一种服务器ip保护方法和系统的制作方法
【技术领域】
[0001] 本发明属于计算机互联网领域,涉及一种服务器IP保护方法和系统。
【背景技术】
[0002] 局域网内服务器作为资源的主要提供者,担任着重要角色,对于网内其它终端的 正常以及高效运行起着致关重要的作用。向服务器提交的数据很多都是敏感资源,而众多 客户端连接服务器一般都是以IP为基准,那么如果服务器IP被人冒用,则意味着众多客户 端可能会尝试连接虚假的服务器并提交敏感数据,这是非常危险的行为。如果服务器一直 在运行着,则IP-直处于占用状态,一般来说自然不会被冒用,但如果有人恶意制造服务 器掉线或宕机,并趁机抢占原本属于服务器的IP地址,则服务器重新接入网络后也无法再 次抢回IP。综上所述,内网环境中产生了服务器IP地址保护的需求。
[0003] -般用来防止IP欺骗的办法是需要连接服务器的终端将服务器IP/MAC映射绑定 进静态ARP表,这样在一定程度上能避免假的主机冒用服务器IP。
[0004] 在现有的解决方案下,对假主机冒用IP有一定防范作用,但问题有两个,第一在 于操作繁琐,每台与服务器直连的主机必须设置静态ARP表,第二在于如果服务器IP真的 被冒用,虽然信息不会泄露,但服务器再也无法抢回自己的IP。
【发明内容】
[0005]本发明所要解决的技术问题是即使服务器宕掉(即暂时释放了 IP),也让非法主 机无法占用服务器的IP,并且一切动作仅在少量(一般情况下一台即可)主机上进行,不需 要全网机器都进行ARP绑定这样的繁琐操作。
[0006] 本发明解决上述技术问题所采取的技术方案如下:
[0007] -种服务器IP保护方法,包括:
[0008] 步骤1)在网段内选取一台机器作为工作机,其维护一保护列表;
[0009] 步骤2)工作机获取相同网段下的主机所发送的ARP询问包,所述ARP询问包为一 包含该主机要获取的IP地址和访问方的MAC地址;
[0010] 步骤3)从所述APR询问包中提取IP地址和MAC地址,并查询该IP地址是否在保 护列表中,其中,如果IP地址在IP在保护列表中而MAC未对应,则认为它是非法的主机,并 向该主机回复IP被占用的ARP包。
[0011] 进一步地,优选的是,步骤1)前,预先将受保护的IP保护列表及它们的合法MAC 映射记录进内存备用。
[0012] 进一步地,优选的是,步骤2)中,具体包括:工作机在所有网卡上进行混杂模式抓 包,以抓到ARP询问包,并对每个抓到的ARP询问包进行判断。
[0013] 进一步地,优选的是,对每个抓到的ARP询问包进行判断,具体包括:
[0014] 41)如果是本机发起的,则不处理;
[0015] 42)如果ARP结构中sender_ip和target_ip相同,或者sender_ip为0,则在保 护列表中查找target_ip,如果找到,说明这是一个受保护的IP;
[0016] 43)从保护列表中找到此IP映射的MAC,如果和ARP包中sender_mac不一致,则 说明是非法的主机要获取IP。
[0017] 优选的是,进一步地具体包括:
[0018] 51)工作机构造ARP攻击包,攻击包中target_mac为ARP询问包中的sender_mac, 攻击包中sender_mac为一个伪造的假MAC,攻击包中sender_ip为要保护的IP ;52)将攻 击包发送出去,询问方收到攻击包后认为此IP已被人占用,无法使用。
[0019] 一种服务器IP保护系统,包括:
[0020] 工作机,其为一在网段内选取的机器,其包括:保护列表维护模块,用于维护一保 护列表;
[0021] 抓包模块,用于获取相同网段下的主机所发送的ARP询问包,所述ARP询问包为一 包含该主机要获取的IP地址和访问方的MAC地址;
[0022] 地址保护模块,用于从所述APR询问包中提取IP地址和MAC地址,并查询该IP地 址是否在保护列表中,其中,如果IP地址在IP在保护列表中而MAC未对应,则认为它是非 法的主机,并向该主机回复IP被占用的ARP包。
[0023] 进一步地,优选的是,所述保护列表维护模块,进一步用于预先将受保护的IP保 护列表及它们的合法MAC映射记录进内存备用。
[0024] 进一步地,优选的是,所述抓包模块,用于在所有网卡上进行混杂模式抓包,以抓 到ARP询问包,并对每个抓到的ARP询问包进行判断。
[0025] 进一步地,优选的是,所述地址保护模块,对每个抓到的ARP询问包进行判断,具 体包括:
[0026] 41)如果是本机发起的,则不处理;
[0027] 42)如果ARP结构中sender_ip和target_ip相同,或者sender_ip为0,则在保 护列表中查找target_ip,如果找到,说明这是一个受保护的IP;
[0028] 43)从保护列表中找到此IP映射的MAC,如果和ARP包中sender_mac不一致,则 说明是非法的主机要获取IP。
[0029] 进一步地,优选的是,所述地址保护模块,进一步执行以下操作:
[0030] 51)构造ARP攻击包,攻击包中target_mac为ARP询问包中的sender_mac,攻击 包中sender_mac为一个伪造的假MAC,攻击包中sender_ip为要保护的IP ;52)将攻击包 发送出去,询问方收到攻击包后认为此IP已被人占用,无法使用。
[0031] 本方案的关键点在于实现一种"旁路"的保护,即不需要被保护的服务器参与,也 不需要连接服务器的客户端参与,即能完成服务器IP的保护。
[0032] 本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变 得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明 书、权利要求书、以及附图中所特别指出的结构来实现和获得。
【附图说明】
[0033] 下面结合附图对本发明进行详细的描述,以使得本发明的上述优点更加明确。其 中,
[0034] 图1是本发明服务器IP保护方法的系统拓扑示意图。
【具体实施方式】
[0035] 以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用 技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。需要说明 的是,只要不构成冲突,本发明中的各个实施例以及各实施例中的各个特征可以相互结合, 所形成的技术方案均在本发明的保护范围之内。
[0036] 另外,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系 统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处 的顺序执行所示出或描述的步骤。
[0037] MAC地址:意译为媒体访问控制地址,或称为物理地址、硬件地址,用来定义网络 设备的位置。MAC地址是网卡决定的,是固定的。
[0038] ARP 协议:地址解析协议,即 ARP (Address Resolution Protocol),是根据 IP 地址 获取物理地址(MAC地址)的一个TCP/IP协议。
[0039] 实施例一:
[0040] 如图1所示,是本发明服务器IP保护方法的系统拓扑示意图,其中,根据以上拓扑 图,一种服务器IP保护方法,包括:
[0041] 步骤1)在网段内选取一台机器作为工作机,其维护一保护列表;
[0042] 步骤2)工作机获取相同网段下的主机所发送的ARP询问包,所述ARP询问包为一 包含该主机要获取的IP地址和访问方的MAC地址;
[0043] 步骤3)从所述APR询问包中提取IP地址和MAC地