一种防范网际协议(IP)以太网中假冒主机的方法,至少包括如下步骤:a.预先在IP以太网的网关中设置动态分配IP地址的方式,同时将主机的IP地址获取模式设置为动态获取IP地址;b.主机需要获取自身的IP地址信息时,向网关发送包 含有该主机硬件地址信息的地址请求消息;c.网关接收到来自主机的获取IP地址信息的请求后,向主机分配一个IP地址并将所述IP地址信息发送给主机,同时建立并保存该主机的硬件地址和IP地址的对应关系表;d.在接收到来自主机的地址解 析协议(ARP)报文后,网关根据保存的所述对应关系表判断主机的ARP报文是否合法,如果合法,正常处理该ARP报文,否则丢弃该ARP报文。(*该技术在2023年保护过期,可自由使用*)
【技术实现步骤摘要】
防范网际协议以太网中假冒主机的方法
本专利技术涉及网络安全领域,尤其涉及一种防范网际协议(IP)以太网中假冒主机的方法。
技术介绍
当前,网络病毒的破坏性越来越多样化,出现了许多新的破坏手段。对于网络可靠性的攻击就是这些新的破坏手段的一种。这种攻击不以盗取信息为目的,而是针对网络中的漏洞,对网络设备进行攻击,破坏网络的正常通讯,从而造成网络瘫痪,给用户带来更大的损失。对以太网的攻击是这种攻击的一种常见方式。在以前的网络中,以太网多出现在内网之中,而传统的网络管理认为,内网是非常安全的,因此只对于内网的出口设置了网络安全防范策略,而在内网内部并未设置防范措施。同时,由于内网中客户的不同,导致网络管理部门无法实现对内网中的每个用户的网络使用进行监控,这样,随着计算机病毒不断出现新的破坏手段,以及很多容易被攻击的中低端网络产品得到了更多应用,从而使对以太网的攻击更加容易。另外,随着宽带的兴起和新型业务的普及,以太网越来越多地应用于相对于网络管理部门的外网中,以太网接入的宽带小区就是其中一例,在这种情况下,以太网更易受到攻击。对于采用以太网实现通讯的用户来说,一旦以太网受到攻击,造成网络瘫痪,即使没有丢失任何有价值的资料,也会造成与网络瘫痪时间成正比的非常大的损失,而对于利用以太网进行工作业务的公司来说,这种损失往往比丢失资料更为严重。下面,介绍针对IP以太网的攻击方法。-->在IP以太网中,通过IP地址来标识网络中的节点,按照网络中节点的硬件地址实现数据传输,因此,在数据传输过程中,必然存在根据IP地址解析得到硬件地址的过程。以太网中的各个节点多采用电气和电子工程师协会(IEEE)802协议定位的以太网媒体访问控制(MAC)地址作为硬件地址,当一台主机与另一台主机通讯时,通讯双方首先需要得到对方的IP地址,然后利用地址解析协议(ARP)进行地址解析,得到与该IP地址相对应的硬件地址MAC,通讯双方按照得到的MAC地址在以太网上进行数据报文的传输。在上述ARP协议中,存在两种报文实现该协议的通讯,分别是ARP请求报文和ARP应答报文,下面说明ARP协议使用这两种报文对IP地址的MAC进行解析的工作原理。在以太网中的主机需要向另一台主机发送报文时,使用ARP请求报文,该ARP请求报文在以太网中采用广播方式发送,以太网中包括网关在内的所有主机都能够收到该ARP请求报文,在该ARP请求报文中包括以下信息:发送者的IP地址、发送者的MAC地址、请求的IP地址以及请求的MAC地址,由于所请求的MAC地址当前未知,因此此项为空;接收到该ARP请求的主机会将请求报文中的发送者的IP地址和发送者的MAC地址的对应关系作为一个表项保存在该主机的ARP表中。在以太网中的主机收到ARP请求报文后,会取出该请求报文中的请求的IP地址与自己的IP地址进行比较,如果相同,则使用ARP应答报文将自己的MAC地址发送给发送该ARP请求报文的主机,具体包括:该主机将自己的MAC地址放入ARP请求报文的“请求的MAC地址”项中,然后将当前的ARP请求报文作为ARP应答报文发送到发出ARP请求报文的主机,接收到该ARP应答报文的主机将该ARP应答报文中的“请求的IP地址”和“请求的MAC地址”表项保存在其ARP表中,从而得到与所请求的IP地址相对应的MAC地址。以上述方式完成对IP地址的MAC解析后,以太网中的主机会在其自身-->的ARP表中保存相应的IP地址和MAC地址,这样,在以太网中的主机向一个IP地址发送数据时,可以从其自身的ARP表中得到与该IP地址相对应的MAC地址,并将该MAC地址填写到数据的报文头中,该数据就可以依照该MAC地址实现在以太网上的传输;由于以太网中主机的IP地址可能由于人工配置的原因或随机分配的原因而发生变化,因此,IP以太网中主机的IP地址和MAC地址的对应关系据此就会不同,根据这种情况,以太网中的主机的ARP表中的内容被设定为可以更新,以满足IP地址变化所造成的IP地址和MAC地址对应关系发生变化的需要。以太网中的恶意用户通常根据上述利用ARP协议获取IP地址对应的MAC的过程对以太网进行攻击,下面结合具体例子对其攻击方式加以说明。参见图1,以一个接入国际互联网的IP以太网为例,个人计算机(PC)利用该以太网的正常访问过程如下:以PC1为例,当PC1需要访问外部网络时,首先需要知道网关1的IP地址IP1,该IP地址通常静态配置获得,也可以通过其它协议获得。然后,PC1利用ARP协议向该以太网中包括网关1在内的所有主机进行ARP广播,通过该广播发送一个ARP请求报文,接收到该ARP请求的各个主机会将该请求报文中的IP地址和与之对应的硬件地址保存在自身的ARP表中,根据上述MAC地址解析过程,IP以太网中的网关会接收到以太网中各个主机所发送的ARP请求报文,因此,在该网关的ARP表中将保存各个主机的IP地址和与之对应的硬件地址MAC,网关根据这些IP地址和与之对应的硬件地址MAC与各个主机进行通讯。参见图2,假定在该以太网中存在一个攻击网络的恶意用户PC2,PC2可利用如下方法假冒以太网中的主机,实现对IP以太网的攻击:PC2伪造并发送一个硬件地址MAC2对应IP1的ARP报文,该报文可能是ARP请求报文,也可以是ARP应答报文,如果是ARP请求报文,则该报文中的“发送者的IP地址”和“发送者的MAC地址”两项内容被分别-->伪造成“IP1”和“MAC2”;如果是以ARP应答报文作为攻击手段,则该ARP应答报文中的“请求的IP地址”和“请求的MAC地址”两项被分别伪造成“IP1”和“MAC2”;根据上述的ARP协议工作原理,网关收到该ARP报文后,将更新网关上的ARP表项中的内容,将原IP1所对应的硬件地址覆盖成为MAC2,进行上述操作后,网关上原来被指定发送到PC1的数据的目的硬件地址就被修改成为了恶意用户的硬件地址MAC2,从而导致应该发送到PC1的数据会被错误地发送到PC2,导致PC1不能正常接收自网关所发送的网络数据,从而PC2窃取PC1的数据,并导致PC1与网关的通讯中断。同样,恶意用户可以采用相同的方法对IP以太网中的其它主机进行上述假冒主机的攻击,该攻击也可导致以太网的瘫痪。如上所述,针对上述IP以太网中假冒主机的攻击方法,当前还没有行之有效的防范方法,而随着网络的日益普及,防范此种针对网络自身的攻击必将成为网络安全领域所面临的一个十分重要的问题。
技术实现思路
有鉴于此,本专利技术的主要目的在于提供一种防范IP以太网中假冒主机的方法,该方法可以防止恶意用户通过假冒主机而对IP以太网所进行的攻击,从而确保网络的安全性和可靠性。为了实现上述目的,根据本专利技术的一种防范IP以太网中假冒主机的方法包括如下步骤:a.预先在IP以太网的网关中设置动态分配IP地址的方式,同时将主机的IP地址获取模式设置为动态获取IP地址;b.主机需要获取自身的IP地址信息时,向网关发送包含有该主机硬件地址信息的地址请求消息;c.网关接收到来自主机的获取IP地址信息的请求后,向主机分配一个IP地址并将该IP地址信息发送给主机,同时建立并保存该主机的硬件地址和IP地址的对应关系表;-->d.在接收到来自主机的地址解析协议(ARP)报本文档来自技高网...
【技术保护点】
【技术特征摘要】
1、一种防范网际协议(IP)以太网中假冒主机的方法,至少包括如下步骤:a.预先在IP以太网的网关中设置动态分配IP地址的方式,同时将主机的IP地址获取模式设置为动态获取IP地址;b.主机需要获取自身的IP地址信息时,向网关发送包含有该主机硬件地址信息的地址请求消息;c.网关接收到来自主机的获取IP地址信息的请求后,向主机分配一个IP地址并将所述IP地址信息发送给主机,同时建立并保存该主机的硬件地址和IP地址的对应关系表;d.在接收到来自主机的地址解析协议(ARP)报文后,网关根据保存的所述对应关系表判断主机的ARP报文是否合法,如果合法,正常处理该ARP报文,否则丢弃该ARP报文。2.根据权利要求1所述的防范IP以太网中假冒主机的方法,其特征是,步骤a中所述在IP以太网的网关中设置动态分配IP地址的方式是在网关中启动动态主机配置协议(DHCP)服务器功能。3.根据权利要求2所述的防范IP以太网中假冒主机的方法,其特征是,步骤c中主机的硬件地址和IP地址的对应关系保存在网关的DHCP信息表中。4.根据权利要求1所述的防范IP以太网中假冒主机的方法,其特征是,所述主机硬件地址是以太网媒体访问控制...
【专利技术属性】
技术研发人员:杨磊,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。