP应答报文的源MAC地址是预设MAC地址。
本申请实施例中,转发设备可在上述已记录的ARP请求报文的报文摘要、计数器的对应关系中,查找该目标ARP请求报文的报文摘要对应的第一计数器。若该第一计数器的取值大于或等于第一预设阈值,则转发设备可确定在第一预设时长内接收到的报文摘要相同的目标ARP请求报文的数量大于或等于第一预设阈值。
在一种实施方式中,转发设备确定在第一预设时长内接收到的报文摘要相同的目标ARP请求报文的数量大于或等于第一预设阈值的方式为:转发设备在每接收到一个ARP请求报文,提取该一个ARP请求报文的报文摘要,然后更新本地维护的该报文摘要对应的计数器的取值(即取值加1),接着判断该计数器的取值是否大于或等于第一预设阈值,以判断在第一预设时长内接收到的该一个ARP请求报文的数量是否大于或等于第一预设阈值。
在另一种实施方式中,转发设备确定在第一预设时长内接收到的报文摘要相同的目标ARP请求报文的数量大于或等于第一预设阈值的方式为:转发设备在每接收到一个ARP请求报文,提取该一个ARP请求报文的报文摘要,然后更新本地维护的该报文摘要对应的计数器的取值(即取值加1)。在计数器当前统计周期结束且各计数器复位之前,判断各计数器的取值是否大于或等于第一预设阈值,以判断在第一预设时长内接收到的各计数器对应的ARP请求报文的数量是否大于或等于第一预设阈值。
本申请实施例中,当转发设备确定在第一预设时长内接收到的报文摘要相同的目标ARP请求报文的数量大于或等于第一预设阈值时,转发设备可针对该目标ARP请求报文生成对应的目标ARP应答报文。其中,生成的目标ARP应答报文的源MAC地址是预设MAC地址;目标ARP应答报文的目的MAC地址是该目标ARP请求报文的源MAC地址;目标ARP应答报文的目的IP地址是该目标ARP请求报文的源IP地址;目标ARP应答报文的源IP地址是该目标ARP请求报文的目的IP地址。
转发设备可将生成的目标ARP应答报文发送给发送该目标ARP请求报文的第一发送端。
此外,转发设备在向该第一发送端返回目标ARP应答报文后,转发设备可将第一计数器复位。
步骤203:在向所述第一发送端返回所述目标ARP应答报文后,若确定在第二预设时长内接收到所述目标ARP请求报文的数量大于或等于第二预设阈值,则将所述第一发送端确定为攻击源。
步骤204:在向所述第一发送端返回目标ARP应答报文后,若确定在第二预设时长内接收到的所述目标ARP请求报文的数量小于第二预设阈值,则确定所述第一发送端不是攻击源。
本申请实施例中,转发设备在向该第一发送端返回该目标ARP应答报文后,可检测第一计数器的取值是否大于等于第二预设值,若该第一计数器的取值大于等于第二预设值,则确定本设备在第二预设时长内接收到所述目标ARP请求报文的数量大于或等于第二预设阈值,并将该第一发送端标记为攻击源。
转发设备在向所述第一发送端返回目标ARP应答报文后,若该第一计数器的取值大于等于第二预设值,则确定在第二预设时长内接收到的所述目标ARP请求报文的数量小于第二预设阈值,并确定所述第一发送端不是攻击源。
需要说明的是,上述第一预设时长和第二预设时长可以相同,也可以不同,上述第一预设阈值和上述第二预设阈值可以相同也可以不同。
还需要说明的是:由上文针对ARP泛洪攻击的描述可知,当ARP请求报文的发送端为攻击源时,发送端接收到针对该ARP请求报文的ARP应答报文后,由于发送端是攻击者,发送端仍会发送大量的ARP请求报文。
当ARP请求报文的发送端为被攻击者时,当发送端接收到针对该ARP请求报文的ARP应答报文后,发送端基于该ARP应答报文学习到了该ARP请求报文的目的IP地址对应的MAC地址,发送端再接收到攻击者发送的该目的IP地址的IP报文后,可以直接基于本地学习到的该目的IP地址对应的MAC地址转发该IP报文,而不再大量发送用于请求该目的IP地址的ARP请求报文。
所以本申请采用了在检测到第一预设时长内接收到的目标ARP请求报文的数量大于或等于第一预设阈值时,转发设备向第一发送端返回源MAC地址是预设MAC地址的目标ARP应答报文以及检测在发送目标ARP应答报文后在第二预设时长内接收到的目标ARP请求报文的数量是否大于或等于第二预设阈值来区分攻击源和被攻击者。
具体地,在本设备发送目标ARP应答报文后,若确定在第二预设时长内接收到的目标ARP请求报文的数量大于或等于第二预设阈值,则确定该第一发送端为攻击者。若确定在第二预设时长内接收到的目标ARP请求报文的数量小于第二预设阈值,则可确定该第一发送端不是攻击源,而是被攻击者,从而可以防止将被攻击者确定为攻击源的误判问题的产生。
此外,在本申请实施例中,转发设备在将该第一发送端确定为攻击源后的第三预设时长内,阻塞接收该目标ARP请求报文的端口,即在将该第一发送端确定为攻击源后的第三预设时长内,将来自于第一发送端(即发送目标ARP请求报文的发送端)的所有ARP请求报文丢弃。
此外,还需要说明的是,上述预设MAC地址是管理员配置的MAC地址,该预设MAC地址并不是目标ARP请求报文的目的IP地址真正对应的MAC地址。
当拥有该目标ARP请求报文的目的IP地址的设备上线时,会发送免费ARP报文,使得该目标ARP请求报文发送端将已记录的该目的IP地址和该预设MAC地址的对应关系,修改为该目的IP地址和该上线设备的MAC地址。
所以在拥有该目标ARP请求报文的目的IP地址设备上线后,目标ARP请求报文的发送端不会将目的IP地址是该新上线设备的IP地址的IP报文发送给预设MAC地址的设备,而是该上线的设备,因此采用本申请提供的“交换机向目标ARP请求报文的发送端返回源MAC地址为预设MAC地址的目标ARP应答报文”这种方式,在具有该目标ARP请求报文的目的IP的设备上线后,也不会影响该上线设备的IP报文的转发。
下面通过具体地例子,对本申请提供的确定攻击源方法进行详细地说明。
交换机上配置有ARP监控表,该ARP监控表中的每一个ARP监控表项都记录了各已接收到的ARP请求报文的报文摘要、计数器对应关系。该ARP监控表如表1所示。
源IP地址 | 源MAC地址 | 目的IP地址 | 计数器 |
表1
其中,源IP地址、源MAC地址、目的IP地址均是指ARP请求报文的源IP地址、源MAC地址、目的IP地址。这三个地址组成了ARP请求报文的报文摘要。
此外,交换机会周期性地将上述对应关系中的各计数器复位。
此外,交换机针对每一个对应关系(即表1中的每一个表项),交换机在检测到该对应关系到达老化时长时,将该对应关系删除。
假设,ARP请求报文1的源IP地址为1.0.0.1、源MAC地址为0000-0000-0001、目的IP地址为1.0.0.2。假设第一预设值为10个,第二预设值为5个,假设第一预设时长和第二预设时长相等,假设为10秒。交换机可以10秒为周期,周期性地将表2中的计数器复位。假设预设MAC地址为0000-0000-0002。
当前ARP监控表如表2所示,
源IP地址 | 源MAC地址 | 目的IP地址 | 计数器 |
1.0.0.1 | 0000-0000-0001 | 1.0.0.2 | 9 |
表2
当交换机接收到ARP请求报文1(假设发送该ARP请求报文1的发送端为设备1)时,交换机可获取该ARP请求报文1的源MAC地址(即0000-0000-0001)、源IP地址(即1.0.0.1)、目的IP地址(1.0.0.2)作为报文摘要1,然后在表2中,查找是否存在报文摘要1对应的计数器1。
1)若表2中不存在该报文摘要1对应的计数器1和预设字段1,交换机可创建与该ARP请求报文1的报文摘要1对应的计数器1,转发设备可将计数器1设置为1(假设计数器1的初始值为0),然后交换机可在表1中添加报文摘要1、计数器1的对应关系。
2)在本例中,表2中存在报文摘要1对应的计数器1,该计数器1的取值当前为9,交换机可将计数器1的取值更新为10。计数器1取值更新后的ARP监控表如表3所示。
源IP地址 | 源MAC地址 | 目的IP地址 | 计数器 |
1.0.0.1 | 0000-0000-0001 | 1.0.0.2 | 10 |
表3
然后,交换机可检测ARP请求报文1对应的计数器1的取值是否大于或者等于第一预设阈值。
在本例中,若计数器1的取值(即10)等于第一预设阈值(即10),交换机针对ARP请求报文1生成对应的ARP应答报文1。
其中,该ARP应答报文1的源MAC地址是预设MAC地址(即0000-0000-0002);ARP应答报文1的目的MAC地址是该ARP请求报文1的源MAC地址(即0000-0000-0001);ARP应答报文1的目的IP地址是该ARP请求报文1的源IP地址(即1.0.0.1);ARP应答报文1的源IP地址是该ARP请求报文1的目的IP地址(即1.0.0.2)。
然后,交换机可向发送该ARP请求报文1的设备1发送该ARP应答报文1。
同时,交换机可将计数器1复位,复位后的ARP监控表如表4所示。
源IP地址 | 源MAC地址 | 目的IP地址 | 计数器 |
1.0.0.1 | 0000-0000-0001 | 1.0.0.2 | 0 |
表4
在向设备1返回ARP应答报文1后,若交换机再接收到ARP请求报文1,则交换机还会按照上述“接收到ARP请求报文1,计数器加1”的方式进行统计,这里不再赘述。
假设,在向设备1返回ARP应答报文1后的一段时间后,该ARP监控表如表5所示。
表5
在向设备1返回ARP应答报文1后,若交换机检测到当前计数器1的取值(即5)等于第二预设阈值(即5),则将设备1确定为攻击源。若交换机检测到计数器1的取值一直小于第二预设阈值,则将确定设备1不是攻击源。
在将设备1确定为攻击源后的第三预设时长内,阻塞接收ARP请求报文1的端口(即设备1连接的端口),即在将设备1确定为攻击源后的第三预设时长内,将接收到设备1发送所有ARP请求报文丢弃。
以上是对攻击源确定方法的描述。
可选的,本申请实施例中,交换机除了针对每一报文摘要分别维护有对应的计数器之外,还可以维护有对应的预设字段,该预设字段用于表征发送携带有该报文摘要的ARP请求报文的发送端(即可以理解为该报文摘要对应的发送端)的状态,例如,若一个报文摘要对应的预设字段取值为0时,说明交换机在第一预设时长内统计到的该一个报文摘要对应的计数器的取值小于第一预设阈值;当该一个报文摘要对应的预设字段取值为1时,说明该交换机在第一预设时长内统计到的该一个报文摘要对应的计数器的取值大于或等于第一预设阈值,且交换机已针对该一个报文摘要构建了对应的ARP应答报文,并返回给该一个报文摘要对应的发送端;接着交换机可以将该一个报文摘要对应的计数器复位,并继续统计各个报文摘要对应的ARP请求报文的数量,当交换机确认在第二预设时长内统计到的该一个报文摘要对应的计数器的取值大于或等于第二预设阈值时,可以确定该一个报文摘要对应的发送端为攻击源,此时,可以将该一个报文对应的预设字段修改为2。即预设字段为2的各报文摘要对应的发送端为攻击源。
当然,交换机中也可以设置有攻击源列表,交换机在确定一个发送端为攻击源时,将该发送端的终端标识加入攻击源列表中。
本申请实施例还提供了与上述攻击源确定方法对应的攻击源确定装置。
参见图3,图3是本申请实施例示出的一种攻击源确定装置的框图。该装置可应用在转发设备上,可包括如下所示单元。
统计单元301,用于统计报文摘要相同的地址解析协议ARP请求报文的数量;
返回单元302,用于若确定在第一预设时长内接收到的报文摘要相同的目标ARP请求报文的数量大于或等于第一预设阈值,则针对所述目标ARP请求报文生成对应的目标ARP应答报文,并向发送所述目标ARP请求报文的第一发送端返回所述目标ARP应答报文;所述目标ARP应答报文的源MAC地址是预设MAC地址;
确定单元303,用于在向所述第一发送端返回所述目标ARP应答报文后,若确定在第二预设时长内接收到所述目标ARP请求报文的数量大于或等于第二预设阈值,则将所述第一发送端确定为攻击源。
可选的,所述确定单元303,还用于在向所述第一发送端返回目标ARP应答报文后,若确定在第二预设时长内接收到的所述目标ARP请求报文的数量小于第二预设阈值,则确定所述第一发送端不是攻击源。
可选的,所述统计单元301,具体用于在接收到一个ARP请求报文后,提取所述一个ARP请求报文的报文摘要;确定本地是否维护有所述一个ARP请求报文的报文摘要对应的计数器;若是,则将该计数器的取值加1;若否,则创建与所述一个ARP请求报文的报文摘要对应的计数器,将该计数器的初始值加1,并维护所述一个ARP请求报文的报文摘要和该计数器的对应关系。
可选的,所述返回单元302,在确定在第一预设时长内接收到的报文摘要相同的目标ARP请求报文的数量大于或等于第一预设阈值时,具体用于在维护的报文摘要和计数器的对应关系中,查找所述目标ARP请求报文的报文摘要对应的第一计数器;若所述第一计数器的取值大于或等于第一预设阈值,则确定在第一预设时长内接收到的报文摘要相同的目标ARP请求报文的数量大于或等于第一预设阈值;所述对应关系中的计数器会被周期性复位;
所述返回单元302,还用于在向发送所述目标ARP请求报文的第一发送端返回所述目标ARP应答报文之后,将所述第一计数器复位。
可选的,所述装置还包括:
阻塞单元304,用于在将所述第一发送端确定为攻击源后的第三预设时长内,阻塞接收该目标ARP请求报文的端口。
此外,本申请还提供了一种转发设备的硬件结构图。
参见图4,图4是本申请实施例示出的一种转发设备的硬件结构图。
该转发设备包括:通信接口401、处理器402、机器可读存储介质403和总线404;其中,通信接口401、处理器402和机器可读存储介质403通过总线404完成相互间的通信。处理器402通过读取并执行机器可读存储介质403中与确定攻击源的控制逻辑对应的机器可执行指令,可执行上文描述的攻击源确定方法。
本文中提到的机器可读存储介质403可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:易失存储器、非易失性存储器或者类似的存储介质。具体地,机器可读存储介质403可以是RAM(Radom Access Memory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种攻击源的确定方法,其特征在于,所述方法应用于转发设备,包括:
统计报文摘要相同的地址解析协议ARP请求报文的数量;
若确定在第一预设时长内接收到的报文摘要相同的目标ARP请求报文的数量大于或等于第一预设阈值,则针对所述目标ARP请求报文生成对应的目标ARP应答报文,并向发送所述目标ARP请求报文的第一发送端返回所述目标ARP应答报文;所述目标ARP应答报文的源MAC地址是预设MAC地址;
在向所述第一发送端返回所述目标ARP应答报文后,若确定在第二预设时长内接收到所述目标ARP请求报文的数量大于或等于第二预设阈值,则将所述第一发送端确定为攻击源。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在向所述第一发送端返回目标ARP应答报文后,若确定在第二预设时长内接收到的所述目标ARP请求报文的数量小于第二预设阈值,则确定所述第一发送端不是攻击源。
3.根据权利要求1所述的方法,其特征在于,所述统计报文摘要相同的ARP请求报文的数量的步骤包括:
在接收到一个ARP请求报文后,提取所述一个ARP请求报文的报文摘要;
确定本地是否维护有所述一个ARP请求报文的报文摘要对应的计数器;
若是,则将该计数器的取值加1;
若否,则创建与所述一个ARP请求报文的报文摘要对应的计数器,将该计数器的初始值加1,并维护所述一个ARP请求报文的报文摘要和该计数器的对应关系。
4.根据权利要求3所述的方法,其特征在于,所述确定在第一预设时长内接收到的报文摘要相同的目标ARP请求报文的数量大于或等于第一预设阈值的步骤包括:
在维护的报文摘要和计数器的对应关系中,查找所述目标ARP请求报文的报文摘要对应的第一计数器;
若所述第一计数器的取值大于或等于第一预设阈值,则确定在第一预设时长内接收到的报文摘要相同的目标ARP请求报文的数量大于或等于第一预设阈值;所述对应关系中的计数器会被周期性复位;
所述在向发送所述目标ARP请求报文的第一发送端返回所述目标ARP应答报文之后,所述方法还包括:
将所述第一计数器复位。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在将所述第一发送端确定为攻击源后的第三预设时长内,阻塞接收该目标ARP请求报文的端口。
6.一种攻击源的确定装置,其特征在于,所述装置应用于转发设备,包括:
统计单元,用于统计报文摘要相同的地址解析协议ARP请求报文的数量;
返回单元,用于若确定在第一预设时长内接收到的报文摘要相同的目标ARP请求报文的数量大于或等于第一预设阈值,则针对所述目标ARP请求报文生成对应的目标ARP应答报文,并向发送所述目标ARP请求报文的第一发送端返回所述目标ARP应答报文;所述目标ARP应答报文的源MAC地址是预设MAC地址;
确定单元,用于在向所述第一发送端返回所述目标ARP应答报文后,若确定在第二预设时长内接收到所述目标ARP请求报文的数量大于或等于第二预设阈值,则将所述第一发送端确定为攻击源。
7.根据权利要求6所述的装置,其特征在于,所述确定单元,还用于在向所述第一发送端返回目标ARP应答报文后,若确定在第二预设时长内接收到的所述目标ARP请求报文的数量小于第二预设阈值,则确定所述第一发送端不是攻击源。
8.根据权利要求6所述的装置,其特征在于,所述统计单元,具体用于在接收到一个ARP请求报文后,提取所述一个ARP请求报文的报文摘要;确定本地是否维护有所述一个ARP请求报文的报文摘要对应的计数器;若是,则将该计数器的取值加1;若否,则创建与所述一个ARP请求报文的报文摘要对应的计数器,将该计数器的初始值加1,并维护所述一个ARP请求报文的报文摘要和该计数器的对应关系。
9.根据权利要求8所述的装置,其特征在于,所述返回单元,在确定在第一预设时长内接收到的报文摘要相同的目标ARP请求报文的数量大于或等于第一预设阈值时,具体用于在维护的报文摘要和计数器的对应关系中,查找所述目标ARP请求报文的报文摘要对应的第一计数器;若所述第一计数器的取值大于或等于第一预设阈值,则确定在第一预设时长内接收到的报文摘要相同的目标ARP请求报文的数量大于或等于第一预设阈值;所述对应关系中的计数器会被周期性复位;
所述返回单元,还用于在向发送所述目标ARP请求报文的第一发送端返回所述目标ARP应答报文之后,将所述第一计数器复位。
10.根据权利要求6所述的装置,其特征在于,所述装置还包括:
阻塞单元,用于在将所述第一发送端确定为攻击源后的第三预设时长内,阻塞接收该目标ARP请求报文的端口。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910069170.8A CN109561111B (zh) | 2019-01-24 | 2019-01-24 | 一种攻击源的确定方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910069170.8A CN109561111B (zh) | 2019-01-24 | 2019-01-24 | 一种攻击源的确定方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109561111A true CN109561111A (zh) | 2019-04-02 |
CN109561111B CN109561111B (zh) | 2021-07-23 |
Family
ID=65873618
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910069170.8A Active CN109561111B (zh) | 2019-01-24 | 2019-01-24 | 一种攻击源的确定方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109561111B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110474931A (zh) * | 2019-09-29 | 2019-11-19 | 国家计算机网络与信息安全管理中心 | 一种攻击源的联网告警方法和*** |
CN111147524A (zh) * | 2020-02-19 | 2020-05-12 | 深圳市腾讯计算机***有限公司 | 报文发送端的识别方法、装置和计算机可读存储介质 |
CN112019520A (zh) * | 2020-08-07 | 2020-12-01 | 广州华多网络科技有限公司 | 请求拦截方法、装置、设备及存储介质 |
CN113542012A (zh) * | 2021-06-23 | 2021-10-22 | 江苏云洲智能科技有限公司 | 一种故障检测方法、故障检测装置及电子设备 |
CN113992363A (zh) * | 2021-10-11 | 2022-01-28 | 杭州迪普科技股份有限公司 | 一种基于iec104规约通信的方法、装置 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060015635A1 (en) * | 2004-06-17 | 2006-01-19 | International Business Machines Corporation | Method and apparatus for handling address resolution protocol requests for a device having multiple interfaces |
CN101247217A (zh) * | 2008-03-17 | 2008-08-20 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议流量攻击的方法、单元和*** |
CN101895543A (zh) * | 2010-07-12 | 2010-11-24 | 江苏华丽网络工程有限公司 | 一种基于网络交换设备的有效防御洪水攻击的方法 |
US20130332109A1 (en) * | 2012-06-07 | 2013-12-12 | Verisign, Inc. | Methods and systems for statistical aberrant behavior detection of time-series data |
US8683063B1 (en) * | 2010-01-21 | 2014-03-25 | Sprint Communications Company L.P. | Regulating internet traffic that is communicated through anonymizing gateways |
CN106027551A (zh) * | 2016-06-30 | 2016-10-12 | 大连楼兰科技股份有限公司 | 网络泛洪攻击的检测、存储及显示***及方法 |
CN107086965A (zh) * | 2017-06-01 | 2017-08-22 | 杭州迪普科技股份有限公司 | 一种arp表项的生成方法、装置及交换机 |
CN107770113A (zh) * | 2016-08-15 | 2018-03-06 | 台山市金讯互联网络科技有限公司 | 一种精确确定攻击特征的洪水攻击检测方法 |
-
2019
- 2019-01-24 CN CN201910069170.8A patent/CN109561111B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060015635A1 (en) * | 2004-06-17 | 2006-01-19 | International Business Machines Corporation | Method and apparatus for handling address resolution protocol requests for a device having multiple interfaces |
CN101247217A (zh) * | 2008-03-17 | 2008-08-20 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议流量攻击的方法、单元和*** |
US8683063B1 (en) * | 2010-01-21 | 2014-03-25 | Sprint Communications Company L.P. | Regulating internet traffic that is communicated through anonymizing gateways |
CN101895543A (zh) * | 2010-07-12 | 2010-11-24 | 江苏华丽网络工程有限公司 | 一种基于网络交换设备的有效防御洪水攻击的方法 |
US20130332109A1 (en) * | 2012-06-07 | 2013-12-12 | Verisign, Inc. | Methods and systems for statistical aberrant behavior detection of time-series data |
CN106027551A (zh) * | 2016-06-30 | 2016-10-12 | 大连楼兰科技股份有限公司 | 网络泛洪攻击的检测、存储及显示***及方法 |
CN107770113A (zh) * | 2016-08-15 | 2018-03-06 | 台山市金讯互联网络科技有限公司 | 一种精确确定攻击特征的洪水攻击检测方法 |
CN107086965A (zh) * | 2017-06-01 | 2017-08-22 | 杭州迪普科技股份有限公司 | 一种arp表项的生成方法、装置及交换机 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110474931A (zh) * | 2019-09-29 | 2019-11-19 | 国家计算机网络与信息安全管理中心 | 一种攻击源的联网告警方法和*** |
CN111147524A (zh) * | 2020-02-19 | 2020-05-12 | 深圳市腾讯计算机***有限公司 | 报文发送端的识别方法、装置和计算机可读存储介质 |
CN111147524B (zh) * | 2020-02-19 | 2022-06-07 | 深圳市腾讯计算机***有限公司 | 报文发送端的识别方法、装置和计算机可读存储介质 |
CN112019520A (zh) * | 2020-08-07 | 2020-12-01 | 广州华多网络科技有限公司 | 请求拦截方法、装置、设备及存储介质 |
CN113542012A (zh) * | 2021-06-23 | 2021-10-22 | 江苏云洲智能科技有限公司 | 一种故障检测方法、故障检测装置及电子设备 |
CN113542012B (zh) * | 2021-06-23 | 2023-01-10 | 江苏云洲智能科技有限公司 | 一种故障检测方法、故障检测装置及电子设备 |
CN113992363A (zh) * | 2021-10-11 | 2022-01-28 | 杭州迪普科技股份有限公司 | 一种基于iec104规约通信的方法、装置 |
CN113992363B (zh) * | 2021-10-11 | 2024-02-27 | 杭州迪普科技股份有限公司 | 一种基于iec104规约通信的方法、装置 |
Also Published As
Publication number | Publication date |
---|---|
CN109561111B (zh) | 2021-07-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109561111A (zh) | 一种攻击源的确定方法及装置 | |
CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
CN102487339B (zh) | 一种网络设备攻击防范方法及装置 | |
CN103609089B (zh) | 一种防止附连到子网的主机上拒绝服务攻击的方法及装置 | |
CN101800746B (zh) | 检测僵尸网络中控制主机域名的方法、装置和*** | |
CN100563149C (zh) | 一种dhcp监听方法及其装置 | |
CN106506242A (zh) | 一种网络异常行为和流量监测的精确定位方法与*** | |
CN106357660B (zh) | 一种ddos防御***中检测伪造源ip的方法和装置 | |
Martinez-Bea et al. | Real-time malicious fast-flux detection using DNS and bot related features | |
US20060224886A1 (en) | System for finding potential origins of spoofed internet protocol attack traffic | |
CN101674312B (zh) | 一种在网络传输中防止源地址欺骗的方法及装置 | |
US10326794B2 (en) | Anycast-based spoofed traffic detection and mitigation | |
US20190238573A1 (en) | Indicating malware generated domain names using digits | |
CN106027546A (zh) | 网络攻击的检测方法、装置及*** | |
CN111756713A (zh) | 网络攻击识别方法、装置、计算机设备及介质 | |
Chang et al. | Study on os fingerprinting and nat/tethering based on dns log analysis | |
CN105939321A (zh) | 一种dns攻击检测方法及装置 | |
Cai et al. | A behavior-based method for detecting DNS amplification attacks | |
RU2622788C1 (ru) | Способ защиты информационно-вычислительных сетей от компьютерных атак | |
CN1878056B (zh) | 局域网中确定是否存在仿冒的网络设备的方法 | |
Thing et al. | Locating network domain entry and exit point/path for DDoS attack traffic | |
Sivabalan et al. | Detecting IoT zombie attacks on web servers | |
CN107888624B (zh) | 一种防护网络安全的方法和装置 | |
KR101400127B1 (ko) | 비정상 데이터 패킷 검출 방법 및 장치 | |
CN110365635B (zh) | 一种非法端点的接入控制方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20230612 Address after: 310052 11th Floor, 466 Changhe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee after: H3C INFORMATION TECHNOLOGY Co.,Ltd. Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466 Patentee before: NEW H3C TECHNOLOGIES Co.,Ltd. |
|
TR01 | Transfer of patent right |