专利名称:一种在交换机上实现arp欺骗检测的方法
技术领域:
本发明涉及以太网传输安全,属于网络安全领域,用于设计更为安全的交換机,特别是ー种在交换机上实现ARP欺骗检测的方法。
(ニ)
背景技术:
在TCP/IP协议簇中,地址解析协议(英文名称为Address Resolution Protocol,以下简称为ARP)的功能是在互联网协议(英文名称为Internet Protocol,以下简称为IP)地址和介质访问控制(英文名称为Media Access Control,以下简称为MAC)地址间提供动态映射,将32位的IP地址转换为48位的MAC地址,使IP报文能够在链路中正确传输。ARP协议设计之初,网络中的主机被认为是可信的,因此ARP协议被设计为基于可信主机之间的协议,然而现实中的网络并非如此,这就产生了 ARP欺骗技木。所谓ARP欺骗,是指利用ARP协议的漏洞,通过向目标主机发送虚假ARP报文,冒充目标主机,截取本应发往目标主机的报文,以此实现监听或截获目标主机通信数据的ー种手段。如果使用ARP欺骗同时冒充通信双方,就能实现“中间人攻击”。严重时ARP欺骗能造成网络的拥塞甚至大面积的网络瘫痪等,对网络的管理及其安全的维护提出了严峻的考验。传统上,要解决ARP欺骗,有以下几种方法1、使用ARP代理服务器;2、安装独立的ARP欺骗检测服务器;3、修改ARP协议。上述方法中,第一种需要解决ARP代理服务器的安全问题,防止代理服务器受到攻击,但在实际中代理服务器很容易成为攻击靶子,因此难以保证ARP代理服务器的安全;第二种由于要安装新设备,成本较高,且由于使用主动检测技术,导致网络数据量增加,影响网络运行;第三种缺乏恰当的协议模型,只能部分解决ARP协议的问题,无法从根本上杜绝ARP欺骗。
(ニ)
发明内容
`本发明提供了ー种在交換机上实现ARP欺骗检测的方法,该方法能够有效避免现有技术存在的问题,快速检测到ARP欺骗现象,提升网络管理效率。本发明的技术方案ー种在交換机上实现ARP欺骗检测的方法,其特征在于具体步骤如下(I)在交換机中,建立报文分发模块、ARP欺骗检测模块、告警模块,以及ARP表;其中报文分发模块用于检测报文类型,判断是否ARP报文;ARP欺骗检测模块负责检测ARP报文,判断是否存在ARP欺骗;告警模块用于提示管理员;ARP表用于缓存接收到的ARP报文中的IP/MAC地址对,由若干ARP记录组成,每条ARP记录包括从ARP报文中取出的IP/MAC地址对,以及收到ARP报文的时间,交换机上电时ARP表为空表;(2)交換机上电后,报文分发模块进入工作状态,报文分发模块判断交换机输入的所有报文类型,如果不是ARP应答报文则检测下ー报文;如果是ARP应答报文,则判断是否发生了 ARP风暴,如果是ARP风暴,则通过告警模块提示管理员;如果不是ARP风暴,则将报文分发给ARP欺骗检测模块。
(3)当ARP欺骗检测模块接收到ARP应答报文后,从中提取IP地址和MAC地址;(4)ARP欺骗检测模块查找在ARP表中是否存在与ARP应答报文的IP地址相同的记录如果找不到,则用ARP应答报文的IP地址、MAC地址和当前时间组成一条记录,添加到ARP表中;如果能找到,则从ARP表中的记录中取出MAC地址,判断ARP表中的MAC地址与从ARP应答报文中提取的MAC地址是否相同,如果相同,则用当前时间更新ARP表中的记录中的时间,如果不同,则表明接收的IP地址对应的ARP表中的记录中的MAC地址已经改变;继续取出ARP表中的记录中的时间,并计算当前时间与ARP表中的记录中时间的差值,当差值高于阈值时,则是正常的ARP应答报文,此时用ARP应答报文中的MAC地址和当前时间更新ARP表中的记录中的相应字段,当差值低于上述阈值时,则发生了 ARP欺骗,其中,阈值设置为10-500ms ;(5)当检测到ARP欺骗后,通过告警模块提示管理员;或记录日志文件,以便管理员查阅;或切断相应端口的连接,避免造成损失。(6)ARP欺骗检测中使用的阈值,其含义为从同一 IP地址接收到两次相邻ARP报文之间的合理间隔,该值可由网络管理员根据网络状况进行设置。上述所说的时间,可以是绝对时间,也可以是标识交换机启动时间的计数器。本发明的技术效果本发明通过在交换机中加入新的处理逻辑,实时监测ARP欺骗现象,并及时做出处理,提高了网络健壮性,有助于打造更为安全的网络。
图1为本发明所涉一种在交换机内实现ARP欺骗检测的模块设计示意图;图2为本发明所涉一种报文分发模块的工作流程图;图3为本发明所涉一种ARP欺骗检测模块的工作流程图。
具体实施例方式实施例一种在交换机上实现ARP欺骗检测的方法,其特征在于具体步骤如下(I)在交换机中,建立报文分发模块、ARP欺骗检测模块、告警模块,以及ARP表;其中报文分发模块用于检测报文类型,判断是否ARP报文;ARP欺骗检测模块负责检测ARP报文,判断是否存在ARP欺骗;告警模块用于提示管理员;ARP表用于缓存接收到的ARP报文中的IP/MAC地址对,由若干ARP记录组成,每条ARP记录包括从ARP报文中取出的IP/MAC地址对,以及收到ARP报文的时间,交换机上电时ARP表为空表;(2)交换机上电后,报文分发模块进入工作状态,报文分发模块判断交换机输入的所有报文类型,如果不是ARP应答报文则检测下一报文;如果是ARP应答报文,则判断是否发生了 ARP风暴,如果是ARP风暴,则通过告警模块提示管理员;如果不是ARP风暴,则将报文分发给ARP欺骗检测模块。 (3)当ARP欺骗检测模块接收到ARP应答报文后,从中提取IP地址和MAC地址;
⑷ARP欺骗检测模块查找在ARP表中是否存在与ARP应答报文的IP地址相同的记录如果找不到,则用ARP应答报文的IP地址、MAC地址和当前时间组成一条记录,添加到ARP表中;如果能找到,则从ARP表中的记录中取出MAC地址,判断ARP表中的MAC地址与从ARP应答报文中提取的MAC地址是否相同,如果相同,则用当前时间更新ARP表中的记录中的时间,如果不同,则表明接收的IP地址对应的ARP表中的记录中的MAC地址已经改变;继续取出ARP表中的记录中的时间,并计算当前时间与ARP表中的记录中时间的差值,当差值高于阈值时,则是正常的ARP应答报文,此时用ARP应答报文中的MAC地址和当前时间更新ARP表中的记录中的相应字段,当差值低于上述阈值时,则发生了 ARP欺骗,其中,阈值设置为50ms ;(5)当检测到ARP欺骗后,通过告警模块提示管理员;或记录日志文件,以便管理员查阅;或切断相应端口的连接,避免造成损失。(6) ARP欺骗检测中使用的阈值,其含义为从同一 IP地址接收到两次相邻ARP报文之间的合理间隔,该值可由网络管理员根据网络状况进行设置。上述所说的时间是绝对时间。应当理解的是,以上仅为本发明的优选实施例,不能因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同 理包括在本发明的专利保护范围内。
权利要求
1.ー种在交換机上实现ARP欺骗检测的方法,其特征在于具体步骤如下 (1)在交換机中,建立报文分发模块、ARP欺骗检测模块、告警模块,以及ARP表;其中报文分发模块用于检测报文类型,判断是否ARP报文;ARP欺骗检测模块负责检测ARP报文,判断是否存在ARP欺骗;告警模块用于提示管理员;ARP表用于缓存接收到的ARP报文中的IP/MAC地址对,由若干ARP记录组成,每条ARP记录包括从ARP报文中取出的IP/MAC地址对,以及收到ARP报文的时间,交換机上电时ARP表为空表; (2)交換机上电后,报文分发模块进入工作状态,报文分发模块判断交换机输入的所有报文类型,如果不是ARP应答报文则检测下ー报文;如果是ARP应答报文,则判断是否发生了 ARP风暴,如果是ARP风暴,则通过告警模块提示管理员;如果不是ARP风暴,则将报文分发给ARP欺骗检测模块。
(3)当ARP欺骗检测模块接收到ARP应答报文后,从中提取IP地址和MAC地址; (4)ARP欺骗检测模块查找在ARP表中是否存在与ARP应答报文的IP地址相同的记录如果找不到,则用ARP应答报文的IP地址、MAC地址和当前时间组成一条记录,添加到ARP表中;如果能找到,则从ARP表中的记录中取出MAC地址,判断ARP表中的MAC地址与从ARP应答报文中提取的MAC地址是否相同,如果相同,则用当前时间更新ARP表中的记录中的时间,如果不同,则表明接收的IP地址对应的ARP表中的记录中的MAC地址已经改变;继续取出ARP表中的记录中的时间,并计算当前时间与ARP表中的记录中时间的差值,当差值高于阈值吋,则是正常的ARP应答报文,此时用ARP应答报文中的MAC地址和当前时间更新ARP表中的记录中的相应字段,当差值低于上述阈值时,则发生了 ARP欺骗,其中,阈值设置为10_500ms ; (5)当检测到ARP欺骗后,通过告警模块提示管理员;或记录日志文件,以便管理员查阅;或切断相应端ロ的连接,避免造成损失。
(6)ARP欺骗检测中使用的阈值,其含义为从同一 IP地址接收到两次相邻ARP报文之间的合理间隔,该值可由网络管理员根据网络状况进行设置。
2.根据权利要求1所说的ー种在交換机上实现ARP欺骗检测的方法,其特征在于所说的时间,可以是绝对时间,也可以是标识交换机启动时间的计数器。
全文摘要
本发明公开了一种在交换机上实现ARP欺骗检测的方法,具体步骤如下将交换机输入送入到报文分发模块;当检测到进入的报文为ARP报文时,报文分发模块判断是否发生了ARP风暴,若是则通过告警模块进行提示,否则将ARP报文分发给ARP欺骗检测模块;ARP欺骗检测模块通过ARP表记录的信息判断是否发生了ARP欺骗,若是则记录欺骗事件,并通过告警模块进行提示。采用本发明能够解决相关技术中安全性低、成本高等劣势,以极为经济的方式解决ARP欺骗问题。
文档编号H04L29/06GK103051597SQ20111031326
公开日2013年4月17日 申请日期2011年10月14日 优先权日2011年10月14日
发明者王钟颖 申请人:国家纳米技术与工程研究院