专利名称:上报式防攻击信息通讯网络安全防御方法及防御系统的制作方法
技术领域:
本发明属于网络安全防御领域,具体涉及一种通过桥接装置将请求端 的地址解析协议信息单向发送至地址解析协议代理部,并通过地址解析协 议代理部进行单向信息反馈的上报式防攻击信息通讯网络安全防御方法及 防雄卩系统。
背景技术:
以太网协议是由一组IEEE 802.3标准定义的局域网协议集。现已是 最为常用的局域网链路层协议。二层以太网交换机是基于链路层的物理地 址进行包交换的 一种设备。
IP协议是目前应用最为广泛的数据通信网络层协议标准。IP协议使用 32bit的IP地址来唯一标识设备,数据报文在网络层之上的传播都是基于 IP地址来完成寻址的。但IP地址仅仅对网络层有效,承载IP网络的硬件 设备并不依赖于IP地址来进行寻址。比如,以太网物理设备是使用唯一的 48bit以太网地址来识别硬件接口 ,在链路层中从不检查IP数据报中的目 的IP地址。在广播网络上,这两种地址形式之间的映射是由地址解析协议 完成的,该映射过程是自动完成的。
在实现地址解析协议的系统中,地址解析协议会动态生成并在一段时 间内保留IP地址和硬件地址之间的映射关系,在需要使用硬件地址的时 候,系统会以IP地址为唯一标识查找映射关系,所找到的映射关系中的硬 件地址就是在物理网络上传发报文所需的硬件可识别的地址。此种映射关 系的生成,依赖于地址解析协议的两种协议报文,地址解析协议请求和地 址解析协议应答。
当运行地址解析协议的系统没有能够找到所需要的IP地址和硬件地 址的映射关系时,该系统就会发送地址解析协议请求报文,请求所需要的 IP地址的硬件地址。发出请求的系统会将自己的IP地址和硬件地址对应 关系包含在这个报文中,并指明需要请求硬件地址的IP地址信息。此报文 在网络中以广播的方式广泛发送。根据通常的实现,任何一个接收到这个 地址解析协议请求报文并运行地址解析协议的系统,都应该使用这个请求 报文中所包含的请求发送者的IP地址和硬件地址信息生成映射关系,如果
已经存在以这个IP地址为标识的映射关系,则应该使用此报文中的硬件地 址更新这个映射关系。
当某个运行地址解析协议的系统发现接收到的地址解析协议请求报 文中所指名的需要请求硬件地址的IP地址是自己的IP地址时,则会向请 求者发送地址解析协议应答报文。将自己的硬件地址通知请求者,这个报 文是单播方式发送的,当请求者接收到这个应答报文之后,就可以根据这 个应答才艮文中包含的信息生成对应IP地址和硬件地址之间的映射关系。
地址解析协议正常运行的关键,是保证IP地址和硬件地址的映射关系 的正确性。运行地址解析协议的系统并不能主动发现映射关系是否错误, 如果生成了错误的映射关系,报文的发送者将会根据错误的硬件地址发送 报文,接收者无法收到报文,从而导致数据转发的中断,更为严重的是, 由于报文的发送者认为自己已经有了报文接收者的硬件地址,因此就不会 发送地址解析协议的请求报文来更新这个映射关系,这种错误的映射就会 在一定时间内 一直保持,直到涉及报文发送的双方发送了地址解析协议报 文才有可能的被纠正,这会严重影响数据网络的使用。
针对地址解析协议的这个弱点,恶意的攻击者可以通过伪造地址解析 协议应答^^文的方法来实现对运行地址解析协议的网络的攻击。
以下举出具体实施例对存在的问题进行说明现有技术中信息发送端 与信息接收端的通讯过程为第一步当信息发送端主机A与信息接收端 主机B开始通信时,主机A需要查找自存储的地址解析协议表[主机名IP 地址与物理地址对应关系表],查找主机B的物理地址,如查到则跳转到第 五步与信息接收端主机B进行信息通讯;如果在主机A的自存储地址解析 协议表内没有找到主机B的物理地址则执行地址解析协议学习流程,进入 第二步;第二步、主机A将向网内广播一个地址解析协议请求,请求主 机B所对应的物理地址;第三步、在此局域网络中的所有终端将会收到此 地址解析协议请求,主机B收到此请求,发现这个请求是自己,其将回应 主机A—个单播地址解析协议回应,告诉其自己的物理地址;第四步、主 才几A收到这个地址解析协议回应,将主机B的IP地址与主才几B的物理地 址对应关系存入主机A的地址解析协议表内;第五步、主机A查找地址解 析协议表中的B主机的物理地址与B主才几进行通讯。
在上述流程中有几个安全漏洞,可能被病毒或人为程序所利用,常用的 J丈击方法有下面三种
第一种安全漏洞物理地址伪冒攻击。物理地址欺骗行为发生在上述 流程的第三步,此时因为地址解析协议请求报文是个广播报文,现有普通 二层交换机会向所有终端进行广播,此请求报文在此局域网络中的所有终
端都会收到,例如主机c也收到了给地址解析协议请求报文,如果主机c
上有病毒或恶意程序,它可以伪装成主机B发送地址解析协议回应报文给 主机A,在第四步中,主机A收到此伪装地址解析协议报文,会将其与主 机C的物理地址对应关系存入其自身的地址解析协议表中,这样以后主机 A与主机B通讯时的所有数据将全部发送给主机C,这样主机C就可以成 功截获主4几A和主机B之间的所有通讯数据信息。
第二种安全漏洞物理地址泛滥攻击,导致网络瘫痪。通常广播网络 内作为网关的设备的地址解析协议映射的数量是有限的,如果攻击者大量 发送分别伪冒不同源IP地址的地址解析报文请求报文,就可以使整个广播 网络的数据转发出现故障,此时攻击也可以被称为地址解析协议泛滥攻击。
第三种安全漏洞物理地址伪冒导致IP冲突。通常的IP以太网主机 系统为防止IP地址冲突,会在联网的最初阶段向外发送几个地址解析协议 宣告,查询此IP是否有人已经占用,如果有人占用,则此主机不可使用此 IP,这就有可能有恶意攻击者在收到此宣告后,发起一个响应,伪装已经 占用jt匕IP造成j):匕主才几不可if关网。
目前针对这些攻击行为的唯一解决方案只有禁用主机地址解析协议功 能,使用静态配置地址解析协议映射关系方法。
如前文所说,地址解析协议映射关系是动态生成的,也正因为是动态 生成的,给恶意的攻击造成了伪冒其他用户发送报文,阻断数据报文转发 的机会。而静态配置地址解析协议是指用户配置生成1P地址和硬件地址的 映射关系报文,而且这个映射关系是不随着时间而变更的。因为其优先级 高于通过地址解析协议产生的动态的映射关系,因此也不会随着地址解析 协议报文中所携带的信息进行变更。静态配置地址解析协议映射关系虽然 可以有效地解决地址解析协议伪冒、泛滥攻击造成地数据报文转发被阻断 地问题,但是,静态配置地址解析协议映射关系必须要人工生成并维护大 量地IP地址和硬件地址的映射关系,完全废弃了地址解析协议所带来的益 处,实际上仅仅是模拟了地址解析协议生成的最终结果,而摒弃了地址解 析协议本身。
发明内容
为了更好的解决现有技术中存在的物理地址伪冒攻击、物理地址泛滥 攻击和物理地址伪冒导致IP沖突等技术问题,本发明提供了 一种上报式防 攻击信息通讯网络安全防御方法
利用该上报式防攻击信息通讯网络安全防御方法本发明还提供了 一种
上报式防攻击信息通讯网络安全防御方法系统。所述防御方法包括步骤: 第一、通过桥接装置将请求端的地址解析协议信息单向发送至地址解析协 议代理部;第二、通过所述地址解析协议代理部对所述信息进行确认;第 三、所述请求端根据所述地址解析协议代理部的确认信息与目的端进行通 讯。
根据本发明的一优选实施例所述第一步、所述第二步和所述第三步 中所述信息为所述请求端的地址解析协议宣告和所述目的端的地址查询信 息。
根据本发明的一优选实施例所述第一步进一步包括子步骤首先、 所述请求端将所述请求信息经端口单向发送给桥接装置;其次、所述桥接 装置对交换端口入口中的所述信息数据包进行^f企测,确认地址解析协议请
协议代理部。
根据本发明的一优选实施例在进行所述第一步之前所述地址解析协 议代理部应覆盖有各终端正确的地址信息,并通过所述地址解析代理部对 所述地址信息进行管理。
根据本发明的一优选实施例所述地址解析代理部建立有地址解析协
议表,所述地址解析协i义表包含各终端IP地址与物理地址的对应关系信 自
根据本发明的一优选实施例所述第二步进一步包括子步骤首先、 所述地址解析协议代理部对所述请求端自身地址信息是否被占用进行确 认,并将所述确认信息单向发送至所述请求端;其次、所述地址解析协议 代理部对所述请求端的查询目的端的地址信息请求进行确认,并将所述确 认信息单向发送至所述请求端。
根据本发明的一优选实施例所述第三步进一步包括所述请求端根 据所述目的端的地址信息直接与所述目的端进行信息通讯或所述请求端将
所述待发送信息发送至所述地址解析协议代理部,通过所述地址解析协议 代理部将所述待发送信息发送至所述目的端。
本发明还提供了 一种上报式防攻击信息通讯网络安全防御系统,所述
防御系统包括所述防御系统包括地址解析协议代理部,桥接装置和通 讯终端,其中,所述各通讯终端与所述桥接装置连接,所述桥接装置与所 述地址解析协议代理部连接,所述各终端相互之间通讯所需要的地址信息 通过所述地址解析协议代理部进行存储和管理。
#^居本发明的一优选实施例所述地址解析协议代理部为独立装置或 设置于相关装置上的功能部件。
根据本发明的一优选实施例所述桥接装置为交换机或路由器。
桥接装置将终端设备发送的地址解析协议宣告广播包单向转发至地址 解析协议代理部,在地址解析协议代理部上直接查询该IP是否被内网其他 机器占用,所以其它终端不能此宣告包,这样就解决地址解析协议中物理地 址伪冒导致IP冲突。
本发明中终端设备在相互通信时,地址解析协议请求广播包不会对内 网所有的终端设备发送,而是直接通过地址解析协议代理部获取相关通信 终端设备的物理地址,并通过获取到的目的端物理地址,直接单向与目的 端进行信息通讯,解决了地址解析协议物理地址伪冒攻击。
本发明有效的防止了攻击者大量发送伪冒地址解析请求报文,解决地 址解析协议泛滥攻击。
通过防御系统在实际中的应用能非常好的解决现有技术中存在的物理地址 伪冒攻击、物理地址泛滥攻击和物理地址伪冒导致IP冲突等技术问题,具 有很高的实用性。
图1为本发明上报式防攻击信息通讯网络安全防御方法流程图; 图2为本发明上报式防攻击信息通讯网络安全防御系统结构图。
具体实施方式
以下结合
和具体实施方式
对本发明进一步说明。 请参阅图1本发明上报式防攻击信息通讯网络安全防御方法流程图. 如图1所示所述防御方法包括步骤第一、通过桥接装置200将请求端的
地址解析协议信息单向发送至地址解析协议代理部201;第二、通过所述
地址解析协议代理部201对所述信息进行确认;第三、所述请求端根据所 述地址解析协议代理部201的确认信息与目的端进行通讯。
在进行所述第一步之前所述地址解析协议代理部201应覆盖有各终端 正确的地址信息,并通过所述地址解析代理部对所述地址信息进行管理。 所述地址解析代理部建立有地址解析协议表,所述地址解析协议表包含各 终端IP地址与物理地址的对应关系信息。在本实施例中所述将各终端正确 的地址信息存入所述地址解析协议代理部201的方法可以为手工配置。
所述第一步进一步包括子步骤首先、所述请求端将所述请求信息经 端口单向发送给桥接装置200;其次、所述桥接装置200对交换端口入口 中的所述信息数据包进行检测,确认地址解析协议请求;最后、通过所述 交换机将所述地址解析协议请求单向发送至地址解析协议代理部201 。
所述第二步进一步包括子步骤首先、所述地址解析协议代理部201
对所述请求端自身地址信息是否被占用进行确认,并将所述确认信息单向 发送至所述请求端;其次、所述地址解析协议代理部201对所述请求端的 查询目的端的地址信息请求进行确认,并将所述确认信息单向发送至所述 请求端。
所述第三步进一步包括所述请求端根据所述目的端的地址信息直接 与所述目的端进行信息通讯或所述请求端将所述待发送信息发送至所述地 址解析协议代理部201,通过所述地址解析协议代理部201将所述待发送 信息发送至所述目的端。
其中,所述第一步、所述第二步和所述第三步中所述信息为所述请求 端的地址解析协议宣告和所述目的端的地址查询信息。
请参阅图2本发明上报式防攻击信息通讯网络安全防御系统结构图, 如图2所示本发明还提供了一种上报式防攻击信息通讯网络安全防御系 统,所述防御系统包括地址解析协议代理部201,桥接装置200和通讯 终端,其中,所述各通讯终端与所述桥接装置200连接,所述桥接装置200 与所述地址解析协议代理部201连接,所述各终端相互之间通讯所需要的 地址信息通过所述地址解析协议代理部201进行存储和管理。所述地址解 析协议代理部201为一独立装置或部署于相关装置上的功能部件或者软 件。所述桥接装置200为交换机或路由器。
以下举出一具体实施例对本发明上报式防攻击信息通讯网络安全防御 问题进行详细说明,说明中可同时参阅图1和图2。在本实施例中所述桥
接装置200为交换机。
第一步、用户首先将正确的终端设备的IP对应的物理地址写入地址解
析协议代理部201,并运行地址解析协议代理部201;
第二步、当所有终设备在最初联网时,会向内网发送一个地址解析协 议宣告广播包。
第三步、交换机200对交换端口的入口中的广播数据包进行检测,发 现是地址解析协议请求报文时,将地址解析协议请求报文从指定端口 (连 接上一层交换机200或地址解析协议代理的接口 )发送给上一层的交换机 200或地址解析协议代理,直至最终发送给地址解析协议代理部201;
第四步、地址解析协议代理部201将收到的地址解析协议请求^l艮文中 的请求IP在物理表中查找到正确的终端设备B203的物理地址,将向终端 设备A202单向发送终端设备B203的地址解析协议回应报文;
第五步、所有终端设备根据地址解析协议代理部201的回应包查询自 己的IP是否被占用;
第六步、当终端设备A202与终端设备B203开始通信时,终端设备 A202需要查找地址解析协议表[终端设备IP地址与物理地址对应关系表], 查找终端设备B203的物理地址,如查到则跳转到第十一步;如果没找到 终端设备B203的物理地址则执行地址解析协议学习流程;
第七步、终端设备A202将广播一个地址解析协议请求,请求终端设 备B203所^f应的物理i也址;
第八步、交换机200对交换端口的入口中的广播数据包进行检测,发 现是地址解析协议请求报文时,将地址解析协议请求报文从指定端口 (连 接上一层交换机200或地址解析协议代理的接口 )发送给上一层的交换机 200或地址解析协议代理,直至最终发送给地址解析协议代理;
第九步、地址解析协议代理将收到的地址解析协议请求报文中的请求 IP在物理表查正确的物理地址,找到IP对应的物理地址后,将单向发送 一个地址解析协议回应才艮文;
第十步、终端设备A202收到这个地址解析协议回应,将终端设备B203 的IP地址与终端设备B203的物理地址对应关系存入自身地址解析协议表;
第十一步、终端设备A202查找地址解析协议表中的B终端设备的物 理i也址与B终端i殳备进4于通ifl。
本发明中术语在行业内有不同写法,例如:本专利中所述地址解析协议 可写成ARP;所述物理地址也可写成MAC地址。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说 明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术 领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若 干简单推演或替换,都应当视为属于本发明的保护范围。
权利要求
1.一种上报式防攻击信息通讯网络安全防御方法,其特征在于所述防御方法包括步骤A通过桥接装置(200)将请求端的地址解析协议信息单向发送至地址解析协议代理部(201);B通过所述地址解析协议代理部(201)对所述信息进行确认;C所述请求端根据所述地址解析协议代理部(201)的确认信息与目的端进行通讯。
2. 根据权利要求1所述防御方法,其特征在于所述步骤A、所述步 骤B和所述步骤C中所述信息为所述请求端的地址解析协议宣告和对所述 目的端的地址查询信息。
3. 根据权利要求1所述防御方法,其特征在于所述步骤A进一步包 括子步骤Al :所述请求端将所述请求信息经连接端口发送给桥接装置(200);A2:所述桥接装置(200)对交换端口入口中的所述信息数据包进行检 测,确认地址解析协议请求;A3:通过所述桥接装置将所述地址解析协议请求单向发送至地址解析 协i义代理部(201)。
4. 根据权利要求1所述防御方法,其特征在于在进行步骤A之前所 述地址解析协议代理部(201)涵盖有各终端正确的地址信息,并通过所述地 址解析代理部进行管理。
5. 根据权利要求4所述防御方法,其特征在于所述地址解析代理部 建立有地址解析协议表,所述地址解析协议表包含各终端IP地址与物理地 址的对应关系信息。
6. 根据权利要求1所述防御方法,其特征在于所述步骤B进一步包 括子步骤Bl:所述地址解析协议代理部(201)对所述请求端自身地址信息是否被 占用进行确认,并将所述确认信息单向发送至所述请求端;B2:所述地址解析协议代理部(201)对所述请求端的查询目的端的地址 信息请求进行确认,并将所述确认信息单向发送至所述请求端。
7. 根据权利要求1所述防御方法,其特征在于所述步骤C进一步包 括所述请求端根据所述目的端的地址信息直接与所述目的端进行信息通 讯或所述请求端将所述待发送信息发送至所述地址解析协议代理部(201), 通过所述地址解析协议代理部(201)将所述待发送信息发送至所述目的端。
8. —种上报式防攻击信息通讯网络安全防御系统,其特征在于所述 防御系统包括地址解析协议代理部(201),桥接装置(200)和通讯终端,其 中,所述各通讯终端与所述桥接装置(200)连接,所述桥接装置(200)与所述 地址解析协议代理部(201)连接,所述各终端相互之间通讯所需要的地址信 息通过所述地址解析协议代理部(201 )进行存储和管理。
9. 根据权利要求8所述防御系统,其特征在于所述地址解析协议代 理部(201)为独立装置或部署于相关装置上的功能部件或者软件。
10. 根据权利要求8所述防御系统,其特征在于所述桥接装置(200) 为交换机或路由器。
全文摘要
本发明属于网络安全防御领域,具体涉及一种上报式防攻击信息通讯网络安全防御方法及防御系统。所述防御方法将请求端的地址解析广播请求单向发送至地址解析协议代理部进行信息确认后回应请求端,所述请求端根据上述回应信息与目的端进行通讯。该防御方法借助由用于对地址信息进行存储和管理的地址解析协议代理部,桥接装置和通讯终端组成的系统进行网络安全防御。本发明上报式防攻击信息通讯网络安全防御方法原理简单,设计合理,该防御系统在实际应用中能非常好的解决现有技术中存在的物理地址伪冒攻击、物理地址泛滥攻击和物理地址伪冒导致IP冲突等技术问题,具有很高的实用性。
文档编号H04L29/06GK101197830SQ20071012483
公开日2008年6月11日 申请日期2007年12月7日 优先权日2007年12月7日
发明者张南希, 润 焦 申请人:张南希