本发明涉及智能变电通信网络安全技术领域,具体涉及一种智能变电站通信网络抵御arp攻击的方法及系统。
背景技术:
随着iec61850的逐步应用,当前的智能变电站自动化系统一般分为站控层、间隔层和过程层。过程层主要完成模拟量的采样、开关量输入输出、操作控制命令的发送等与一次设备相关的功能,间隔层汇总过程层的实时数据,接收站控层的命令并向过程层发送命令。站控层是全站的监控管理中心,提供人机界面,实现对间隔层的管理控制,并通过电力数据网与调度中心或集控中心通信。在三层两网的情况下,过程层网络传输goose和sv报文,而站控层网络传输goose和mms报文。iec61850标准的核心通信协议栈在映射到mms时,通常采用tcp/ip的方式。
arp是一个位于tcp/ip协议栈中的协议,其基本功能就是通过目标设备的ip地址,查询目标设备的mac地址,得到mac地址后,才能以太网通信的进行。arp协议是建立在信任局域网内所有结点的基础上的,它很高效,但却不安全。它是无状态的协议,不会检查自己是否发过请求包,也不管是否是合法的应答,只要收到目标mac是自己的arpreply包或arp广播包(包括arprequest和arpreply),都会接受并缓存。这就为arp欺骗提供了可能,恶意节点可以发布虚假的arp报文从而影响网内结点的通信,甚至可以做“中间人”。arp攻击就是通过伪造ip地址和mac地址的映射关系实现arp欺骗,能够在网络中产生大量的arp通信量使网络阻塞,攻击者只要持续不断的发出伪造的arp响应包就能更改目标主机arp缓存中的ip-mac条目,造成网络中断或中间人攻击。
针对网络中存在的arp攻击风险,通常采用的办法是绑定主机的ip和mac的映射关系,但是在智能变电站站控层网络中,这种采用这种静态arp缓存表方法实施起来相当复杂。而三层交换的相关技术虽然可以防御arp攻击,但是不适用于站控层网络中。
为了解决现有技术中所存在的上述不足,本发明提供一种智能变电站通信网络抵御arp攻击的方法及系统。
本发明提供的技术方案是:
一种智能变电站通信网络抵御arp攻击的方法,包括,
对报文进行识别,当所述报文为arp数据帧报文时:
将所述arp数据帧报文解析为一条记录,并与预先存储的arp数据帧报文记录进行比对;
若所述记录与所述预先存储的arp数据帧报文记录相同时,则将所述arp数据帧报文向同一vlan内的其他交换端口进行转发,否则根据预先设定的规则对所述记录进行处理。
优选地,所述对报文进行识别,包括,
判定所述报文是否满足eth.type=0x0806;
若满足,则报文为arp数据帧报文;
否则,不是arp数据帧报文。
优选地,所述将arp数据帧报文解析为一条记录,包括:
对所述arp数据帧报文进行解析,获取源ip地址、源mac地址和交换端口;将所述源ip地址、源mac地址和交换端口合并为一条记录。
优选地,所述若记录与所述预先存储的arp数据帧报文记录相同时,则将所述arp数据帧报文向同一vlan内的其他交换端口进行转发,否则根据预先设定的规则对所述记录进行处理包括:
若记录与所述预先存储的arp数据帧报文记录中的源ip地址、源mac地址和交换端口都相同时,将所述arp数据帧报文向同一vlan内的其他交换端口进行转发;否则,将所述记录进行存储;
当预先存储的arp数据帧报文记录中存在与所述记录中的ip相同,但mac不同的记录时,执行第一告警处理;
当预先存储的arp数据帧报文记录中存在与所述记录中的mac相同,但ip不同的记录时,执行第二告警处理;
当预先存储的arp数据帧报文记录中不存在与所述记录中的mac或ip相同的记录时,则将所述记录对应的apr数据帧报文向同一vlan内的其他交换端口进行转发。
优选地,所述执行第一告警处理包括:
阻塞两条记录对应的交换端口,向管理程序发出警告,并删除内存表中对比的不正常的交换端口对应的记录结果。
优选地,所述执行第二告警处理包括:
直接阻塞刚存入内存中的记录对应的交换端口,向管理程序发出告警,并将对比的两条记录从内存表中删除。
优选地,所述将所述记录进行存储包括:将所述记录存储于交换机的内存表中。
本发明的另一目的在于提出一种智能变电站通信网络抵御arp攻击的系统,包括:筛选模块、解析模块、比对模块和处理模块;
所述筛选模块,用于对报文进行识别,并选出arp数据帧报文;
所述解析模块,用于将所述arp数据帧报文解析为一条记录;
所述比对模块,用于将所述arp数据帧报文与预先存储的arp数据帧报文记录进行比对;
所述处理模块,用于当所述记录与所述预先存储的arp数据帧报文记录相同时,则将所述arp数据帧报文向同一vlan内的其他交换端口进行转发,否则根据预先设定的规则对所述记录进行处理。
优选地,所述筛选模块包括,判定子模块;
所述判定子模块,用于判定报文是否满足eth.type=0x0806;
若满足,则报文为arp数据帧报文;
否则,不是arp数据帧报文。
优选地,所述处理模块,包括:匹配判断子模块、转发子模块、存储子模块、第一告警处理子模块和第二告警处理子模块;
所述匹配判断子模块,用于判断所述记录与所述预先存储的arp数据帧报文记录中的源ip地址、源mac地址和交换端口是否存在相同;
所述转发子模块,用于若记录与所述预先存储的arp数据帧报文记录中的源ip地址、源mac地址和交换端口都相同时,将所述arp数据帧报文向同一vlan内的其他交换端口进行转发;
所述存储子模块,用于若记录与所述预先存储的arp数据帧报文记录中的源ip地址、源mac地址和交换端口存在不同时,将所述记录进行存储;
所述第一告警处理子模块,用于阻塞两条记录对应的交换端口,向管理程序发出警告,并删除内存表中对比的不正常的交换端口对应的记录结果;
所述第二告警处理子模块,用于直接阻塞刚存入内存中的记录对应的交换端口,向管理程序发出告警,并将对比的两条记录从内存表中删除。
与现有技术相比,本发明的有益效果为:
本发明的技术方案通过将识别出的arp数据帧报文解析为一条记录,并与预先存储的arp数据帧报文记录进行比对;当记录与预先存储的arp数据帧报文记录相同时,则将所述arp数据帧报文向同一vlan内的其他交换端口进行转发,否则根据预先设定的规则对所述记录进行处理。此种情况下工程实施较灵活简单,只需在交换机上作相关处理,不会影响arp在交换机上的正常转发,保证了通信网络的正常。
本发明提出的技术方案在二层以太网交换机上实现抵御arp欺骗的技术。在交换机上通过交换芯片的智能处理单元识别arp报文,并将其转发至处理器解析,记录下其ip、mac及交换端口。并在已经记录的表项中查询是否有重复项,对不同的重复项做出相应的处理,向管理系统告警处理,将交换端口阻塞,由此确保网络系统的安全。
附图说明
图1为本发明的一种智能变电站通信网络抵御arp攻击的方法流程图;
图2为本发明的智能变电站通信网络抵御arp攻击的方法示意图。
具体实施方式
为了更好地理解本发明,下面结合说明书附图和实例对本发明的内容做进一步的说明。
本发明提供一种智能变电站通信网络中抵御arp攻击的一种策略。在智能变电站的站控层网络中有较多的tcp/ip通信,arp是其中常用的一种协议,arp协议的功能是查询目标ip对应的mac地址,并写入本机的arp缓存中。但是由于arp协议的缺陷,攻击者可以伪造其对应关系,造成网络中断或者网络窃听,是站控层网络中的一大网络安全隐患。正常arp攻击应该在路由或者三层交换上做防御,但是变电站站控层网络基本为二层交换机,所以那些防御技术无法在站控层网络上使用。本发明提供一种在二层以太网交换机上实现抵御arp欺骗的技术。在交换机上通过交换芯片的智能处理单元识别arp报文,并将其转发至处理器解析,记录下其ip、mac及交换端口。并在已经记录的表项中查询是否有重复项,对不同的重复项做出相应的处理,向管理系统告警处理,将交换端口阻塞,由此确保网络系统的安全。
从图1的流程图可以看出,一种智能变电站通信网络抵御arp攻击的方法,包括,
对报文进行识别,当所述报文为arp数据帧报文时:
将所述arp数据帧报文解析为一条记录,并与预先存储的arp数据帧报文记录进行比对;
若所述记录与所述预先存储的arp数据帧报文记录相同时,则将所述arp数据帧报文向同一vlan内的其他交换端口进行转发,否则根据预先设定的规则对所述记录进行处理。
对报文进行识别,包括,
判定所述报文是否满足eth.type=0x0806;
若满足,则报文为arp数据帧报文;
否则,不是arp数据帧报文。
将arp数据帧报文解析为一条记录,包括:
对所述arp数据帧报文进行解析,获取源ip地址、源mac地址和交换端口;将所述源ip地址、源mac地址和交换端口合并为一条记录。
若记录与所述预先存储的arp数据帧报文记录相同时,则将所述arp数据帧报文向同一vlan内的其他交换端口进行转发,否则根据预先设定的规则对所述记录进行处理包括:
若记录与所述预先存储的arp数据帧报文记录中的源ip地址、源mac地址和交换端口都相同时,将所述arp数据帧报文向同一vlan内的其他交换端口进行转发;否则,将所述记录进行存储;
当预先存储的arp数据帧报文记录中存在与所述记录中的ip相同,但mac不同的记录时,执行第一告警处理;
当预先存储的arp数据帧报文记录中存在与所述记录中的mac相同,但ip不同的记录时,执行第二告警处理;
当预先存储的arp数据帧报文记录中不存在与所述记录中的mac或ip相同的记录时,则将所述记录对应的apr数据帧报文向同一vlan内的其他交换端口进行转发。
执行第一告警处理包括:
阻塞两条记录对应的交换端口,向管理程序发出警告,并删除内存表中对比的不正常的交换端口对应的记录结果。
执行第二告警处理包括:
直接阻塞刚存入内存中的记录对应的交换端口,向管理程序发出告警,并将对比的两条记录从内存表中删除。
将所述记录进行存储包括:将所述记录存储于交换机的内存表中。
具体的,结合图2,可以看出智能变电站通信网络抵御arp攻击的方法:
1、智能变电站中的站控层交换机的交换芯片智能处理单元设置规则,判定eth.type=0x0806的报文为arp数据帧,识别后的动作为将数据帧转发到交换机的cpu。
2、交换机的cpu将收到的arp报文进行解析,将源ip地址、源mac地址、交换端口解析处理,并存放在内存表中,设为一条记录。存放之前先查询有没有完全一样的记录,如果有则不需要再记录,则将该arp报文向同一vlan内的其他交换端口进行转发。
3、将刚存入的一条记录中的ip地址、mac地址、交换端口进行匹配查询,查看是否已经存在相同的ip或者mac。如果没有记录中ip或者mac相同,则将该arp报文向同一vlan内的其他交换端口进行转发。
4、如果存在某条记录中的ip刚存入的记录中的ip相同,但是mac不同,则阻塞两条记录对应的交换端口,并向管理程序发出告警,交由上层排查其中的攻击者,排查后重新恢复正常端口的转发功能,并将另外一个端口对应的记录从内存表中删除。
5、如果存在某条记录中的mac刚存入的记录中的mac相同,但是ip不同,则直接阻塞该条记录对应的交换端口,向管理程序发出告警,并将这两条记录从内存表中删除。
基于同一发明构思,本发明实施例还提供了一种智能变电站通信网络抵御arp攻击的系统,包括:筛选模块、解析模块、比对模块和处理模块;
下面对上述模块进行进一步说明:
筛选模块,用于对报文进行识别,并选出arp数据帧报文;
解析模块,用于将所述arp数据帧报文解析为一条记录;
比对模块,用于将所述arp数据帧报文与预先存储的arp数据帧报文记录进行比对;
处理模块,用于当所述记录与所述预先存储的arp数据帧报文记录相同时,则将所述arp数据帧报文向同一vlan内的其他交换端口进行转发,否则根据预先设定的规则对所述记录进行处理。
筛选模块包括,判定子模块;
判定子模块,用于判定报文是否满足eth.type=0x0806;
若满足,则报文为arp数据帧报文;
否则,不是arp数据帧报文。
处理模块,包括:匹配判断子模块、转发子模块、存储子模块、第一告警处理子模块和第二告警处理子模块;
匹配判断子模块,用于判断所述记录与所述预先存储的arp数据帧报文记录中的源ip地址、源mac地址和交换端口是否存在相同;
转发子模块,用于若记录与所述预先存储的arp数据帧报文记录中的源ip地址、源mac地址和交换端口都相同时,将所述arp数据帧报文向同一vlan内的其他交换端口进行转发;
存储子模块,用于若记录与所述预先存储的arp数据帧报文记录中的源ip地址、源mac地址和交换端口存在不同时,将所述记录进行存储;
第一告警处理子模块,用于阻塞两条记录对应的交换端口,向管理程序发出警告,并删除内存表中对比的不正常的交换端口对应的记录结果;
第二告警处理子模块,用于直接阻塞刚存入内存中的记录对应的交换端口,向管理程序发出告警,并将对比的两条记录从内存表中删除。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅为本发明的实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均包含在申请待批的本发明的权利要求范围之内。