专利名称::一种防止局域网arp欺骗攻击的方法及系统的制作方法
技术领域:
:本发明涉及网络安全领域,尤其涉及一种网络中防止ARP地址欺骗攻击的方法和系统。
背景技术:
:在目前的网络环境下,ARP(AddressResolutionProtocol,土也址角军析协议)是一个位于TCP/IP协议栈中的底层协议,其作用是将IP地址转换为相应物理地址。ARP协议的基本功能就是通过目标设备的IP地址,査询目标设备的MAC地址,以保证通信的进行。ARP协议在网络中的主要实现机制如下每套主机都有一个地址解析协议ARP缓存表,表内的IP地址、MAC地址——对应,代表了终端设备IP地址与MAC地址映射关系。ARP报文具备动态学习的方式,终端设备在接收到其他终端设备的ARP报文之后,会将该报文中其他设备的IP、MAC映射关系与自身ARP缓存表中的数据进行比较并更新;该映射关系还可以通过用户静态配置的方式获取,允许用户创建ARP表项并对应的填写IP、MAC地址。由于在ARP协议设计之初没有充分考虑协议的安全性问题,因此在复杂的网络环境下ARP协议是一个非常容易受攻击的协议,该协议为各种地址欺骗攻击留下了可乘之机。ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。目前,为了解决局域网内主机遭受ARP欺骗的问题,一般采用以下几种方法1.发送免费ARP报文该方案由交换机、路由器等网络设备,不停的向局域网以广播方式发送ARP响应报文,使局域网中的每个终端不停的刷新自己的网关IP、MAC地址映射表,从而缓解局域网中主机冒充网关进行ARP欺骗,这种方法存在一定的缺陷,大量报文的发送会影响网络报文的转发、传输,降低网络性能。2.主动发包验证该方案中的网络设备一般部署在网关上,该网络设备在收到ARP请求报文或响应报文后,根据该ARP报文中的IP地址不断的向该IP地址发送请求报文以验证映射关系的正确性,如果该IP地址不存在,网络设备将收不到该IP地址对应的ARP响应报文;如果该IP地址对应的缓存表项中的MAC地址被欺骗了,网络设备会收到一个具有不同MAC地址的ARP响应报文,这两种情况下网络设备都会检测到ARP欺骗的发生,从而进行相应的处理。这种方案的缺点是对于每个IP地址的ARP报文都要进行一次这样的验证过程,在没有欺骗攻击发生的情况下会降低网络的性能,此方案也仅仅限于网关级的防御,缺乏对网内终端节点的全面防护。3.粘性学习特性启用粘性学习特性后,通过ARP请求报文或通过ARP响应报文学习到的ARP缓存表项在老化之前均不再更新,在老化时间到达后该ARP缓存表项被删除,此时即可开始新的学习过程,这种实现方法存在着一定的问题,一旦ARP攻击报文先于正常ARP报文生成了ARP缓存表,正常主机将无法在网络设备中形成正确的ARP缓存表,无法达到防止ARP欺骗的目的,影响正常主机的使用。
发明内容为了弥补现有技术的缺点,本发明提出了一种局域网防止ARP欺骗攻击的方法,采用自定义地址解析协议映射关系,该映射关系只有服务程序可以修改,5不随ARP报文携带的信息而改变,从而保证地址解析映射关系的真实性。由于加上对应主机的关系,所以能准确定位到发起攻击或欺骗的机器,有效防御局域网内ARP欺骗、攻击。本发明解决其技术问题采用的技术方案是一种防止局域网ARP欺骗攻击的方法,包括对从本机发送和本机接收的ARP包中IP-MAC地址解析映射关系与自定义IP-MAC地址解析映射表进行匹配。若发送或接收到的ARP请求报文中的IP-MAC地址映射关系与自定义IP-MAC地址解析映射关系表匹配则予以放行;不匹配则丢弃并对攻击源进行定位。通过自定义地址解析映射关系表中机器的性质判断攻击或欺骗的类型,根据自定义地址解析映射关系表中的关系定位攻击的终4山顿。本发明实施例还提供一种防止局域网ARP欺骗攻击的系统,包括判断单元分为发送包判断单元和接收包判断单元,主要是用来区分本机发送还是本机接收ARP包。规则映射修正单元主要维护一张地址解析映射表,该映射表与管理员定义的地址解析映射表始终同步,保持一致,不随网络中的ARP包数据的改变而改变。验证单元的作用是根据规则映射修正单元所维护的地址解析映射表来判断发送或接收数据包是否可信,给出系统验证结果。分析单元根据验证单元所返回的验证结果,査找攻击类型表,给出明确的攻击类型,方便管理员明确攻击方式,并给出最有效的解决方案。执行定位单元根据比较结果执行放行或丢弃操作,对于恶意ARP包可通过查找地址解析映射表进行定位。与现有技术相比,本发明具有以下有益效果从源头上杜绝了ARP的发送,有效的节省网络带宽,减少了网络资源的浪费;而自定义地址解析协议映射关系,不随ARP报文携带的信息而改变,从而保证地址解析映射关系的真实性,彻底阻断ARP欺骗的发生。图l为本发明的方法流程示意图图2为本发明的系统结构示意图具体实施例方式下面结合附图和实施例对本发明做进一步的详细说明如图1所示为本发明方法流程示意图,图中包括步骤ll,匹配映射表。对从本机发送和本机接收的ARP包中IP-MAC地址解析映射关系的与自定义IP-MAC地址解析映射表进行匹配。每个终端的自定义地址解析映射表与服务程序中的IP-MAC地址解析映射表始终一致,管理员具有修改自定义地址解析映射表的权限,终端主机用户不可修改,该自定义地址解析映射表不随网络中的ARP报文的信息而改变。若发送或接收到的ARP请求报文中的IP-MAC地址映射关系与管理员设定的IP-MAC地址解析映射关系表匹配则确定该ARP请求报文可靠,执行步骤12;不匹配则确定该ARP请求报文存在歧义,执行步骤13。步骤12,放行数据包。确认发送或接收到的ARP请求报文中的IP-MAC地址映射关系与自定义地址解析映射关系表匹配,不予处理,对该ARP包放行。步骤13,分析攻击行为。确认发送或接收到的ARP请求报文中的IP-MAC地址映射关系与自定义地址解析映射关系表不匹配,对该攻击行为进行分析,通过自定义地址解析映射关系表中机器的性质判断攻击或欺骗的类型。步骤14,定位攻击目标。根据自定义地址解析映射关系表中的关系定位攻击的终端,通知服务程序和攻击终端。由于映射表是服务程序建立的,终端程序保证IP-MAC对应关系的唯一性,这样可以精确的定位攻击或欺骗的终端,从发送端杜绝ARP包的传播可减少ARP包的网络流量,节省网络带宽。步骤15,丢弃攻击包。丢弃不相匹配的数据包,在对不匹配的ARP数据包进行分析定位后执行丢弃操作,阻止其到达终端主机。如图2所示为本发明的系统结构示意图,包括判断单元、规则映射修正单元、验证单元、比较单元、执行定位单元。其中判断单元分为发送包判断单元和接受包判断单元,主要是用来区分本机发送还是本机接收ARP包,减少网络带宽和性能的浪费。规则映射修正单元主要维护一张地址解析映射表,该映射表与管理员定义的地址解析映射表始终同步,保持一致,不随网络中的ARP包的数据改变而改变,而且只有管理员具有修改的权限,终端主机用户不可修改。验证单元的作用是根据规则映射修正单元所维护的地址解析映射表来判断发送或接收数据包是否可信,给出系统验证结果。分析单元根据验证单元所返回的验证结果,査找攻击类型表,给出明确的攻击类型,方便管理员明确攻击方式,并给出最有效的解决方案。执行定位单元根据比较结果执行相应的操作,若发送或接收数据包中的IP-MAC地址映射关系与规则映射修正单元的地址解析映射表匹配则予以放行;否则丢弃并通过査找地址解析映射表定位攻击源头,将所发生的攻击事件相关详细信息提示给用户。为了进一步描述本发明实施例,现结合具体的实施例对其技术方案做进一步的说明,以防止ARP欺骗攻击为例进行说明如下在以太网中,一个主机将与另一个主机直接通信,必须获知目标主机的MAC地址,此目标主机的MAC地址通过地址解析协议ARP协议获得。ARP协议的基本功能就是通过目标设备的IP地址査询目标设备的MAC地址,以保证网络的正常通信。假设局域网内有A、B、C三台主机,在部署前管理员根据局域网内主机信息更新了自定义地址解析协议映射表,表内的IP地址与MAC地址一一对应,如下表l自定义地址解析协议映射表<table>tableseeoriginaldocumentpage9</column></row><table>局域网内的每台主机都部署了ARP攻击防御系统,都有一个与自定义地址解析映射表相同的关系表,如表l。以主机A(192.168.1.5)向主机B(192.168.1.1)发送数据为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址,找到了目标IP地址就知道了目标主机对应的MAC地址,主机A直接把目标主机的MAC地址写入帧里面发送;如果在ARP缓存表里面没有目标主机的IP地址,主机A在网络上广播一个ARP请求报文(携带主机A的IP地址192.168.1.5—MAC地址aa-aa-aa-aa-aa-aa-aa),这时主机A的IP-MAC映射表会与主机A上自定义地址解析映射关系表进行匹配,如不匹配则丢弃,如匹配则对该ARP数据包放行。在该ARP数据包达到主机B时,请求IP地址为192.168.1.1的主机B回答物理地址,这时主机A的IP-MAC映射表会与主机B上管理员自定义地址解析映射关系表进行匹配,如不匹配则丢弃,如匹配则对该ARP数据包放行,这时主机B会向A主机发回一个ARP响应报文,这样主机A就知道了主机B的MAC地址为bb-bb-bb-bb-bb-bb-bb,就可以向主机B发送信息了。这样双向拦截本机和外部ARP攻击,保证每台主机的安全性。可有效的节省网络带宽,减少了网络资源的浪费;自定义地址解析协议映射关系表不随ARP报文携带的信息而改变,从而保证地址解析映射关系的真实性,彻底阻断ARP欺骗的发生。综上所述,本发明实施例能避免在遭受大流量地址欺骗攻击时主动验证方案对CPU资源的消耗,在不影响用户使用的情况下彻底阻止ARP欺骗攻击。以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。权利要求1.一种防止局域网ARP欺骗攻击的方法,其特征在于,包括对本机发送和本机接收的ARP包中IP-MAC地址映射关系与自定义IP-MAC地址解析映射表进行匹配,若发送或接收到的ARP请求报文中的IP-MAC地址映射关系与自定义IP-MAC地址解析映射关系表匹配则予以放行;不匹配则对攻击源进行分析和定位并丢弃。2.如权利要求1所述的方法,其特征在于,所述自定义IP-MAC地址解析映射表是服务程序所维护的IP-MAC映射关系表,只有管理员可修改该映射表从而保证该表的唯一性。3.如权利要求1所述的方法,其特征在于,所述匹配是指对从某终端主机发送或接收的ARP包中的地址解析映射关系与服务程序中预先设定好的局域网内可信任地址解析映射关系表进行匹配。4.如权利要求3所述的方法,其特征在于,包括发送或接收到的ARP请求报文中的IP-MAC地址映射与服务程序中的IP-MAC地址解析映射表匹配,则对该ARP请求报文放行;发送或接收到的ARP请求报文中的IP-MAC地址映射与服务程序中的IP-MAC地址解析映射表不匹配,则对该ARP请求报文进行分析定位并丢弃。5.如权利要求4所述的方法,其特征在于,所述分析定位是通过自定义地址解析映射关系表中的关系进行分析定位。6.—种防止局域网ARP欺骗攻击的系统,其特征在于,包括判断单元分为发送包判断和接受包判断,主要是用来区分本机发送还是本机接收到其他主机的ARP包。7.如权利耍求6所述的系统,其特征在于,还包括规则映射修正单元主要维护一张地址解析映射表,该映射表与服务程序中的地址解析映射表始终同步,不随网络中的ARP包的数据改变而改变,而且只有管理员具有修改的权限,终端主机用户不可修改。8.如权利要求6所述的系统,其特征在于,还包括验证单元的作用是根据规则映射修正单元所维护的地址解析映射表来判断发送或接收数据包是否可信,给出系统验证结果。9.如权利要求6所述的系统,其特征在于,还包括分析单元根据验证单元所返回的验证结果,查找攻击类型表,给出明确的攻击类型及有效的解决方案。10.如权利要求6所述的系统,其特征在于,还包括执行定位单元根据比较结果执行相应的操作,若发送或接收数据包中的IP-MAC地址映射关系与规则映射修正单元的地址解析映射表匹配则予以放行;否则丢弃并通过査找地址解析映射表定位攻击源。全文摘要本发明公开了一种防止局域网ARP欺骗攻击的方法,其关键是在局域网内的终端主机的网卡和操作系统间布置了一个定义好的地址解析映射表,保证每台终端只有唯一的IP和MAC映射关系,并且由服务程序来确保映射表的正确性,终端主机发送和接收的ARP包都要与该映射表进行匹配,从而确定ARP是否可信。本发明还公开了一种防止局域网ARP攻击的系统,通过本发明使得局域网内的终端主机能够防御本机和外部的ARP攻击。文档编号H04L29/06GK101635713SQ20091008629公开日2010年1月27日申请日期2009年6月9日优先权日2009年6月9日发明者鸣朱申请人:北京安天电子设备有限公司