专利名称:防范利用arp进行网络攻击的方法、客户端、服务器及系统的制作方法
技术领域:
本发明涉及网络技术领域,尤其涉及防范利用地址解析协议(Address Resolution Protocol,简称ARP)进行网络攻击的方法、客户端、服务器及系统。
背景技术:
在以太网中,使用逻辑地址(一般为IP地址)在网络层面进行设备标 识,使用物理地址(一般为MAC (媒体接入控制)地址)在物理层面进行 设备标识;而为了实现不同设备之间的通信,需要通过ARP将IP地址解析 为MAC地址实现。由于ARP协议设计之初并未考虑安全层面的问题,没有对协议应用对 象采取任何认证等安全措施,因此很容易被用来进行网络攻击。比较常见的 网络攻击包括伪造其他用户IP地址的ARP,以篡改网关设备ARP缓存中 的用户ARP记录,使网关与该用户的通信失败;伪造网关IP地址的ARP 报文,以篡改网络内其他用户ARP缓存中的网关ARP记录,使其他用户与 网关的通信失败;以及,ARP扫描攻击,通过发送大量不同IP的ARP报文, 使网络设备ARP缓存达到最大规格,不能进行新ARP记录的学习;等等。 当ARP被利用进行网络攻击时,不仅可以导致其他用户与网关通信失败, 更严重的是会导致通信重定向,使所有的数据都会通过攻击者的主机,因此 存在极大的安全隐患;而且,上述ARP攻击往往被结合使用, 一般不会针 对性的攻击某一台机器,而是针对整个局域网,可以在很短的时间内使整个 网络瘫痪。鉴于利用ARP进行网络攻击的危害巨大,因此急需有效的技术手段加 以解决。目前,所广泛采用的解决方案为双向绑定方案,通过用户在主机上 绑定安全网关的IP和MAC地址,以及通过管理员在安全网关上绑定用户主 机的IP和MAC地址实现。其中,用户在主机上绑定安全网关的IP和MAC
地址包括(1)获得安全网关的内网MAC地址,例如,对于IP地址为192.168.16.254的内网网关,获得其MAC地址为0022aa0022aa; (2)编 写一个批处理文件arp.bat内容如下@6cho offarp -darp-s 192.168.16.254 00-22-aa-00-22-aa当然在实际使用中,用户需要将上述文件中的网关IP地址和MAC地址 更改为实际使用的网关IP地址和MAC地址;(3)将这个批处理软件拖到 "windows—开始一程序一启动"中,使主机每一次重新启动后都会进行上述 静态设置。管理员在安全网关上绑定用户主机的IP和MAC地址包括通过 交换机端口和MAC地址绑定,限制含有非法MAC地址的帧通过。可以看出,双向绑定方案是针对单独个体进行预防的,不但对管理员要 求较高,对主机用户的要求也较高,需要主机用户具备一定的计算机基础; 同时,配置工作量大,且当用户IP地址发生变更时,还需要进行网关绑定 的同步,灵活性低。因此,双向绑定方案实施难度大,且难以满足不同应用 环境下防ARP攻击的需求。此外,在双向绑定方案中,对于中毒主机的确定是利用抓包工具监听网 络中的数据报文,如果发现大量的ARP请求报文或者ARP响应报文从某一 台主机发出,那么这台主机就极有可能中毒。但是,双向绑定方案下定位中 毒主机后,由于无法借助远程管理软件等解决,因此还存在依赖管理员现场 手工隔离中毒主机的缺陷,增加了管理员的工作量。发明内容本发明为了克服上述现有技术的缺陷,提供了一种防范利用ARP进行 网络攻击的技术方案,以实现简单、灵活、有效地防范ARP攻击的目的。为实现上述目的,本发明的实施例提供了一种防范利用ARP进行网 络攻击的方法,应用于用户本地主机上,与网络中的服务器配合防范ARP 攻击,包括以下步骤A1-1、向服务器发起获取网关地址列表的请求,该网关地址列表用 于记录网关IP地址和对应的MAC地址;A1-2、收到服务器响应的网关地址列表后,对该网关地址列表加以保存;A1-3、使用该网关地址列表,更新本地主机的ARP缓存。 本发明的实施例还提供了一种防范利用ARP进行网络攻击的方法, 应用于服务器上,与网络中的用户主机配合防范ARP攻击,包括以下步骤A2-1、在服务器预设的网关地址列表中记录网关IP地址和对应的 MAC地址;A2-2、当接收到用户主机获取网关地址列表的请求时,将该预设的 网关地址列表下发给用户主机,供其进行ARP缓存的更新。本发明的实施例还提供了一种防范利用ARP进行网络攻击的客户 端,应用于包括用户主机、服务器和网关的网络,其特征在于,该客户 端应用于用户主机上,包括网关地址列表请求单元,用于向该服务器 发起网关地址列表请求或身份认证请求,并在收到该服务器响应的网关 地址列表后加以保存;该网关地址列表用于记录网关IP地址和对应的 MAC地址;ARP更新单元,用以使用所保存的网关地址列表更新本地主 机的ARP缓存。本发明的实施例还提供了一种防范利用ARP进行网络攻击的服务 器,应用于包括用户主机和网关的网络,该服务器包括网关地址列表 单元,用于在预设的网关地址列表中记录网关IP地址和对应的MAC地 址;网关地址列表发送单元,用于根据用户主机获取网关地址列表的请 求,将预设的网关地址列表发送给用户主机,供其进行ARP缓存的更新。本发明的实施例还提供了一种防范利用ARP进行网络攻击的系统, 包括如权利要求12-16所述的客户端,以及如权利要求17-20所述的服 务器°由上述技术方案可知,本发明通过记录正确的网关IP地址和对应的 MAC地址,实现用户主机ARP缓存中网关地址自动更新,具有以下有 益效果1、无需对主机个体逐一进行设置,简化了在主机绑定安全网关的IP和 MAC地址的操作,降低了对主机用户的要求,并减少了配置工作量,易于
实现;2、无需随着网关地址的变更进行主机个体绑定关系的逐一更新,提高 了灵活性和ARP攻击防护的有效性。下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
图1为本发明所提供的一种防范利用ARP进行网络攻击的方法实施例1 的流程图;图2为本发明所提供的一种防范利用ARP进行网络攻击的方法实施例2 的流程图;图3为图1或图2所示实施例中,进行用户主机IP地址和MAC地址网关固化操作的实施例的流程图;图4为图1或图2所示实施例中,对用户主机进行异常流量监控的实施 例的流程图;图5为本发明所提供的另一种防范利用ARP进行网络攻击的方法实施 例1的流程图;图6为图5所示实施例中,进行用户主机认证的实施例的流程图;图7为图5所示实施例中,进行用户主机IP地址和MAC地址网关固化操作的实施例的流程图;图8为图5所示实施例中,对用户主机进行异常流量监控的实施例的流程图;图9为在服务器-客户端结构下, 一种防范利用ARP进行网络攻击方法 的具体实施例的流程图;图10为图9所示实施例中,进行用户主机认证的实施例的流程图;图11为图9所示实施例中,进行用户主机IP地址和MAC地址网关固 化操作的实施例的流程图;图12为图9所示实施例中,对用户主机进行异常流量监控的实施例的 流程图;图13为本发明所提供的防范利用ARP进行网络攻击的客户端实施例1 的框图14为本发明所提供的防范利用ARP进行网络攻击的客户端实施例2 的框图;图15为本发明所提供的防范利用ARP进行网络攻击的服务器实施例1 的框图;图16为本发明所提供的防范利用ARP进行网络攻击的服务器实施例2 的框图;图17本发明所提供的防范利用ARP进行网络攻击的系统一具体实施例 的框图;图18为图17所示系统进行本地主机ARP列表设置的处理示意图; 图19为图17所示系统进行网关固化操作的处理示意图; 图20为图17所示系统进行流量异常监控的处理示意图。
具体实施方式
为了有效遏制局域网中ARP病毒的泛滥,简单、灵活的防范ARP网络 攻击,本发明的实施例提供了防御ARP欺骗的技术方案。一般情况下,网络中ARP攻击的行为中,70%-80%是通过伪造网关地 址的ARP报文,由于其针对的是整个局域网,因此影响面广且危害较大。 现有技术对此的处理手段需要用户分别在主机上进行网关地址的绑定,对用 户的技术要求高,配置工作量大,且灵活性低。本发明所提供的一种防范利 用ARP进行网络攻击的方法实施例1,应用于用户本地主机上,与网络中的 服务器配合防范ARP攻击, 一般来说,可以通过设置在用户主机的客户端 实现。其中,所谓客户端,既可以采用安装在用户主机中的客户端软件实现, 也可以采用主机外接硬件模块,如插入用户主机主板或者外界接口的功能卡 形式实现,每一个客户端与一台用户主机对应。如图1所示,本实施例1包括以下步骤A1-1、向服务器发起获取网关地址列表的请求,该网关地址列表用 于记录网关IP地址和对应的MAC地址;其中,向服务器发起获取网关地址列表的请求包括向服务器发起网 关地址列表请求或身份认证请求。对于网关地址列表请求,服务器可以 直接发送网关地址列表;而对于身份认证请求,服务器需要进行用户主
机的身份认证操作,对于认证成功的用户主机下发网关地址列表。A1-2、收到服务器响应的网关地址列表后,对所述网关地址列表加以保存;A1-3、使用所述网关地址列表,更新本地主机的ARP缓存。 可以看出,通过从服务器获取的网关地址列表进行用户主机的ARP缓 存更新,只要服务器中记录的网关地址列表信息正确,就能够保证用户主机 ARP缓存中网关地址数据的正确性,而在服务器中实现对正确网关地址的记 录,对于本领域普通技术人员来说,是容易实现的。在更新时机的选择上,较佳的实施方式为按照该网关地址列表周期性更 新本地主机的ARP缓存当到达预设周期时,无论当前本地主机的ARP缓 存是何种状态,均按照该网关地址列表更新本地主机的ARP缓存,以保证 本地主机ARP缓存中网关地址数据的正确性。具体的,该周期可以设定为 常见ARP攻击的刷新周期,比如1s,从而及时对两次更新之间ARP被篡改 的情况进行纠正。但是,通过网关地址列表更新用户主机的ARP缓存的时机并不局限于 周期性更新,比如,当检测发现ARP缓存中网关地址数据被修改后主动使 用网关地址列表进行更新,同样可以保证当用户主机査询ARP缓存以获取 到达网关的路径时,能够获得正确的网关地址数据,从而对ARP攻击进行 防范,避免了网关ARP信息被篡改所导致的灾难性后果。通过上述实施例1的技术方案,由于用户主机ARP缓存的更新不需要 主机用户的人工参与,因此不再要求用户具有一定的网络和计算机知识,也 不再需要用户进行程序的配置,简便易行。进一步的,当网关地址发生变化 时,只需要更改网关地址列表上对应的记录,即可实现全部用户主机更新获 得更改后的正确地址,灵活快捷。一般来说,从服务器所获得的网关地址列表中记录的都是正确的网关地 址,但在管理员配置不当时,也可能导致本地网关IP不在预设的网关地址 列表范围内,这时采用错误的网关地址列表进行刷新,将导致主机寻址不到 网关。因此,较佳的实施方式如图2所示,为本发明所提供的一种防范利用 ARP进行网络攻击的方法实施例2,在实施例1的基础上,步骤A1-3包括A1-3-1、获取本地主机内网网关IP;A1-3-2、检査所述网关地址列表中是否存在与所述内网网关IP匹配 的列表项;A1-3-3、是则,使用所述匹配的列表项更新本地主机的ARP缓存; A1-3-4、否则,重新执行步骤A1-1。在本实施例2中,重新执行步骤A1-1能够获取新的网关地址列表。当 在预定时间内始终没有匹配上,则向服务器报警。管理员可以根据警报检查 网关地址列表的配置情况。或者,出现不存在与所述内网网关IP匹配的列表项的情况,也可能是 用户的动态主机配置协议(Dynamic Host Configuration Protocol,简称 DHCP)请求没有得到正确的网关回应,导致本地网关IP不在服务器下发的 ARP列表范围内。为了克服这一问题,步骤A1-3-4也可以采取重新执行步 骤A1-3-1来重新获取内网网关地址。较佳的实施方式可以采取如下操作当歩骤A1-3-2未发现匹配列表项 时,首先通过DHCP请求重新一次或者多次获取内网网关地址;如果重新获 取的内网网关地址始终无法匹配,则重新一次或者多次重新获取网关地址列 表;如果重新获取的网关地址列表还是无法匹配,则向服务器进行报警。总的来说,通过使用内网网关的IP地址匹配网关地址列表,可在ARP 缓存中针对性更新需要的地址,降低了更新数量。上述实施例1或2是从在ARP缓存自动更新网关地址的角度加以改进, 而对于网关的设置,仍可以按照现有技术中双向绑定的方案,由管理员执行 相应绑定操作;或者,可以在实施例1或2的基础上,通过下述操作实现对 于网关的相应设置,如图3所示,包括C1-1、获取本地主机的IP地址和MAC地址;C1-2、将本地主机的IP地址和MAC地址发送给服务器,供服务器进行 相应IP地址和MAC地址的网关固化操作。本步骤C1-1和C1-2与实施例1或2的步骤不存在严格的时序关系;比 如,可以发生在步骤A1-1的同时,即向服务器发起获取网关地址列表的请 求的同时,就将本地主机的IP地址和MAC地址上报给服务器;或者,也可 以发生在接收到服务器响应的网关地址列表之后。无论步骤C1-1和C1-2与实施例1或2步骤的时序关系如何,都在自动
更新用户主机ARP缓存的基础上,对于篡改网关设备ARP缓存中的用户 ARP记录行为提供了一种防范方案,不但有效防范了伪造网关地址的ARP 报文攻击网络的情况,还有效防范了伪造用户地址进行网络攻击的情况,因 此从用户主机和网关设备两个方面综合避免ARP病毒的大规模爆发。由于 是用户主机主动上报,因此无需管理员进行网关侧的绑定,也无需管理员在 用户终端的地址发生改变时进行手动绑定调整,因此,进一步提高了简便性 和灵活性,有效实现了对ARP攻击的遏制。进一歩的,如果用户主机是ARP攻击源,其ARP信息可能不断改变而 无法跟踪,但由于该主机会不断地向网络中发送ARP请求或者回应报文来 影响其它主机,因此通过检测用户主机ARP流量异常的情况,就能够及时 发现中毒主机,因此在实施例1或实施例2的基础上,本发明还提供了对用 户主机进行异常流量监控的实施例,其流程图如图4所示,包括D1-1、监控本地主机的ARP流量,主要监控二层广播报文流量;下面通过一个具体的实施例来说明对于本地主机ARP流量的监控, 包括根据流量异常监控项,周期性计算流经网卡的流量;其中,该流量 异常监控项可为服务器下发,包括ARP广播报文告警流量阈值和流量 统计时长;流量阈值分为两种,包括ARP广播报文告警流量阈值NU1 和ARP广播报文告警流量阈值NU2。计算公式如下cFlow = cFlowEnd _ cFlowStart ;其中CFIOW为网卡流量;cFlowEnd:统计周期结束时间点,网卡流量信息; cFlowStart:统计周期开始时间点,网卡流量信息。 D1-2、当超过预设的流量阈值时,向服务器进行报警;比如上报流 里《曰息;D1-3、根据服务器对报警的响应,对本地主机进行相应处理。 在本实施例中,该相应处理包括告警终端用户或者强制用户下线等。 比如,当监控本地主机的ARP流量超过预设的第一流量阈值NU1时, 客户端根据所述服务器返回的指令对本地主机报警;当监控本地主机的 ARP流量超过预设的第二流量阈值NU2时,客户端根据所述服务器指
令,向主机发送下线报文,断开本地主机的网络连接。可以看出,通过执行本步骤D1-1至步骤D1-3,通过对用户主机异常流 量的监控,能够进一步提高网络安全性能够实现对用户主机的强制下线处理,不再需要管理员现场操作来终止中毒主机对网络的攻击行为;同时,由 于能够迅速对本地主机进行强制处理,因此即使用户中了 ARP病毒,也不 会对局域网内其它用户造成破坏;以及,在监控ARP病毒爆发的同时,还 可以有效控制其它病毒的爆发和广播风暴的发生。综上所述,通过上述图1-图4所示实施例,提供了一种适用于用户 主机的方法,能够简单、灵活、有效地防范利用ARP进行网络攻击的行为。同时,本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,所述的程序可以存储 于一计算机可读取存储介质中,应用于用户本地主机上,与网络中的服务器配合防范ARP攻击,该程序在执行时,包括如下歩骤A1-1、向服务器发起获取网关地址列表的请求,所述网关地址列表 用于记录网关IP地址和对应的MAC地址;A1-2、收到服务器响应的网关地址列表后,对所述网关地址列表加 以保存;A1-3、使用所述网关地址列表,更新本地主机的ARP缓存。 所述的存储介质包括ROM/RAM、磁碟或者光盘等。 本发明还提供了一种防范利用ARP进行网络攻击的方法,其实施例1如图5所示,应用于服务器上,与网络中的用户主机配合防范ARP攻击,包括以下步骤A2-1、在服务器预设的网关地址列表中记录网关IP地址和对应的 MAC地址;其中,由于每个局域网的网关IP和MAC都不确定,系统很难自动学习 和区分,因此,在服务器中预设网关地址列表的步骤一般由管理员手动操作 完成,即由管理员在管理服务器上设置网关IP、 MAC对应列表,且随着网 关情况的变化,随时进行更新调整,以保证该网关列表的正确性;而且,在 该列表中所记录局域网的网关地址可以为多个。A2-2、当接收到用户主机获取网关地址列表的请求时,将预设的网关地 址列表下发给用户主机,供其进行ARP缓存的更新,该更新优选为周期性更新。其中,接收到用户主机获取网关地址列表的请求包括两种情况 一种情况是,接收到用户主机发出的网关地址列表请求。在这种情况下,服务器只需要根据该请求直接返回预设的网关地址列表即可。另一种情况是,接收到用户主机发出的身份认证请求。在这种情况下,需要进行用户主机的身份认证,以进一步提高网络安全性,其实施例如图6所示,步骤A2-2包括A2-2-1、接收到用户主机的身份认证请求, 一般来说,该请求中携 带有用户主机的用户名和密码;A2-2-2、对所述用户主机进行认证;A2-2-3、认证通过,将预设的网关地址列表下发给用户主机,供其 进行ARP缓存的更新;A2-2-4、认证不通过,返回认证失败报文,拒绝下发预设的网关地址列表。可以看出,通过本实施例1的上述步骤A2-1至A2-2,实现了对用户主 机ARP缓存中网关正确地址的更新,避免了网关ARP信息被篡改所导致的 灾难性后果。同时,由于用户主机ARP缓存的更新是通过服务器自动下发 的,不需要主机用户的人工参与,因此不再要求用户具有一定的网络和计算 机知识,也不再需要用户进行程序的配置,简便易行。进一步的,当网关地 址发生变化时,只需要更改服务器上对应的记录即可,避免了用户手动修改 的时间滞后,灵活快捷。与本发明所提供的前一种防范利用ARP进行网络攻击的方法类似,本 实施例同样可以通过网关地址固化实现双向绑定,通过对用户主机的异常流 量监控进一歩增强网络安全性。具体的,如图7所示,为进行用户主机IP 地址和MAC地址网关固化操作的实施例的流程图,包括C2-1、接收到所述用户主机的IP地址和MAC地址;C2-2、检查所述用户主机是否通过认证,是则执行步骤C2-3,否则 丢弃所述IP地址和MAC地址;之所以要进行认证检验,是为了增加安全性,使该绑定操作基于已
认证通过的客户端进行。C2-3、将所述IP地址和MAC地址同步给所述网关地址列表上的网关, 指令所述网关在ARP缓存中固化所述IP地址和MAC地址。需要指出,由于网关的存储空间较大,因此在本步骤C2-3中采用的 是将IP地址和MAC地址同步给所述网关地址列表上的全部网关;如果 从节约空间的角度来考虑,也可以采用将IP地址和MAC地址同步给用 户主机对应网关。另外,具体的固化过程可以按下述操作进行在网关的ARP列表中, 指令网关设备软件对待固化ARP进行标识,并使其拒绝除老化或者可靠服 务器通知之外的任何修改请求。图8所示,则为对用户主机进行异常流量监控的实施例的流程图,包括:D2-1、向用户主机下发流量异常监控项,供所述用户主机进行ARP 流量的监控;举例来说,下发的ARP流量异常监控项可以包括ARP广播报文 告警流量阈值和流量统计时长;技术人员可以根据实际处理需要,设置 所需的监控项。D2-2、当收到所述用户主机的超过预设流量阈值的报警时,定位异 常主机;D2-3、向所述异常主机下发处理指令,供其进行相应处理。 综上所述,通过上述图5-图8所示实施例,提供了一种适用于服务 器的方法,能够简单、灵活、有效地防范利用ARP进行网络攻击的行为。 同时,本领域普通技术人员可以理解实现上述方法实施例的全部或部 分步骤可以通过程序指令相关的硬件来完成,所述的程序可以存储于一 计算机可读取存储介质中,应用于用户本地主机上,与网络中的服务器 配合防范ARP攻击,该程序在执行时,包括如下步骤A2-1、在服务器预设的网关地址列表中记录网关IP地址和对应的 MAC地址;A2-2、当接收到用户主机获取网关地址列表的请求时,将所述预设的网 关地址列表下发给用户主机,供其进行ARP缓存的更新。 所述的存储介质包括ROM/RAM 、磁碟或者光盘等。
综合上述提供的两种方法可以看出,本发明的方法同样能够适用于服务器-客户端联合联合防御和共同协作,如图9所示,为在服务器-客户端结构 下, 一种防范利用ARP进行网络攻击方法的具体实施例的流程图,包括以下歩骤A3-1、 一客户端向服务器发起获取网关地址列表的请求;A3-2、所述服务器将预设的网关地址列表发送给所述客户端;.A3-3、所述客户端使用所述网关地址列表,更新本地主机的ARP缓存。可以看出,服务器应客户端的请求下发预设的网关地址列表,并由 客户端进行本地主机的刷新,将能够屏蔽ARP攻击对于本地主机ARP 缓存的篡改,保证本地主机的报文得以发送给正确的网关。为了提高安全性,步骤A3-2之前还包括所述服务器对所述客户端进 行认证的步骤。其一具体实施例如图10所示,A3-2包括以下步骤 A3-2-1、客户端向服务器上报用户名、密码,请求认证; A3-2-2、服务器根据该认证请求,对该用户名和密码执行校验; A3-2-3、校验通过,则执行步骤A3-2-4,否则执行步骤A3-2-5; A3-24、服务器向客户端返回认证成功报文,并在该报文中携带网关地 址列表;A3-2-5、校验失败,服务器向客户端返回认证失败报文,拒绝下发 预设的网关地址列表。同样的,服务器-客户端结构下,也可以实现在网关进行用户主机IP 地址和MAC地址的绑定操作;特别是,为了增加安全性,该绑定操作应 该对已认证通过的客户端进行。具体步骤如图11所示,包括C3-1 、所述客户端通过DHCP获取本地主机的IP地址和MAC地址, 并发送给所述服务器;C3-2、所述服务器检查所述用户主机是否通过认证,是则执行步骤 C3-3,否则丢弃所述IP地址和MAC地址;C3-3、将所述IP地址和MAC地址同步给所述网关地址列表上的网关;C3-4、服务器指令所述网关将所述IP地址和MAC地址'在ARP缓存
中固化。服务器-客户端结构下,可以实现对用户主机异常流量的协同监控, 如图12所示,包括以下歩骤D3-1、服务器向所述客户端下发流量异常监控项; D3-2、所述客户端监控本地主机的ARP流量,主要监控二层广播报 文流量;D3-3、当超过预设的流量阈值时,向所述服务器报警,比如上报流 里fe息;D3-4、所述服务器定位异常终端,并下发处理指令;D3-5、所述客户端根据所述服务器返回的指令,对本地主机进行相 应处理,包括告警终端用户或者强制用户下线等。可以看出,本服务器-客户端下防范利用ARP进行网络攻击的方法 的实施例,使服务器应客户端的请求下发预设的网关地址列表,并由客 户端进行本地主机的刷新,将能够屏蔽ARP攻击对于本地主机ARP缓 存的篡改,保证本地主机的报文得以发送给正确的网关。因此,通过服 务器和客户端的联合防御和共同协作,能够从根本上避免ARP病毒的大 规模爆发。本发明还提供了一种防范利用ARP进行网络攻击的客户端200,应 用于包括用户主机400、服务器100和网关300的网络中,且该客户端 200对用户主机400进行监控,与用户主机400 —一对应。其实施例1 如图13所示,包括网关地址列表请求单元201,用于向所述服务器100发起网关地址 列表请求或身份认证请求,并在收到所述服务器100响应的网关地址列 表后加以保存;该网关地址列表用于记录网关IP地址和对应的MAC地 址;ARP更新单元202,用以使用上述保存的网关地址列表更新本地主 机400的ARP缓存。通过上述装置,能够实现用户主机400中网关地址的更新较佳的, 这种更新可以周期性的发生,比如1秒钟进行一次更新;由于1秒为常 见ARP攻击的刷新周期,因而以该周期进行主动更新,能够及时对两次
更新之间ARP缓存被篡改的情况进行纠正。为了实现这一目的,防范利用ARP进行网络攻击的客户端的实施例2如图14所示,该客户端还包 括定时器203,用于周期性触发ARP更新单元202。可以看出,通过上述实施例1或实施例2提供的客户端,能够实现 在用户主机自动更新正确的网关地址,实现了用户主机400ARP缓存的 自动配置,简便、灵活的对ARP攻击加以防.范。较佳的,图14所示的实施例2还提供了在网关侧绑定用户主机地址 的技术方案,即还包括主机地址上报单元204,用于获取本地主机400 的IP地址和MAC地址,并发送给所述服务器100,供其进行相应IP地 址和MAC地址的网关固化操作。进一歩的,为了全方位的实现ARP攻击防御,实施例2所示客户端 200还可进一步包括监控报警单元205和监控处理单元206,其中,监 控报警单元205用于监控本地主机400的ARP流量,并在超过预设的流 量阈值的情况下,向服务器100进行报警;监控处理单元206用于根据 服务器100对报警的响应,对本地主机400进行相应处理。更佳的,为 了保证ARP缓存更新内容的正确性,所述客户端200还可以包括内网网关IP获取单元207,用于获取本地主机400内网网关IP;网关IP匹配单元208,用于检査网关地址列表请求单元201保存的 网关地址列表是否存在与所述内网网关IP匹配的列表项,存在则触发所 述ARP更新单元202。对由于网关地址列表本身存在问题,或者获取的内网网关IP存在问 题的情况,将无法匹配到合适的列表项,则此时,网关IP匹配单元208 将相应触发内网网关IP获取单元207,通过DHCP协议重新获取内网网 关IP;以及,在多次获取内网网关IP仍不匹配的情况下,触发网关地址 列表请求单元201重新获取网关地址列表,或者报警。通过上述图13和图14所示实施例,可以看出本发明所提供的防范 利用ARP进行网络攻击的客户端能够与预设有网关地址列表的服务器配 合,简单、灵活、有效地防范利用ARP进行网络攻击的行为。其中,预 设网关地址列表的服务器100可以由本领域普通技术人员根据公知技术 实现。
本发明还提供了一种防范利用ARP进行网络攻击的服务器100,应 用于包括用户主机400和网关300的网络,如图15所示,包括网关地址列表单元101,用于在预设的网关地址列表中记录网关IP 地址和对应的MAC地址;网关地址列表发送单元102,用于根据用户主机400获取网关地址 列表的请求,将预设的网关地址列表发送给用户主机400,供其进行ARP 缓存的更新。由于用户主机400获取网关地址列表的请求包括网关地址列表请求 或身份认证请求;则较佳的,服务器100还可包括认证单元103,如图 16所示,用于对用户主机400的身份认证请求进行认证,并根据认证成 功结果触发所述网关地址列表发送单元102。图16为本发明提供的防范利用ARP进行网络攻击的服务器100实 施例2的框图,其进一步可以包括主机地址固化单元104,用于接收用户主机400发送的IP地址和 MAC地址,并在所述用户主机400通过认证的情况下,同步给所述网关 地址列表上的网关300,指令所述网关300在ARP缓存中固化所述IP 地址和MAC地址,从而实现双向绑定。以及,监控指令单元105,用于向用户主机400下发流量异常监控 项,供所述用户主机400进行ARP流量的监控,以及收到用户主机400 的超过预设流量阈值的报警时,定位异常主机并向所述异常主机下发处 理指令,供其进行相应处理。通过上述图15和图16所示实施例,可以看出本发明所提供的防范 利用ARP进行网络攻击的服务器能够与用户主机配合,简单、灵活、有 效地防范利用ARP进行网络攻击的行为。其中,用户主机可以通过单独 设置的客户端进行与服务器的配合。较佳的,将上述提供的服务器和客户端结合起来,能够提供一种防 范利用ARP进行网络攻击的系统,其具体实施例框图如图17所示。参见图18,为本系统进行本地主机ARP列表设置的处理示意图,包括以下处理操作(1)客户端发起认证流程;(2) 认证成功,服务器返回管理员预设置的ARP列表;(3) 客户端发起并处理DHCP请求,获得网关的IP地址;(4) 客户端根据ARP列表,更新本地主机的ARP缓存。 参见图19,为本系统进行网关ARP固化的处理示意图,通过服务器、客户端和网关设备的协同处理,联合防御ARP欺骗,包括以下处理操作(1) 客户端发起认证流程;(2) 认证成功,服务器返回管理员预设置的ARP列表;(5) 客户端发起并处理DHCP请求,获得本地终端的IP地址和MAC地 址;(6) 客户端向服务器上报本地主机的IP+MAC;(7) 服务器向网关下发用户主机的IP+MAC;(8) 网关在ARP表中固化对应的IP+MAC。参见图20,为本系统进行主机异常流量监控的处理示意图,包括以下处理操作(9) 服务器向客户端下发流量异常监控项;(10) 客户端统计本地主机流量;(11) 当有流量异常时,客户端向服务器上报流量信息;(12) 服务器向客户端下发控制信息;(13) 客户端根据控制信息提示用户流量异常或是将用户强制下线。 综上所述,通过本发明所提供的防范利用ARP进行网络攻击的系统,能够在服务器上配置正确的ARP表,由客户端定时刷新,网关设备固化正 确的用户ARP表项以及客户端进行异常流量监控,即通过服务器、客户端 和网关三个环节的共同协作,自动完成了在网关和用户主机的双向绑定,灵 活、简便、有效的防范了网络ARP攻击。最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限 制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员 应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发 明技术方案的精神和范围。
权利要求
1.一种防范利用ARP进行网络攻击的方法,应用于用户本地主机上,与网络中的服务器配合防范ARP攻击,其特征在于,包括以下步骤A1-1、向服务器发起获取网关地址列表的请求,所述网关地址列表用于记录网关IP地址和对应的MAC地址;A1-2、收到服务器响应的网关地址列表后,对所述网关地址列表加以保存;A1-3、使用所述网关地址列表,更新本地主机的ARP缓存。
2. 根据权利要求1所述的防范利用ARP进行网络攻击的方法,其特 征在于,所述更新本地主机的ARP缓存为周期性更新用户主机的ARP缓存。
3. 根据权利要求1或2所述的防范利用ARP进行网络攻击的方法, 其特征在于,还包括C1-1、获取本地主机的IP地址和MAC地址;C1-2、将本地主机的IP地址和MAC地址发送给服务器,供服务器 进行相应IP地址和MAC地址的网关固化操作。
4. 根据权利要求1或2所述的防范利用ARP进行网络攻击的方法, 其特征在于,还包括D1-1、监控本地主机的ARP流量;D1-2、当超过预设的流量阈值时,向服务器进行报警;D1-3、根据服务器对报警的响应,对本地主机进行相应处理。
5. 根据权利要求4所述的防范利用ARP进行网络攻击的方法,其特 征在于,所述对本地主机进行相应处理包括当监控本地主机的ARP流量超过预设的第一流量阈值时,对本地主 机报警;当监控本地主机的ARP流量超过预设的第二流量阈值时,断开本地 主机的网络连接;其中,监控本地主机的ARP流量为监控本地主机的二层广播报文数。
6. 根据权利要求1或2所述的防范利用ARP进行网络攻击的方法, 其特征在于,歩骤A1-1中所述向服务器发起获取网关地址列表的请求包 括向服务器发起网关地址列表请求或身份认证请求。
7. 根据权利要求1或2所述的防范利用ARP进行网络攻击的方法, 其特征在于,所述步骤A1-3包括A1-3-1、获取本地主机内网网关IP;A1-3-2、检查所述网关地址列表中是否存在与所述内网网关IP匹配 的列表项;A1-3-3、是则,使用所述匹配的列表项更新本地主机的ARP缓存; 否则,重新执行步骤A1-1或步骤A1-3-1或向服务器报警。
8. —种防范利用ARP进行网络攻击的方法,应用于服务器上,与网 络中的用户主机配合防范ARP攻击,其特征在于,包括以下步骤A2-1、在服务器预设的网关地址列表中记录网关IP地址和对应的 MAC地址;A2-2、当接收到用户主机获取网关地址列表的请求时,将所述预设 的网关地址列表下发给用户主机,供其进行ARP缓存的更新。
9. 根据权利要求8所述的防范利用ARP进行网络攻击的方法,其特 征在于,所述接收到用户主机获取网关地址列表的请求包括接收到网关 地址列表请求或身份认证请求;对于接收到身份认证请求的情况,步骤 A2-2包括A2-2-1、接收到用户主机的身份认证请求; A2-2-2、对所述用户主机进行认证;A2-2-3、认证通过,将预设的网关地址列表下发给用户主机,供其 进行ARP缓存的更新;A2-2-4、认证不通过,拒绝下发预设的网关地址列表。
10. 根据权利要求9所述的防范利用ARP进行网络攻击的方法,其 特征在于,还包括C2-1、接收到所述用户主机的IP地址和MAC地址;C2-2、检查所述用户主机是否通过认证,是则执行步骤C2-3,否则丢弃所述IP地址和MAC地址;C2-3、将所述IP地址和MAC地址同歩给所述网关地址列表上的网关,指令所述网关在ARP缓存中固化所述IP地址和MAC地址。
11. 根据权利要求8或9所述的防范利用ARP进行网络攻击的方法,其特征在于,还包括D2-1、向用户主机下发流量异常监控项,供所述用户主机进行ARP流量的监控;D2-2、当收到所述用户主机的超过预设流量阈值的报警时,定位异 常主机;D2-3、向所述异常主机下发处理指令,供其进行相应处理。
12. —种防范利用ARP进行网络攻击的客户端,应用于包括用户主 机、服务器和网关的网络,其特征在于,所述客户端应用于用户主机上, 包括网关地址列表请求单元,用于向所述服务器发起网关地址列表请求 或身份认证请求,并在收到所述服务器响应的网关地址列表后加以保存; 所述网关地址列表用于记录网关IP地址和对应的MAC地址;ARP更新单元,用以使用上述保存的网关地址列表更新本地主机的 ARP缓存。
13. 根据权利要求12所述的防范利用ARP进行网络攻击的客户端, 其特征在于,还包括定时器,用于周期性触发所述ARP更新单元。
14. 根据权利要求12或13所述的防范利用ARP进行网络攻击的客 户端,其特征在于,还包括主机地址上报单元,用于获取本地主机的IP 地址和MAC地址,并发送给所述服务器,供其进行相应IP地址和MAC 地址的网关固化操作。
15. 根据权利要求12或13所述的防范利用ARP进行网络攻击的客 户端,其特征在于,还包括监控报警单元和监控处理单元;所述监控报警单元,用于监控本地主机的ARP流量,并在超过预设 的流量阈值的情况下,向所述服务器进行报警;所述监控处理单元,用于根据服务器对报警的响应,对本地主机进 行相应处理。
16. 根据权利要求12或13所述的防范利用ARP进行网络攻击的客户端,其特征在于,还包括内网网关IP获取单元,用于获取本地主机内网网关IP; 网关IP匹配单元,用于检査网关地址列表请求单元保存的网关地址列表是否存在与所述内网网关IP匹配的列表项,存在则触发所述ARP更新单元。
17. —种防范利用ARP进行网络攻击的服务器,应用于包括用户主 机和网关的网络,其特征在于,所述服务器包括网关地址列表单元,用于在预设的网关地址列表中记录网关IP地址 和对应的MAC地址;网关地址列表发送单元,用于根据用户主机获取网关地址列表的请 求,将预设的网关地址列表发送给用户主机,供其进行ARP缓存的更新。
18. 根据权利要求17所述的防范利用ARP进行网络攻击的服务器, 其特征在于,所述用户主机获取网关地址列表的请求包括网关地址列表 请求或身份认证请求;则所述服务器还包括认证单元,用于对用户主机 的身份认证请求进行认证,并根据认证成功结果触发所述网关地址列表 发送单元。
19. 根据权利要求18所述的防范利用ARP进行网络攻击的服务器, 其特征在于,还包括主机地址固化单元,用于接收用户主机发送的IP地 址和MAC地址,并在所述用户主机通过认证的情况下,同歩给所述网关 地址列表上的网关,指令所述网关在ARP缓存中固化所述IP地址和MAC地址。
20. 根据权利要求17所述的防范利用ARP进行网络攻击的服务器, 其特征在于,还包括监控指令单元,用于向用户主机下发流量异常监控 项,供所述用户主机进行ARP流量的监控,以及收到用户主机的超过预 设流量阈值的报警时,定位异常主机并向所述异常主机下发处理指令, 供其进行相应处理。
21. —种防范利用ARP进行网络攻击的系统,其特征在于包括如 权利要求12-16任一所述的客户端,以及如权利要求17-20任一所述的 服务器。
全文摘要
本发明公开了防范利用ARP进行网络攻击的方法以及应用该方法的客户端、服务器及系统。其中应用于客户端的方法包括向服务器发起获取网关地址列表的请求,该网关地址列表用于记录网关IP地址和对应的MAC地址;收到服务器响应的网关地址列表后,对该网关地址列表加以保存;使用该网关地址列表,更新本地主机的ARP缓存。应用于服务器的方法包括在服务器预设的网关地址列表中记录网关IP地址和对应的MAC地址;当接收到用户主机获取网关地址列表的请求时,将所述预设的网关地址列表下发给用户主机,供其进行ARP缓存的更新。通过本发明的技术方案,能够简单、灵活、有效地防范利用ARP进行网络攻击的行为。
文档编号H04L29/12GK101119371SQ20071012086
公开日2008年2月6日 申请日期2007年8月28日 优先权日2007年8月28日
发明者刘恒胜 申请人:杭州华三通信技术有限公司