一種防網(wǎng)關(guān)欺騙的方法及裝置制造方法
【專利摘要】本發(fā)明公開了一種防網(wǎng)關(guān)欺騙的方法及裝置,該方法包括:發(fā)送包含設(shè)定的互聯(lián)網(wǎng)協(xié)議IP地址的用于探測是否存在網(wǎng)關(guān)欺騙病毒的探測報文��;并接收探測響應(yīng)報文�;獲得接收到的探測響應(yīng)報文中的源IP地址;判斷所述源IP地址是否和設(shè)定的網(wǎng)關(guān)IP地址一致���;在確定出所述源IP地址和設(shè)定的網(wǎng)關(guān)IP地址一致時���,向網(wǎng)絡(luò)中各主機廣播包含正確網(wǎng)關(guān)IP地址的網(wǎng)關(guān)報文,其中���,所述包含正確網(wǎng)關(guān)IP地址的網(wǎng)關(guān)報文使網(wǎng)絡(luò)中已被篡改的主機獲取正確的IP地址�,恢復(fù)與網(wǎng)關(guān)正常通信����,用于解決網(wǎng)絡(luò)中存在ARP欺騙病毒時網(wǎng)絡(luò)的安全性。
【專利說明】一種防網(wǎng)關(guān)欺騙的方法及裝置
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明涉及數(shù)據(jù)通信【技術(shù)領(lǐng)域】���,尤其是涉及一種防網(wǎng)關(guān)欺騙的方法及裝置。
【背景技術(shù)】
[0002]地址解析協(xié)議(英文:Address Resolut1n Protocol,縮寫:ARP)是根據(jù)IP地址獲取物理地址的一個TCP/IP協(xié)議。網(wǎng)絡(luò)中的主機通過網(wǎng)關(guān)連接外網(wǎng)�����,在網(wǎng)絡(luò)中����,通常情況下會設(shè)置一個默認的網(wǎng)關(guān),網(wǎng)絡(luò)中的主機發(fā)送到局域網(wǎng)外的全部報文會發(fā)送到默認網(wǎng)關(guān)�,因此,網(wǎng)絡(luò)中的主機連接外網(wǎng)之前都會先發(fā)送ARP請求報文申請默認網(wǎng)關(guān)的介質(zhì)訪問控制(英文:Medium Access Control,縮寫:MAC)地址��。
[0003]當網(wǎng)絡(luò)中存在網(wǎng)關(guān)ARP欺騙的病毒時�,網(wǎng)關(guān)ARP病毒進行欺騙的過程如下述:當局域網(wǎng)中的某一臺主機向局域網(wǎng)外發(fā)送數(shù)據(jù)時,該主機會給全網(wǎng)絡(luò)發(fā)送廣播ARP請求報文�����,來申請網(wǎng)關(guān)的MAC地址����。當網(wǎng)關(guān)收到ARP請求報文時,會回復(fù)一個ARP響應(yīng)報文給請求主機�����。此時攜帶ARP網(wǎng)關(guān)欺騙病毒的主機也會回復(fù)一個虛假的ARP響應(yīng)報文給請求主機,通常該虛假ARP報文的目的硬件地址被填成一個虛假的MAC地址或者其自身的MAC地址��,而且通常虛假的ARP響應(yīng)報文會比網(wǎng)關(guān)的ARP響應(yīng)報文延遲一段時間或者多發(fā)幾個����。這樣,主機就會學到錯誤的網(wǎng)關(guān)的MAC地址�,后續(xù)發(fā)送的報文不是到達網(wǎng)關(guān)的MAC,而是到達一個錯誤的MAC地址�,或者病毒主機。從而網(wǎng)關(guān)ARP欺騙病毒達到了使局域網(wǎng)絡(luò)內(nèi)主機斷網(wǎng)或者流量導入病毒主機的目的�。
[0004]綜上所述,網(wǎng)關(guān)ARP欺騙病毒的存在會導致網(wǎng)絡(luò)中的主機學習到錯誤的網(wǎng)關(guān)的MAC地址����,從而造成網(wǎng)絡(luò)中的主機無法向局域網(wǎng)外發(fā)送數(shù)據(jù)或者發(fā)送的數(shù)據(jù)被錯誤的導入到病毒主機,使得網(wǎng)絡(luò)安全性較差����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明提供了一種防網(wǎng)關(guān)欺騙的方法及裝置,用于解決網(wǎng)絡(luò)中存在ARP欺騙病毒時網(wǎng)絡(luò)的安全性�����。
[0006]一種防網(wǎng)關(guān)欺騙的方法�,包括:發(fā)送包含設(shè)定的互聯(lián)網(wǎng)協(xié)議IP地址的用于探測是否存在網(wǎng)關(guān)欺騙病毒的探測報文��;并接收探測響應(yīng)報文;獲得接收到的探測響應(yīng)報文中的源IP地址�����;判斷所述源IP地址是否和設(shè)定的網(wǎng)關(guān)IP地址一致��;在確定出所述源IP地址和設(shè)定的網(wǎng)關(guān)IP地址一致時�,向網(wǎng)絡(luò)中各主機廣播包含正確網(wǎng)關(guān)IP地址的網(wǎng)關(guān)報文,其中,所述包含正確網(wǎng)關(guān)IP地址的網(wǎng)關(guān)報文使網(wǎng)絡(luò)中已被篡改的主機獲取正確的IP地址�,恢復(fù)與網(wǎng)關(guān)正常通信。
[0007]通過上述技術(shù)方案�����,可以使得網(wǎng)絡(luò)中已被篡改的主機獲取正確的IP地址���,恢復(fù)與網(wǎng)關(guān)正常通信���。
[0008]在確定出所述源IP地址和設(shè)定的網(wǎng)關(guān)IP地址一致之后,還包括:根據(jù)接收到的欺騙源發(fā)送的探測響應(yīng)報文���,獲得發(fā)送所述探測響應(yīng)報文的主機介質(zhì)訪問控制MAC地址作為欺騙源MAC地址���;將所述欺騙源MAC地址加入到用于標識網(wǎng)關(guān)欺騙病毒源的黑名單中�。
[0009]通過上述技術(shù)方案���,可以定位到欺騙源���,并進一步阻斷了欺騙源對于網(wǎng)關(guān)的欺騙。
[0010]在接收網(wǎng)關(guān)ARP回應(yīng)報文之前���,還包括:通過設(shè)定端口廣播探測報文����,所述探測報文中包含設(shè)定的網(wǎng)關(guān)IP地址�、設(shè)定的發(fā)送IP地址、設(shè)定的發(fā)送MAC地址以及所述設(shè)定端口歸屬的虛擬局域網(wǎng)VLAN標識����。
[0011 ] 通過指定發(fā)送者IP地址字段、發(fā)送者硬件地址字段�����,不使用網(wǎng)關(guān)的IP與MAC��,可以防止某些智能病毒識別出網(wǎng)關(guān)的探測意圖。
[0012]通過設(shè)定端口廣播探測報文����,包括:以設(shè)定時長為間隔,周期性通過設(shè)定端口廣播探測報文�����。
[0013]通過上述技術(shù)方案��,可以使得已經(jīng)被欺騙的網(wǎng)絡(luò)中的設(shè)備���,恢復(fù)與網(wǎng)關(guān)的正常通信。
[0014]一種防網(wǎng)關(guān)欺騙的裝置��,包括:發(fā)送模塊��,用于發(fā)送包含設(shè)定的互聯(lián)網(wǎng)協(xié)議IP地址的用于探測是否存在網(wǎng)關(guān)欺騙病毒的探測報文�����;接收模塊���,用于接收探測響應(yīng)報文����;獲得模塊,用于獲得接收到的探測響應(yīng)報文中的源IP地址��;執(zhí)行模塊����,用于判斷所述源IP地址是否和設(shè)定的網(wǎng)關(guān)IP地址一致;在確定出所述源IP地址和設(shè)定的網(wǎng)關(guān)IP地址一致時��,向網(wǎng)絡(luò)中各主機廣播包含正確網(wǎng)關(guān)IP地址的網(wǎng)關(guān)報文�,其中,所述包含正確網(wǎng)關(guān)IP地址的網(wǎng)關(guān)報文使網(wǎng)絡(luò)中已被篡改的主機獲取正確的IP地址�,恢復(fù)與網(wǎng)關(guān)正常通信。
[0015]通過上述技術(shù)方案���,可以使得網(wǎng)絡(luò)中已被篡改的主機獲取正確的IP地址�,恢復(fù)與網(wǎng)關(guān)正常通信�。
[0016]所述獲得模塊,還用于根據(jù)接收到的欺騙源發(fā)送的探測響應(yīng)報文�����,獲得發(fā)送所述探測響應(yīng)報文的主機介質(zhì)訪問控制MAC地址作為欺騙源MAC地址��;所述執(zhí)行模塊,還用于將所述欺騙源MAC地址加入到用于標識網(wǎng)關(guān)欺騙病毒源的黑名單中�。
[0017]通過上述技術(shù)方案,可以定位到欺騙源����,并進一步阻斷了欺騙源對于網(wǎng)關(guān)的欺騙。
[0018]所述發(fā)送模塊��,具體用于通過設(shè)定端口廣播探測報文�,所述探測報文中包含設(shè)定的網(wǎng)關(guān)IP地址���、設(shè)定的發(fā)送IP地址���、設(shè)定的發(fā)送MAC地址以及所述設(shè)定端口歸屬的虛擬局域網(wǎng)VLAN標識。
[0019]通過指定發(fā)送者IP地址字段�、發(fā)送者硬件地址字段,不使用網(wǎng)關(guān)的IP與MAC���,可以防止某些智能病毒識別出網(wǎng)關(guān)的探測意圖����。
[0020]所述發(fā)送模塊�����,具體用于以設(shè)定時長為間隔,周期性通過設(shè)定端口廣播探測報文���。
[0021]通過上述技術(shù)方案�����,可以使得已經(jīng)被欺騙的網(wǎng)絡(luò)中的設(shè)備���,恢復(fù)與網(wǎng)關(guān)的正常通?目。
【專利附圖】
【附圖說明】
[0022]圖1為本發(fā)明實施例一中���,提出的防網(wǎng)關(guān)欺騙的方法流程圖�;
[0023]圖2為本發(fā)明實施例一中�����,提出的防網(wǎng)關(guān)欺騙的裝置結(jié)構(gòu)組成示意圖�;
[0024]圖3為本發(fā)明實施例二中,提出的防網(wǎng)關(guān)欺騙的方法流程圖�����;
[0025]圖4為本發(fā)明實施例二中,提出的網(wǎng)關(guān)ARP請求報文的具體格式示意圖��;
[0026]圖5為本發(fā)明實施例二中��,提出的防網(wǎng)關(guān)欺騙的系統(tǒng)架構(gòu)圖�����;
[0027]圖6為本發(fā)明實施例二中��,提出的應(yīng)用環(huán)境系統(tǒng)架構(gòu)圖�����。
【具體實施方式】
[0028]針對當前情況下網(wǎng)關(guān)ARP欺騙病毒的存在會導致網(wǎng)絡(luò)中的主機學習到錯誤的網(wǎng)關(guān)的MAC地址���,從而造成網(wǎng)絡(luò)中的主機無法向局域網(wǎng)外發(fā)送數(shù)據(jù)或者發(fā)送的數(shù)據(jù)被錯誤的導入到病毒主機,使得網(wǎng)絡(luò)安全性較差的問題�����,本發(fā)明實施例提出一種防網(wǎng)關(guān)欺騙的方法����,通過對接收到的發(fā)送給網(wǎng)關(guān)的網(wǎng)關(guān)ARP回應(yīng)報文中的源IP地址的比對以及判斷��,在確定出獲得的源IP地址和設(shè)定的網(wǎng)關(guān)IP地址一致時�����,向網(wǎng)絡(luò)中各主機廣播包含正確網(wǎng)關(guān)IP地址的網(wǎng)關(guān)ARP報文���,可以使得已經(jīng)被欺騙的網(wǎng)絡(luò)中的設(shè)備恢復(fù)正常的網(wǎng)關(guān)ARP表項,恢復(fù)與網(wǎng)關(guān)的正常通信��。
[0029]下面將結(jié)合各個附圖對本發(fā)明實施例技術(shù)方案的主要實現(xiàn)原理����、【具體實施方式】及其對應(yīng)能夠達到的有益效果進行詳細地闡述。
[0030]實施例一
[0031]當局域網(wǎng)中的某一臺主機需要向局域網(wǎng)外部發(fā)送報文時�,該主機會給全網(wǎng)絡(luò)廣播請求報文,申請網(wǎng)關(guān)的MAC地址����。當網(wǎng)關(guān)收到請求報文時,會回復(fù)一個對請求報文的響應(yīng)報文給主機��。同時����,攜帶網(wǎng)關(guān)欺騙病毒的主機也會回復(fù)一個對請求報文的虛假的響應(yīng)報文���,也就是欺騙報文給請求主機,通常該虛假的響應(yīng)報文的目的硬件地址被填成一個虛假的MAC地址或者攜帶網(wǎng)關(guān)欺騙病毒的主機自身的MAC地址�,而且通常虛假的響應(yīng)報文會比網(wǎng)關(guān)的響應(yīng)報文延遲一段時間或者多發(fā)幾個。
[0032]本發(fā)明實施例一提出的一種防網(wǎng)關(guān)欺騙的方法����,如圖1所示,其具體處理流程如下述:
[0033]步驟11��,發(fā)送包含設(shè)定的IP地址的探測報文�。
[0034]其中,探測報文是用于探測網(wǎng)絡(luò)中是否存在網(wǎng)關(guān)欺騙病毒的報文��。發(fā)送探測報文是一個引誘作用�����,探測報文是模擬主機給全網(wǎng)絡(luò)廣播的請求報文���,在IPV4網(wǎng)絡(luò)下,探測報文是ARP報文�,在IPV6網(wǎng)絡(luò)下,探測報文是NS報文。
[0035]可以通過設(shè)定端口廣播探測報文�����,探測報文中包含設(shè)定的網(wǎng)關(guān)IP地址���、設(shè)定的發(fā)送IP地址�、設(shè)定的發(fā)送MAC地址以及所述設(shè)定端口歸屬的虛擬局域網(wǎng)VLAN標識�。
[0036]具體地,可以以設(shè)定時長為間隔���,周期性通過設(shè)定端口廣播探測報文���。
[0037]本發(fā)明實施例提出的技術(shù)方案中,在一個局域網(wǎng)中�,包含一個網(wǎng)關(guān)、多個主機�����。
[0038]可以由網(wǎng)關(guān)周期性地向設(shè)定端口廣播探測報文��。
[0039]步驟12�,接收探測響應(yīng)報文����。
[0040]其中��,探測響應(yīng)報文是局域網(wǎng)中的各主機發(fā)送的對探測報文的響應(yīng)報文�����。在IPV4網(wǎng)絡(luò)下��,探測響應(yīng)報文是ARP r印Iy報文��,在IPV6網(wǎng)絡(luò)下��,探測響應(yīng)報文是NA報文���。
[0041]步驟13���,獲得接收到的探測響應(yīng)報文中的源IP地址。
[0042]步驟14��,判斷獲得的源IP地址是否和設(shè)定的網(wǎng)關(guān)IP地址一致���。如果判斷結(jié)果為是��,執(zhí)行步驟15����,反之結(jié)束處理�����。
[0043]本發(fā)明實施例提出的技術(shù)方案中��,在局域網(wǎng)中����,包括網(wǎng)關(guān)和主機,本發(fā)明的方案直接在網(wǎng)關(guān)的功能上體現(xiàn)�,此外,也可以采用單獨的防網(wǎng)關(guān)欺騙裝置部署在網(wǎng)絡(luò)中��,來防網(wǎng)關(guān)欺騙����。本發(fā)明實施例的方案直接在網(wǎng)關(guān)的功能上體現(xiàn),局域網(wǎng)中的各主機通過網(wǎng)關(guān)向局域網(wǎng)外部發(fā)送報文�,并通過網(wǎng)關(guān)接收外部發(fā)送的報文。該種網(wǎng)絡(luò)架構(gòu)下����,如果局域網(wǎng)中存在網(wǎng)關(guān)欺騙病毒���,會導致局域網(wǎng)中的各主機學習到錯誤的網(wǎng)關(guān)MAC地址,從而導致局域網(wǎng)中的主機無法向局域網(wǎng)外發(fā)送數(shù)據(jù)���。
[0044]具體地���,設(shè)定的網(wǎng)關(guān)IP地址為網(wǎng)絡(luò)中不與其他主機沖突的IP地址。本發(fā)明實施例提出的技術(shù)方案中�����,采用設(shè)定的網(wǎng)關(guān)IP地址��,可以較好地防止某些智能病毒識別出網(wǎng)關(guān)的探測網(wǎng)關(guān)欺騙病毒的意圖�����。從而可以更為準確地確定出攜帶網(wǎng)關(guān)欺騙病毒的主機�。
[0045]步驟15,在確定出源IP地址和設(shè)定的網(wǎng)關(guān)IP地址一致時���,向網(wǎng)絡(luò)中各主機廣播包含正確網(wǎng)關(guān)IP地址的網(wǎng)關(guān)報文����。
[0046]包含正確網(wǎng)關(guān)IP地址的網(wǎng)關(guān)報文使網(wǎng)絡(luò)中已被篡改的主機獲取正確的IP地址����,恢復(fù)與網(wǎng)關(guān)正常通信。
[0047]可選地��,在上述步驟15之后�,還可以包括:
[0048]根據(jù)接收到的欺騙源發(fā)送的探測響應(yīng)報文,獲得發(fā)送探測響應(yīng)報文的主機MAC地址作為欺騙源MAC地址����;將所述欺騙源MAC地址加入到用于標識網(wǎng)關(guān)欺騙病毒源的黑名單中。
[0049]相應(yīng)地�����,本發(fā)明實施例一還提出一種防網(wǎng)關(guān)欺騙的裝置���,本發(fā)明中該防網(wǎng)關(guān)欺騙裝置可內(nèi)嵌在網(wǎng)關(guān)上���,運行于網(wǎng)關(guān)內(nèi)部,此外�����,也該防網(wǎng)關(guān)欺騙裝置可以是一個外部裝置,在整個網(wǎng)絡(luò)中運行�����,如圖2所示�,該防網(wǎng)關(guān)欺騙的裝置包括:
[0050]發(fā)送模塊201,用于發(fā)送包含設(shè)定的互聯(lián)網(wǎng)協(xié)議IP地址的用于探測是否存在網(wǎng)關(guān)欺騙病毒的探測報文�����。
[0051]具體地��,上述發(fā)送模塊201��,具體用于通過設(shè)定端口廣播探測報文���,所述探測報文中包含設(shè)定的網(wǎng)關(guān)IP地址��、設(shè)定的發(fā)送IP地址����、設(shè)定的發(fā)送MAC地址以及所述設(shè)定端口歸屬的虛擬局域網(wǎng)VLAN標識。
[0052]具體地�����,上述發(fā)送模塊201���,具體用于以設(shè)定時長為間隔,周期性通過設(shè)定端口廣播探測報文���。
[0053]接收模塊202�,用于接收探測響應(yīng)報文�。
[0054]獲得模塊203,用于獲得接收到的探測響應(yīng)報文中的源IP地址���。
[0055]執(zhí)行模塊204�,用于判斷所述源IP地址是否和設(shè)定的網(wǎng)關(guān)IP地址一致�;在確定出所述源IP地址和設(shè)定的網(wǎng)關(guān)IP地址一致時,向網(wǎng)絡(luò)中各主機廣播包含正確網(wǎng)關(guān)IP地址的網(wǎng)關(guān)報文���,其中�����,所述包含正確網(wǎng)關(guān)IP地址的網(wǎng)關(guān)報文使網(wǎng)絡(luò)中已被篡改的主機獲取正確的IP地址���,恢復(fù)與網(wǎng)關(guān)正常通信�。
[0056]具體地�����,上述獲得模塊203�,還用于根據(jù)接收到的欺騙源發(fā)送的探測響應(yīng)報文,獲得發(fā)送所述探測響應(yīng)報文的主機介質(zhì)訪問控制MAC地址作為欺騙源MAC地址���;所述執(zhí)行模塊���,還用于將所述欺騙源MAC地址加入到用于標識網(wǎng)關(guān)欺騙病毒源的黑名單中。
[0057]實施例二
[0058]本發(fā)明實施例一上述提出的方網(wǎng)關(guān)欺騙方法及裝置����,可以應(yīng)用在基于IPV4協(xié)議的網(wǎng)絡(luò)中,也可以應(yīng)用在基于IPV6協(xié)議的網(wǎng)絡(luò)中����,不同之處在于,在IPV6中�����,所接收探測響應(yīng)報文內(nèi)容還包括有3個特殊的標志位,分別為R/S/0, R表示發(fā)送者是否為路由器,S表示Solicited, S表示該應(yīng)答報文是免費的還是收到請求后應(yīng)答的,O表示收到該報文后要不要覆蓋更新已有表項信息�。
[0059]本發(fā)明實施例二以應(yīng)用在基于IPV4協(xié)議的網(wǎng)絡(luò)中為例,來進一步詳細闡述防網(wǎng)關(guān)欺騙的方法����,如圖3所示,其具體處理流程如下述:
[0060]步驟31�����,發(fā)送包含設(shè)定的IP地址的APR探測報文���。ARP探測報文是模擬主機給全網(wǎng)絡(luò)廣播的ARP請求報文。
[0061]步驟32���,接收探測響應(yīng)ARP報文�����。
[0062]本發(fā)明實施例二提出的技術(shù)方案中�����,在一個局域網(wǎng)中���,包含一個網(wǎng)關(guān)�����、多個主機�����。
[0063]其中���,探測響應(yīng)ARP報文是局域網(wǎng)中的各主機向網(wǎng)關(guān)發(fā)送的對APR探測報文的響應(yīng)報文,ARP r印Iy報文��。
[0064]步驟33�,獲得接收到的探測響應(yīng)ARP reply報文中的源IP地址。
[0065]在接收到的探測響應(yīng)ARP reply報文的報文中獲得發(fā)送該探測響應(yīng)ARP reply報文的主機的源IP地址�。
[0066]步驟34,判斷獲得的源IP地址是否和設(shè)定的網(wǎng)關(guān)IP地址一致�����。如果判斷結(jié)果為是���,執(zhí)行步驟35��,反之結(jié)束處理��。
[0067]本發(fā)明實施例二提出的技術(shù)方案中��,在局域網(wǎng)中�,包括網(wǎng)關(guān)和主機。局域網(wǎng)中的各主機通過網(wǎng)關(guān)向局域網(wǎng)外部發(fā)送報文���,并通過網(wǎng)關(guān)接收外部發(fā)送的報文����。在IPV4網(wǎng)絡(luò)架構(gòu)下����,如果局域網(wǎng)中存在網(wǎng)關(guān)欺騙病毒����,會導致局域網(wǎng)中的各主機學習到錯誤的網(wǎng)關(guān)MAC地址,從而導致局域網(wǎng)中的主機無法向局域網(wǎng)外發(fā)送數(shù)據(jù)�����。其中,網(wǎng)關(guān)欺騙病毒進行欺騙的過程具體如下述:當局域網(wǎng)中的某一臺主機需要向局域網(wǎng)外部發(fā)送報文時���,該主機會給全網(wǎng)絡(luò)廣播ARP請求報文�,申請網(wǎng)關(guān)的MAC地址����。當網(wǎng)關(guān)收到ARP請求報文時,會回復(fù)一個ARP reply響應(yīng)報文給主機�����。同時��,攜帶ARP網(wǎng)關(guān)欺騙病毒的主機也會回復(fù)一個虛假的ARPreply響應(yīng)報文����,也就是ARP欺騙報文給請求主機,通常該虛假ARP報文的目的硬件地址被填成一個虛假的MAC地址或者攜帶ARP網(wǎng)關(guān)欺騙病毒的主機自身的MAC地址�����,而且通常虛假的ARP reply響應(yīng)報文會比網(wǎng)關(guān)的ARPr印Iy響應(yīng)報文延遲一段時間或者多發(fā)幾個�。這樣,主機就會學到錯誤的網(wǎng)關(guān)的MAC地址���,發(fā)送的報文不是到達網(wǎng)關(guān)的MAC���,而是到達一個錯誤的MAC地址����,或者病毒主機�。因此,網(wǎng)關(guān)欺騙病毒達到了使局域網(wǎng)絡(luò)內(nèi)主機斷網(wǎng)或者流量導入病毒主機的目的�����。本發(fā)明實施例提出的技術(shù)方案中�,在接收到網(wǎng)絡(luò)中的主機向網(wǎng)關(guān)發(fā)送的網(wǎng)關(guān)ARPr印Iy響應(yīng)報文時,確定出ARPr印Iy響應(yīng)報文的報文頭中的源IP地址��,將獲得的源IP地址和設(shè)定的網(wǎng)關(guān)IP地址比較�����。
[0068]具體地�����,設(shè)定的網(wǎng)關(guān)IP地址為網(wǎng)絡(luò)中不與其他主機沖突的IP地址�����。本發(fā)明實施例提出的技術(shù)方案中�����,采用設(shè)定的網(wǎng)關(guān)IP地址��,可以較好地防止某些智能病毒識別出網(wǎng)關(guān)的探測網(wǎng)關(guān)欺騙病毒的意圖�����。從而可以更為準確地確定出攜帶網(wǎng)關(guān)欺騙病毒的主機�����。
[0069]步驟35���,在確定出獲得的源IP地址和設(shè)定的網(wǎng)關(guān)IP地址一致時����,向網(wǎng)絡(luò)中各主機廣播包含正確網(wǎng)關(guān)IP地址的網(wǎng)關(guān)ARP報文���。
[0070]其中�����,包含正確網(wǎng)關(guān)IP地址的網(wǎng)關(guān)ARP報文用于指示網(wǎng)絡(luò)中的主機在發(fā)送報文時��,使用該正確網(wǎng)關(guān)IP地址替換所述源IP地址�����。通過本步驟����,可以使得已經(jīng)被欺騙的網(wǎng)絡(luò)中的設(shè)備恢復(fù)正常的網(wǎng)關(guān)ARP表項,恢復(fù)與網(wǎng)關(guān)的正常通信���。
[0071]步驟36�����,網(wǎng)絡(luò)中各主機根據(jù)接收到的網(wǎng)關(guān)ARP報文中的正確網(wǎng)關(guān)IP地址發(fā)送報文����。
[0072]可選地���,在上述步驟35在確定出源IP地址和設(shè)定的網(wǎng)關(guān)IP地址一致之后�,還可以包括:
[0073]可選地����,在上述步驟35之后,還可以包括:
[0074]根據(jù)接收到的欺騙源發(fā)送的探測響應(yīng)ARP報文���,獲得發(fā)送探測響應(yīng)ARP報文的主機MAC地址作為欺騙源MAC地址���;將欺騙源MAC地址加入到用于標識網(wǎng)關(guān)欺騙病毒源的黑名單中。
[0075]在確定出源IP地址和設(shè)定的網(wǎng)關(guān)IP地址一致之后��,則表明網(wǎng)絡(luò)中有設(shè)備冒充網(wǎng)關(guān)�,根據(jù)接收到的欺騙源發(fā)送的探測響應(yīng)ARP報文,獲得發(fā)送探測響應(yīng)ARP報文的主機MAC地址��,即為欺騙源的MAC地址����,把該MAC地址加入黑名單或過濾表中,這樣�,后續(xù)可以定位到欺騙源并且阻斷了欺騙源對于網(wǎng)關(guān)的欺騙。
[0076]可選地����,在上述步驟32接收接收探測響應(yīng)ARP報文之前�����,還包括:
[0077]通過網(wǎng)關(guān)上設(shè)定端口廣播ARP探測報文�����。
[0078]ARP探測報文中包含設(shè)定的網(wǎng)關(guān)IP地址��、設(shè)定的發(fā)送IP地址�����、設(shè)定的發(fā)送MAC地址以及所述設(shè)定端口歸屬的虛擬局域網(wǎng)VLAN標識�����。
[0079]其中���,以設(shè)定時長為間隔,周期性通過設(shè)定端口廣播ARP探測報文����。例如��,默認發(fā)送周期可以為10s���。
[0080]本發(fā)明實施例提出的技術(shù)方案中����,ARP探測報文的具體格式如圖4所示,包括發(fā)送者硬件地址字段���、發(fā)送者IP地址字段���、目標硬件地址字段以及目標IP地址字段。依據(jù)圖4所示的ARP探測報文的具體格式��,預(yù)先設(shè)定網(wǎng)關(guān)IP地址�����、發(fā)送者IP地址�、發(fā)送者硬件地址(如發(fā)送者MAC地址)、以及報文發(fā)送端口所在的VALN標識����。然后根據(jù)設(shè)定的網(wǎng)關(guān)IP地址�����、發(fā)送者IP地址����、發(fā)送者硬件地址(如發(fā)送者MAC地址)�、以及報文發(fā)送端口所在的VALN標識形成ARP探測報文,形成的ARP探測報文通過指定的端口向局域網(wǎng)中發(fā)送����。
[0081 ] 一種較佳的實現(xiàn)方式,本發(fā)明實施例提出的技術(shù)方案中�,如圖4所示的ARP探測報文的具體格式,目標IP地址字段中填充網(wǎng)關(guān)的IP地址���,目標硬件地址字段中填充為全0��,發(fā)送者IP地址字段填充發(fā)送者IP地址��,發(fā)送者硬件地址字段填充發(fā)送者MAC地址���。并且,發(fā)送者MAC地址同時填充到以太頭部的源MAC地址中�����。發(fā)送者IP地址字段、發(fā)送者硬件地址字段指定的一個不和其他主機沖突的IP地址與MAC��。通過指定發(fā)送者IP地址字段�����、發(fā)送者硬件地址字段��,不使用網(wǎng)關(guān)的IP與MAC��,可以防止某些智能病毒識別出網(wǎng)關(guān)的探測意圖��。
[0082]進一步地�,本發(fā)明實施例二以一具體實施例來詳細闡述本發(fā)明提出的防網(wǎng)關(guān)欺騙的方法�����,如圖5所示的系統(tǒng)架構(gòu)����,以一個VLAN為例來進行詳細闡述,Rl為路由設(shè)備����,交換口fal/l-fal/3同屬于VLAN 1��,Rl作為整個局域網(wǎng)的網(wǎng)關(guān)�,Rl的IP地址為192.168.1.100�����。在該VLAN中有三臺主機���,分別是PC1�、PC2和PC3���。假設(shè)PCl是攻擊者����。
[0083]基于圖5所示的系統(tǒng)架構(gòu)���,本發(fā)明實施例一提出的防網(wǎng)關(guān)欺騙的方法���,其具體流程為:
[0084]步驟一,在路由設(shè)備的交換口 fal/l-fal/3�����,綁定網(wǎng)關(guān)IP地址:192.168.1.100,設(shè)置發(fā)送者IP地址:192.168.1.101�����,設(shè)置發(fā)送者硬件地址(MAC):0000.0000.0001�。
[0085]步驟二,在完成步驟一的設(shè)定工作后���,三個交換端口 fal/l-fal/3周期性的發(fā)送ARP探測報文�����,請求網(wǎng)關(guān)192.168.1.100的MAC地址,ARP探測報文的源IP地址字段為192.168.1.101�����,源 MAC 字段為 0000.0000.0001���。
[0086]步驟三�����,局域網(wǎng)內(nèi)的各個PC接收到ARP探測報文�。ARP探測報文是模擬主機給全網(wǎng)絡(luò)廣播的ARP請求報文。
[0087]由于PCl上存在ARP欺騙病毒�����,PCl會對上述接收到的ARP探測報文進行響應(yīng)���,針對ARP探測報文發(fā)送探測響應(yīng)ARP報文�,也就是ARP reply報文��,實際上也是PCl偽裝成網(wǎng)關(guān)發(fā)送的ARP欺騙報文�。
[0088]PCl的探測響應(yīng)ARP報文發(fā)送MAC地址為0000.0000.0001的設(shè)備,因為Rl在綁定的同時也把0000.0000.0001這個MAC地址下放到設(shè)備�,所以PCl的探測響應(yīng)ARP報文即ARP欺騙報文實際上送到了 Rl。
[0089]步驟四��,Rl接收到PCl發(fā)來的探測響應(yīng)ARP報文���。
[0090]步驟五�����,Rl確定出PCl發(fā)來的探測響應(yīng)ARP報文是網(wǎng)關(guān)ARP欺騙報文���,根據(jù)PCl發(fā)送的探測響應(yīng)ARP報文獲取發(fā)送探測響應(yīng)ARP報文的源MAC地址��,即PCl的MAC地址,加入到Rl的MAC過濾表或黑名單中�����。使得PCl不能夠在用此MAC地址向Rl發(fā)送任何數(shù)據(jù)����。
[0091]步驟六���,Rl接收到ARP欺騙報文,判斷同本身的ARP請求報文沖突��,則向各個交換口發(fā)送真實網(wǎng)關(guān)的免費ARP報文。
[0092]步驟七����,PC2和PC3接收免費ARP報文�����,學習到正確的網(wǎng)關(guān)ARP信息�����,恢復(fù)同網(wǎng)關(guān)的正常通信。
[0093]本發(fā)明實施例上述提出的技術(shù)方案��,應(yīng)用環(huán)境拓撲圖如圖6所示����,在金融網(wǎng)點����,接入設(shè)備通過廣域網(wǎng)連到市分行����,而在金融網(wǎng)點內(nèi)部���,通常都是一個局域網(wǎng),網(wǎng)絡(luò)環(huán)境中可能充斥著ARP欺騙病毒或者ARP欺騙工具���,接入設(shè)備作為網(wǎng)關(guān)的時候�,ARP欺騙源可能會偽裝網(wǎng)關(guān)進行ARP欺騙���,使得局域網(wǎng)內(nèi)的其他的設(shè)備學習到錯誤的網(wǎng)關(guān)MAC�����。從而導致全局域網(wǎng)內(nèi)的主機斷網(wǎng)����,或者使全局域網(wǎng)內(nèi)的主機信息導入網(wǎng)關(guān)ARP欺騙源���,以達到盜竊信息的作用�。在金融網(wǎng)點這種對安全性要求很高的地方�����,發(fā)生網(wǎng)關(guān)ARP欺騙的危害尤其嚴重�����。金融網(wǎng)點的接入設(shè)備一般是路由交換一體機,既有連接主機的交換接口,又有連接外網(wǎng)的路由接口。而很多類型的路由交換一體機的交換芯片功能比較單一��,沒有交換機的交換芯片的一些功能�����,例如�����,硬件ACL����。本發(fā)明實施例提出的技術(shù)方案�,可以應(yīng)用在交換芯片沒有硬件ACL功能的路由設(shè)備上�����,在軟件層面實現(xiàn)防網(wǎng)關(guān)ARP欺騙�����,并且可以有效地定位到網(wǎng)關(guān)ARP欺騙源�����,對網(wǎng)關(guān)ARP欺騙源進行隔離限制。
[0094]本領(lǐng)域的技術(shù)人員應(yīng)明白��,本發(fā)明的實施例可提供為方法��、裝置(設(shè)備)���、或計算機程序產(chǎn)品����。因此,本發(fā)明可采用完全硬件實施例��、完全軟件實施例�、或結(jié)合軟件和硬件方面的實施例的形式。而且,本發(fā)明可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(包括但不限于磁盤存儲器���、只讀光盤、光學存儲器等)上實施的計算機程序產(chǎn)品的形式。
[0095]本發(fā)明是參照根據(jù)本發(fā)明實施例的方法�����、裝置(設(shè)備)和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的�。應(yīng)理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合��?��?商峁┻@些計算機程序指令到通用計算機����、專用計算機���、嵌入式處理機或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個機器,使得通過計算機或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置���。
[0096]這些計算機程序指令也可存儲在能引導計算機或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計算機可讀存儲器中���,使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品,該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能�����。
[0097]這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設(shè)備上,使得在計算機或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理�,從而在計算機或其他可編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。
[0098]盡管已描述了本發(fā)明的優(yōu)選實施例�����,但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念��,則可對這些實施例作出另外的變更和修改�����。所以��,所附權(quán)利要求意欲解釋為包括優(yōu)選實施例以及落入本發(fā)明范圍的所有變更和修改����。
[0099]顯然,本領(lǐng)域的技術(shù)人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍����。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)����,則本發(fā)明也意圖包含這些改動和變型在內(nèi)�。
【權(quán)利要求】
1.一種防網(wǎng)關(guān)欺騙的方法��,其特征在于�,包括: 發(fā)送包含設(shè)定的互聯(lián)網(wǎng)協(xié)議IP地址的用于探測是否存在網(wǎng)關(guān)欺騙病毒的探測報文;并 接收探測響應(yīng)報文��; 獲得接收到的探測響應(yīng)報文中的源IP地址����; 判斷所述源IP地址是否和設(shè)定的網(wǎng)關(guān)IP地址一致; 在確定出所述源IP地址和設(shè)定的網(wǎng)關(guān)IP地址一致時���,向網(wǎng)絡(luò)中各主機廣播包含正確網(wǎng)關(guān)IP地址的網(wǎng)關(guān)報文�,其中��,所述包含正確網(wǎng)關(guān)IP地址的網(wǎng)關(guān)報文使網(wǎng)絡(luò)中已被篡改的主機獲取正確的IP地址���,恢復(fù)與網(wǎng)關(guān)正常通信。
2.如權(quán)利要求1所述的方法����,其特征在于,在確定出所述源IP地址和設(shè)定的網(wǎng)關(guān)IP地址一致之后,還包括: 根據(jù)接收到的欺騙源發(fā)送的探測響應(yīng)報文����,獲得發(fā)送所述探測響應(yīng)報文的主機介質(zhì)訪問控制MAC地址作為欺騙源MAC地址�; 將所述欺騙源MAC地址加入到用于標識網(wǎng)關(guān)欺騙病毒源的黑名單中����。
3.如權(quán)利要求1所述的方法,其特征在于��,發(fā)送包含設(shè)定的IP地址的用于探測是否存在網(wǎng)關(guān)欺騙病毒的探測報文����,包括: 通過設(shè)定端口廣播探測報文,所述探測報文中包含設(shè)定的網(wǎng)關(guān)IP地址���、設(shè)定的發(fā)送IP地址�����、設(shè)定的發(fā)送MAC地址以及所述設(shè)定端口歸屬的虛擬局域網(wǎng)VLAN標識�����。
4.如權(quán)利要求3所述的方法���,其特征在于�����,通過設(shè)定端口廣播探測報文�,包括: 以設(shè)定時長為間隔����,周期性通過設(shè)定端口廣播探測報文。
5.一種防網(wǎng)關(guān)欺騙的裝置����,其特征在于,包括: 發(fā)送模塊����,用于發(fā)送包含設(shè)定的互聯(lián)網(wǎng)協(xié)議IP地址的用于探測是否存在網(wǎng)關(guān)欺騙病毒的探測報文; 接收模塊�,用于接收探測響應(yīng)報文; 獲得模塊��,用于獲得接收到的探測響應(yīng)報文中的源IP地址����; 執(zhí)行模塊�,用于判斷所述源IP地址是否和設(shè)定的網(wǎng)關(guān)IP地址一致���;在確定出所述源IP地址和設(shè)定的網(wǎng)關(guān)IP地址一致時,向網(wǎng)絡(luò)中各主機廣播包含正確網(wǎng)關(guān)IP地址的網(wǎng)關(guān)報文�����,其中�����,所述包含正確網(wǎng)關(guān)IP地址的網(wǎng)關(guān)報文使網(wǎng)絡(luò)中已被篡改的主機獲取正確的IP地址���,恢復(fù)與網(wǎng)關(guān)正常通信�。
6.如權(quán)利要求5所述的裝置��,其特征在于���,所述獲得模塊����,還用于根據(jù)接收到的欺騙源發(fā)送的探測響應(yīng)報文��,獲得發(fā)送所述探測響應(yīng)報文的主機介質(zhì)訪問控制MAC地址作為欺騙源MAC地址; 所述執(zhí)行模塊��,還用于將所述欺騙源MAC地址加入到用于標識網(wǎng)關(guān)欺騙病毒源的黑名單中�。
7.如權(quán)利要求5所述的裝置,其特征在于����,所述發(fā)送模塊,具體用于通過設(shè)定端口廣播探測報文���,所述探測報文中包含設(shè)定的網(wǎng)關(guān)IP地址���、設(shè)定的發(fā)送IP地址、設(shè)定的發(fā)送MAC地址以及所述設(shè)定端口歸屬的虛擬局域網(wǎng)VLAN標識��。
8.如權(quán)利要求7所述的裝置�,其特征在于,所述發(fā)送模塊�����,具體用于以設(shè)定時長為間隔���,周期性通過設(shè)定端口廣播探測報文���。
【文檔編號】H04L29/06GK104363243SQ201410704705
【公開日】2015年2月18日 申請日期:2014年11月27日 優(yōu)先權(quán)日:2014年11月27日
【發(fā)明者】侯建棟 申請人:福建星網(wǎng)銳捷網(wǎng)絡(luò)有限公司