一种在交换机上实现ARP欺骗检测的方法技术

技术编号:8611535 阅读:186 留言:0更新日期:2013-04-19 23:56
本发明专利技术公开了一种在交换机上实现ARP欺骗检测的方法,具体步骤如下:将交换机输入送入到报文分发模块;当检测到进入的报文为ARP报文时,报文分发模块判断是否发生了ARP风暴,若是则通过告警模块进行提示,否则将ARP报文分发给ARP欺骗检测模块;ARP欺骗检测模块通过ARP表记录的信息判断是否发生了ARP欺骗,若是则记录欺骗事件,并通过告警模块进行提示。采用本发明专利技术能够解决相关技术中安全性低、成本高等劣势,以极为经济的方式解决ARP欺骗问题。

【技术实现步骤摘要】

本专利技术涉及以太网传输安全,属于网络安全领域,用于设计更为安全的交換机,特别是ー种在交换机上实现ARP欺骗检测的方法。(ニ)
技术介绍
在TCP/IP协议簇中,地址解析协议(英文名称为Address Resolution Protocol,以下简称为ARP)的功能是在互联网协议(英文名称为Internet Protocol,以下简称为IP)地址和介质访问控制(英文名称为Media Access Control,以下简称为MAC)地址间提供动态映射,将32位的IP地址转换为48位的MAC地址,使IP报文能够在链路中正确传输。ARP协议设计之初,网络中的主机被认为是可信的,因此ARP协议被设计为基于可信主机之间的协议,然而现实中的网络并非如此,这就产生了 ARP欺骗技木。所谓ARP欺骗,是指利用ARP协议的漏洞,通过向目标主机发送虚假ARP报文,冒充目标主机,截取本应发往目标主机的报文,以此实现监听或截获目标主机通信数据的ー种手段。如果使用ARP欺骗同时冒充通信双方,就能实现“中间人攻击”。严重时ARP欺骗能造成网络的拥塞甚至大面积的网络瘫痪等,对网络的管理及其安全的维护提出了严峻的考验。传统上,要解决ARP欺骗,有以下几种方法1、使用ARP代理服务器;2、安装独立的ARP欺骗检测服务器;3、修改ARP协议。上述方法中,第一种需要解决ARP代理服务器的安全问题,防止代理服务器受到攻击,但在实际中代理服务器很容易成为攻击靶子,因此难以保证ARP代理服务器的安全;第二种由于要安装新设备,成本较高,且由于使用主动检测技术,导致网络数据量增加,影响网络运行;第三种缺乏恰当的协议模型,只能部分解决ARP协议的问题,无法从根本上杜绝ARP欺骗。(ニ)
技术实现思路
`本专利技术提供了ー种在交換机上实现ARP欺骗检测的方法,该方法能够有效避免现有技术存在的问题,快速检测到ARP欺骗现象,提升网络管理效率。本专利技术的技术方案ー种在交換机上实现ARP欺骗检测的方法,其特征在于具体步骤如下(I)在交換机中,建立报文分发模块、ARP欺骗检测模块、告警模块,以及ARP表;其中报文分发模块用于检测报文类型,判断是否ARP报文;ARP欺骗检测模块负责检测ARP报文,判断是否存在ARP欺骗;告警模块用于提示管理员;ARP表用于缓存接收到的ARP报文中的IP/MAC地址对,由若干ARP记录组成,每条ARP记录包括从ARP报文中取出的IP/MAC地址对,以及收到ARP报文的时间,交换机上电时ARP表为空表;(2)交換机上电后,报文分发模块进入工作状态,报文分发模块判断交换机输入的所有报文类型,如果不是ARP应答报文则检测下ー报文;如果是ARP应答报文,则判断是否发生了 ARP风暴,如果是ARP风暴,则通过告警模块提示管理员;如果不是ARP风暴,则将报文分发给ARP欺骗检测模块。(3)当ARP欺骗检测模块接收到ARP应答报文后,从中提取IP地址和MAC地址;(4)ARP欺骗检测模块查找在ARP表中是否存在与ARP应答报文的IP地址相同的记录如果找不到,则用ARP应答报文的IP地址、MAC地址和当前时间组成一条记录,添加到ARP表中;如果能找到,则从ARP表中的记录中取出MAC地址,判断ARP表中的MAC地址与从ARP应答报文中提取的MAC地址是否相同,如果相同,则用当前时间更新ARP表中的记录中的时间,如果不同,则表明接收的IP地址对应的ARP表中的记录中的MAC地址已经改变;继续取出ARP表中的记录中的时间,并计算当前时间与ARP表中的记录中时间的差值,当差值高于阈值时,则是正常的ARP应答报文,此时用ARP应答报文中的MAC地址和当前时间更新ARP表中的记录中的相应字段,当差值低于上述阈值时,则发生了 ARP欺骗,其中,阈值设置为10-500ms ;(5)当检测到ARP欺骗后,通过告警模块提示管理员;或记录日志文件,以便管理员查阅;或切断相应端口的连接,避免造成损失。(6)ARP欺骗检测中使用的阈值,其含义为从同一 IP地址接收到两次相邻ARP报文之间的合理间隔,该值可由网络管理员根据网络状况进行设置。上述所说的时间,可以是绝对时间,也可以是标识交换机启动时间的计数器。本专利技术的技术效果本专利技术通过在交换机中加入新的处理逻辑,实时监测ARP欺骗现象,并及时做出处理,提高了网络健壮性,有助于打造更为安全的网络。附图说明图1为本专利技术所涉一种在交换机内实现ARP欺骗检测的模块设计示意图;图2为本专利技术所涉一种报文分发模块的工作流程图;图3为本专利技术所涉一种ARP欺骗检测模块的工作流程图。具体实施例方式实施例一种在交换机上实现ARP欺骗检测的方法,其特征在于具体步骤如下(I)在交换机中,建立报文分发模块、ARP欺骗检测模块、告警模块,以及ARP表;其中报文分发模块用于检测报文类型,判断是否ARP报文;ARP欺骗检测模块负责检测ARP报文,判断是否存在ARP欺骗;告警模块用于提示管理员;ARP表用于缓存接收到的ARP报文中的IP/MAC地址对,由若干ARP记录组成,每条ARP记录包括从ARP报文中取出的IP/MAC地址对,以及收到ARP报文的时间,交换机上电时ARP表为空表;(2)交换机上电后,报文分发模块进入工作状态,报文分发模块判断交换机输入的所有报文类型,如果不是ARP应答报文则检测下一报文;如果是ARP应答报文,则判断是否发生了 ARP风暴,如果是ARP风暴,则通过告警模块提示管理员;如果不是ARP风暴,则将报文分发给ARP欺骗检测模块。 (3)当ARP欺骗检测模块接收到ARP应答报文后,从中提取IP地址和MAC地址; ⑷ARP欺骗检测模块查找在ARP表中是否存在与ARP应答报文的IP地址相同的记录如果找不到,则用ARP应答报文的IP地址、MAC地址和当前时间组成一条记录,添加到ARP表中;如果能找到,则从ARP表中的记录中取出MAC地址,判断ARP表中的MAC地址与从ARP应答报文中提取的MAC地址是否相同,如果相同,则用当前时间更新ARP表中的记录中的时间,如果不同,则表明接收的IP地址对应的ARP表中的记录中的MAC地址已经改变;继续取出ARP表中的记录中的时间,并计算当前时间与ARP表中的记录中时间的差值,当差值高于阈值时,则是正常的ARP应答报文,此时用ARP应答报文中的MAC地址和当前时间更新ARP表中的记录中的相应字段,当差值低于上述阈值时,则发生了 ARP欺骗,其中,阈值设置为50ms ;(5)当检测到ARP欺骗后,通过告警模块提示管理员;或记录日志文件,以便管理员查阅;或切断相应端口的连接,避免造成损失。(6) ARP欺骗检测中使用的阈值,其含义为从同一 IP地址接收到两次相邻ARP报文之间的合理间隔,该值可由网络管理员根据网络状况进行设置。上述所说的时间是绝对时间。应当理解的是,以上仅为本专利技术的优选实施例,不能因此限制本专利技术的专利范围,凡是利用本专利技术说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的
,均同 理包括在本专利技术的专利保护范围内。本文档来自技高网
...

【技术保护点】
一种在交换机上实现ARP欺骗检测的方法,其特征在于具体步骤如下:(1)在交换机中,建立报文分发模块、ARP欺骗检测模块、告警模块,以及ARP表;其中报文分发模块用于检测报文类型,判断是否ARP报文;ARP欺骗检测模块负责检测ARP报文,判断是否存在ARP欺骗;告警模块用于提示管理员;ARP表用于缓存接收到的ARP报文中的IP/MAC地址对,由若干ARP记录组成,每条ARP记录包括从ARP报文中取出的IP/MAC地址对,以及收到ARP报文的时间,交换机上电时ARP表为空表;(2)交换机上电后,报文分发模块进入工作状态,报文分发模块判断交换机输入的所有报文类型,如果不是ARP应答报文则检测下一报文;如果是ARP应答报文,则判断是否发生了ARP风暴,如果是ARP风暴,则通过告警模块提示管理员;如果不是ARP风暴,则将报文分发给ARP欺骗检测模块。(3)当ARP欺骗检测模块接收到ARP应答报文后,从中提取IP地址和MAC地址;(4)ARP欺骗检测模块查找在ARP表中是否存在与ARP应答报文的IP地址相同的记录:如果找不到,则用ARP应答报文的IP地址、MAC地址和当前时间组成一条记录,添加到ARP表中;如果能找到,则从ARP表中的记录中取出MAC地址,判断ARP表中的MAC地址与从ARP应答报文中提取的MAC地址是否相同,如果相 同,则用当前时间更新ARP表中的记录中的时间,如果不同,则表明接收的IP地址对应的ARP表中的记录中的MAC地址已经改变;继续取出ARP表中的记录中的时间,并计算当前时间与ARP表中的记录中时间的差值,当差值高于阈值时,则是正常的ARP应答报文,此时用ARP应答报文中的MAC地址和当前时间更新ARP表中的记录中的相应字段,当差值低于上述阈值时,则发生了ARP欺骗,其中,阈值设置为10?500ms;(5)当检测到ARP欺骗后,通过告警模块提示管理员;或记录日志文件,以便管理员查阅;或切断相应端口的连接,避免造成损失。(6)ARP欺骗检测中使用的阈值,其含义为从同一IP地址接收到两次相邻ARP报文之间的合理间隔,该值可由网络管理员根据网络状况进行设置。...

【技术特征摘要】
1.ー种在交換机上实现ARP欺骗检测的方法,其特征在于具体步骤如下 (1)在交換机中,建立报文分发模块、ARP欺骗检测模块、告警模块,以及ARP表;其中报文分发模块用于检测报文类型,判断是否ARP报文;ARP欺骗检测模块负责检测ARP报文,判断是否存在ARP欺骗;告警模块用于提示管理员;ARP表用于缓存接收到的ARP报文中的IP/MAC地址对,由若干ARP记录组成,每条ARP记录包括从ARP报文中取出的IP/MAC地址对,以及收到ARP报文的时间,交換机上电时ARP表为空表; (2)交換机上电后,报文分发模块进入工作状态,报文分发模块判断交换机输入的所有报文类型,如果不是ARP应答报文则检测下ー报文;如果是ARP应答报文,则判断是否发生了 ARP风暴,如果是ARP风暴,则通过告警模块提示管理员;如果不是ARP风暴,则将报文分发给ARP欺骗检测模块。(3)当ARP欺骗检测模块接收到ARP应答报文后,从中提取IP地址和MAC地址; (4)ARP欺骗检测模块查找在ARP表中是否存在与ARP应答报文的IP地址相同的记录如果找不到,则用ARP应答报文的IP地址、MAC...

【专利技术属性】
技术研发人员:王钟颖
申请(专利权)人:国家纳米技术与工程研究院
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1