防攻击信息通讯网络安全防御装置及系统的制作方法

专利名称：防攻击信息通讯网络安全防御装置及系统的制作方法
技术领域：
本发明属于网络安全防御领域，具体涉及一种通过对各终端发送的地 址解析协议请求报文进行特殊处理的防攻击信息通讯网络安全防御装置及 防雄卩系统。
背景技术：
以太网协议是由一组IEEE 802.3标准定义的局域网协议集。现已是 最为常用的局域网链路层协议。二层以太网交换机是基于链路层的物理地 址进行包交换的 一种设备。
IP协议是目前应用最为广泛的数据通信网络层协议标准。IP协议使用 32bit的IP地址来唯一标识设备，数据报文在网络层之上的传播都是基于 IP地址来完成寻址的。但IP地址仅仅对网络层有效，承载IP网络的石更件 设备并不依赖于IP地址来进行寻址。比如，以太网物理设备是使用唯一的 48bit以太网地址来识别硬件接口 ，在链路层中从不检查IP数据报中的目 的IP地址。在广播网络上，这两种地址形式之间的映射是由地址解析协议 完成的，该映射过程是自动完成的。
在实现地址解析协议的系统中，地址解析协议会动态生成并在一段时 间内保留IP地址和硬件地址之间的映射关系，在需要使用硬件地址的时 候，系统会以IP地址为唯一标识查找映射关系，所找到的映射关系中的硬 件地址就是在物理网络上传发报文所需的硬件可识别的地址。此种映射关 系的生成，依赖于地址解析协议的两种协议报文，地址解析协议请求和地 址解析协议应答。
当运行地址解析协议的系统没有能够找到所需要的IP地址和硬件地 址的映射关系时，该系统就会发送地址解析协议请求报文，请求所需要的 IP地址的硬件地址。发出请求的系统会将自己的IP地址和硬件地址对应 关系包含在这个报文中，并指明需要请求硬件地址的IP地址信息。此报文 在网络中以广播的方式广泛发送。根据通常的实现，任何一个接收到这个 地址解析协议请求"t艮文并运行地址解析协议的系统，都应该使用这个请求 报文中所包含的请求发送者的IP地址和硬件地址信息生成映射关系，如果 已经存在以这个IP地址为标识的映射关系，则应该使用此报文中的硬件地 址更新这个映射关系。
当某个运行地址解析协议的系统发现接收到的地址解析协议请求报 文中所指名的需要请求硬件地址的IP地址是自己的IP地址时，则会向请 求者发送地址解析协议应答报文。将自己的硬件地址通知请求者，这个报 文是单播方式发送的，当请求者接收到这个应答报文之后，就可以根据这 个应答"l艮文中包含的信息生成对应IP地址和硬件地址之间的映射关系。
地址解析协议正常运行的关键，是保证IP地址和硬件地址的映射关系 的正确性。运行地址解析协议的系统并不能主动发现映射关系是否错误， 如果生成了错误的映射关系，报文的发送者将会根据错误的硬件地址发送 报文，接收者无法收到报文，从而导致数据转发的中断，更为严重的是， 由于报文的发送者认为自己已经有了报文接收者的硬件地址，因此就不会 发送地址解析协议的请求报文来更新这个映射关系，这种错误的映射就会 在一定时间内 一直保持，直到涉及报文发送的双方发送了地址解析协议报 文才有可能的被纠正，这会严重影响数据网络的使用。
针对地址解析协议的这个弱点，恶意的攻击者可以通过伪造地址解析 协议应答报文的方法来实现对运行地址解析协议的网络的攻击。
以下举出具体实施例对存在的问题进行说明现有技术中信息发送端 与信息接收端的通讯过程为第一步当信息发送端主机A与信息接收端 主机B开始通信时，主机A需要查找自存储的地址解析协议表[主机名IP 地址与物理地址对应关系表],查找主才几B的物理地址，如查到则跳转到第 五步与信息接收端主机B进行信息通讯；如果在主机A的自存储地址解析 协议表内没有找到主机B的物理地址则执行地址解析协议学习流程，进入 第二步；第二步、主机A将向网内广播一个地址解析协议请求，请求主 机B所对应的物理地址；第三步、在此局域网络中的所有终端将会收到此 地址解析协议请求，主机B收到此请求，发现这个请求是自己，其将回应 主机A—个单播地址解析协议回应，告诉其自己的物理地址；第四步、主 机A收到这个地址解析协议回应，将主机B的IP地址与主机B的物理地 址对应关系存入主才几A的地址解析协议表内；第五步、主机A查找地址解 析协议表中的B主机的物理地址与B主机进行通讯。
在上述流程中有几个安全漏洞，可能被病毒或人为程序所利用，常用的 i文击方法有下面三种
第一种安全漏洞物理地址伪冒攻击。物理地址欺骗行为发生在上述 流程的第三步，此时因为地址解析协议请求报文是个广播报文，现有普通 二层交换机会向所有终端进行广播，此请求报文在此局域网络中的所有终 端都会收到，例如主机C也收到了给地址解析协议请求报文,如果主机C 上有病毒或恶意程序，它可以伪装成主机B发送地址解析协议回应寺艮文给
主机A，在第四步中，主机A收到此伪装地址解析协议报文，会将其与主 机C的物理地址对应关系存入其自身的地址解析协议表中，这样以后主机 A与主机B通讯时的所有数据将全部发送给主机C，这样主机C就可以成 功截获主机A和主机B之间的所有通讯数据信息。
第二种安全漏洞物理地址泛滥攻击，导致网络瘫痪。通常广播网络 内作为网关的设备的地址解析协议映射的数量是有限的，如果攻击者大量 发送分别伪冒不同源IP地址的地址解析报文请求报文，就可以使整个广播 网络的数据转发出现故障，此时攻击也可以被称为地址解析协议泛滥攻击。
第三种安全漏洞物理地址伪冒导致IP冲突。通常的IP以太网主机 系统为防止IP地址冲突，会在联网的最初阶段向外发送几个地址解析协议 宣告，查询此IP是否有人已经占用，如果有人占用，则此主机不可使用此 IP,这就有可能有恶意攻击者在收到此宣告后，发起一个响应，伪装已经 占用此IP造成此主机不可联网。
目前针对这些攻击行为的唯一解决方案只有禁用主机地址解析协议功 能，使用静态配置地址解析协议映射关系方法。
如前文所说，地址解析协议映射关系是动态生成的，也正因为是动态 生成的，给恶意的攻击造成了伪冒其他用户发送报文，阻断数据报文转发 的机会。而静态配置地址解析协议是指用户配置生成IP地址和硬件地址的 映射关系报文，而且这个映射关系是不随着时间而变更的。因为其优先级 高于通过地址解析协议产生的动态的映射关系，因此也不会随着地址解析 协议报文中所携带的信息进行变更。静态配置地址解析协议映射关系虽然 可以有效地解决地址解析协议伪冒、泛滥攻击造成地数据报文转发被阻断 地问题，但是，静态配置地址解析协议映射关系必须要人工生成并维护大 量地IP地址和硬件地址的映射关系，完全废弃了地址解析协议所带来的益 处，实际上仅仅是模拟了地址解析协议生成的最终结果，而摒弃了地址解 析协议本身。
发明内容
为了更好的解决现有技术中存在的物理地址伪冒攻击、物理地址泛滥
攻击和物理地址伪冒导致IP沖突等技术问题，本发明提供了一种通过对各 终端发送的地址解析协议请求报文进行特殊处理的防攻击信息通讯网络安 全防御装置。
利用该防攻击信息通讯网络安全防御装置本发明还提供了 一种防攻击 信息通讯网络安全防御系统。
本发明解决现有技术问题所采用的技术方案为提供一种防攻击信息通 讯网络安全防御装置,所述防御装置包括用于接收各终端发送信息并对 所述终端发送信息进行处理的数据交换模块和主控模块,所述防御装置还 包括防御模块,所述防御模块分别与所述数据交换模块和所述主控模块连 接。
根据本发明的一优选实施例:所述防御模块为用于对所述数据交换模 块转发信息进行数据转换处理的加密模块。
根据本发明的 一优选实施例:所述加密模块为单独设计。 根据本发明的一优选实施例:所述加密模块与所述主控模块为集成设计。
根据本发明的 一优选实施例:所述加密模块可通过加密软件实现。
根据本发明的一优选实施例:所述防御模块为将请求端发送的地址解 析协议信息进行收集并单向上报发送至地址解析协议代理部的上报模块。
根据本发明的一优选实施例:所述安全防御装置设有开关控制模块,所 述开关控制模块用于控制所述防御模块工作状态的开启或关闭。
本发明还提供了 一种防攻击信息通讯网络安全防御系统，所述防御系 统包括地址解析协议代理部，具有信息安全防御功能的安全防御装置和 通讯终端，其中，所述各通讯终端与所述安全防御装置连接，所述安全防 御装置与所述地址解析协议代理部连接，所述各终端相互之间通讯需要的 地址信息通过所述地址解析协议代理部进行存储和管理。
根据本发明的一优选实施例:所述地址解析协议代理部为独立装置或 设置于相关装置上的功能部件。
根据本发明的一优选实施例:所述安全防御装置为交换机或路由器。
本发明中请求端是在地址解析协议代理部上直接查询该IP是否被内 网其他机器占用，有效的解决了地址解析协议中物理地址伪冒导致IP沖
本发明中终端设备在相互通信时发送的地址解析协议请求广播包，被 安全防御装置转发给了地址解析协议代理部，从而直接通过所述地址解析 协议代理部获取相关通信终端设备的物理地址。有效的解决了物理地址伪 冒攻击。
通过在交换机上对广播数据的发送频率进行处理，防止攻击者大量发 送分别伪冒不同源IP地址的地址解析请求报文，解决地址解析协议泛滥攻 击。
本发明防攻击信息通讯网络安全防御装置结构简单，设计合理，使用 方便,通过功能控制开关对加密模块进行开关状态控制使得安全防御装置 具有两种工作方式，将防御装置安装到防御系统在实际中的应用能非常好 的解决现有技术中存在的物理地址伪冒攻击、物理地址泛滥攻击和物理地 址伪冒导致IP沖突等技术问题，具有很高的实用性。附困说明
图1为本发明防攻击信息通讯网络安全防御装置模块结构图2为本发明防攻击信息通讯网络安全防御装置结构图3安装有安全防御装置的防攻击信息通讯网络安全防御系统结构
图4防御模块为加密模块时，安全防御装置在防攻击信息通讯网络安 全防御系统中的防御方法流程图5防御模块为上报模块时，安全防御装置在防攻击信息通讯网络安 全防;卿系统中的防;卸方法流程图。
具体实施方式
以下结合


和具体实施方式
对本发明进一步说明。
请参阅图1本发明防攻击信息通讯网络安全防御装置ioo模块结构图，
如图1所示本发明防攻击信息通讯网络安全防御装置100包括:用于接收各 终端发送信息并对所述终端发送信息进行处理的数据交换模块103、主控 模块101和用于对所述数据交换模块103转发信息进行数据转换处理的加 密模块，所述加密模块分别与所述数据交换模块103和所述主控模块101连 接。
所述安全防御装置100设有开关控制模块104，所述开关控制模块104 用于控制所述加密模块的工作，通过功能控制开关对加密模块进行开关状态控制使得安全防御装置100具有两种工作方式。
本发明中所述加密模块可以单独设计成一独立单元进行工作,所述加 密模块也可以与所述主控模块101进行集成设计,使主控模块101同时具有
加密功能。如将加密模块通过加密软件方式安装到所述主控模块101内。 在本发明中所述安全防御装置100具体为一种交换机。
请参阅图2本发明防攻击信息通讯网络安全防御装置100结构图,如图 2所示,所述开关构件201设置于所述安全防御装置100壳体外部。
请参阅图3本发明防攻击信息通讯网络安全防御系统结构图,如图3所 示所述防御系统包括用于对地址信息进行存储和管理的地址解析协议代 理部301,所述具有加密功能的安全防御装置100和通讯终端，其中，所 述各通讯终端与所述安全防御装置100连接，所述安全防御装置100与所 述地址解析协议代理部301连接，所述各终端相互之间通讯通过所述地址 解析协议代理部301进行地址信息的存储和管理。
所述通讯终端通过与其相连接的所述安全防御装置100的端口进行地 址解析协议信息通讯。本发明中所述地址解析协议代理部301为一独立装 置或者部署在其他装置上的功能部件或者软件或通过一功能模块集成到所 述安全防御装置100内。在所述防攻击信息通讯网络安全防御系统中安装 有至少一台所述具有加密功能的安全防御装置100,作为主管交换机。
以下举出一具体实施例对本发明防攻击信息通讯网络安全防御装置
100及系统的防御方法进行详细说明。
实施例一、所述防御装置IOO在本实施例中以交换机为例,所述防御模 块102为加密模块时，开启开关控制模块104使所述加密模块在工作状态下 时状态切换式桥接装置在防攻击信息通讯网络安全防御系统中的防御方法: 该方法流程图可以参阅图4:
第一步、用户首先将正确的终端设备的IP对应的物理地址写入地址解 析协议代理部301，并运行地址解析协议代理部301;
第二步、当所有终端设备在最初联网时，会单向网内交换机100的指 定端口送一个地址解析协议宣告广播包。
第三步、交换机100对交换端口的入口中的广播数据包进行检测，发 现是地址解析协议请求报文时，则将该广播数据发给加密模块；
第四步、交换机100上的中央处理器收到此报文，对此报文进行加密处理后重新封装成非地址解析协议报文的特殊广播报文，重新从交换机
100上广播出去；
第五步、地址解析协议代理部301主机收到此特殊广播l艮文后，进行 解密转换成正常地址解析协议报文，交给地址解析协议代理程序确认，通 过地址解析协议代理回应此地址解析协议请求；
第六步、所有终端设备根据地址解析协议代理部301的回应包查询自 己的IP是否4^占用。
第七步、当终端设备A302与终端设备B303开始通信时，终端设备 A302首先查找自身存储的地址解析协议表[终端设备名IP地址与物理地址 对应关系表],查找终端设备B303的物理地址，如查到则跳转到第十四步 与B终端设备进行通讯；如果没找到终端设备B303的物理地址则执行地 址解析协议学习流程进入第八步；
第八步、终端设备A302将会单向向网内交换机100的连接端口送一 个地址解析协议宣告广播包，请求终端设备B303所对应的物理地址；
第九步、交换机100对交换端口的入口中的广播数据包进行检测，发 现是地址解析协议请求报文时，则将该广播数据发给加密模块；
第十步、交换机100上的中央处理器收到此报文，对此报文进行加密 处理后重新封装成非地址解析协议报文的特殊广播报文，重新从交换机 IOO上广播出去；
第十一步、地址解析协议代理部301主机收到此特殊广播报文后，进 行解密。
第十二步、地址解析协议代理部301将收到的地址解析协议请求报文 中的请求IP在物理表中查找到正确的终端设备B303的物理地址，将向终 端设备A302单向发送终端设备B303的地址解析协议回应报文；
第十三步、终端设备A302收到这个地址解析协议回应报文后，将终 端设备B303的IP地址与终端设备B303的物理地址对应关系存入终端设 备A302的地址解析协议表，以备下次与终端设备B303通讯时使用；
第十四步、终端设备A302根据终端设备B的物理地址与终端设备 B303进行单向通讯。
实施例二、所述防御装置IOO在本实施例中以交换机100为例,所述防 御模块102为上报模块时,开启开关控制模块104使所述上报模块在工作状
态下时状态切换式桥接装置在防攻击信息通讯网络安全防御系统中的防御
方法，该方法流程图可以参阅图5:
第一步、用户首先将正确的终端设备的IP对应的物理地址写入地址解
析协议代理部301 ，并运行地址解析协议代理部301;
第二步、当所有终设备在最初联网时，会向内网发送一个地址解析协 议宣告广播包。
第三步、交换机100对交换端口的入口中的广播数据包进行检测，发 现是地址解析协议请求报文时，将地址解析协议请求报文从指定端口 (连 接上一层交换机100或地址解析协议代理的接口 )发送给上一层的交换机 100或地址解析协议代理，直至最终发送给地址解析协议代理部301;
第四步、地址解析协议代理部301将收到的地址解析协议请求^^文中 的请求IP在物理表中查找到正确的终端设备B303的物理地址，将向终端 设备A302单向发送终端设备B303的地址解析协议回应报文；
第五步、所有终端设备根据地址解析协议代理部301的回应包查询自 己的IP是否^皮占用；
第六步、当终端设备A302与终端设备B303开始通信时，终端设备 A302需要查找地址解析协议表[终端设备名IP地址与物理地址对应关系 表],查找终端设备B303的物理地址，如查到则跳转到第十一步；如果没 找到终端设备B303的物理地址则执行地址解析协议学习流程；
第七步、终端设备A302将广播一个地址解析协议请求，请求终端设 备B303所对应的物理:t也址；
第八步、交换机100对交换端口的入口中的广播数据包进行检测，发 现是地址解析协议请求报文时，将地址解析协议请求报文从指定端口 (连 接上一层交换机IOO或地址解析协议代理的接口 )发送给上一层的交换机 100或地址解析协议代理，直至最终发送给地址解析协议代理；
第九步、地址解析协议代理将收到的地址解析协议请求报文中的请求 IP在物理表查正确的物理地址，找到IP对应的物理地址后，将单向发送 一个地址解析协议回应报文；
第十步、终端设备A302收到这个地址解析协议回应，将终端设备B303 的IP地址与终端设备B303的物理地址对应关系存入自身地址解析协议表;
第十一步、终端设备A302查找地址解析协议表中的B终端设备的物理地址与B终端设备进行通讯。
本发明中术语在行业内有不同写法,例如:本专利中所述地址解析协议可写成ARP;所述物理地址也可写成MAC地址。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术 领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若 干简单推演或替换，都应当视为属于本发明的保护范围。
权利要求
1.一种防攻击信息通讯网络安全防御装置包括用于接收各终端发送信息并对所述终端发送信息进行处理的数据交换模块(103)和主控模块(101)，其特征在于所述防御装置还包括防御模块(102)，所述防御模块(102)分别与所述数据交换模块(103)和所述主控模块(101)连接。
2. 根据权利要求1所述安全防御装置(100),其特征在于:所述防御模块(102) 为用于对所述数据交换模块(103)转发信息进行数据转换处理的加密 模块。
3. 根据权利要求2所述安全防御装置(100),其特征在于:所述加密模块 为单独设计。
4. 根据权利要求2所述安全防御装置(100),其特征在于:所述加密模块 与所述主控才莫块(101)为集成设计。
5. 根据权利要求2所述安全防御装置(100)，其特征在于:所述加密模块 可通过加密软件实现。
6. 根据权利要求1所述安全防御装置(100),其特征在于:所述防御模块 (102)为将请求端发送的地址解析协议信息进行收集、加密并单向上报发送 至地址解析协议代理部(301 )的上报模块。
7. 根据权利要求1所述安全防御装置(100),其特征在于:所述安全防御 装置(100)设有开关控制模块(104),所述开关控制模块(104)用于控制所述防 御模块(102)工作状态的开启或关闭。
8. —种防攻击信息通讯网络安全防御系统，其特征在于所述防御系 统包括地址解析协议代理部(301),具有信息安全防御功能的安全防御装 置(100)和通讯终端，其中，所述各通讯终端与所述安全防御装置(100)连接， 所述安全防御装置(100)与所述地址解析协议代理部(301)连接，所述各终端 相互通讯需要的地址信息通过所述地址解析协议代理部(301)进行存储和 管理。
9. 根据权利要求8所述防御系统，其特征在于所述地址解析协议代 理部(301)为独立装置或部署于相关装置上的功能部件或者软件。
10. 根据权利要求8所述防御系统，其特征在于所述安全防御装置(IOO) 为交换机或路由器。
全文摘要
本发明属于网络安全防御领域，具体涉及一种通过对各终端发送的地址解析协议请求报文进行特殊处理的防攻击信息通讯网络安全防御装置及防御系统。所述防御装置包括数据交换模块、主控模块和防御模块，所述防御模块分别与所述数据交换模块和所述主控模块连接。所述防御系统包括地址解析协议代理部，具有信息安全防御功能的安全防御装置和通讯终端。本发明防攻击信息通讯网络安全防御装置结构简单，设计合理，使用方便，将防御装置安装到防御系统，在实际应用中能非常好的解决现有技术中存在的MAC地址伪冒攻击、MAC地址泛滥攻击和MAC地址伪冒导致IP冲突等技术问题，具有很高的实用性。
文档编号H04L29/06GK101197829SQ20071012483
公开日2008年6月11日 申请日期2007年12月7日 优先权日2007年12月7日
发明者张南希, 润 焦 申请人:张南希