无线控制器系统arp攻击集中检测及防御方法
【专利摘要】本发明涉及一种无线控制器系统ARP攻击集中检测及防御方法,该方法包括步骤S01:将所有关联到所述无线接入点设备AP上的无线终端STA的流量数据均由无线接入点设备AP经由CAPWAP传输隧道发送至无线控制器AC,并在该无线控制器AC中进行ARP报文合法性的检测及处理;步骤S02:对合法的数据由无线控制器设备AC根据网络拓扑进行转发。本发明在无线控制器上动态实时监测ARP报文,只有合法的ARP报文才进行处理及转发,在AC设备上直接切断ARP攻击源,避免攻击报文在无线局域网中传播,保证无线局域网内的其他设备收到ARP报文的合法性,从而实现集中防御ARP攻击,保障无线局域网安全的目的。
【专利说明】无线控制器系统ARP攻击集中检测及防御方法
【技术领域】
[0001]本发明涉及网络安全【技术领域】,特别是一种无线控制器系统ARP攻击集中检测及防御方法。
【背景技术】
[0002]随着WLAN技术的飞速发展,特别是瘦AP无线架构组网应用的成熟,越来越多的企业、单位及公共场所开始使用无线网络进行组网应用。随着WLAN网络应用规模的扩大,无线网络的安全性也变得越来越重要。其中ARP攻击问题便是无线网络的一个重要隐患。如图1所示,图1是瘦AP无线网络架构图,图中,瘦AP无线局域网中的主要设备类型,包括无线控制器(AC)、无线接入点(AP)、无线终端(STA)、路由器设备(router)。
[0003]ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可造成网络上特定终端用户或者所有终端用户无法正常使用网络。其攻击原理为,攻击者通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
[0004]ARP攻击主要是存在于局域网网络中,局域网中若有一个终端用户发起ARP攻击,就有可能造成整个局域网络通信中断。
[0005]目前ARP防范措施很多,但这些防范措施主要是在有线网络的使用过程中提出的,主要考虑的是有线网络的组网应用,且很多防范措施存在如下一些缺点:1、防范能力有限,不是最根本的方法;2、对网络管理约束大,需要用户终端参与,不方便实用,操作性差;
3、存在负面作用,有可能影响网络功能的正常使用。
【发明内容】
[0006]有鉴于此,本发明结合目前主要使用的瘦AP无线架构的特点,提出了一种ARP攻击集中检测和防御的方法,能从根本上解决无线局域网的ARP欺骗及攻击问题。
[0007]本发明采用以下方案实现:一种无线控制器系统ARP攻击集中检测及防御方法,其特征在于包括以下步骤:
步骤S01:将所有关联到所述无线接入点设备AP上的无线终端STA的流量数据均由无线接入点设备AP经由CAPWAP传输隧道发送至无线控制器AC,并在该无线控制器AC中进行ARP报文合法性的检测及处理;
步骤S02:对合法的数据由无线控制器设备AC根据网络拓扑进行转发。
[0008]在本发明一实施例中,所述ARP报文合法性的检测及处理是由设置在无线控制器AC内的ARP检测模块和ARP防御模块实现;所述ARP攻击检测模块包括两个功能:一是ARP报文统计,用于判断是否存在ARP泛洪报文攻击;二是ARP报文IP\MAC信息的检查,用于判断是否存在ARP报文欺骗;所述ARP防御模块主要是接收ARP检测模块通告的攻击信息,根据不同的攻击用户及类型进行不同的处理。[0009]在本发明一实施例中,所述ARP报文统计是针对每个端口分别进行统计和判断,且由于无线网络终端用户的流动性,报文攻击门限值根据此端口下的用户个数进行动态调整,避免误检的情况发生。
[0010]在本发明一实施例中,所述ARP IP\MAC信息检查是将收到的ARP报文的源IP、源MAC、VLAN ID以及物理端口信息与系统存储的合法用户表项进行对比;只有信息一致才认为报文合法,否则则认为受到ARP攻击进行防御处理。
[0011]在本发明一实施例中,所述根据不同的攻击用户及类型进行不同的处理包括:当攻击用户为无线终端用户STA时,该ARP防御模块会强制此STA下线,将攻击源从无线局域网内剔除;当攻击用户为有线侧用户时,则通过下发硬件ACL到用户连接的物理端口实现攻击源的隔离,对于欺骗攻击用户,则通过ACL匹配报文的源MAC地址,禁止报文进入AC设备软件转发层,对于ARP报文泛洪攻击,则通过ACL匹配ARP报文类型,禁止攻击端口再接收ARP报文。
[0012]本发明有如下有益效果:
1、防范能力强,可以彻底消除无线局域网的ARP攻击。
[0013]本发明的方法,在ARP攻击检测上,基于ARP协议本身,从ARP攻击原理上进行检测,同时基于软件转发特点,可以监控到无线局域网内的所有ARP报文,保证非法ARP报文无法在局域网内传播。
[0014]2、对网络管理约束小,操作方便。
[0015]本发明的方法,ARP的欺骗及防御措施全部在无线控制器上实现,不需要局域网内的AP和STA用户再进行ARP的欺骗防护,且不受局域网内组网变动的影响。
[0016]3、负面作用小,不影响网络功能的正常使用。
[0017]本发明的方法,在ARP防御上使用硬件ACL只针对攻击用户及端口的特定报文,不会对其他用户的网络使用产生任何影响。
【专利附图】
【附图说明】
[0018]图1是本发明方法流程不意图。
[0019]图2是本发明实施例无线网络架构图。
[0020]图3是本发明实施例数据转发框图。其中,A为ARP报文;B为数据报文;C为ARP攻击报文。
[0021]图4是本发明实施例ARP检测和防御处理框图。
[0022]图5是本发明实施例ARP检测模块逻辑框图。
[0023]图6是本发明ARP检测流程图。
[0024]图7是ARP防御处理流程图。
【具体实施方式】
[0025]下面结合附图及实施例对本发明做进一步说明。
[0026]本发明的思路是在无线控制器上动态实时监测ARP报文,只有合法的ARP报文才进行处理及转发,在AC设备上直接切断ARP攻击源,避免攻击报文在无线局域网中传播,保证无线局域网内的其他设备收到ARP报文的合法性,从而实现集中防御ARP攻击,保障无线局域网安全的目的。
[0027]如图2所示,本发明提供一种无线控制器系统ARP攻击集中检测及防御方法,其特征在于包括以下步骤:
步骤SOl:将所有关联到所述无线接入点设备AP上的无线终端STA的流量数据均由无线接入点设备AP经由CAPWAP传输隧道发送至无线控制器AC,并在该无线控制器AC中进行ARP报文合法性的检测及处理;
步骤S02:对合法的数据由无线控制器设备AC根据网络拓扑进行转发。
[0028]较佳的,所述ARP报文合法性的检测及处理是由设置在无线控制器AC内的ARP检测模块和ARP防御模块实现。
[0029]具体的,如图3所示,图3是瘦AP组网数据转发过程框图,STA数据由AP进行CAPffAP数据封装发往AC设备,AC设备内部软件转发模块会对ARP报文进行合法性检测,只有合法才进行转发,同时对其他报文正常转发,不影响正常数据的转发效率。当ARP检测模块检测到ARP攻击时,ARP检测模块将攻击信息发送给ARP防护模块,防护模块根据不同的攻击用户及类型进行不同的处理。当攻击用户为无线终端用户(STA)时,防护模块会强制此STA下线,将攻击源从无线局域网内剔除。当攻击用户为有线侧用户时,若是攻击者地址信息固定的欺骗类攻击,则直接在有线口处屏蔽此用户,禁止此用户报文进到AC软件转发层;若是攻击者地址信息变化的ARP报文泛洪类攻击则禁止发生攻击的端口接收ARP报文;总之防御的主要目的是在彻底切断攻击源的同时尽量减少对合法用户的影响。其处理框图如图4所示。
[0030]本实施例中,上述ARP检测模块在具体实现上包括如下两点,一是ARP报文统计,用于判断是否存在ARP泛洪报文攻击,当特定时间段内收到的ARP报文超过设定的报文攻击门限值时就认为发生了报文泛洪攻击;二是ARP报文IP\MAC等信息的检查,用于判断是否存在ARP报文欺骗。
[0031]其中,ARP报文统计部分针对每个端口分别进行统计和判断,且由于无线网络终端用户的流动性,报文攻击门限值根据此端口下的用户个数进行动态调整,避免误检的情况发生。ARP IP\MAC信息检查部分,将收到的ARP报文的源IP、源MAC、VLAN ID以及物理端口信息与系统存储的合法用户表项进行对比。只有信息一致才认为报文合法,否则则认为受到ARP攻击进行防御处理。
[0032]ARP检测内部逻辑框图如图5所示。其中系统存储的合法用户列表主要存储的用户为AP设备、STA设备、STA网关、AC网关,其中AP设备和STA设备的信息由DHCP SNOOPING模块进行实时更新和维护,静态用户信息由管理员配置静态用户时进行更新和维护,由于无线局域网中静态用户较少且不会频繁更新,此处不会对网络管理员的维护带来困难。STA网关和AC网关信息基本是固定的,由网络管理员直接配置生成,STA网关不受欺骗可以保证STA报文正确到达指定网关,一般情况下为AC设备自身,AC网关不受欺骗可以保证无线局域网出去的报文正确到达下一跳。ARP检测模块的软件流程图,如图6所示。
[0033]ARP防御功能的实现主要是接收ARP检测模块通告的攻击信息,做出合理的防御措施。若攻击者是无线终端用户,无论是用户欺骗攻击还是ARP报文泛洪攻击,都通过无线用户管理模块强制STA用户下线,彻底将攻击源从无线局域网中剔除。若是有线侧用户,则通过下发硬件ACL到用户连接的物理端口实现攻击源的隔离,对于欺骗攻击用户,则通过ACL匹配报文的源MAC地址,禁止报文进入AC设备软件转发层,对于ARP报文泛洪攻击,则通过ACL匹配ARP报文类型,禁止攻击端口再接收ARP报文。通过硬件ACL实现ARP防御的优点是效率高,不占用AC设备CPU资源,同时可以做到不影响其他用户的正常使用。ARP防御的软件流程图,如图7所示。
[0034]以上所述仅为本发明的较佳实施例,凡依本发明申请专利范围所做的均等变化与修饰,皆应属本发明的涵盖范围。
【权利要求】
1.一种无线控制器系统ARP攻击集中检测及防御方法,其特征在于包括以下步骤:步骤SO1:将所有关联到所述无线接入点设备AP上的无线终端STA的流量数据均由无线接入点设备AP经由CAPWAP传输隧道发送至无线控制器AC,并在该无线控制器AC中进行ARP报文合法性的检测及处理;步骤S02:对合法的数据由无线控制器设备AC根据网络拓扑进行转发。
2.根据权利要求1所述的无线控制器系统ARP攻击集中检测及防御方法,其特征在于:所述ARP报文合法性的检测及处理是由设置在无线控制器AC内的ARP检测模块和ARP防御模块实现;所述ARP攻击检测模块包括两个功能:一是ARP报文统计,用于判断是否存在ARP泛洪报文攻击;二是ARP报文IP\MAC信息的检查,用于判断是否存在ARP报文欺骗;所述ARP防御模块主要是接收ARP检测模块通告的攻击信息,根据不同的攻击用户及类型进行不同的处理。
3.根据权利要求2所述的无线控制器系统ARP攻击集中检测及防御方法,其特征在于:所述ARP报文统计是针对每个端口分别进行统计和判断,且由于无线网络终端用户的流动性,报文攻击门限值根据此端口下的用户个数进行动态调整,避免误检的情况发生。
4.根据权利要求2所述的无线控制器系统ARP攻击集中检测及防御方法,其特征在于:所述ARP IP\MAC信息检查是将收到的ARP报文的源IP、源MAC、VLAN ID以及物理端口信息与系统存储的合法用户表项进行对比;只有信息一致才认为报文合法,否则则认为受到ARP攻击进行防御处理。
5.根据权利要求2所述的无线控制器系统ARP攻击集中检测及防御方法,其特征在于:所述根据不同的攻击用户及类型进行不同的处理包括:当攻击用户为无线终端用户STA时,该ARP防御模块会强制此STA下线,将攻击源从无线局域网内剔除;当攻击用户为有线侧用户时,则通过下发硬件ACL到用户连接的物理端口实现攻击源的隔离,对于欺骗攻击用户,则通过ACL匹配报文的源MAC地址,禁止报文进入AC设备软件转发层,对于ARP报文泛洪攻击,则通过ACL匹配ARP报文类型,禁止攻击端口再接收ARP报文。
【文档编号】H04W12/06GK103701818SQ201310742294
【公开日】2014年4月2日 申请日期:2013年12月30日 优先权日:2013年12月30日
【发明者】宋永磊 申请人:福建三元达通讯股份有限公司