一种基于MAC地址攻击的防御方法和系统技术方案

技术编号:11735434 阅读:125 留言:0更新日期:2015-07-15 10:36
本发明专利技术公开了一种基于MAC地址攻击的防御方法和系统,所述转发装置根据其接收到的ARP报文中的IP地址和对应的MAC地址建立转发列表,强制检测要求修改转发列表中的IP地址和对应的MAC地址的ARP报文;当ARP报文中MAC地址不是原MAC地址,所述转发装置向原IP地址发送构造的ARP请求报文,检测所述ARP答复报文中的IP地址和MAC地址;当不是原IP地址和MAC地址时,向该请求修改所述转发列表中的IP地址和对应的MAC地址的ARP报文中的目的IP地址发送该报文,本方法和系统用以提高了交换机端口与网络设备进行配置的灵活性,同时解决MAC地址与IP地址的安全性和稳定性。

【技术实现步骤摘要】

本专利技术涉及工业以太网
,尤其涉及一种基于介质访问控制(Medium/ Media Access Control, MAC)地址攻击的防御方法和系统。
技术介绍
地址解析协议(Address Resolution Protocol, ARP)的功能是通过网际协议地 址(Internet Protocol Address,IP)查找对应端口的MAC地址,以便在TCP / IP网络中 实现共享信道的节点之间利用MAC地址进行通信。由于ARP协议在设计中存在主动发送 ARP报文的漏洞,使得主机可以发送虚假的ARP请求报文或响应报文,而报文中的源IP地址 和源MC地址均可以进行伪造。在局域网中,既可以伪造成某一台主机(如服务器)的IP 地址和MAC地址的组合,也可以伪造成网关IP地址与MAC地址的组合。这种组合可以根据 攻击者的意图进行任意搭配,而现有的局域网却没有相应的机制和协议来防止这种伪造行 为。近几年来,几乎所有局域网都遭遇过ARP欺骗攻击的侵害。 图1所示为假设主机C为局域网中的网关,主机D为ARP欺骗者。当局域网中的 计算机要与其他网络进行通信(如访问Internet)时,所有发往其他网络的数据全部发给 了主机D,而主机D并非真正的网关,这样整个网络将无法与其他网络进行通信。这种现象 在ARP欺骗攻击中非常普遍。 针对常规的技术,采用了这样的技术方案,ARP缓存表中的记录既可以是动态的, 也可以是静态的。如果ARP缓存表中的记录是动态的,则可以通过老化机制减少ARP缓存 表的长度并加快查询速度;静态ARP缓存表中的记录是永久性的,用户可以使用TCP / IP 工具来创建和修改,如Windows操作系统白带的ARP工具。对于计算机来说,可以通过绑定 网关等重要设备的IP与MAC地址记录来防止ARP欺骗攻击。在交换机上防范ARP欺骗攻 击的方法与在计算机上基本相同,可以将网络设备的MAC地址与交换机端口进行绑定,并 通过端口安全功能对违背规则的主机(攻击者)进行相应的处理。 现有的技术方案主要采用的将网络设备的MAC地址与交换机端口进行绑定,这种 方案带来的问题就是每次网络设备只能与设定好的交换机端口进行绑定,如果连接的端口 发生变化时,就是必须重新设定MAC地址和端口,虽然可以保持MAC地址与端口的稳定性, 降低了交换机(转发装置)端口与网络设备进行配置的灵活性,同时,该方案并没有解决MC 地址与IP地址的安全性和稳定性。
技术实现思路
本专利技术实施例提供一种基于MAC地址攻击的防御方法和系统,用以提高了交换机 (转发装置)端口与网络设备进行配置的灵活性,同时,解决MAC地址与IP地址的安全性和 稳定性。 本专利技术实施例提供了一种基于MC地址攻击的防御方法,所述方法包括: 转发装置根据其接收到的ARP报文中的IP地址和对应的MAC地址建立转发列表,保持 转发列表中的IP地址与其对应的MAC地址的稳定性; 检测要求修改转发列表中的IP地址与其对应的MAC地址的ARP报文的MAC地址是否 为原MAC地址,如果是原MAC地址,保持转发列表中的IP地址与MAC地址不变;如果不是原 MAC地址,所述转发装置向原IP地址发送构造的ARP请求报文; 获取原IP地址的网络设备回复相应的ARP答复报文后,检测所述ARP答复报文中的IP 地址和MAC地址是否是原IP地址和MAC地址,当是原IP地址和原MAC地址时,将请求修改 所述转发列表中的IP地址与其对应的MAC地址的ARP报文删除;当不是原IP地址和原MAC 地址时,向该请求修改所述转发列表中的IP地址与其对应的MAC地址的ARP报文中的目的 IP地址发送该报文。 所述方法还包括:在预设时间段内没有收到原IP地址的网络设备回复相应的ARP 答复报文时,转发装置向该请求修改所述转发列表中的IP地址与其对应的MAC地址的ARP 报文中的目的IP地址发送该报文。 还包括:在原IP地址的网络设备接收到所述构造的ARP请求报文后,向转发装置 发送包括自身IP地址和MAC地址的ARP答复报文。 将请求修改所述转发列表中的IP地址和对应的MAC地址的ARP报文删除时,还包 括:当转发装置多次从收到同一所述请求修改转发列表中的IP地址和对应的MAC地址的 ARP请求报文时,确定该MAC地址的网络设备正在进行MAC地址攻击。 所述修改所述转发列表中的IP地址和对应的MAC地址的ARP报文为ARP请求报 文。 本专利技术实施例提供了一种基于MC地址攻击的防御系统,所述系统包括: ARP报文保存装置,根据其接收到的ARP报文中的IP地址和对应的MAC地址建立转发 列表,保持转发列表中的IP地址与其对应的MAC地址的稳定性; ARP请求报文判断装置,检测要求修改转发列表中的IP地址与其对应的MAC地址的 ARP报文的MAC地址是否为原MAC地址,如果是原MAC地址,保持转发列表中的IP地址与 MAC地址不变;如果不是原MAC地址,ARP报文保存装置向原IP地址发送构造的ARP请求报 文; ARP答复报文判断装置,获取原IP地址的网络设备回复相应的ARP答复报文后,检测所 述ARP答复报文中的IP地址和MAC地址是否是原IP地址和原MAC地址,如果是原IP地址 和原MAC地址时,将请求修改所述转发列表中的IP地址与其对应的MAC地址的ARP报文删 除;如果不是原IP地址和原MAC地址时,向该请求修改所述转发列表中的IP地址与其对应 的MAC地址的ARP报文中的目的IP地址发送该报文。 所述系统还包括:在预设时间段内没有收到原IP地址的网络设备回复相应的ARP 答复报文时,ARP报文保存装置向该请求修改所述转发列表中的IP地址与其对应的MAC地 址的ARP报文中的目的IP地址发送该报文。 所述系统还包括:原IP地址的网络设备接收到所述构造的ARP请求报文,向ARP 答复报文判断装置发送包括自身IP地址和MAC地址的ARP答复报文。 所述ARP报文保存装置还包括:当所述ARP报文保存装置请求修改所述转发列表 中的IP地址和对应的MAC地址的ARP报文删除,且ARP报文保存装置多次从收到同一所述 请求修改转发列表中的IP地址和对应的MAC地址的ARP报文时,确定该MAC地址的网络设 备正在进行MAC地址攻击。 所述ARP报文保存装置还包括:所述修改所述转发列表中的IP地址和对应的MAC 地址的ARP报文为ARP请求报文。 本专利技术的方案中,所述转发装置根据其接收到的ARP报文中的IP地址和对应的 MAC地址建立转发列表,保持转发列表中的IP地址和其对应的MAC地址的稳定性,强制检 测要求修改转发列表中的IP地址和对应的MAC地址的ARP报文;当ARP报文中MAC地址不 是原MAC地址,所述转发装置向原IP地址发送构造的ARP请求报文,检测所述ARP答复报 文中的IP地址和MAC地址;当不是原IP地址和MAC地址时,向该请求修改所述转发列表中 的IP地址和对应的MAC地址的ARP报文中的目的IP地址发送该报文,本方法和系统提高 了交换机端口与网络设备进行配置的灵活性,同时解决MAC地址与IP地址的安全性和稳定 性。【附图说明】 图1为ARP欺骗的实现过程图; 图2为基于MA本文档来自技高网
...
一种基于MAC地址攻击的防御方法和系统

【技术保护点】
一种基于MAC地址攻击的防御方法,其特征在于,所述方法包括:转发装置根据其接收到的ARP报文中的IP地址和对应的MAC地址建立转发列表,保持转发列表中的IP地址与其对应的MAC地址的稳定性;检测要求修改转发列表中的IP地址与其对应的MAC地址的ARP报文的MAC地址是否为原MAC地址,如果是原MAC地址,保持转发列表中的IP地址与MAC地址不变;如果不是原MAC地址,所述转发装置向原IP地址发送构造的ARP请求报文;获取原IP地址的网络设备回复相应的ARP答复报文后,检测所述ARP答复报文中的IP地址和MAC地址是否是原IP地址和MAC地址,当是原IP地址和原MAC地址时,将请求修改所述转发列表中的IP地址与其对应的MAC地址的ARP报文删除;当不是原IP地址和原MAC地址时,向该请求修改所述转发列表中的IP地址与其对应的MAC地址的ARP报文中的目的IP地址发送该报文。

【技术特征摘要】

【专利技术属性】
技术研发人员:袁志亚李志强
申请(专利权)人:北京东土科技股份有限公司
类型:发明
国别省市:北京;11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1