ARP欺骗攻击防范方法及系统

摘要

本发明提供了一种ARP欺骗攻击防范方法，包括以下步骤：在交换机执行如下步骤：接收报文；当所述报文的目的IP地址是直连网段的报文时，判断所述目的IP地址的路由是否存在，当所述路由不存在时，发送ARP数据包。在安全设备执行如下步骤：接收所述ARP数据包；判断所述ARP数据包是否是基于请求而发出，当判断结果为否时，生成并散布与所述ARP数据包对应的ARP请求数据包；接收与所述ARP请求数据包对应的ARP响应数据包；判断所述ARP响应数据包的输入端口与所述ARP数据包的输入端口是否一致，当判断结果为否时，则判定发生了ARP欺骗攻击。

说明书

技术领域

本发明主要涉及通信领域，尤其涉及一种ARP欺骗攻击防范方法及系统。

背景技术

国内部分企业目前已经开始着力推动工业互联网平台的建设。以航空领域的核心机装配为例，其工业互联网平台的建设步骤主要包括：完成科研装配厂房的工业基础网络建设，满足核心机装配智能制造集成平台的信息交互需求，实现核心机装配的信息物理融合，构建以核心机智能装配单元为核心，以智能物流仓储、制造执行、实时数据中心等系统高度协同的核心机装配智能制造集成平台为基础的工业基础网络。建设内容包括：工业基础网络建设、工业网络设备管理平台建设、工业WiFi建设、安全隔离与信息传输系统建设以及车间物料定位系统建设等。

在工业基础网络建设中，网络安全尤为重要。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 ARP(Address Resolution Protocol，地址解析协议)欺骗攻击是网络攻击的一种。目前主要通过ARP协议实现将目标终端设备的IP地址转换为MAC 地址的功能，以保证通信的顺利进行。按照ARP协议的设计，为了减少网络上过多的ARP数据通信，当一个主机收到的ARP应答并非主机请求得到的，它也会将其插入到自己的ARP缓存表中，这样就造成了ARP欺骗攻击的可能。利用ARP原理编制的工具十分简单易用，这些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超过30种应用的密码和传输内容。攻击者利用这些工具来监控被欺骗用户的数据，极大威胁到了工业基础网络建设中的网络安全。

发明内容

本发明要解决的技术问题是提供一种ARP欺骗攻击防范方法及系统，可以防止网络中的ARP欺骗攻击，避免网络系统的硬件、软件、及其系统中的数据收到恶意破坏，保证网络安全。

为解决上述技术问题，本发明提供了一种ARP欺骗攻击防范方法，包括以下步骤：在交换机执行如下步骤：接收报文；当所述报文的目的IP地址是直连网段的报文时，判断所述目的IP地址的路由是否存在，当所述路由不存在时，发送ARP数据包。在安全设备执行如下步骤：接收所述ARP 数据包；判断所述ARP数据包是否是基于请求而发出，当判断结果为否时，生成并散布与所述ARP数据包对应的ARP请求数据包；接收与所述ARP 请求数据包对应的ARP响应数据包；判断所述ARP响应数据包的输入端口与所述ARP数据包的输入端口是否一致，当判断结果为否时，则判定发生了ARP欺骗攻击。

在本发明的一实施例中，在所述交换机对DHCP报文进行侦听，以提取并记录IP地址和MAC地址信息。

在本发明的一实施例中，在所述交换机接收物理端口为信任端口或不信任端口的设定，且允许所述信任端口正常接收并转发DHCP Offer报文，而丢弃从所述不信任端口接收到的DHCP Offer报文。

在本发明的一实施例中，在所述安全设备建立并维护DHCP侦听绑定表，且使用所述DHCP侦听绑定表过滤不可信任的DHCP信息，所述DHCP 侦听绑定表包括不信任区域的用户MAC地址、IP地址、租用期、以及 VLAN-ID接口。

在本发明的一实施例中，在所述交换机基于用户网关IP地址和MAC 地址的绑定、VLAN和接入端口的绑定建立绑定表，且检测经过所述交换机ARP请求响应报文中的源MAC地址、源IP地址是否可以匹配上述绑定表，如果不能匹配则判定为仿冒网关回应的ARP请求响应报文，予以丢弃。

在本发明的一实施例中，在所述交换机基于接口设置ARP miss的速率，当接口上触发的ARP miss超过阈值时，丢弃所述接口上的ARP miss。

在本发明的一实施例中，在所述交换机基于源IP地址进行ARP miss 统计，如果ARP miss的速率超过设定的阈值，则在指定时间内丢弃带有所述源IP地址的报文。

在本发明的一实施例中，在所述交换机检测MAC学习数目，且当所述MAC学习数目达到与所述MAC学习对应的端口或VLAN上设置的阈值时，进行丢弃、转发和/或告警动作。

在本发明的一实施例中，在所述交换机的一个或多个端口限制组播报文流量百分比或速率阈值。

本发明还提供一种ARP欺骗攻击防范系统，包括交换机和安全设备。交换机包括第一存储器和第一处理器。第一存储器用于存储可由第一处理器执行的指令。第一处理器配置为执行所述指令以实现如下步骤：接收报文；以及当所述报文的目的IP地址是直连网段的报文时，判断所述目的IP 地址的路由是否存在，当所述路由不存在时，发送ARP数据包。安全设备包括第二存储器和第二处理器。第二存储器用于存储可由第二处理器执行的指令。第二处理器配置为执行所述指令以实现如下步骤：接收所述ARP 数据包；判断所述ARP数据包是否是基于请求而发出，当判断结果为否时，生成并散布与所述ARP数据包对应的ARP请求数据包；接收与所述ARP 请求数据包对应的ARP响应数据包；以及判断所述ARP响应数据包的输入端口与所述ARP数据包的输入端口是否一致，当判断结果为否时，则判定发生了ARP欺骗攻击。与现有技术相比，本发明的一种ARP欺骗攻击防范方法及系统通过在其包括的交换机和安全设备中设定多种安全防御机制，具有防止ARP攻击欺骗、使网络系统更安全的优点。

附图说明

包括附图是为提供对本申请进一步的理解，它们被收录并构成本申请的一部分，附图示出了本申请的实施例，并与本说明书一起起到解释本发明原理的作用。附图中：

图1是本发明一实施例中的一种ARP欺骗攻击防范系统。

图2A为本发明一实施例中的一种ARP欺骗攻击防范方法在交换机的执行步骤的流程图。

图2B为本发明一实施例中的一种ARP欺骗攻击防范方法在安全设备的执行步骤的流程图。

具体实施方式

为了更清楚地说明本申请的实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单的介绍。显而易见地，下面描述中的附图仅仅是本申请的一些示例或实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图将本申请应用于其他类似情景。除非从语言环境中显而易见或另做说明，图中相同标号代表相同结构或操作。

如本申请和权利要求书中所示，除非上下文明确提示例外情形，“一”、“一个”、“一种”和/或“该”等词并非特指单数，也可包括复数。一般说来，术语“包括”与“包含”仅提示包括已明确标识的步骤和元素，而这些步骤和元素不构成一个排它性的罗列，方法或者设备也可能包含其他的步骤或元素。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本申请的范围。同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

此外，需要说明的是，使用“第一”、“第二”等词语来限定零部件，仅仅是为了便于对相应零部件进行区别，如没有另行声明，上述词语并没有特殊含义，因此不能理解为对本申请保护范围的限制。此外，尽管本申请中所使用的术语是从公知公用的术语中选择的，但是本申请说明书中所提及的一些术语可能是申请人按他或她的判断来选择的，其详细含义在本文的描述的相关部分中说明。此外，要求不仅仅通过所使用的实际术语，而是还要通过每个术语所蕴含的意义来理解本申请。

本申请中使用了流程图用来说明根据本申请的实施例的系统所执行的操作。应当理解的是，前面或下面操作不一定按照顺序来精确地执行。相反，可以按照倒序或同时处理各种步骤。同时，或将其他操作添加到这些过程中，或从这些过程移除某一步或数步操作。

图1为本发明一实施例中的一种ARP欺骗攻击防范系统。如图1所示， ARP欺骗攻击防范系统1包括交换机11和安全设备12。

交换机11包括第一存储器111和第一处理器112。第一存储器111用于存储可由第一处理器112执行的指令。第一处理器112配置为执行第一处理器111执行的指令以实现如下步骤：

步骤S101：接收报文；

步骤S102：当报文的目的IP地址是直连网段的报文时，判断目的IP 地址的路由是否存在，当路由不存在时，发送ARP数据包。

安全设备12包括第二存储器121和第二处理器122。第二存储器121 用于存储由第二处理器122执行的指令。第二处理器122配置为执行第二处理器122执行的指令以实现如下步骤：

步骤S201：接收ARP数据包；

步骤S202：判断ARP数据包是否是基于请求而发出，当判断结果为否时，生成并散布与ARP数据包对应的ARP请求数据包；

步骤S203：接收与ARP请求数据包对应的ARP响应数据包；

步骤S204：判断ARP响应数据包的输入端口与ARP数据包的输入端口是否一致，当判断结果为否时，则判定发生了ARP欺骗攻击。

图2A为本发明一实施例中的一种ARP欺骗攻击防范方法在交换机的执行步骤的流程图，图2B为本发明一实施例中的一种ARP欺骗攻击防范方法在安全设备的执行步骤的流程图。在本实施例中，该ARP欺骗攻击防范方法可用于图1中的ARP欺骗攻击防范系统1中。

如图2A所示，一种ARP欺骗攻击防范方法在交换机11的执行步骤包括步骤S101～步骤S102：

步骤S101：接收报文；

在步骤S101，假设在一相同网络中，主机A和主机B通过交换机11 相连接而相互收发数据包。ARP在网络上广播一个ARP请求报文，该ARP 请求包括包括源主机的IP、MAC地址和目的主机的IP地址，交换机11用于接收该请求报文。

步骤S102：当报文的目的IP地址是直连网段的报文时，判断目的IP 地址的路由是否存在，当路由不存在时，发送ARP数据包。

在步骤S102，交换机11具有保护其所在网络受到IP地址扫描攻击的能力。地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文的一种网络攻击形式。当攻击者扫描网络设备的直连网段时，触发ARP miss，使网络设备给该网段下的每个地址发送ARP报文，地址不存在的话，还需要发送目的主机不可达报文。如果直连网段较大，攻击流量足够大时，会消耗网络设备较多的CPU和内存资源，可引起网络中断。

交换机11在接收到的报文是直连网段的报文时，判断目的IP地址的路由是否存在，当路由不存在时，交换机11发送ARP数据包，并且丢弃后续所有目的IP地址为该直连网段的报文，以防后续报文持续冲击。若交换机11发送的ARP数据包有ARP应答，则立即删除相应的丢弃表项，并添加正常的路由表项。若无ARP应答，经过一段时间后丢弃表项自动老化。

通过上述在交换机11中执行的步骤，可以防止直连网段扫描攻击对交换机11造成影响，保证正常业务流程的畅通。

如图2B所示，一种ARP欺骗攻击防范方法在安全设备的执行步骤包括步骤S201～步骤S204：

步骤S201：接收ARP数据包；

在步骤S201，安全设备12接收交换机11发送的ARP数据包。

步骤S202：判断ARP数据包是否是基于请求而发出，当判断结果为否时，生成并散布与ARP数据包对应的ARP请求数据包；

在步骤S202，当判断结果为该ARP数据包非基于请求而发出的，则说明该ARP数据包为之前不存在ARP请求数据包的情况下所传送的ARP 响应数据包，这种未经请求的数据包可被恶意利用于ARP欺骗攻击。生成并散布与ARP数据包对应的ARP请求数据包，该ARP请求数据包用于判断安全设备12已接收的未经请求的ARP数据包是否为正常数据包。

步骤S203：接收与ARP请求数据包对应的ARP响应数据包；

在步骤S203中，安全设备12接收与ARP请求数据包对应的ARP相应数据包。

步骤S204：判断ARP响应数据包的输入端口与ARP数据包的输入端口是否一致，当判断结果为否时，则判定发生了ARP欺骗攻击。

在步骤S204中，检测该ARP响应数据包的输入端口与步骤S202中判断为未经请求的ARP数据包的输入端口是否一致。如果该未经请求的ARP 数据包为正常数据包，则该ARP响应数据包的输入端口与步骤S202中判断为未经请求的ARP数据包的输入端口一致。如果该未经请求的ARP数据包是由恶意攻击者发送出来的，则该ARP响应数据包的输入端口与步骤 S202中判断为未经请求的ARP数据包的输入端口不一致。

在本发明的一实施例中，ARP欺骗攻击防范方法还包括：在交换机11 对DHCP报文进行侦听，以提取并记录IP地址和MAC地址信息。交换机 11从接受到的DHCP Requesr或DHCP Ack报文中提取并记录IP地址和 MAC地址信息。交换机11可以包括在交换机11接收物理端口为信任端口或不信任端口的设定，且允许信任端口正常接收并转发DHCP Offer报文，而丢弃从不信任端口接收到的DHCP Offer报文。该设定可以完成交换机 11对DHCPServer的屏蔽作用，确保与交换机11相连的主机从合法的 DHCP Server获取IP地址。

在本发明的一实施例中，ARP欺骗攻击防范方法还包括：在安全设备 12建立并维护DHCP(动态主机设置协议)侦听绑定表，且使用所述DHCP 侦听绑定表过滤不可信任的DHCP信息，所述DHCP侦听绑定表包括不信任区域的用户MAC地址、IP地址、租用期、以及VLAN-ID接口。该DHCP 侦听绑定表可以基于DHCP过程动态生成，也可以通过静态配置生成。该生成需预先准备用户的IP地址、MAC地址、用户所属VLAN ID、用户所属接口等信息。

在本发明的一实施例中，ARP欺骗攻击防范方法还包括：在交换机11 基于用户网关IP地址和MAC地址的绑定、VLAN和接入端口的绑定建立绑定表，且检测经过交换机11的ARP请求响应报文中的源MAC地址、源 IP地址是否可以匹配上述绑定表，如果不能匹配则判定为仿冒网关回应的 ARP请求响应报文，予以丢弃。在该实施例中，对于用户终端没有使用DHCP动态获取IP地址的场景，可采用静态添加用户网关相关信息的静态绑定表。交换机11的该功能可以有效实现防御ARP的仿冒欺骗攻击行为。

在本发明的一实施例中，ARP欺骗攻击防范方法还包括：在交换机11 基于接口设置ARP miss的速率，当接口上触发的ARP miss超过阈值时，丢弃接口上的ARP miss。ARPmiss是交换机11在转发时因匹配不到对应的ARP表项而上报的消息。若有攻击者使用相同的源IP进行地址扫描攻击，交换机11还可以基于源IP地址进行ARP miss统计，如果ARPmiss 的速率超过设定的阈值，则咋指定时间内丢弃带有源IP地址的报文。

在本发明的一实施例中，ARP欺骗攻击防范方法还包括：在交换机11 检测MAC学习数目，且当MAC学习数目达到与MAC学习对应的端口或 VLAN上设置的阈值时，进行丢弃、转发和/或告警动作。当MC地址转发表收到攻击者的ARP攻击时，将直接导致交换机11无法正常工作。发生 MAC地址攻击时，攻击者向攻击目标网络发送大量的源MAC地址不断变化的以太报文，交换机11接收到以太报文后会基于报文的源MAC学习填充二层MAC转发表。由于MAC地址转发表的规格有限，MAC扫描攻击会导致MAC地址转发表很快填充满，无法再学习生成新的MAC转发表，已学习的MAC表条目则需要通过老化的方式删除。途径交换机11的单播报文会因为按照目的MAC地址无法找到转发表项而进行广播发送，导致网络中产生大量的二层广播报文，消耗网络带宽，引发网络业务异常中断。通过交换机11的检测MAC学习数目的设置，可以防止MAC地址攻击对网络造成的不良影响。

在本发明的一实施例中，ARP欺骗攻击防范方法还包括：在交换机11 的一个或多个端口限制组播报文流量百分比或速率阈值，用于支持组播网络报文抑制，抑制丢弃恶意广播报文而不影响正常广播报文流量转发。

在本发明的上述实施例中，本发明提出了一种ARP欺骗攻击防范方法及系统，具有以下的优点：

(1)在安全设备12中，判断ARP响应数据包的输入端口与ARP数据包的输入端口是否一致，当判断结果为否时，则判定发生了ARP欺骗攻击。

(2)在交换机11对DHCP报文进行侦听，确保与交换机11相连的主机从合法的DHCPServer获取IP地址。

(3)在安全设备12建立并维护DHCP(动态主机设置协议)侦听绑定表，且使用所述DHCP侦听绑定表过滤不可信任的DHCP信息。

(4)在交换机11基于用户网关IP地址和MAC地址的绑定、VLAN 和接入端口的绑定建立绑定表，且检测经过交换机11的ARP请求响应报文中的源MAC地址、源IP地址是否可以匹配上述绑定表，有效实现防御 ARP的仿冒欺骗攻击行为。

(5)通过交换机11的检测MAC学习数目的设置，可以防止MAC地址攻击对网络造成的不良影响。

(6)在交换机11的一个或多个端口限制组播报文流量百分比或速率阈值，抑制丢弃恶意广播报文而不影响正常广播报文流量转发。

上文已对基本概念做了描述，显然，对于本领域技术人员来说，上述发明披露仅仅作为示例，而并不构成对本申请的限定。虽然此处并没有明确说明，本领域技术人员可能会对本申请进行各种修改、改进和修正。该类修改、改进和修正在本申请中被建议，所以该类修改、改进、修正仍属于本申请示范实施例的精神和范围。

同时，本申请使用了特定词语来描述本申请的实施例。如“一个实施例”、“一实施例”、和/或“一些实施例”意指与本申请至少一个实施例相关的某一特征、结构或特点。因此，应强调并注意的是，本说明书中在不同位置两次或多次提及的“一实施例”或“一个实施例”或“一替代性实施例”并不一定是指同一实施例。此外，本申请的一个或多个实施例中的某些特征、结构或特点可以进行适当的组合。

本申请的一些方面可以完全由硬件执行、可以完全由软件(包括固件、常驻软件、微码等)执行、也可以由硬件和软件组合执行。以上硬件或软件均可被称为“数据块”、“模块”、“引擎”、“单元”、“组件”或“系统”。处理器可以是一个或多个专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理器件(DAPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、处理器、控制器、微控制器、微处理器或者其组合。此外，本申请的各方面可能表现为位于一个或多个计算机可读介质中的计算机产品，该产品包括计算机可读程序编码。例如，计算机可读介质可包括，但不限于，磁性存储设备(例如，硬盘、软盘、磁带……)、光盘(例如，压缩盘CD、数字多功能盘DVD……)、智能卡以及闪存设备(例如，卡、棒、键驱动器……)。

计算机可读介质可能包含一个内含有计算机程序编码的传播数据信号，例如在基带上或作为载波的一部分。该传播信号可能有多种表现形式，包括电磁形式、光形式等等、或合适的组合形式。计算机可读介质可以是除计算机可读存储介质之外的任何计算机可读介质，该介质可以通过连接至一个指令执行系统、装置或设备以实现通讯、传播或传输供使用的程序。位于计算机可读介质上的程序编码可以通过任何合适的介质进行传播，包括无线电、电缆、光纤电缆、射频信号、或类似介质、或任何上述介质的组合。

同理，应当注意的是，为了简化本申请披露的表述，从而帮助对一个或多个发明实施例的理解，前文对本申请实施例的描述中，有时会将多种特征归并至一个实施例、附图或对其的描述中。但是，这种披露方法并不意味着本申请对象所需要的特征比权利要求中提及的特征多。实际上，实施例的特征要少于上述披露的单个实施例的全部特征。

一些实施例中使用了描述成分、属性数量的数字，应当理解的是，此类用于实施例描述的数字，在一些示例中使用了修饰词“大约”、“近似”或“大体上”来修饰。除非另外说明，“大约”、“近似”或“大体上”表明所述数字允许有±20％的变化。相应地，在一些实施例中，说明书和权利要求中使用的数值参数均为近似值，该近似值根据个别实施例所需特点可以发生改变。在一些实施例中，数值参数应考虑规定的有效数位并采用一般位数保留的方法。尽管本申请一些实施例中用于确认其范围广度的数值域和参数为近似值，在具体实施例中，此类数值的设定在可行范围内尽可能精确。

虽然本申请已参照当前的具体实施例来描述，但是本技术领域中的普通技术人员应当认识到，以上的实施例仅是用来说明本申请，在没有脱离本申请精神的情况下还可作出各种等效的变化或替换，因此，只要在本申请的实质精神范围内对上述实施例的变化、变型都将落在本申请的权利要求书的范围内。