ARP双向主动防御方法技术

本发明专利技术涉及一种ARP双向主动防御方法，包括设有网关端防护模块的网关服务器和设有主机端防护模块的主机，所述网关服务器和主机按如下步骤进行ARP攻击防御：(1)主机主动获取网关MAC并绑定，然后通过加载内核模块对进入本机的ARP数据包进行过滤；(2)网关服务器抽取DHCP确认包中主机的信息并储存，同时限制主机只能以DHCP方式获取IP，并通过实时ARP流量分析，对网内异常情况进行分析检测并进行日志记录；(3)主机通过过滤各种异常ARP数据包以及内核态和用户态的交互，防御多种ARP攻击。该方法不仅能够有效防护主机与网关的安全，而且易于实现，实施成本低。

【技术实现步骤摘要】

本专利技术涉及局域网中ARP攻击防御
，特别涉及一种ARP双向主动防御方法。
技术介绍
在现有技术中，局域网中的ARP攻击问题一直难以得到根本解决，原因在于目前多种ARP防范措施都有各自的局限性。双绑措施防范能力有限，管理太麻烦；ARP个人防火墙不能保证获取的网关一定正确，而且无法防御对网关的攻击；VLAN和交换机端口绑定没有对网关的任何保护，不管如何细分VLAN，网关一旦被攻击，照样会造成全网上网的掉线和瘫痪，而且管理死板成本高；PPPoE方式下局域网间无法互访，这是逃避了 ARP攻击而非解决。
技术实现思路
本专利技术的目的在于提供一种ARP双向主动防御方法，该方法不仅能够有效防护主机与网关的安全，而且易于实现，实施成本低。为实现上述目的，本专利技术的技术方案是:一种ARP双向主动防御方法，包括设有网关端防护模块的网关服务器和设有主机端防护模块的主机，所述网关服务器和主机按如下步骤进行ARP攻击防御: (1)主机主动获取网关MAC并绑定，然后通过加载内核模块对进入本机的ARP数据包进行过滤； (2)网关服务器抽取DHCP确认包中主机的信息并储存，同时限制主机只能以DHCP方式获取IP，并通过实时ARP流量分析，将单位时间内ARP请求包和应答包数量超过设定值的情况判定为异常流量，然后进行日志记录； (3)主机通过过滤各种异常ARP数据包，使内核态获取用户态输入的IP和MAC，并绑定ARP缓存表，防御多种ARP攻击。进一步的，所述主机通过发送ARP请求包然后分析接收到的ARP回复包的方法，获取指定IP的网关MAC。进一步的，主机按如下方法对ARP数据包进行过滤: (101)主机为协议栈的ARP协议定义钩子函数:ARP接收包过滤函数和ARP发送包过滤函数，所述ARP接收包过滤函数和ARP发送包过滤函数在ARP数据包流过协议栈被调用； (102)在内核模块对ARP接收包过滤函数和ARP发送包过滤函数进行注册，并分别挂接一个处理函数； (103)当本机收到ARP数据包，ARP数据包被传递到ARP接收包过滤函数时，内核调用挂接在ARP接收包过滤函数上的处理函数，对ARP数据包进行处理；当本机发送ARP数据包，ARP数据包被传递到ARP发送包过滤函数时，内核调用挂接在ARP发送包过滤函数上的处理函数，对ARP数据包进行过滤。进一步的，当受保护主机接收到来自远端主机的ARP请求包时，向远端主机发送一个ARP请求包，若受保护主机无法接收来自远端主机的回复包，则判定远端主机的IP存在ARP欺骗攻击；当受保护主机没有事先发起对远端主机IP的ARP请求包，却收到来自远端主机的回复包，则直接过滤并用攻击标志通知用户；当一个欺骗主机A持续向受保护主机发送多个回复包，试图欺骗受保护主机自己是合法主机B，此时受保护主机正好向合法主机B发送一个ARP请求包，则受保护主机将收到合法主机B的一个应答包和欺骗主机A的多个回复包，用信息标志通知用户；用户进程若收到的是带有攻击标志的消息，则显示并做好记录，若收到的是带有信息标志的消息，则提取消息中的IP信息，主动获取对应的MAC，则其即为网关MAC。相较于现有技术，本专利技术的有益效果是: (I)网关端的防护覆盖整个局域网，能对虚假ARP数据包进行过滤，同时网关也成为局域网信息中心，可为主机提供ARP信息查询。(2)主机端即使在已经遭受攻击时开启防护依然有效，实时保护本机缓存表安全。(3)针对中间人欺骗攻击的双向欺骗特点，在主机端对无请求回复包、重复回复包、虚假回复包进行过滤，破坏双向欺骗的实现。(4)结合内核态和用户态交互，实时保护本机ARP缓存。(5)解决现有防火墙不断发包给网关，加重网络负担的问题。(6)不依赖高端交换机的功能，节约成本。(7)友好的用户交互界面，使用方便。【附图说明】图1是本专利技术实施例实施的结构示意图。图2是本专利技术实施例对ARP数据包进行过滤的流程图。【具体实施方式】下面结合附图及具体实施例对本专利技术作进一步的详细说明。本专利技术ARP双向主动防御方法，如图1所示，包括设有网关端防护模块的网关服务器和设有主机端防护模块的主机，所述网关服务器和主机按如下步骤进行ARP攻击防御: (1)主机主动获取网关MAC(物理地址)并绑定，然后通过加载内核模块对进入本机的ARP数据包进行过滤； (2)网关服务器抽取DHCPACK包(DHCP确认包，用于获得主机的真实IP和MAC信息)中主机的信息并储存，同时限制主机只能以DHCP方式获取IP，并通过实时ARP流量分析，将单位时间内ARP请求包和应答包数量超过设定值的情况判定为异常流量，然后进行日志记录; (3)主机通过过滤各种异常ARP数据包，使内核态获取用户态输入的IP-MAC(IP和MAC, 一个局域网内一个IP对应一个独一无二的MAC地址，用户输入真实可信的IP和MAC，在内核态中对此IP-MAC信任，不进行拦截)，并绑定ARP缓存表，防御多种ARP攻击。所述主机通过发送ARP请求包然后分析接收到的ARP回复包的方法，获取指定IP的网关MAC。如图2所示，主机按如下方法对ARP数据包进行过滤: (101)主机为协议栈的ARP协议定义钩子函数NF_ARP_IN(ARP接收包过滤函数，所有接收到的ARP包都要经过该ARP接收包过滤函数的处理)和NF_ARP_OUT (ARP发送包过滤函数，所有发送的ARP包都要经过该ARP发送包过滤函数的处理)，所述钩子函数NF_ARP_IN和NF_ARP_OUT在ARP数据包流过协议栈被调用； (102)在内核模块对NF_ARP_IN和NF_ARP_OUT钩子进行注册，并分别挂接一个处理函数； (103)当本机收到ARP数据包，ARP数据包被传递到NF_ARP_IN钩子时，内核调用挂接在NF_ARP_IN钩子上的处理函数，对ARP数据包进行处理；当本机发送ARP数据包，ARP数据包被传递到NF_ARP_OUT钩子时，内核调用挂接在NF_ARP_OUT钩子上的处理函数，对ARP数据包进行过滤。当受保护主机接收到来自远端主机的ARP请求包时，向远端主机发送一个ARP请求包，若受保护主机无法接收来自远端主机的回复包，则判定远端主机的IP存在ARP欺骗攻击；当受保护主机没有事先发起对远端主机IP的ARP请求包，却收到来自远端主机的回复包，则直接过滤并用ATTACK_FLAG标志(攻击标志)通知用户；当一个欺骗主机A持续向受保护主机发送多个回复包，试图欺骗受保护主机自己是合法主机B，此时受保护主机正好向合法主机B发送一个ARP请求包，则受保护主机将收到合法主机B的一个应答包和欺骗主机A的多个回复包，用INFORM_FLAG标志(信息标志)通知用户；用户进程若收到的是带有ATTACK_FLAG标志的消息，则显示并做好记录，若收到的是带有INFORM_FLAG标志的消息，则提取消息中的IP信息，主动获取对应的MAC，则其即为网关MAC。以上是本专利技术的较佳实施例，凡依本专利技术技术方案所作的改变，所产生的功能作用未超出本专利技术技术方案的范围时，均属于本专利技术的保护范围。【主权项】1.一种ARP双向主动防御方法，其特征在于，包括设有网关端防护模块的网关服务器和设有主机端防护模块的主机，所本文档来自技高网...

【技术保护点】
一种ARP双向主动防御方法，其特征在于，包括设有网关端防护模块的网关服务器和设有主机端防护模块的主机，所述网关服务器和主机按如下步骤进行ARP攻击防御： (1) 主机主动获取网关MAC并绑定，然后通过加载内核模块对进入本机的ARP数据包进行过滤；(2) 网关服务器抽取DHCP确认包中主机的信息并储存，同时限制主机只能以DHCP方式获取IP，并通过实时ARP流量分析，将单位时间内ARP请求包和应答包数量超过设定值的情况判定为异常流量，然后进行日志记录；(3) 主机通过过滤各种异常ARP数据包，使内核态获取用户态输入的IP和MAC，并绑定ARP缓存表，防御多种ARP攻击。

【技术特征摘要】

【专利技术属性】
技术研发人员：王琦，黄可臻，刘坤朋，
申请(专利权)人：福建六壬网安股份有限公司，
类型：发明
国别省市：福建;35