一种基于mac地址攻击的防御方法和系统的制作方法
【技术领域】
[0001] 本发明涉及工业以太网技术领域,尤其涉及一种基于介质访问控制(Medium/ Media Access Control, MAC)地址攻击的防御方法和系统。
【背景技术】
[0002] 地址解析协议(Address Resolution Protocol, ARP)的功能是通过网际协议地 址(Internet Protocol Address,IP)查找对应端口的MAC地址,以便在TCP / IP网络中 实现共享信道的节点之间利用MAC地址进行通信。由于ARP协议在设计中存在主动发送 ARP报文的漏洞,使得主机可以发送虚假的ARP请求报文或响应报文,而报文中的源IP地址 和源MC地址均可以进行伪造。在局域网中,既可以伪造成某一台主机(如服务器)的IP 地址和MAC地址的组合,也可以伪造成网关IP地址与MAC地址的组合。这种组合可以根据 攻击者的意图进行任意搭配,而现有的局域网却没有相应的机制和协议来防止这种伪造行 为。近几年来,几乎所有局域网都遭遇过ARP欺骗攻击的侵害。
[0003] 图1所示为假设主机C为局域网中的网关,主机D为ARP欺骗者。当局域网中的 计算机要与其他网络进行通信(如访问Internet)时,所有发往其他网络的数据全部发给 了主机D,而主机D并非真正的网关,这样整个网络将无法与其他网络进行通信。这种现象 在ARP欺骗攻击中非常普遍。
[0004] 针对常规的技术,采用了这样的技术方案,ARP缓存表中的记录既可以是动态的, 也可以是静态的。如果ARP缓存表中的记录是动态的,则可以通过老化机制减少ARP缓存 表的长度并加快查询速度;静态ARP缓存表中的记录是永久性的,用户可以使用TCP / IP 工具来创建和修改,如Windows操作系统白带的ARP工具。对于计算机来说,可以通过绑定 网关等重要设备的IP与MAC地址记录来防止ARP欺骗攻击。在交换机上防范ARP欺骗攻 击的方法与在计算机上基本相同,可以将网络设备的MAC地址与交换机端口进行绑定,并 通过端口安全功能对违背规则的主机(攻击者)进行相应的处理。
[0005] 现有的技术方案主要采用的将网络设备的MAC地址与交换机端口进行绑定,这种 方案带来的问题就是每次网络设备只能与设定好的交换机端口进行绑定,如果连接的端口 发生变化时,就是必须重新设定MAC地址和端口,虽然可以保持MAC地址与端口的稳定性, 降低了交换机(转发装置)端口与网络设备进行配置的灵活性,同时,该方案并没有解决MC 地址与IP地址的安全性和稳定性。
【发明内容】
[0006] 本发明实施例提供一种基于MAC地址攻击的防御方法和系统,用以提高了交换机 (转发装置)端口与网络设备进行配置的灵活性,同时,解决MAC地址与IP地址的安全性和 稳定性。
[0007] 本发明实施例提供了一种基于MC地址攻击的防御方法,所述方法包括: 转发装置根据其接收到的ARP报文中的IP地址和对应的MAC地址建立转发列表,保持 转发列表中的IP地址与其对应的MAC地址的稳定性; 检测要求修改转发列表中的IP地址与其对应的MAC地址的ARP报文的MAC地址是否 为原MAC地址,如果是原MAC地址,保持转发列表中的IP地址与MAC地址不变;如果不是原 MAC地址,所述转发装置向原IP地址发送构造的ARP请求报文; 获取原IP地址的网络设备回复相应的ARP答复报文后,检测所述ARP答复报文中的IP 地址和MAC地址是否是原IP地址和MAC地址,当是原IP地址和原MAC地址时,将请求修改 所述转发列表中的IP地址与其对应的MAC地址的ARP报文删除;当不是原IP地址和原MAC 地址时,向该请求修改所述转发列表中的IP地址与其对应的MAC地址的ARP报文中的目的 IP地址发送该报文。
[0008] 所述方法还包括:在预设时间段内没有收到原IP地址的网络设备回复相应的ARP 答复报文时,转发装置向该请求修改所述转发列表中的IP地址与其对应的MAC地址的ARP 报文中的目的IP地址发送该报文。
[0009] 还包括:在原IP地址的网络设备接收到所述构造的ARP请求报文后,向转发装置 发送包括自身IP地址和MAC地址的ARP答复报文。
[0010] 将请求修改所述转发列表中的IP地址和对应的MAC地址的ARP报文删除时,还包 括:当转发装置多次从收到同一所述请求修改转发列表中的IP地址和对应的MAC地址的 ARP请求报文时,确定该MAC地址的网络设备正在进行MAC地址攻击。
[0011] 所述修改所述转发列表中的IP地址和对应的MAC地址的ARP报文为ARP请求报 文。
[0012] 本发明实施例提供了一种基于MC地址攻击的防御系统,所述系统包括: ARP报文保存装置,根据其接收到的ARP报文中的IP地址和对应的MAC地址建立转发 列表,保持转发列表中的IP地址与其对应的MAC地址的稳定性; ARP请求报文判断装置,检测要求修改转发列表中的IP地址与其对应的MAC地址的 ARP报文的MAC地址是否为原MAC地址,如果是原MAC地址,保持转发列表中的IP地址与 MAC地址不变;如果不是原MAC地址,ARP报文保存装置向原IP地址发送构造的ARP请求报 文; ARP答复报文判断装置,获取原IP地址的网络设备回复相应的ARP答复报文后,检测所 述ARP答复报文中的IP地址和MAC地址是否是原IP地址和原MAC地址,如果是原IP地址 和原MAC地址时,将请求修改所述转发列表中的IP地址与其对应的MAC地址的ARP报文删 除;如果不是原IP地址和原MAC地址时,向该请求修改所述转发列表中的IP地址与其对应 的MAC地址的ARP报文中的目的IP地址发送该报文。
[0013] 所述系统还包括:在预设时间段内没有收到原IP地址的网络设备回复相应的ARP 答复报文时,ARP报文保存装置向该请求修改所述转发列表中的IP地址与其对应的MAC地 址的ARP报文中的目的IP地址发送该报文。
[0014] 所述系统还包括:原IP地址的网络设备接收到所述构造的ARP请求报文,向ARP 答复报文判断装置发送包括自身IP地址和MAC地址的ARP答复报文。
[0015] 所述ARP报文保存装置还包括:当所述ARP报文保存装置请求修改所述转发列表 中的IP地址和对应的MAC地址的ARP报文删除,且ARP报文保存装置多次从收到同一所述 请求修改转发列表中的IP地址和对应的MAC地址的ARP报文时,确定该MAC地址的网络设 备正在进行MAC地址攻击。
[0016] 所述ARP报文保存装置还包括:所述修改所述转发列表中的IP地址和对应的MAC 地址的ARP报文为ARP请求报文。
[0017] 本发明的方案中,所述转发装置根据其接收到的ARP报文中的IP地址和对应的 MAC地址建立转发列表,保持转发列表中的IP地址和其对应的MAC地址的稳定性,强制检 测要求修改转发列表中的IP地址和对应的MAC地址的ARP报文;当ARP报文中MAC地址不 是原MAC地址,所述转发装置向原IP地址发送构造的ARP请求报文,检测所述ARP答复报 文中的IP地址和MAC地址;当不是原IP地址和MAC地址时,向该请求修改所述转发列表中 的IP地址和对应的MAC地址的ARP报文中的目的IP地址发送该报文,本方法和系统提高 了交换机端口与网络设备进行配置的灵活性,同时解决MAC地址与IP地址的安全性和稳定 性。
【附图说明】
[0018] 图1为ARP欺骗的实现过程图; 图2为基于MAC地址攻击的防御流程示意图; 图3为基于MAC地址攻击的防御过程示意图; 图4为基于MAC地址攻击的防御系统结构示意图。
【具体实施方式】
[0019] 本发明提高了交换机端口与网络设备进行配置的灵活性,同时解决MAC地址与IP 地址的安全性和稳定性,提供了一种基于MC地址攻击的防御方法和系统。
[0020] 下面结合说明书附图,对本发明实施例进行详细说明。
[0021] 图2为本发明实施例提供的基于MAC地址攻击的防御流程示意图,该过程包括以 下步骤: S201 :所述转发装置根据其接收到的ARP报文中的IP地址和对应的MAC地址建立转发 列表,保持转发列表中的IP地址和其对应的MAC地址的稳定性; 在本步骤中,这里的转发列表是根据首次ARP报文在各个网络设备中传输,从而各个 网路设备的IP地址和MAC地址都会在转发装置中形成,也就是说,本发明不是针对的首次 ARP报文建立的网络进行防御的,而是针对的用户自认为合理和合法的已经建立的网络提 出的。这里的转发列表是保存在转发装置中的。
[0022] S202 :检测要求修改转发列表中的IP地址和对应的MAC地址的ARP报文的MAC地 址是否为原MAC地址, 转发装置接收要求修改转发列表中的IP地址和对应的MAC地址的ARP报文,这里的 ARP报文在本发明中是ARP请求报文,现有的技术方案中,要求修改转发列表的报文是ARP 回复报文,也就是由答复ARP请求报文的网络设备发出包括自身IP地址和MAC地址的ARP 回复报文;本发明关键点之一就是转发装置不是通过ARP回复报文而是首先判断ARP请求 报文中的源MAC地址是否是保存在转发列表中的MAC地址,这里的MAC地址与IP地址是相 对应的。
[0023] S203 :当是原MAC地址,保持转