一种攻击定位、辅助定位装置和方法

一种攻击定位、辅助定位装置和方法
【专利摘要】本发明提供一种攻击定位、辅助定位装置和方法，所述方法包括：在确认局域网内发生攻击行为后，向局域网内的交换机发送位置探测报文，所述位置探测报文中携带有攻击者的介质访问控制MAC地址A-MAC；接收局域网内的各交换机发送的位置应答报文，所述位置应答报文中携带所述A-MAC对应的接入端口以及该交换机距离网关设备的跳数，将携带最大跳数的位置应答报文作为目标位置应答报文，并根据该目标位置应答报文中携带的所述A-MAC对应的接入端口以及发送该目标位置应答报文的交换机来确定攻击者的位置。通过本发明的技术方案，可以定位出攻击者在局域网中的位置，从而隔离攻击者，保证网络安全。
【专利说明】一种攻击定位、辅助定位装置和方法
【技术领域】
[0001]本发明涉及网络【技术领域】，尤其涉及一种攻击定位、辅助定位装置和方法。
【背景技术】
[0002]随着互联网技术的发展，越来越多的企业或者团体内部使用局域网来通信，局域 网可以实现文件管理、应用软件共享、打印机共享等功能，传输速度快，并且便于管理。但与 此同时，网络安全问题也在困扰着用户。
[0003]在局域网内，如果某个主机中毒或者遇到攻击，网关通常是将攻击报文丢掉。具 体地，网关根据报文的流量和本地保存的表项，来识别攻击报文，在确认攻击后丢弃攻击报 文，或者是对攻击报文进行限速。然而这种方法只是被动的防御，攻击报文仍然在局域网内 范洪，消耗大量的网络带宽，同时占用大量的中央处理器(CPU)处理资源。

【发明内容】

[0004]有鉴于此，本发明提供一种攻击定位装置，所述装置包括:
[0005]位置探测模块，用于在确认局域网内发生攻击行为后，向局域网内的交换机发送 位置探测报文，所述位置探测报文中携带有攻击者的介质访问控制MAC地址A-MAC ；
[0006]位置确认模块，用于接收局域网内的各交换机发送的位置应答报文，所述位置应 答报文中携带所述A-MAC对应的接入端口以及该交换机距离网关设备的跳数，将携带最 大跳数的位置应答报文作为目标位置应答报文，并根据该目标位置应答报文中携带的所述 A-MAC对应的接入端口以及发送该目标位置应答报文的交换机来确定攻击者的位置；
[0007]其中，位置应答报文为局域网中的交换机接收到位置探测报文，并基于所述A — MAC得到对应的接入端口后返回的响应报文；所述跳数用于表示位置探测报文在局域网内 经过的交换机数量。
[0008]本发明还提供一种攻击辅助定位装置，所述装置包括:
[0009]解析更新模块，用于在接收到网关设备发送的位置探测报文后，获取该位置探测 报文中携带的攻击者的介质访问控制MAC地址A-MAC，查找所述A-MAC对应的接入端口，并 更新所述位置探测报文的跳数，其中，所述跳数用于表示所述位置探测报文在局域网内经 过的交换机数量；
[0010]回复应答模块，用于将所述A-MAC对应的接入端口和更新后的跳数携带在位置应 答报文中发送给网关设备；
[0011]定位转发模块，用于将更新后的跳数携带在所述位置探测报文中从所述A-MAC对 应的接入端口转发。
[0012]本发明还提供一种攻击定位方法，应用在网关设备上，所述方法包括:
[0013]在确认局域网内发生攻击行为后，向局域网内的交换机发送位置探测报文，所述 位置探测报文中携带有攻击者的介质访问控制MAC地址A-MAC ；
[0014]接收局域网内的各交换机发送的位置应答报文，所述位置应答报文中携带所述A-MAC对应的接入端口以及该交换机距离网关设备的跳数，将携带最大跳数的位置应答报 文作为目标位置应答报文，并根据该目标位置应答报文中携带的所述A-MAC对应的接入端 口以及发送该目标位置应答报文的交换机来确定攻击者的位置；
[0015]其中，位置应答报文为局域网中的交换机接收到位置探测报文，并基于所述A — MAC得到对应的接入端口后返回的响应报文；所述跳数用于表示位置探测报文在局域网内 经过的交换机数量。
[0016]本发明还提供一种攻击辅助定位方法，应用在交换机上，所述方法包括:
[0017]在接收到网关设备发送的位置探测报文后，获取该位置探测报文中携带的攻击者 的介质访问控制MAC地址A-MAC，查找所述A-MAC对应的接入端口，并更新所述位置探测报 文的跳数，其中，所述跳数用于表示所述位置探测报文在局域网内经过的交换机数量；
[0018]将所述A-MAC对应的接入端口和更新后的跳数携带在位置应答报文中发送给网 关设备；
[0019]将更新后的跳数携带在所述位置探测报文中从所述A-MAC对应的接入端口转发。
[0020]由以上技术方案可见，本发明通过交换机对攻击者MAC地址的逐级反向查找，找 到攻击者MAC地址对应的接入端口，进而确定攻击者在局域网中的位置。
【专利附图】

【附图说明】
[0021]图1是本发明实施例一提供的攻击定位方法流程示意图；
[0022]图2是本发明实施例二提供的攻击辅助定位方法流程示意图；
[0023]图3是本发明实施例三提供的攻击定位、辅助定位方法交互的流程示意图；
[0024]图4是本发明实施例三提供的一种典型组网环境图；
[0025]图5是本发明实施例四提供的攻击定位装置的结构示意图；
[0026]图6是本发明实施例五提供的攻击辅助定位装置的结构示意图。
【具体实施方式】
[0027]在实际应用中，网关设备通常根据报文的流量和本地保存的表项来识别攻击报 文。以ARP (AddressResolutionProtocol,地址解析协议)攻击为例,在5秒内，如果接收到 同一个源MAC (Media Access Control,介质访问控制)地址发送的ARP报文的数量超过一 定的阈值，就认为发生攻击，此时，系统会将此MAC地址添加到攻击检测的表项中，在该攻 击检测表项老化之前，过滤掉所有该源MAC地址发送的ARP报文，从而避免遭到攻击。但是 在这种方案中，网关设备不能获知到底是局域网内哪个主机在发送攻击报文，相应地，网络 管理员也就不能采取相应的阻断措施。
[0028]针对上述方案存在的问题，本发明提供一种攻击定位、辅助定位方法。下面将以不 同的实施例对本发明技术方案进行详细说明。
[0029]在第一实施例中，本发明提供一种攻击定位方法，所述方法的执行主体具体为局 域网中的网关设备，该网关设备确定存在攻击行为后，即可执行本实施例方法步骤。具体 地，请参考图1，本实施例方法可包括如下步骤:
[0030]S101，在确认局域网内发生攻击行为后，向局域网内的交换机发送位置探测报文， 所述位置探测报文中携带有攻击者的介质访问控制MAC地址A-MAC ；[0031]S102、接收局域网内的各交换机发送的位置应答报文，所述位置应答报文中携带所述A-MAC对应的接入端口以及该交换机距离网关设备的跳数，将携带最大跳数的位置应答报文作为目标位置应答报文，并根据该目标位置应答报文中携带的所述A-MAC对应的接入端口以及发送该目标位置应答报文的交换机来确定攻击者的位置；
[0032]其中，位置应答报文为局域网中的交换机接收到位置探测报文，并基于所述A —MAC得到对应的接入端口后返回的响应报文；所述跳数用于表示位置探测报文在局域网内经过的交换机数量。
[0033]本实施例中，网关设备确定局域网中存在攻击行为后，即可向局域网中的交换机发送位置探测报文，以通过MAC地址反向查找的方式来确定攻击者发起的攻击行为所经过的交换机，并利用跳数来确定攻击行经过的交换机距离网关设备的距离，从而可准确的确定出攻击者所连接的交换机，最终确定出攻击者的位置，从而可对攻击者的攻击行为在源头进行控制。
[0034]具体地，局域网中的交换机接收到探测报文后，即可将接收攻击报文发送者的接入端口，以及交换机距离网关设备的距离，即跳数信息以应答报文形式反馈给网关设备，使得网关设备可准确的确定出攻击者的具体位置。本领域技术人员可以理解，只要知道发送攻击报文的主机对应的交换机的接入端口，就可以确定与该交换机的接入端口连接的主机即可确定为攻击主机。
[0035]本发明实施例中，网关设备通过发送探测报文的方式，对攻击者MAC地址进行逐级反向查找，确定出攻击者MAC地址对应的交换机的接入接口，确定出攻击者在局域网中的位置。
[0036]上述本发明实施例中，当网关设备确定攻击者的位置，即与攻击者最近的交换机的接入接口后，即可将攻击者的位置，也就是上述目标位置应答报文中携带的A-MAC对应的接入端口和发送该目标位置应答报文的交换机上报给网管。这样，网管获得该信息后，即可通过人工方式或其它方式来限制攻击者的攻击行为，例如可通过关闭交换机与攻击者连接的接入端口等。
[0037]上述本发明实施例中，当网关设备确定攻击者的位置，且在确定攻击行为后的预定的时间内检测攻击行为仍然持续进行时，发送控制报文给发送该目标位置应答报文的交换机，通知其关闭所述A-MAC对应的接入端口。其中该控制报文也可通过预先设定的协议规则来识别，例如在上述的探测报文中增加一个识别为控制报文的字段，这样，交换机接收到探测报文，并确定探测报文中携带该字段后，即可确定其为控制报文，从而可获取其中与主机连接的接入端口，对端口进行关闭等操作处理，杜绝攻击者的攻击行为通过接入端口进入局域网。
[0038]上述本发明实施例中，在向局域网内的交换机发送位置探测报文的过程中，具体是从接收到攻击报文的端口发送所述位置探测报文。
[0039]上述本发明实施例中，向局域网内的交换机发送的位置探测报文的目的MAC地址为用于交换机识别该位置探测报文的预定MAC地址。所述预定MAC地址具体可为组播MAC地址。实际应用中，也可通过其它方式来识别探测报文，对此本发明实施例不做特别限制。
[0040]在第二实施例中，本发明提供一种攻击辅助定位方法，所述方法的执行主体具体可以是局域网中的交换机，可接收上述实施例中网关设备发送的探测报文，识别该探测报文并返回应答报文，以通告自身距离网关设备距离(即跳数)信息。具体地，请参考图2，本实施例方法可包括如下步骤:
[0041]S201，在接收到网关设备发送的位置探测报文后，获取该位置探测报文中携带的攻击者的MAC地址A-MAC，查找所述A-MAC对应的接入端口，并更新所述位置探测报文的跳数，其中，所述跳数用于表示所述位置探测报文在局域网内经过的交换机数量；
[0042]S202、将所述A-MAC对应的接入端口和更新后的跳数携带在位置应答报文中发送给网关设备；
[0043]S203、将更新后的跳数携带在所述位置探测报文中从所述A-MAC对应的接入端口转发。
[0044]本实施例中，交换机接收到网关设备发送的探测报文后，即可解析其中携带发送局域网中的攻击行为的攻击者的MAC地址A — MAC,并查找自身设备上与该A — MAC对应的接入端口，并更新位置探测报文在局域网内经过的交换机的数量，即跳数，之后进行转发；然后，将查找的与A — MAC对应的接入端口，以及探测报文的跳数信息以应答报文方式返回至网关设备，使得网关设备可根据应答报文中携带的接入端口、跳数等信息确定攻击者的位置。
[0045]本实施例中，可在交换机上预先设置用于识别位置探测报文的识别标识，本实施例中为预先设定的MAC地址，这样，交换机接收到报文中携带的目的MAC地址为所述预定的MAC地址时，就可将其确定为位置探测报文，从而可解析位置探测报文中携带的信息。本实施例中，当交换机在接收到网关设备发送的控制报文后，可关闭所述控制报文中携带的A-MAC对应的端口，切断攻击者与局域网之间的通信，杜绝攻击行为。
[0046]本实施例中，当交换机在查找A-MAC对应的接入端口的过程中，没有查找到所述A-MAC对应的接入端口时，可将更新后的跳数携带在所述位置探测报文中在交换机上除接收到该报文的端口上转发。
[0047]下面将以本发明技术方案在局域网中的具体实现过程中，网关设备与交换机之间的交互过程为例进行说明。
[0048]在第三实施例中，在图4所示的组网环境中，局域网中的网关设备在确定攻击行为后，即可向局域网中的交换机发送探测报文，通过与交换机的交互来确定攻击者的位置，具体地，请参考图3，本实施例方法可包括如下步骤:
[0049]S301，网关设备在确认局域网内发生攻击行为后，向局域网内的交换机发送位置探测报文，所述位置探测报文中携带有攻击者的MAC地址A-MAC。
[0050]本步骤中，网关设备识别攻击行为的方法可以是前面所述的:预定的时间内报文的流量超过阈值则认为发生攻击行为，也可以是本领域技术人员所熟知的其他攻击行为检测的方法，在此不再累述。
[0051]在实现本发明实施例时，可预先自定义交换机识别所述位置探测报文的识别标识，比如，可以将识别标识设置为预定的MAC地址，甚至可以设置为预定的IP地址，只要预先在局域网内的交换机上进行相关配置即可。优选地，根据交换机的工作原理，本发明中，设置所述位置探测报文的目的MAC地址为用于交换机识别该位置探测报文的预定MAC地址。进一步地，所述预定MAC地址可以为组播MAC地址。设置为组播MAC而非单播MAC，可以避免因局域网内存在相同MAC地址的设备而造成的报文转发错误。本实施例中优选采用预设的组播MAC地址作为交换机识别探测报文的识别标识，且可预先配置在交换机中。
[0052]请参考图4所示的组网图，假定PC4是攻击者，网关设备在确认攻击行为后，发送探测攻击者位置的位置探测报文，所述位置探测报文的载荷中携带有攻击者的MAC地址A-MAC，所述A-MAC是从攻击报文中获取的。所述位置探测报文可以设置成如下格式:
【权利要求】
1.一种攻击定位装置，其特征在于，所述装置包括:位置探测模块，用于在确认局域网内发生攻击行为后，向局域网内的交换机发送位置探测报文，所述位置探测报文中携带有攻击者的介质访问控制MAC地址A-MAC ；位置确认模块，用于接收局域网内的各交换机发送的位置应答报文，所述位置应答报文中携带所述A-MAC对应的接入端口以及该交换机距离网关设备的跳数，将携带最大跳数的位置应答报文作为目标位置应答报文，并根据该目标位置应答报文中携带的所述A-MAC 对应的接入端口以及发送该目标位置应答报文的交换机来确定攻击者的位置；其中，位置应答报文为局域网中的交换机接收到位置探测报文，并基于所述A — MAC得到对应的接入端口后返回的响应报文；所述跳数用于表示位置探测报文在局域网内经过的交换机数量。
2.根据权利要求1所述的装置，其他特征在于，所述位置确认模块进一步包括:将所述目标位置应答报文中携带的所述A-MAC对应的接入端口和发送该目标位置应答报文的交换机上报给网管。
3.根据权利要求2所述的装置，其特征在于，所述装置还包括:控制处理模块，用于在确定攻击行为后的预定的时间内检测攻击行为仍然持续进行时，发送控制报文给发送该目标位置应答报文的交换机，通知其关闭所述A-MAC对应的接入端口。
4.根据权利要求1所述的装置，其特征在于，所述位置探测模块，具体用于从接收到攻击报文的端口发送所述位置探测报文。
5.根据权利要求1一 4任一所述的装置，其特征在于，所述位置探测模块，具体用于发送的位置探测报文的目的MAC地址为用于交换机识别该位置探测报文的预定MAC地址。
6.根据权利要求5所述的装置，其特征在于，所述预定MAC地址为组播MAC地址。
7.一种攻击辅助定位装置， 其特征在于，所述装置包括:解析更新模块，用于在接收到网关设备发送的位置探测报文后，获取该位置探测报文中携带的攻击者的介质访问控制MAC地址A-MAC，查找所述A-MAC对应的接入端口，并更新所述位置探测报文的跳数，其中，所述跳数用于表示所述位置探测报文在局域网内经过的交换机数量；回复应答模块，用于将所述A-MAC对应的接入端口和更新后的跳数携带在位置应答报文中发送给网关设备；定位转发模块，用于将更新后的跳数携带在所述位置探测报文中从所述A-MAC对应的接入端口转发。
8.根据权利要求7所述的装置，其特征在于，所述装置还包括:报文判断模块，用于查看接收到的报文是否携带预定MAC地址，如果是，则判定该报文为位置探测报文。
9.根据权利要求7所述的装置，其特征在于，所述定位转发模块，还用于所述解析更新模块没有查找到所述A — MAC对应的接入端口时，将更新后的跳数携带在所述位置探测报文中在交换机上除接收到该报文的端口上转发。
10.根据权利要求7所述的装置，其特征在于，所述装置还包括:控制响应模块，用于在接收到网关设备发送的控制报文后，关闭所述控制报文中携带的A-MAC对应的端口。
11.一种攻击定位方法,其特征在于,所述方法包括:在确认局域网内发生攻击行为后，向局域网内的交换机发送位置探测报文，所述位置探测报文中携带有攻击者的介质访问控制MAC地址A-MAC ；接收局域网内的各交换机发送的位置应答报文，所述位置应答报文中携带所述A-MAC 对应的接入端口以及该交换机距离网关设备的跳数，将携带最大跳数的位置应答报文作为目标位置应答报文，并根据该目标位置应答报文中携带的所述A-MAC对应的接入端口以及发送该目标位置应答报文的交换机来确定攻击者的位置；其中，位置应答报文为局域网中的交换机接收到位置探测报文，并基于所述A-MAC得到对应的接入端口后返回的响应报文；所述跳数用于表示位置探测报文在局域网内经过的交换机数量。
12.根据权利要求11所述的方法，其特征在于，所述方法还包括:将所述目标位置应答报文中携带的所述A-MAC对应的接入端口和发送该目标位置应答报文的交换机上报给网管。
13.根据权利要求12所述的方法，其特征在于，所述方法还包括:在确定攻击行为后的预定的时间内检测攻击行为仍然持续进行时，发送控制报文给发送该目标位置应答报文的交换机，通知其关闭所述A-MAC对应的接入端口。
14.根据权利要求11所述的方法，其特征在于，在向局域网内的交换机发送位置探测报文的过程中包括:从接收到攻击报文的端口发送所述位置探测报文。
15.根据权利要求11-14任一所述的方法，其特征在于，向局域网内的交换机发送的位置探测报文的目的MAC地址为用于交换机识别该位置探测报文的预定MAC地址。
16.根据权利要求15所述的方法，其特征在于，所述预定MAC地址为组播MAC地址。
17.一种攻击辅助定位方法，其特征在于，所述方法包括:在接收到网关设备发送的位置探测报文后，获取该位置探测报文中携带的攻击者的介质访问控制MAC地址A-MAC，查找所述A-MAC对应的接入端口，并更新所述位置探测报文的跳数，其中，所述跳数用于表示所述位置探测报文在局域网内经过的交换机数量；将所述A-MAC对应的接入 端口和更新后的跳数携带在位置应答报文中发送给网关设备;将更新后的跳数携带在所述位置探测报文中从所述A-MAC对应的接入端口转发。
18.根据权利要求17所述的方法，其特征在于，在获取位置探测报文中携带的攻击者的MAC地址A-MAC，查找所述A-MAC对应的接入端口，并更新所述位置探测报文的跳数的过程之前还包括:查看接收到的报文是否携带预定MAC地址，如果是，则判定该报文为位置探测报文。
19.根据权利要求17所述的方法，其特征在于，在查找所述A-MAC对应的接入端口的过程中还包括:没有查找到所述A-MAC对应的接入端口，在将更新后的跳数携带在所述位置探测报文中从所述A-MAC对应的接入端口转发的过程中还包括:将更新后的跳数携带在所述位置探测报文中在交换机上除接收到该报文的端口上转发。
20.根据权利要求17所述的方法，其特征在于，所述方法还包括:在接收到网关设备发送的控制报文后，关闭所述控制报文中携带的A-MAC对应的端 □。
【文档编号】H04L29/12GK103428032SQ201310361621
【公开日】2013年12月4日 申请日期:2013年8月19日 优先权日:2013年8月19日
【发明者】徐燕成, 王伟 申请人:杭州华三通信技术有限公司