国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種地址解析協(xié)議攻擊防范方法、設備和通信網(wǎng)絡的制作方法

      文檔序號:7923825閱讀:147來源:國知局
      專利名稱:一種地址解析協(xié)議攻擊防范方法、設備和通信網(wǎng)絡的制作方法
      技術(shù)領域
      本發(fā)明涉及通信技術(shù)領域,特別是涉及一種地址解析協(xié)議攻擊防范方法、 設備和通信網(wǎng)絡。
      背景技術(shù)
      ARP ( Address Resolution Protocol,地址解析協(xié)議)由于本身過于簡單和 開放,沒有任何的安全手段,為非法攻擊留下了廣闊的空間。ARP攻擊可以 造成大面積的局域網(wǎng)用戶掉線而上不了網(wǎng),還可以竊聽用戶數(shù)據(jù),偏l又網(wǎng)上 銀行的用戶名和密碼等一些重要數(shù)據(jù)。所以,對于防止ARP攻擊,保證用戶 正常上網(wǎng),隱私數(shù)據(jù)不被非法分子竊取,成了當前局域網(wǎng)攻擊防范的重中之 重。
      攻擊方式,針對用戶網(wǎng)關的攻擊方式主要是改變真實用戶的IP (Internet Protocol ,因特網(wǎng)協(xié)議)地址和MAC ( Media Access Control ,介質(zhì)訪問控制) 地址的對應關系,導致用戶無法接收返回的數(shù)據(jù)報文;針對用戶主機的攻擊 方式主要是改變用戶網(wǎng)關的IP地址和MAC地址的對應關系,導致用戶往外發(fā) 送數(shù)據(jù)時,不能正確發(fā)送到網(wǎng)關,從而,造成用戶數(shù)據(jù)被竊取或者斷線。
      現(xiàn)有技術(shù)中,主要是通過ARP雙向靜態(tài)綁定的方法防范以上ARP攻擊方 式,該方法是在接入設備(類似于小區(qū)或?qū)W校的接入設備)和主機上分別進 行ARP靜態(tài)綁定,可以防止ARP攻擊。在主機上綁定網(wǎng)關的IP地址和MAC地 址,可以采取手動綁定的方式,也可以采取軟件輔助綁定。該方法可以抵御 現(xiàn)在所有的ARP攻擊方式,包括通過網(wǎng)絡剪刀手,網(wǎng)絡執(zhí)法官的攻擊方式。 在實現(xiàn)本發(fā)明的過程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題 現(xiàn)有技術(shù)所提供的ARP雙向靜態(tài)綁定的技術(shù)方案中,配置和維護的工作 量太大,容易出錯,而且不容易維護,新用戶加入和老用戶退出都需要人工在網(wǎng)關設備上進行操作,無形中增加了維護成本和工作量。

      發(fā)明內(nèi)容
      本發(fā)明實施例提供了一種ARP攻擊防范方法、設備和通信網(wǎng)絡,降低網(wǎng) 絡維護難度,提高網(wǎng)絡安全性。
      為達到上述目的,本發(fā)明實施例一方面提出一種ARP攻擊防范方法,包 括以下步驟
      接收ARP報文,根據(jù)所述ARP報文的第一信息,檢測預存的至少一個 ARP表項中是否存在包含相同第 一信息的ARP表項;
      當存在所述ARP表項時,判斷所述ARP表項中的第二信息是否與所述 ARP報文的第二信息相同;
      當所述ARP表項的第二信息與所述ARP報文的第二信息不同時,丟棄所 述ARP報文,并記錄攻擊日志。
      另一方面,本發(fā)明實施例還提出一種接入網(wǎng)關,包括
      接收模塊,用于接收ARP報文;
      第一檢測模塊,根據(jù)所述接收模塊所接收到的ARP報文的第一信息,檢 測預存的至少一個ARP表項中是否存在包含相同第一信息的ARP表項;
      第 一判斷模塊,用于當所述第 一檢測模塊檢測到存在所述ARP表項時, 判斷所述ARP表項中的第二信息是否與所述ARP報文的第二信息相同;
      記錄模塊,用于當所述第一判斷模塊判斷所述ARP表項的第二信息與所 述ARP報文的第二信息不同時,記錄攻擊曰志。
      另一方面,本發(fā)明實施例還提出一種ARP攻擊防范方法,包括以下步驟
      當接收到的ARP報文的發(fā)送方的第一地址為接入網(wǎng)關的第一地址時,檢 測所述發(fā)送方的第二地址是否與預存的接入網(wǎng)關第二地址相同;
      當所述ARP ^t文的發(fā)送方的第二地址與所述預存的接入網(wǎng)關第二地址不 同時,丟棄所述ARP報文。
      另一方面,本發(fā)明實施例還提出一種交換機,包括
      接收模塊,用于接收ARP報文;檢測模塊,用于當所述接收模塊所接收到的ARP報文的發(fā)送方的第一地
      址為接入網(wǎng)關的第 一地址時,檢測所述發(fā)送方的第二地址是否與預存的接入
      網(wǎng)關第二地址相同;
      丟棄模塊,用于當所述檢測模塊檢測到所述ARP報文的發(fā)送方的第二地 址與所述預存的接入網(wǎng)關第二地址不同時,丟棄所述ARP#Jl。
      另一方面,本發(fā)明實施例還提出一種通信網(wǎng)絡,包括交換機、接入網(wǎng)關 和認證服務器
      所述交換機,用于當用戶端通過第一信息和/或第二信息向所述服務器認 證通過時,根據(jù)所述用戶端對應的接入網(wǎng)關的信息,生成檢驗表項,并根據(jù) 所述檢驗表項過濾接收到的ARP報文;
      所述接入網(wǎng)關,用于當所述用戶端認證通過時,接收所述認證服務器發(fā) 送的認證通過消息,并根據(jù)所述用戶端的信息保存相對應的ARP表項,并根 據(jù)所述ARP表項過濾接收到的ARP報文;
      所述認證服務器,用于對所述用戶端進行認證,并在認證成功后,將所 述用戶端的信息通過認證通過消息發(fā)送給所述接入網(wǎng)關。
      本發(fā)明實施例的技術(shù)方案具有以下優(yōu)點,因為采用了整網(wǎng)聯(lián)動的根據(jù)多 種綁定信息進行報文驗證方法,從而,根據(jù)至少包括第一信息和第二信息的 認證信息對ARP報文進行多重過濾,防御ARP攻擊,不需要進行人工維護, 達到了降低網(wǎng)絡維護難度,提高網(wǎng)絡安全性的效果。


      為了更清楚地說明本發(fā)明實施例的技術(shù)方案,下面將對實施例描述中所 需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā) 明的一些實施例,對于本領域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前 提下,還可以根據(jù)這些附圖獲得其他的附圖。
      圖1為本發(fā)明實施例一中的一種ARP攻擊防范方法的流程示意圖2為本發(fā)明實施例二中的一種接入網(wǎng)關的結(jié)構(gòu)示意圖3為本發(fā)明實施例三中的應用在交換機上的一種ARP攻擊防范方法的
      ii流程示意圖4為本發(fā)明實施例四中的一種交換機的結(jié)構(gòu)示意圖5為本發(fā)明實施例五中的一種通信網(wǎng)絡的結(jié)構(gòu)示意圖6為本發(fā)明實施例五中的一種通信網(wǎng)絡的網(wǎng)絡部署示意圖7為本發(fā)明實施例七中的用戶認證流程示意圖8為本發(fā)明實施例八中的對偽造的用戶ARP凈艮文的防范流程示意圖9為本發(fā)明實施例八中的對偽造的網(wǎng)關ARP報文的防范流程示意圖10為本發(fā)明實施例九中的接入網(wǎng)關的報文過濾流程示意圖。
      具體實施例方式
      下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行 清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明的一部分實施例, 而不是全部的實施例?;诒景l(fā)明中的實施例,本領域普通技術(shù)人員在沒有 做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
      如圖1所示,為本發(fā)明實施例一提出的一種ARP攻擊防范方法的流程示 意圖,該方法包括以下步驟
      步驟SIOI、接入網(wǎng)關接收ARP報文,并根據(jù)該ARP報文的第一信息, 檢測預存的至少 一個ARP表項中是否存在包含相同第 一信息的ARP表項。
      進一步的,在本步驟之前,還包括
      識別ARP,艮文的報文類型;
      根據(jù)報文類型的識別結(jié)果,檢測ARP報文是否符合預設的安全規(guī)則; 當ARP報文不符合預設的安全規(guī)則時,丟棄ARP報文;當ARP報文符 合預設的安全規(guī)則時,根據(jù)接收到的ARP報文的第一信息,檢測預存的至少 一個ARP表項中是否存在包含相同第 一信息的ARP表項。 其中,預設的安全規(guī)則具體包括以下內(nèi)容
      當ARP報文為ARP請求報文時,ARP報文的源MAC為單播地址,和/ 或,ARP報文的ETH頭的源MAC與ARP報文的發(fā)送方MAC相同,和/或, ARP報文的目的IP地址為防火墻地址;
      12當ARP報文為ARP響應報文時,ARP報文的目的MAC為單播地址。 相應的,根據(jù)上述報文類型的識別結(jié)果,本發(fā)明實施例所提出的技術(shù)方 案中也包含了相應的處理流程。
      (1) 如果識別接收到的ARP報文為ARP請求報文,步驟S101的后續(xù) 處理流程為
      當不存在該ARP表項時,向ARP報文的發(fā)送方返回ARP響應報文;向 ARP報文的發(fā)送方發(fā)送第二 ARP請求報文;根據(jù)ARP報文的源信息創(chuàng)建ARP 表項,并標記ARP表項為未完成狀態(tài)。
      當存在該ARP表項時,進一步判斷ARP表項是否為網(wǎng)關ARP表項或代 理ARP表項;當ARP表項不是網(wǎng)關ARP表項或代理ARP表項時,丟棄ARP 報文;當ARP表項是網(wǎng)關ARP表項或代理ARP表項時,4丸4亍步驟S102。
      (2) 如果識別接收到的ARP纟艮文為ARP響應報文,步驟S101的后續(xù) 處理流程為
      當不存在ARP表項時,丟棄該ARP報文。
      當存在ARP表項時,判斷ARP表項的狀態(tài)是否為未完成狀態(tài);當ARP 表項的狀態(tài)為未完成狀態(tài)時,標記ARP表項為完成狀態(tài);當ARP表項的狀態(tài) 為完成狀態(tài)時,識別步驟S102。
      步驟S102、接入網(wǎng)關判斷ARP表項的第二信息是否與ARP報文的第二 信息相同。
      當ARP表項的第二信息與ARP報文的第二信息相同時,更新ARP表項 的老化時間。
      當ARP表項的第二信息與ARP報文的第二信息不同時,執(zhí)行步驟S103。
      步驟S103、接入網(wǎng)關丟棄該ARP報文,并記錄攻擊日志。
      其中,接入網(wǎng)關丟棄該ARP報文,并記錄攻擊日志之后,本方法還包括
      向認證服務器上報攻擊日志。
      進一步的,如果識別接收到的ARP報文為ARP請求報文,在記錄攻擊日
      志之后,本方法還包才舌
      向ARP報文的發(fā)送方返回ARP響應報文;
      13向ARP才艮文的發(fā)送方發(fā)送第二 ARP請求才艮文;
      根據(jù)ARP報文的源信息創(chuàng)建ARP表項,并標記該ARP表項為未完成狀態(tài)。
      對于上述的本發(fā)明實施例所提出的方法,需要i兌明的是,步驟S101中提
      及的預存的至少一個ARP表項具體通過以下步驟生成
      接收認證服務器發(fā)送的至少一個用戶端的認證通過消息; 根據(jù)認證通過消息中所包括的至少 一個用戶端的信息,生成至少一個
      ARP表項。
      其中,認證服務器發(fā)送的至少一個用戶端的認證通過消息具體通過以下 步驟生成
      認證服務器接收至少一個用戶端通過認證客戶端發(fā)送的認證請求; i人證服務器4艮據(jù)認證請求,對至少 一個用戶端進行認證; 當對至少一個用戶端i人i正通過時,向至少一個用戶端和至少一個用戶端
      所對應的接入網(wǎng)關發(fā)送認證通過消息,認證通過消息中包括至少一個用戶端
      的信息和至少一個用戶端所對應的接入網(wǎng)關的信息。
      相應的,用戶端根據(jù)接收到的認證通過消息保存接入網(wǎng)關的信息,以進
      行ARP消息的驗證。
      其中,用戶端的信息具體包括用戶端的IP地址、MAC地址和VLAN信
      息中的一個或多個;
      接入網(wǎng)關的信息具體包括接入網(wǎng)關的IP地址和MAC地址。 進一步的,對于預存的至少一個ARP表項,本方法還包括 接收認證服務器發(fā)送的至少一個用戶端的下線通知消息; 刪除至少 一個用戶端所對應的至少 一個ARP表項。 需要進一步指出的是,在本發(fā)明實施例所提出的方法的各步驟中,第一
      信息和第二信息具體包括以下兩種情況
      情況一、當ARP報文為ARP請求報文時,第一信息為ARP報文的目的
      IP地址,和/或ARP報文的接入端口,和/或ARP報文的VLAN信息,第二信
      息為ARP報文的源MAC地址;
      14當ARP報文為ARP響應報文時,第一信息為ARP報文的源IP地址,和 /或ARP報文的VLAN信息,第二信息為ARP報文的源MAC地址。
      情況二、當ARP報文為ARP請求報文時,第一信息為ARP報文的目的 MAC地址,和/或ARP報文的接入端口 ,和/或ARP報文的VLAN信息,第 二信息為ARP報文的源IP地址;
      當ARP報文為ARP響應報文時,第一信息為ARP報文的源MAC地址, 和/或ARP報文的VLAN信息,第二信息為ARP才艮文的源IP地址。
      在本發(fā)明實施例中,第一信息和第二信息共同組成了 ARP報文的認證信 息,以下實施例也具有相同的設定,需要指出的是,在具體的應用場景中, 第 一信息和第二信息的具體內(nèi)容可能會存在差別,但只要是能夠達到驗證 ARP報文安全性的信息都可以作為上述的第一信息和第二信息,這樣的變化 并不影響本發(fā)明的保護范圍。
      本發(fā)明實施例的技術(shù)方案具有以下優(yōu)點,因為采用了整網(wǎng)聯(lián)動的根據(jù)多 種綁定信息進行報文驗證方法,從而,實現(xiàn)了根據(jù)至少包括第一信息和第二 信息的認證信息對ARP才良文進行多重過濾,防御ARP攻擊,不需要人工控制, 達到了降低網(wǎng)絡維護難度,提高網(wǎng)絡安全性的效果。
      對應本發(fā)明實施例一所提出的技術(shù)方案,本發(fā)明實施例二提出了一種接 入網(wǎng)關,以實現(xiàn)上述方案,其結(jié)構(gòu)示意圖如圖2所示,具體包括以下模塊 接收模塊201,用于接收ARP報文;
      第一檢測模塊202,根據(jù)接收模塊201所接收到的ARP報文的第一信息, 檢測預存的至少一個ARP表項中是否存在包含相同第一信息的ARP表項;
      第一判斷模塊203,用于當?shù)谝粰z測模塊202檢測到存在相應ARP表項 時,判斷ARP表項的第二信息是否與AIO^艮文的第二信息相同;
      處理模塊204 ,用于當?shù)?一判斷模塊203判斷ARP表項的第二信息與ARP 報文的第二信息不同時,丟棄該ARP報文,并記錄攻擊日志。
      進一步的,接入網(wǎng)關還包括
      識別模塊205,用于識別接收模塊201所接收的ARP報文的報文類型;
      15笫二檢測模塊206,用于根據(jù)識別模塊205的報文類型識別結(jié)果,檢測接 收模塊201所接收的ARP報文是否符合預設的安全規(guī)則;
      丟棄模塊207,用于當?shù)诙z測模塊206檢測到ARP報文不符合預設的 安全規(guī)則時,丟棄ARP報文。
      進一步的,接入網(wǎng)關還包括以下模塊
      反向請求模塊208,用于向ARP報文的發(fā)送方返回ARP響應報文,并向 ARP報文的發(fā)送方發(fā)送第二 ARP請求報文;
      表項處理模塊209,用于在反向請求模塊208向ARP報文的發(fā)送方發(fā)送 第二ARP請求報文時,根據(jù)ARP報文的源信息創(chuàng)建ARP表項,并標記ARP 表項為未完成狀態(tài),并在接收到第二 ARP請求才艮文對應的第二 ARP響應報文 時,標記ARP表項為完成狀態(tài)。
      進一步的,接入網(wǎng)關還包括以下模塊
      第二判斷模塊210,用于當識別模塊205識別ARP報文為ARP請求報文, 且第 一檢測模塊202檢測存在ARP表項時,判斷ARP表項是否為網(wǎng)關ARP 表項或代理ARP表項,當?shù)诙袛嗄K210的判斷結(jié)果為是時,將該ARP 報文轉(zhuǎn)發(fā)給第一判斷模塊203進行處理,當?shù)诙袛嗄K210的判斷結(jié)果為 否時,將該ARP報文轉(zhuǎn)發(fā)給丟棄模塊207進行處理;;
      進一步的,接入網(wǎng)關還包括以下模塊
      第三判斷模塊211,用于當識別模塊205識別ARP報文為ARP響應報文, 且第 一檢測模塊202檢測存在ARP表項時,判斷ARP表項的狀態(tài)是否為未完 成狀態(tài),當?shù)谌袛嗄K211的判斷結(jié)果為是時,將該ARP報文轉(zhuǎn)發(fā)給第一 判斷模塊203進行處理,當?shù)谌袛嗄K211的判斷結(jié)果為否時,將該ARP 報文轉(zhuǎn)發(fā)給狀態(tài)標記模塊212進行處理;
      狀態(tài)標記模塊212,用于根據(jù)所述第三判斷模塊的判斷結(jié)果對ARP表項 進行狀態(tài)標記處理,當ARP表項的狀態(tài)是否為未完成狀態(tài)時,狀態(tài)標記模塊 212標記該ARP表項為完成狀態(tài)。
      進一步的,接入網(wǎng)關還包括以下模塊
      更新模塊213,用于當?shù)?一判斷模塊203判斷ARP表項的第二信息與ARP^J:的第二信息相同時,更新相對應ARP表項的老化時間。
      進一步的,丟棄模塊207,還用于當?shù)谝粰z測模塊202檢測到不存在ARP 表項時,丟棄ARP纟艮文。
      接收才莫塊201,還用于接收認證服務器發(fā)送的至少一個用戶端的認證通過 消息,或接收認證服務器發(fā)送的至少一個用戶端的下線通知消息;
      表項處理模塊209,還用于根據(jù)接收模塊201接收到的認證通過消息中所 包括的至少一個用戶端的信息,生成至少一個ARP表項,或根據(jù)接收模塊201 接收到的至少 一個用戶端的下線通知消息,刪除至少 一個用戶端所對應的至 少一個ARP表項。
      上述模塊可以合并為一個模塊,也可以進一步拆分成多個子模塊,這樣 的變化并不影響本發(fā)明的保護范圍。
      本發(fā)明實施例的技術(shù)方案具有以下優(yōu)點,因為采用了整網(wǎng)聯(lián)動的根據(jù)多 種綁定信息進行報文驗證的接入網(wǎng)關,從而,實現(xiàn)了根據(jù)至少包括第一信息 和第二信息的認證信息對ARP報文進行多重過濾,防御ARP攻擊,不需要人 工控制,達到了降低網(wǎng)絡維護難度,提高網(wǎng)絡安全性的效果。
      對于本發(fā)明實施例一所提出的技術(shù)方案,主要是實現(xiàn)在接入網(wǎng)關中,為 了更充分的通過整網(wǎng)聯(lián)動實現(xiàn)對ARP攻擊的防范,本發(fā)明實施例三進一步提 出了應用在交換機上的一種ARP攻擊防范方法,其流程示意圖如圖3所示, 包括以下步驟
      步驟S301、當接收到的ARP報文的發(fā)送方的第一地址為接入網(wǎng)關的第一 地址時,交換機檢測發(fā)送方的第二地址是否與預存的接入網(wǎng)關的第二地址相 同;
      當ARP報文的發(fā)送方的第二地址與預存的接入網(wǎng)關的第二地址不同時, 執(zhí)行步驟S302;
      當ARP報文的發(fā)送方的第二地址與預存的接入網(wǎng)關的第二地址相同時, 執(zhí)行步驟S303。
      步驟S302、交換機丟棄該ARP報文。
      17步驟S3(B、交換機向ARP報文的目的地址轉(zhuǎn)發(fā)ARP報文。 在本實施例所提出的方法中,當?shù)谝坏刂窞镮P地址時,第二地址為MAC
      地址;當?shù)?一地址為MAC地址時,第二地址為IP地址。
      本發(fā)明實施例的技術(shù)方案具有以下優(yōu)點,因為采用了交換機根據(jù)多種綁
      定信息進行報文驗證的方法,從而,實現(xiàn)了根據(jù)至少包括第一信息和第二信
      息的認證信息對ARP報文進行多重過濾,防御ARP攻擊,不需要進行人工維
      護,達到了降低網(wǎng)絡維護難度,提高網(wǎng)絡安全性的效果。
      對應本發(fā)明實施例三所提出的技術(shù)方案,本發(fā)明實施例四提出了 一種交 換機,以實現(xiàn)上述方案,其結(jié)構(gòu)示意圖如圖4所示,具體包括以下模塊 接收模塊41,用于接收ARP報文;
      檢測模塊42,用于當接收模塊41所接收到的ARP報文的發(fā)送方的第一 地址為接入網(wǎng)關的第 一地址時,檢測發(fā)送方的第二地址是否與預存的接入網(wǎng) 關第二地址相同;
      丟棄模塊43,用于當檢測模塊42檢測到ARP報文的發(fā)送方的第二地址 與預存的接入網(wǎng)關第二地址不同時,丟棄ARP報文。 進一步的,交換機中還包括
      轉(zhuǎn)發(fā)模塊44,用于當檢測模塊42檢測到ARP報文的發(fā)送方的第二地址 與預存的接入網(wǎng)關第二地址相同時,向ARP報文的目的地址轉(zhuǎn)發(fā)ARP報文。
      上述模塊可以分布于一個裝置,也可以分布于多個裝置。上述模塊可以 合并為一個模塊,也可以進一步拆分成多個子模塊,這樣的變化并不影響本 發(fā)明的保護范圍。
      在以上本發(fā)明各實施例所提出的技術(shù)方案的基礎上,本發(fā)明實施例五提 出了一種通信網(wǎng)絡,其結(jié)構(gòu)示意圖和網(wǎng)絡部署示意圖分別如圖5和圖6所示, 包括交換機2、接入網(wǎng)關3和認證服務器4,結(jié)合具體的實施場景,該通信網(wǎng) 絡中還包括用戶端l,對系統(tǒng)中各設備說明如下
      用戶端1,包括iU正客戶端,用于通過用戶端1的IP地址和/或MAC地
      18址向認證服務器4進行認證。
      其中,用戶端1在實際應用中是指需要保護ARP攻擊的用戶終端,可以 是普通的Windows主機,用戶端1上需要安裝與認證服務器4相對應的認證 客戶端。
      交換機2,用于當用戶端1認證通過時,根據(jù)用戶端l對應的接入網(wǎng)關3 的信息,生成檢驗表項,并根據(jù)檢驗表項過濾接收到的ARP報文。
      其中,交換機2在實際應用中具體可以是指普通的二層或者三層交換機, 但是需要該交換機支持MAC地址、IP地址、VLAN綁定。
      接入網(wǎng)關3,用于當用戶端1認證通過時,接收認證服務器4發(fā)送的認證 通過消息,并根據(jù)用戶端1的信息保存相對應的ARP表項,并根據(jù)ARP表項 過濾接收到的ARP報文。
      其中,接入網(wǎng)關3在實際應用中需要支持與認證服務器4或由多個認證 服務器4組成的認證服務器群進行聯(lián)動功能。
      進一步的,接入網(wǎng)關3還用于識別接收到的ARP報文的類型,并根據(jù)該 ARP報文的類型識別結(jié)果,對該ARP報文進行處理;當判斷ARP表項與接 收到的ARP報文中的信息不一致時,接入網(wǎng)關3還用于丟棄該ARP報文,并 i己錄攻擊日志。
      認證服務器4,用于對用戶端l進行認證,并在認證成功后,將用戶端l 的信息通過認證通過消息發(fā)送給接入網(wǎng)關3。
      其中,認證服務器4在實際應用中是用于提供用戶安全認證的服務器。 需要安裝認證服務器軟件,并可以通過用戶端1上安裝的認證客戶端所上報 的認證信息,對用戶端1進行認證。在具體網(wǎng)絡中,可以包含多個認證服務 器,組成認證服務器群。
      本發(fā)明實施例的技術(shù)方案具有以下優(yōu)點,因為采用了整網(wǎng)聯(lián)動的根據(jù)多 種綁定信息進行報文驗證的系統(tǒng),從而,實現(xiàn)了根據(jù)至少包括第一信息和第 二信息的認證信息對ARP報文進行多重過濾,防御ARP攻擊,不需要進行人 工維護,達到了降低網(wǎng)絡維護難度,提高網(wǎng)絡安全性的效果。如上圖基于上述本發(fā)明實施例五所提出的通信系統(tǒng),本發(fā)明實施例六提 出了相應的實現(xiàn)方案,為了實現(xiàn)通過整網(wǎng)聯(lián)動來對用戶進行認證,并對認證
      成功的用戶及其他網(wǎng)絡設備進行ARP攻擊的防范,從而保證4矣入用戶正常上 網(wǎng),防止被ARP攻擊導致用戶斷線,對本通信網(wǎng)絡中各個相關設備的實現(xiàn)方 案說明如下
      用戶端1所對應的接入用戶主機需要安裝與認證服務器4相對應的認證 客戶端,該客戶端主要功能是利用用戶主機的MAC地址向認證服務器4進 行認證,認證通過后能把接入網(wǎng)關IP和接入網(wǎng)關MAC進行靜態(tài)綁定,當用戶 端1受到ARP攻擊后,將該攻擊的信息以攻擊日志的形式上報給認證服務器 或認證服務器群,為管理員提供分析的數(shù)據(jù)信息。
      服務器4進行認證,這樣的變化并不影響本發(fā)明的保護范圍。
      具體的,在實際應用中,用戶端1中的認證客戶端也可以采用用戶名和 密碼的方式進行認證,但是,此方式需要在發(fā)送給認證服務器的認證報文中 帶上主機的MAC地址和IP地址。
      以上所說明的是認證客戶端在本方案中需要實現(xiàn)的功能,在實際應用中, 該客戶端還可以具有其他功能,實現(xiàn)多種功能的組合,這樣的變化并不影響 本發(fā)明的保護范圍。
      交換機2需要支持IP和MAC綁定,在本發(fā)明實施例中所提及的交換機 中的綁定功能是通過類似交換機端口轉(zhuǎn)發(fā)表的表項來實現(xiàn)的,該表項中包括 IP、 MAC、 VLAN等基本信息。交換機2把接入網(wǎng)關3的IP和MAC地址進 行綁定,對于收到是接入網(wǎng)關的IP,但是MAC與綁定表不一致的ARP報文, 或MAC地址一致但IP地址不同的ARP報文,在交換機2中實現(xiàn)丟棄功能, 不進行轉(zhuǎn)發(fā),防止接入用戶或接入網(wǎng)關被偽造的ARP 4艮文欺騙,造成ARP 攻擊。
      接入網(wǎng)關3需要支持與認證服務器4或有多個認證服務器組成的認證服 務器群進行聯(lián)動,提供安全認證、授權(quán)、計費等功能。用戶端1通過認證客 戶端進行認證并通過認證后,認證服務器4向接入網(wǎng)關3發(fā)送認證通過指令,
      20接入網(wǎng)關3把認證通過的用戶的IP地址、MAC地址、VLAN等信息生成靜 態(tài)的ARP表項。當用戶端1下線退出登錄時,認證服務器4向接入網(wǎng)關3發(fā) 送用戶下線指令,接入網(wǎng)關3把該用戶的IP地址、VLAN和MAC地址對應 的靜態(tài)ARP表項清除。
      認證服務器4或認證服務器群需要安裝認證服務器軟件,可以與安全接 入網(wǎng)關進行聯(lián)動。而且,提供安全認證功能。
      基于上述的網(wǎng)絡設置,本發(fā)明實施例七進一步給出具體的實現(xiàn)流程,如 圖7所示,為用戶端的認證流程示意圖,在用戶端上線,或希望接入通信網(wǎng) 絡時,發(fā)起具體的用戶端認證流程,具體包括以下步驟
      步驟S701 、用戶端發(fā)送認證請求才艮文。
      用戶端通過安裝的iU正客戶端向認證服務器發(fā)送認證請求報文,在該認 證請求報文中,攜帶用戶端的IP地址或MAC地址作為認證信息。 步驟S702、認證服務器根據(jù)認證請求報文對用戶端進行認證。 具體的認證規(guī)則可以根據(jù)實際的應用情況進行設置和調(diào)整。 認證通過后,4丸行步驟S703和步驟S705。
      需要指出的是,步驟S703和步驟S705是認證服務器在完成認證后向兩 個設備分別發(fā)送消息的步驟,沒有必然的先后順序,可以同時進行,也可以 優(yōu)先進行其中的任意一項,這樣的變化并不影響本發(fā)明的保護范圍。
      步驟S703、認證服務器向用戶端發(fā)送認證通過消息。
      該消息中攜帶認證通過的用戶端所對應的接入網(wǎng)關的MAC地址和IP地址。
      步驟S704、用戶端收到該認證通過消息,并根據(jù)該消息進行接入網(wǎng)關的 MAC地址和IP地址的綁定。
      即存儲4妄入網(wǎng)關的MAC地址和IP地址的對應關系。
      該對應關系通過靜態(tài)綁定的方式實現(xiàn),在本次認證的有效時間范圍內(nèi), 該對應關系不發(fā)生變化。
      需要進一步指出的是,在該認證通過消息向用戶端發(fā)送的過程中,轉(zhuǎn)發(fā)
      21該消息的交換機根據(jù)該認證通過消息保存了接入網(wǎng)關信息,即同樣對接入網(wǎng)
      關的IP地址和MAC地址進行綁定,從而實現(xiàn)后續(xù)的才艮文過濾。 步驟S705、認證服務器向接入網(wǎng)關發(fā)送認證通過消息。 該消息中攜帶認證通過的用戶端的MAC地址、IP地址和VLAN信息等信息。
      步驟S706、接入網(wǎng)關根據(jù)收到的認證通過消息,把認證通過的用戶端的 IP地址、MAC地址、VLAN等信息生成靜態(tài)的ARP表項。
      至此,用戶端的接入認證流程結(jié)束,在接入網(wǎng)關中保存了用戶端的信息, 交換機和用戶端中保存了接入網(wǎng)關的信息,通過這樣的信息,實現(xiàn)對各自接 收到的ARP報文的過濾,從而,實現(xiàn)對ARP攻擊的防范。
      進一步的,本發(fā)明實施例八提出了基于上述通信網(wǎng)絡系統(tǒng)的ARP攻擊防 范流程,分為對偽造的用戶ARP報文的防范流程和對偽造的網(wǎng)關ARP報文的 防范流程,其流程示意圖分別如圖8和圖9所示。
      其中,對偽造的用戶ARP報文的防范流程如圖8所示,包括以下步驟 步驟S801、 ARP攻擊者構(gòu)造正常用戶的ARP報文,并通過交換機向接 入網(wǎng)關發(fā)送。
      該ARP t艮文可能是ARP請求報文或ARP響應纟艮文。 步驟S802、接入網(wǎng)關根據(jù)已保存的ARP表項對接收到的ARP報文進行 馬全i正和過濾。
      接入網(wǎng)關根據(jù)ARP報文的信息查找已保存的ARP表項中是否存在相對應 的表項,并判斷信息內(nèi)容和表項內(nèi)容是否一致。
      如果存在對應表項,但信息內(nèi)容和表項內(nèi)容不一致,則判斷該報文為ARP 攻擊,記錄攻擊日志,并向認證服務器上報。
      如果不存在對應表項,且該ARP報文為ARP響應報文或發(fā)向別的接入網(wǎng) 關的ARP請求報文,則直接丟棄該報文。
      如果不存在對應表項,且該ARP報文為發(fā)向本接入網(wǎng)關ARP請求報文, 則返回響應報文,但不學習ARP表項,并向該ARP請求報文的發(fā)送方反向發(fā)送ARP請求報文,等待響應再做進一步處理,具體的處理過程在后續(xù)的實施例中進行詳細說明,本實施例不再贅述。
      進一步的,對偽造的網(wǎng)關ARP報文的防范流程如圖9所示,包括以下步

      步驟S901、 ARP攻擊者構(gòu)造接入網(wǎng)關的ARP報文,并通過交換機向接入網(wǎng)關發(fā)送。
      步驟S902、交換才幾根據(jù)預先保存的網(wǎng)關IP地址和MAC地址信息對接收到的ARP報文進4于過濾。
      即將接收到的ARP報文的IP地址和MAC地址與預先保存的網(wǎng)關IP地址和MAC地址信息進行比較,只有當IP地址和MAC地址完全一致的情況下,交換機放行該ARP報文,向相應用戶端進行轉(zhuǎn)發(fā),如果IP地址和MAC地址中有任意一個信息不一致或兩個信息都不相同時,則直接丟棄該報文,不進行轉(zhuǎn)發(fā)。
      在具體的實現(xiàn)過程中,可以是優(yōu)先比較接收到的ARP報文的IP地址信息或MAC地址信息,也可以使同時比較,這樣的變化并不影響本發(fā)明的保護范圍。
      步驟S903、用戶端根據(jù)預先保存的網(wǎng)關IP地址和MAC地址信息對接收到的ARP報文進行過濾。
      即將接收到的ARP才艮文的IP地址和MAC地址與預先保存的網(wǎng)關IP地址和MAC地址信息進行比較,如果存在任意一個信息或多個信息不一致時,則判斷該ARP報文為ARP攻擊,記錄攻擊日志,并向認證服務器上報。
      需要進一步指出的是,在用戶端中保存網(wǎng)關IP地址和MAC地址信息的對應關系不僅可以防范接收到的報文所導致的ARP攻擊,同時,也可以防止用戶端內(nèi)部由于系統(tǒng)漏洞或其他程序向外發(fā)送偽造的ARP報文,以及ARP攻擊者通過本用戶端向外發(fā)送偽造的ARP報文,從而進一步提高網(wǎng)絡安全型,并降低了網(wǎng)絡減緩設備的過濾負擔。
      23對于上述的技術(shù)方案,由于采用整網(wǎng)聯(lián)動的安全策略,實現(xiàn)了多個設備
      分別針對ARP攻擊的防范,其中,接入網(wǎng)關中的報文過濾流程最為復雜,同時也最為關鍵,因此,本發(fā)明實施例九詳細給出了接入網(wǎng)關的報文過濾流程,其流程示意圖如圖IO所示,具體包括以下步驟
      步驟SIOOI、接入網(wǎng)關識別接收到的ARP報文的報文類型。當接收到的ARP報文為ARP請求報文時,執(zhí)行步驟S1002;當接收到的ARP才艮文為ARP響應報文時,才丸行步驟S1010。步驟S1002、接入網(wǎng)關檢測該ARP請求報文是否符合預設的安全規(guī)則。當該ARP請求報文不符合預設的安全規(guī)則時,執(zhí)行步驟S1003;當該ARP請求報文符合預設的安全規(guī)則時,執(zhí)行步驟S1004。其中,預設的安全MJ'J具體包括以下內(nèi)容中的 一項或多項ARP請求報文的源MAC為單播地址;
      —A—RP請求報文的ETH頭的源MAC與—A—RP請求報—文的發(fā)送方MAC相同;ARP請求才艮文的目的IP地址為防火墻地址。
      在具體的實現(xiàn)過程中,上述安全策略可以根據(jù)需要進一步添加新的安全規(guī)則,這樣的變化同樣屬于本發(fā)明的保護范圍。步驟S1003、接入網(wǎng)關丟棄該ARP報文。
      步驟S1004、接入網(wǎng)關根據(jù)接收到的ARP請求報文的IP地址信息,檢測預存的至少一個ARP表項中是否存在包含相同IP地址信息的ARP表項。
      其中,預存的至少一個ARP表項是根據(jù)前述本發(fā)明實施例七中的認證流程生成的。
      而本步驟中所提及的表項檢測依據(jù)為ARP請求報文的IP地址信息,在實際應用中,也可以采用ARP請求報文的MAC地址信息進行檢測,并且,還可以進一步加上該ARP請求報文的接收端口信息和VLAN信息等其他信息,這樣,可以實現(xiàn)表項的精確快速查找,這樣的變化并不影響本發(fā)明的保護范圍。
      當檢測結(jié)果為否時,執(zhí)行步驟S1005;當檢測結(jié)果為是時,執(zhí)行步驟S1006。
      24步驟S1005、接入網(wǎng)關向該ARP請求報文的發(fā)送方返回ARP響應報文,并發(fā)送反向ARP請求凈艮文。
      在此過程中,接入網(wǎng)關還根據(jù)ARP報文的源信息創(chuàng)建ARP表項,并標記該ARP表項為未完成狀態(tài)。
      在此步驟之后,接入網(wǎng)關等待該反向ARP請求報文的響應,當接收到相關響應報文時,則執(zhí)行步驟SIOOI進行進一步處理。
      步驟S1006、接入網(wǎng)關判斷查找到的ARP表項是否為網(wǎng)關ARP表項或代理ARP表項。
      當ARP表項不是網(wǎng)關ARP表項或代理ARP表項時,執(zhí)行步驟S1003;
      當ARP表項是網(wǎng)關ARP表項或代理ARP表項時,執(zhí)行步驟S1007。
      其中,網(wǎng)關ARP表項具體是指本接入網(wǎng)關或接收該ARP報文的接口所對應的ARP表項,即對應本地處理的ARP表項;而代理ARP表項具體是指本接入網(wǎng)關可關聯(lián)的或非接收該ARP報文的接口所對應的ARP表項,即對應非本地處理的ARP表項,這樣的表項可以由本地進行代理處理。
      步驟SI007、 4妄入網(wǎng)關判斷該ARP表項所記錄的MAC地址信息是否與該ARP請求4艮文的MAC地址信息相同。
      當ARP表項的MAC地址信息與ARP報文的MAC地址信息相同時,執(zhí)行步驟S1008。
      當ARP表項的MAC地址信息與ARP報文的MAC地址信息不同時,執(zhí)行步驟S1009。
      在前述的步驟S1004中,如果采用的檢測依據(jù)是MAC地址信息,則本步驟中的進一步判斷依據(jù)則改為IP地址信息,這樣的變化并不影響本發(fā)明的保護范圍。
      步驟S1008、接入網(wǎng)關更新該ARP表項的老化時間。通過本步驟可以記錄該ARP表項的最后確認時間,從而為網(wǎng)絡中的表項管理提供依據(jù)。
      在本步驟完成之后,接入網(wǎng)關還可以根據(jù)ARP請求報文向該ARP請求報文的發(fā)送方返回ARP響應才艮文。需要進一步指出的是,返回ARP響應報文只是本發(fā)明實施例根據(jù)具體應用場景需求而做出的處理,是否返回ARP響應報文并不影響本發(fā)明的保護范圍。
      步驟S1009、接入網(wǎng)關記錄攻擊曰志。
      在本步驟執(zhí)行完成后,還可以包括向服務器上報攻擊日志,為管理員提供管理數(shù)據(jù)依據(jù)。
      進一步的,本步驟執(zhí)行后,還可以轉(zhuǎn)回執(zhí)行步驟S1005,這樣的變化同樣屬于本發(fā)明的保護范圍。
      步驟SIOIO、接入網(wǎng)關檢測該ARP響應報文是否符合預設的安全規(guī)則。
      當該ARP響應報文不符合預設的安全規(guī)則時,執(zhí)行步驟S1003;
      當該ARP響應報文符合預設的安全規(guī)則時,執(zhí)行步驟S1011 。
      其中,預設的安全規(guī)則具體為
      ARP響應報文的源MAC為單播地址。
      在具體的實現(xiàn)過程中,上述安全策略可以根據(jù)需要進一步添加新的安全規(guī)則,這樣的變化同樣屬于本發(fā)明的保護范圍。
      步驟S1011、接入網(wǎng)關根據(jù)接收到的ARP響應報文的源IP地址信息,檢測預存的至少一個ARP表項中是否存在包含相同IP地址信息的ARP表項。
      其中,預存的至少一個ARP表項是根據(jù)前述本發(fā)明實施例七中的認證流程生成的,也可能是上述步驟S1005中所生成的未完成狀態(tài)的ARP表項。
      而本步驟中所提及的表項檢測依據(jù)為ARP響應報文的源IP地址信息,在實際應用中,也可以采用ARP響應報文的MAC地址信息進行4企測,并且,還可以進一步加上該ARP響應報文的接收端口信息和VLAN信息等其他信息,這樣,可以實現(xiàn)表項的精確快速查找,這樣的變化并不影響本發(fā)明的保護范圍。
      當檢測結(jié)果為是時,執(zhí)行步驟S1012;當檢測結(jié)果為否時,執(zhí)行步驟S1003。
      步驟S1012、接入網(wǎng)關判斷該ARP表項是否為未完成狀態(tài)。
      當接入網(wǎng)關判斷該ARP表項是未完成狀態(tài)時,執(zhí)行步驟S1013;
      26頁
      當接入網(wǎng)關判斷該ARP表項不是未完成狀態(tài)時,即4矣入網(wǎng)關判斷該ARP表項是完成狀態(tài)時,執(zhí)行步驟S1014。
      步驟S1013、 4妄入網(wǎng)關標記該ARP表項為完成狀態(tài)。
      通過此步驟,可以實現(xiàn)在步驟S1005中所生成的ARP表項的確認,即通過反向ARP請求報文實現(xiàn)對ARP請求報文的發(fā)送方的身份確認,并在確認后,學習該ARP表項信息,而在此之前,基于對接收到的ARP報文的不信任原貝'J,不會根據(jù)該ARP報文添加ARP表項,從而,確保了 ARP表項信息的準確,提高了網(wǎng)絡識別的準確性。
      步驟S1014、接入網(wǎng)關判斷該ARP表項所記錄的MAC地址信息是否與該ARP響應報文的MAC地址信息相同。
      當ARP表項的MAC地址信息與ARP響應報文的MAC地址信息相同時,執(zhí)行步驟S1015。
      當ARP表項的MAC地址信息與ARP響應報文的MAC地址信息不同時,執(zhí)行步驟S1016。
      在前述的步驟SlOll中,如果采用的檢測依據(jù)是MAC地址信息,則本步驟中的進一步判斷依據(jù)則改為IP地址信息,這樣的變化并不影響本發(fā)明的保護范圍。
      步驟S1015、 4妄入網(wǎng)關更新該ARP表項的老化時間。通過本步驟可以記錄該ARP表項的最后確認時間,從而為網(wǎng)絡中的表項管理提供依據(jù)。
      步驟S1016、 4婁入網(wǎng)關記錄攻擊日志。
      在本步驟執(zhí)行完成后,還可以包括向服務器上報攻擊日志,為管理員提供管理數(shù)據(jù)依據(jù)。
      本發(fā)明實施例的技術(shù)方案具有以下優(yōu)點,因為采用了接入網(wǎng)關根據(jù)多種綁定信息進行報文驗證的方法,從而,實現(xiàn)了認證信息的自動生成和應用,并根據(jù)至少包括第一信息和第二信息的認證信息對ARP報文進行多重過濾,防御ARP攻擊,不需要進行人工維護,達到了降低網(wǎng)絡維護難度,提高網(wǎng)絡安全性的效果。
      27通過以上的實施方式的描述,本領域的4支術(shù)人員可以清楚地了解到本發(fā)明可以通過硬件實現(xiàn),也可以可借助軟件加必要的通用石更件平臺的方式來實現(xiàn)基于這樣的理解,本發(fā)明的技術(shù)方案可以以軟件產(chǎn)品的形式體現(xiàn)出
      來,該軟件產(chǎn)品可以存儲在一個非易失性存儲介質(zhì)(可以是CD-ROM, U盤,移動硬盤等)中,包括若干指令用以使得一臺計算機設備(可以是個人計算機,服務器,或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例所述的方法。
      本領域技術(shù)人員可以理解附圖只是一個優(yōu)選實施例的示意圖,附圖中的模塊或流程并不 一 定是實施本發(fā)明所必須的。
      以上所述僅是本發(fā)明的優(yōu)選實施方式,應當指出,對于本技術(shù)領域的普通技術(shù)人員來說,在不脫離本發(fā)明原理的前提下,還可以做出若千改進和潤飾,這些改進和潤飾也應視本發(fā)明的保護范圍。
      權(quán)利要求
      1、一種地址解析協(xié)議ARP攻擊防范方法,其特征在于,包括以下步驟接收ARP報文,根據(jù)所述ARP報文的第一信息,檢測預存的至少一個ARP表項中是否存在包含相同第一信息的ARP表項;當存在所述ARP表項時,判斷所述ARP表項中的第二信息是否與所述ARP報文的第二信息相同;當所述ARP表項的第二信息與所述ARP報文的第二信息不同時,丟棄所述ARP報文,并記錄攻擊日志。
      2、 如權(quán)利要求1所述的方法,其特征在于,所述接收ARP報文,根據(jù)所述ARP報文的第一信息,檢測預存的至少一個ARP表項中是否存在包含相同第一信息的ARP表項之前,還包括識別所述ARP報文的報文類型;根據(jù)所述報文類型的識別結(jié)果,檢測所述ARP報文是否符合預設的安全規(guī)則;當所述ARP報文符合所述預設的安全規(guī)則時,根據(jù)接收到的所述ARP報文的第一信息,檢測預存的至少一個ARP表項中是否存在包含相同第一信息的ARP表項。
      3、 如權(quán)利要求2所述的方法,其特征在于,所述預設的安全規(guī)則,具體包括當所述ARP報文為ARP請求報文時,所述ARP報文的源MAC為單播地址,或,所述ARP報文的ETH頭的源MAC與所述ARP報文的發(fā)送方MAC相同,或,所述ARP報文的目的IP地址為防火墻地址;當所述ARP報文為ARP響應報文時,所述ARP報文的目的MAC為單播地址。
      4、 如權(quán)利要求1或2所述的方法,其特征在于,當所述ARP報文為ARP請求報文時,所述第一信息為所述ARP報文的目的IP地址,或所述ARP報文的接入端口 ,或所述ARP報文的VLAN信息,所述第二信息具體為所述ARP報文的源MAC地址;當所述ARP報文為ARP響應報文時,所述第一信息為所述ARP報文的源IP地址,或所述ARP報文的VLAN信息,所述第二信息為所述ARP報文的源MAC;也址。
      5、 如權(quán)利要求1或2所述的方法,其特征在于,當所述ARP凈艮文為ARP請求報文時,所述第一信息為所述ARP報文的目的MAC地址,或所述ARP報文的接入端口 ,或所述ARP報文的VLAN信息,所述第二信息為所述ARP報文的源IP地址;當所述ARP寺艮文為ARP響應才艮文時,所述第 一信息為所述ARP l艮文的源MAC地址,或所述ARP ^艮文的VLAN信息,所述第二信息為所述ARP才艮文的源IP地址。
      6、 如權(quán)利要求1或2所述的方法,其特征在于,當識別所述ARP報文為ARP請求報文時,所述根據(jù)接收到的ARP報文的笫一信息,檢測預存的至少一個ARP表項中是否存在包含相同第 一信息的ARP表項之后,還包括當不存在所述ARP表項時,向所述ARP報文的發(fā)送方返回ARP響應報文;向所述ARP才艮文的發(fā)送方發(fā)送第二 ARP請求才艮文;根據(jù)所述ARP報文的源信息創(chuàng)建ARP表項,并標記所述ARP表項為未完成狀態(tài)。
      7、 如權(quán)利要求6所述的方法,其特征在于,當識別所述ARP才艮文為ARP請求報文時,所述根據(jù)接收到的ARP報文的第一信息,4企測預存的至少一個ARP表項中是否存在包含相同第一信息的ARP表項之后,還包括當存在所述ARP表項時,判斷所述ARP表項是否為接入網(wǎng)關ARP表項或代理ARP表項;ARP報文;當所述ARP表項是網(wǎng)關ARP表項或代理ARP表項時,判斷所述ARP表項的第二信息是否與所述ARP報文的第二信息相同。
      8、 如權(quán)利要求1或2所述的方法,其特征在于,當識別所述ARP報文為ARP請求報文,且所述ARP表項的第二信息與所述ARP報文的第二信息不同時,記錄攻擊日志之后,還包括向所述ARP報文的發(fā)送方返回ARP響應報文;向所述ARP報文的發(fā)送方發(fā)送第二 ARP請求才艮文;才艮據(jù)所述ARP報文的源信息創(chuàng)建ARP表項,并標記所述ARP表項為未完成狀態(tài)。
      9、 如權(quán)利要求1或2所述的方法,其特征在于,當識別所述ARP報文為ARP響應報文時,根據(jù)接收到的ARP報文的第一信息,檢測預存的至少一個ARP表項中是否存在包含相同第一信息的ARP表項之后,還包括當不存在所述ARP表項時,丟棄所述ARP報文。
      10、 如權(quán)利要求1或2所述的方法,其特征在于,當存在所述ARP表項時,判斷所述ARP表項的第二信息是否與所述ARP報文的第二信息相同之前,還包括當識別所述ARP報文為ARP響應報文時,判斷所述ARP表項的狀態(tài)是否為未完成狀態(tài);當所述ARP表項的狀態(tài)為未完成狀態(tài)時,標記所述ARP表項為完成狀態(tài);當所述ARP表項的狀態(tài)為完成狀態(tài)時,判斷所述ARP表項的第二信息是否與所述ARP報文的第二信息相同。
      11、 如權(quán)利要求l所述的方法,其特征在于,所述判斷ARP表項的第二信息是否與所述ARP報文的第二信息相同之后,還包括當所述ARP表項的第二信息與所述ARP報文的第二信息相同時,更新所述ARP表項的老化時間。
      12、 如權(quán)利要求1所述的方法,其特征在于,所述預存的至少一個ARP表項是根據(jù)認證服務器發(fā)送的至少一個用戶短的認證通過消息生成,所述認證服務器發(fā)送的至少一個用戶端的認證通過消息,具體通過以下步驟生成所述認證服務器接收所述至少一個用戶端通過認證客戶端發(fā)送的認證請求;所述認證服務器根據(jù)所述認證請求,對所述至少一個用戶端進行認證;當對所述至少一個用戶端認證通過時,向所述至少一個用戶端和所述至少一個用戶端所對應的接入網(wǎng)關發(fā)送認證通過消息,所述認證通過消息中包括所述至少一個用戶端的信息和所述至少一個用戶端所對應的接入網(wǎng)關的信白、
      13、 一種接入網(wǎng)關,其特征在于,包括接收模塊,用于接收ARP報文;第一檢測模塊,根據(jù)所述接收模塊所接收到的ARP報文的第一信息,檢測預存的至少 一個ARP表項中是否存在包含相同第 一信息的ARP表項;第一判斷模塊,用于當所述第一檢測模塊檢測到存在所述ARP表項時,判斷所述ARP表項中的第二信息是否與所述ARP報文的第二信息相同;記錄模塊,用于當所述第一判斷模塊判斷所述ARP表項的第二信息與所述ARP報文的第二信息不同時,記錄攻擊曰志。
      14、 如權(quán)利要求13所述的接入網(wǎng)關,其特征在于,還包括識別模塊,用于識別所述接收模塊所接收的ARP報文的報文類型;第二檢測模塊,用于根據(jù)所述識別模塊的報文類型識別結(jié)果,檢測所述接收模塊所接收的ARP報文是否符合預設的安全規(guī)則;丟棄模塊,用于當所述第二檢測模塊檢測到所述ARP報文不符合所述預設的安全規(guī)則時,丟棄所述ARP報文。
      15、 如權(quán)利要求14所述的接入網(wǎng)關,其特征在于,還包括反向請求模塊,用于向所述ARP報文的發(fā)送方返回ARP響應報文,并向所述ARP報文的發(fā)送方發(fā)送第二 ARP請求報文;表項處理模塊,用于在所述反向請求模塊向所述ARP報文的發(fā)送方發(fā)送第二ARP請求報文時,根據(jù)所述ARP報文的源信息創(chuàng)建ARP表項,并標記所述ARP表項為未完成狀態(tài),并在接收到所述第二 ARP請求報文對應的第二ARP響應報文時,標記所述ARP表項為完成狀態(tài)。
      16、 如權(quán)利要求14所述的接入網(wǎng)關,其特征在于,還包括第二判斷模塊,用于當所述識別模塊識別所述ARP報文為ARP請求報文,且所述第一檢測模塊檢測存在所述ARP表項時,判斷所述ARP表項是否為網(wǎng)關ARP表項或代理ARP表項,當所述第二判斷模塊的判斷結(jié)果為是時,將所述ARP報文轉(zhuǎn)發(fā)給所述第 一判斷模塊進行處理,當所述第二判斷模塊的判斷結(jié)果為否時,將所述ARP報文轉(zhuǎn)發(fā)給所述丟棄模塊進行處理。
      17、 如權(quán)利要求14所述的接入網(wǎng)關,其特征在于,還包括第三判斷模塊,用于當所述識別模塊識別所述ARP報文為ARP響應報文,且所述第一檢測模塊檢測存在所述ARP表項時,判斷所述ARP表項的狀態(tài)是否為未完成狀態(tài),當所述第三判斷模塊的判斷結(jié)果為是時,將所述ARP報文轉(zhuǎn)發(fā)給所述第一判斷模塊進行處理,當所述第三判斷模塊的判斷結(jié)果為否時,將所述ARP報文轉(zhuǎn)發(fā)給狀態(tài)標記模塊進行處理;所述狀態(tài)標記模塊,用于根據(jù)所述第三判斷模塊的判斷結(jié)果對ARP表項進4亍狀態(tài)標i己處理。
      18、 如權(quán)利要求14所述的接入網(wǎng)關,其特征在于,還包括更新模塊,用于當所述第 一判斷模塊判斷所述ARP表項的第二信息與所述ARP報文的第二信息相同時,更新所述ARP表項的老化時間。
      19、 如權(quán)利要求13、 14或15所述的接入網(wǎng)關,其特征在于,所述丟棄模塊,還用于當所述笫 一檢測模塊檢測到不存在所述ARP表項時,丟棄所述ARP纟艮文;所述接收模塊,還用于接收認證服務器發(fā)送的至少一個用戶端的認證通過消息,或接收所述認證服務器發(fā)送的至少一個用戶端的下線通知消息;所述表項處理才莫塊,還用于根據(jù)所述接收模塊接收到的認證通過消息中所包括的至少一個用戶端的信息,生成所述至少一個ARP表項,或根據(jù)所述接收模塊接收到的至少一個用戶端的下線通知消息,刪除所述至少一個用戶端所對應的至少 一個ARP表項。
      20、 一種ARP攻擊防范方法,其特征在于,包括以下步驟當接收到的ARP報文的發(fā)送方的第 一地址為接入網(wǎng)關的第 一地址時,檢測所述發(fā)送方的第二地址是否與預存的接入網(wǎng)關第二地址相同;當所述ARP報文的發(fā)送方的第二地址與所述預存的接入網(wǎng)關第二地址不同時,丟棄所述ARP沖艮文。
      21、 如權(quán)利要求20所述的方法,其特征在于,還包括當所述ARP報文的發(fā)送方的第二地址與所述預存的接入網(wǎng)關第二地址相同時,向所述ARP報文的目的地址轉(zhuǎn)發(fā)所述ARP報文。
      22、 如權(quán)利要求20或21所述的方法,其特征在于,當所述第一地址為IP地址時,所述第二地址為MAC地址;當所述第 一地址為MAC地址時,所述第二地址為IP地址。
      23、 一種交換機,其特征在于,包括接收模塊,用于接收ARP報文;檢測模塊,用于當所述接收模塊所接收到的ARP報文的發(fā)送方的第 一地址為接入網(wǎng)關的第 一地址時,檢測所述發(fā)送方的第二地址是否與預存的接入網(wǎng)關第二地址相同;丟棄模塊,用于當所述檢測模塊檢測到所述ARP報文的發(fā)送方的第二地址與所述預存的接入網(wǎng)關第二地址不同時,丟棄所述ARP報文。
      24、 如權(quán)利要求23所述的交換機,其特征在于,還包括轉(zhuǎn)發(fā)模塊,用于當所述檢測模塊檢測到所述ARP報文的發(fā)送方的第二地址與所述預存的接入網(wǎng)關第二地址相同時,向所述ARP報文的目的地址轉(zhuǎn)發(fā)所述ARP^艮文。
      25、 一種通信網(wǎng)絡,其特征在于,包括交換機、接入網(wǎng)關和認證服務器所述交換機,用于當用戶端通過第一信息和/或第二信息向所述服務器認證通過時,根據(jù)所述用戶端對應的接入網(wǎng)關的信息,生成檢驗表項,并根據(jù)所述檢驗表項過濾接收到的ARP報文;所述接入網(wǎng)關,用于當所述用戶端認證通過時,接收所述認證服務器發(fā)送的認證通過消息,并根據(jù)所述用戶端的信息保存相對應的ARP表項,并根據(jù)所述ARP表項過濾接收到的ARP報文;所述認證服務器,用于對所述用戶端進行認證,并在認證成功后,將所述用戶端的信息通過認證通過消息發(fā)送給所述接入網(wǎng)關。
      26、 如權(quán)利要求25所述的通信網(wǎng)絡,其特征在于,所述接入網(wǎng)關,還用于識別接收到的ARP報文的類型,并根據(jù)所述ARP報文的類型識別結(jié)果,對所述ARP報文進行處理;當判斷所述ARP表項與所述接收到的ARP報文中的信息不一致時,所述接入網(wǎng)關還用于丟棄所述ARP才艮文,并記錄攻擊日志。
      全文摘要
      本發(fā)明實施例公開了一種ARP攻擊防范方法、設備和通信網(wǎng)絡,所述方法包括以下步驟接收ARP報文,根據(jù)所述ARP報文的第一信息,檢測預存的至少一個ARP表項中是否存在包含相同第一信息的ARP表項;當存在所述ARP表項時,判斷所述ARP表項的第二信息是否與所述ARP報文的第二信息相同;當所述ARP表項的第二信息與所述ARP報文的第二信息不同時,丟棄所述ARP報文,并記錄攻擊日志。通過應用本發(fā)明的技術(shù)方案,實現(xiàn)了根據(jù)至少包括第一信息和第二信息的認證信息對ARP報文進行多重過濾,防御ARP攻擊,不需要進行人工維護,達到了降低網(wǎng)絡維護難度,提高網(wǎng)絡安全性的效果。
      文檔編號H04L29/06GK101488951SQ200810191760
      公開日2009年7月22日 申請日期2008年12月31日 優(yōu)先權(quán)日2008年12月31日
      發(fā)明者勝 王, 章海剛 申請人:成都市華為賽門鐵克科技有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1