一种针对ARP应答报文攻击的检测方法及装置制造方法及图纸

本申请公开了一种针对ARP应答报文攻击的检测方法及装置。其中的方法包括向对端网络设备发送ARP请求报文；响应于接收到的对端网络设备发出的ARP应答报文，判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应；如果是，基于所述ARP应答报文生成ARP表项；如果否，则确定所述ARP应答报文为攻击报文。本申请可以针对ARP应答报文攻击进行有效的检测。

A detection method and device for ARP response message attack

The present application discloses a detection method and device for a ARP response message attack. The method includes sending network equipment to the ARP request message; in response to receiving the end of a network device ARP response message, whether the ARP response message is to end network equipment in response to the ARP request message is made; if it is, the ARP response message generation table based on ARP; if not, determine the ARP response message attack packets. This application can be effectively detected for the ARP response message attack.

【技术实现步骤摘要】
一种针对ARP应答报文攻击的检测方法及装置
本申请涉及通信
，尤其涉及一种针对ARP应答报文攻击的检测方法及装置。
技术介绍
网络通信中，通常采用ARP(AddressResolutionProtocol，地址解析协议)将IP地址解析为物理地址。源设备将包含目标IP地址的ARP请求报文广播到网络上的所有设备，并接收返回的包含有目标物理地址的应答报文，在源设备的ARP缓存表中生成记录目标IP地址和目标物理地址映射关系的ARP表项。同时，目标设备的ARP缓存表中也生成记录目标IP地址和目标物理地址映射关系的ARP表项。当源设备和目标设备再次通信时，就可以直接查询ARP缓存表来获取相应的物理地址，有效地节约网络资源。由于ARP协议是建立在网络中各个设备相互信任的基础上的，因此，ARP协议可以被利用发起攻击，攻击方式主要分为通过ARP请求报文发起攻击和通过ARP应答报文发起攻击。针对使用ARP请求报文发起的ARP攻击，网络设备会通过主动确认ARP请求报文真实性的方法来进行检测。例如，网络设备收到ARP请求报文1后，会主动发送新的ARP请求报文2，其中ARP请求报文2的目的IP地址是其接收的ARP请求报文1的源IP地址，并通过比较接收的ARP请求报文2的响应报文的源MAC地址、接收端口是否与其接收的ARP请求报文1的源MAC地址、接收端口一致，来判断其接收的ARP请求报文1是否为攻击报文。然而，针对使用ARP应答报文发起的ARP攻击，由于攻击者的IP地址和MAC地址(即ARP应答报文的源IP地址和MAC地址)可能随机变化，因此在检测上存在一定困难。
技术实现思路
本申请提供一种针对ARP应答报文攻击的检测方法，应用于网络设备，包括：向对端网络设备发送ARP请求报文；响应于接收到的对端网络设备发出的ARP应答报文，判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应；如果是，基于所述ARP应答报文生成ARP表项；如果否，则确定所述ARP应答报文为攻击报文。可选的，所述方法还包括：当确定所述ARP应答报文为攻击报文，从该ARP应答报文中提取报文特征；基于提取到的报文特征生成ACL防护规则；将所述ACL防护规则下发到底层转发硬件。可选的，所述ACL防护规则对应的处理动作为丢弃；所述ACL防护规则被配置了有效时长；其中，底层转发硬件在所述有效时长内再次接收到报文特征与所述ACL防护规则匹配的ARP应答报文时，基于所述ACL防护规则对该ARP应答报文进行丢弃处理。可选的，所述响应于接收到的对端网络设备发出的ARP应答报文，判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应之前，还包括：提取发送的ARP请求报文中的目标IP地址；在预设的目标IP地址表中创建与提取到的目标IP地址对应的表项。可选的，所述判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应，包括：提取所述对端网络设备发出的ARP应答报文中的源IP地址；在所述目标IP地址表中查找与提取到的源IP地址对应的表项；如果在所述目标IP地址表中查找到了与所述源IP地址对应的表项时，判断所述ARP应答报文为对端网络设备针对所述ARP请求报文作出的响应。可选的，所述目标IP地址表中的表项被配置了老化时长；可选的，所述方法还包括：在所述目标IP地址表中任一表项的老化时间内，若从ARP请求报文中提取的目标IP地址与该表项对应的目标IP地址一致，则重置该表项的老化时间；在所述目标IP地址表中任一表项的老化时间内，若从ARP应答报文中提取的源IP地址与该表项对应的目标IP地址一致，则删除该表项；若所述目标IP地址表中任一表项超出老化时间，从所述目标IP地址表中删除该表项。本申请还提供一种针对ARP应答报文攻击的检测装置，应用于网络设备，包括：发送模块，用于向对端网络设备发送ARP请求报文；判断模块，用于响应于接收到的对端网络设备发出的ARP应答报文，判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应；生成模块，如果所述判断模块得到的判断结果为是，则用于基于所述ARP应答报文生成ARP表项；确定模块，如果所述判断模块得到的判断结果为否，则用于确定所述ARP应答报文为攻击报文。可选的，所述装置还包括：规则下发模块，用于当确定所述ARP应答报文为攻击报文，从该ARP应答报文中提取报文特征；基于提取到的报文特征生成ACL防护规则；将所述ACL防护规则下发到底层转发硬件。可选的，所述ACL防护规则对应的处理动作为丢弃；所述ACL防护规则被配置了有效时长；其中，底层转发硬件在所述有效时长内再次接收到报文特征与所述ACL防护规则匹配的ARP应答报文时，基于所述ACL防护规则对该ARP应答报文进行丢弃处理。可选的，执行判断模块之前，还包括：表项创建模块，用于提取发送的ARP请求报文中的目标IP地址；在预设的目标IP地址表中创建与提取到的目标IP地址对应的表项。可选的，所述判断模块具体用于：提取所述对端网络设备发出的ARP应答报文中的源IP地址；在所述目标IP地址表中查找与提取到的源IP地址对应的表项；如果在所述目标IP地址表中查找到了与所述源IP地址对应的表项时，判断所述ARP应答报文为对端网络设备针对所述ARP请求报文作出的响应。可选的，所述目标IP地址表中的表项被配置了老化时长；可选的，所述装置还包括：表项处理模块，用于在所述目标IP地址表中任一表项的老化时间内，若从ARP请求报文中提取的目标IP地址与该表项对应的目标IP地址一致，则重置该表项的老化时间；在所述目标IP地址表中任一表项的老化时间内，若从ARP应答报文中提取的源IP地址与该表项对应的目标IP地址一致，则删除该表项；若所述目标IP地址表中任一表项超出老化时间，用于从所述目标IP地址表中删除该表项。本申请通过向对端网络发送ARP请求报文，并响应于接收到的对端网络设备发出的ARP应答报文，判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应，然后确定所述ARP应答报文是否为攻击报文。本申请方案中，网络设备在基于接收到的ARP应答报文生成ARP表项之前，可以通过在预设的目标IP地址表中记录本端网络设备发送的ARP请求报文的源IP地址，比较接收到的ARP应答报文中的源IP地址是否与所述目标IP地址表中已记录的目标IP地址一致，来判断该ARP应答报文是否为对端网络设备针对本端网络设备发出的ARP请求报文作出的响应，从而确定所述ARP应答报文是否为攻击报文。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。图1是本申请实施例提供的一种针对ARP应答报文攻击的检测方法流程图；图2是本申请实施例提供的一种判断ARP应答报文是否为针对ARP请求报文作出的响应的算法流程图；图3是本申请实施例提供的一种下发ACL规则的流程图；图4是本申请实施例提供的一种针对ARP应答报文攻击的检测装置的逻辑框图；图5是本申请实施例提供的一种承载所述ARP应答报文攻击的检测装置的网络设备的硬件结构图。具体实施方本文档来自技高网...

【技术保护点】
一种针对ARP应答报文攻击的检测方法，其特征在于，包括：向对端网络设备发送ARP请求报文；响应于接收到的对端网络设备发出的ARP应答报文，判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应；如果是，基于所述ARP应答报文生成ARP表项；如果否，则确定所述ARP应答报文为攻击报文。

【技术特征摘要】
1.一种针对ARP应答报文攻击的检测方法，其特征在于，包括：向对端网络设备发送ARP请求报文；响应于接收到的对端网络设备发出的ARP应答报文，判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应；如果是，基于所述ARP应答报文生成ARP表项；如果否，则确定所述ARP应答报文为攻击报文。2.根据权利要求1所述的方法，其特征在于，还包括：当确定所述ARP应答报文为攻击报文，从该ARP应答报文中提取报文特征；基于提取到的报文特征生成ACL防护规则；将所述ACL防护规则下发到底层转发硬件。3.根据权利要求2所述的方法，其特征在于，所述ACL防护规则对应的处理动作为丢弃；所述ACL防护规则被配置了有效时长；其中，底层转发硬件在所述有效时长内再次接收到报文特征与所述ACL防护规则匹配的ARP应答报文时，基于所述ACL防护规则对该ARP应答报文进行丢弃处理。4.根据权利要求1所述的方法，其特征在于，所述响应于接收到的对端网络设备发出的ARP应答报文，判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应之前，还包括：提取发送的ARP请求报文中的目标IP地址；在预设的目标IP地址表中创建与提取到的目标IP地址对应的表项。5.根据权利要求4所述的方法，其特征在于，所述判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应，包括：提取所述对端网络设备发出的ARP应答报文中的源IP地址；在所述目标IP地址表中查找与提取到的源IP地址对应的表项；如果在所述目标IP地址表中查找到了与所述源IP地址对应的表项时，判断所述ARP应答报文为对端网络设备针对所述ARP请求报文作出的响应。6.根据权利要求4所述的方法，其特征在于，其中，所述目标IP地址表中的表项被配置了老化时长；所述方法还包括：在所述目标IP地址表中任一表项的老化时间内，若从ARP请求报文中提取的目标IP地址与该表项对应的目标IP地址一致，则重置该表项的老化时间；在所述目标IP地址表中任一表项的老化时间内，若从ARP应答报文中提取的源IP地址与该表项对应的目标IP地址一致，则删除该表项；若所述目标IP地址表中任一表项超出老化时间，从所述目标IP地址表中删除该表项。7....

【专利技术属性】
技术研发人员：孙行鹭，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江,33