本发明专利技术公开了一种防止ARP攻击的方法,应用于包括终端、认证服务器、管理设备和至少两个接入设备的网络中,所述认证服务器用于对所述终端进行认证,并在认证结果为认证通过时,在所述终端对应的接入设备上绑定所述终端IP地址和MAC地址对应关系;所述方法包括:所述管理设备获取接入设备的端口绑定信息;所述端口绑定信息为接入设备上绑定的终端IP地址和MAC地址对应关系;所述管理设备根据网络拓扑结构将所述端口绑定信息发送给所述网络中的其他接入设备;所述其他接入设备绑定所述端口绑定信息,以防止ARP攻击。本发明专利技术中,有效的避免了来自其它终端的ARP攻击,形成一个全面的ARP防攻击网络。
【技术实现步骤摘要】
本专利技术涉及通信
,特别是涉及一种防止ARP攻击的方法及装置。
技术介绍
ARP (Address Resolution Protocol,地址解析协议)是将IP (InternetProtocol,因特网协议)地址解析为MAC ( Media Access Control, 士某体访问控制)地址的协议,其中,IP地址是终端在网络层中的地址,要将网络层中的数据包传送给目的终端,需要知道目的终端的MAC地址,即需要使用ARP将IP地址解析为MAC地址。具体的,在使用ARP的过程中,并没有任何安全机制,使得攻击者可以很容易的利用ARP发起攻击,目前ARP攻击和ARP病毒已经成为局域网安全的主要威胁。其中,利用ARP发起攻击的方式包括(l)仿冒网关,即攻击者向其它终端发送单播ARP报文,报文中的发送端IP地址填写成网关的IP地址,发送端MAC地址填写为不存在或自身MAC地址,导致被攻击终端无法将数据发送给正确的网关,从而导致通信失败或通信流量被攻击者截获;(2)欺骗网关,即攻击者向网关发送单播ARP报文,报文中的发送端IP地址填写为网络中某个终端的IP地址,发送端MAC地址填写为不存在或自身MAC地址,导致网关将数据报文发向攻击者或不存在的终端;(3)欺骗终端,即攻击者向某个终端发送ARP报文,告知其他终端的MAC地址已变化,导致该终端和其它终端不能通信;(4)中间人攻击,即攻击者综合使用上述2和3两种欺骗方式,将通信流量重定向到自己,使自己成为网关和终端、终端和终端之间的通信桥梁(中间人),从而达到窃取终端通信信息的目的;(5)ARP泛洪攻击,即由于网关ARP表项有限,攻击者通过发送大量IP或MAC变化的ARP报文,使得网关不停学习ARP表项,导致表项最终被占满,后续单播ARP会被网关以广播方式发送出去,增加了网络的负担。现有技术中,ARP攻击采用向目的终端或网关发送伪造的IP/MAC对应关系(即IP和MAC的对应关系),使得被攻击终端或网关学习到错误的ARP表项,从而导致将数据发送到错误的地址;为了防止ARP攻击,需要学习正确的IP/MAC对应关系,并将该对应关系绑定在接入设备端口的ARP表项中,使得终端无法发出错误的ARP报文。其中,可以通过802.1x认证方式获得IP/MAC对应关系,并将该对应关系绑定在接入i殳备端口的ARP表项中,如图1所示,该认证过程包括(1)管理员在接入i殳备上启动802.1x认i正过程;(2)终端(例如,终端A)使用802.1x认证代理软件发起认证,其中,该认证代理软件将获得终端的IP地址,并将终端名称、密码等信息封装在EAPOL(Extensible Authentication Protocol Over LAN,基于局i或网的扩展iU正十办i义)报文中;(3)终端的认证代理软件向接入设备发起802.1x认证过程,接入设备将终端的认证信息封装在RADIUS (Remote Authentication Dial In UserService,远程用户拨号i人证系统)报文中,并将该才艮文发送到AAA(Authentication Authorization Accounting,认证、授权和计费)服务器;(4)AAA服务器对认证的终端进行身份认证,如果认证通过,服务器将终端的MAC地址和IP地址一同下发给接入设备;(5 )接入设备接收来自AAA服务器的认证通过信息,打开终端对应的接入端口,并将服务器下发的IP/MAC对应关系绑定在该接入端口的ARP表项中,从而保证该端口仅允许该IP/MAC对应关系的终端通过。显而易见的,通过上述部署,认证后的终端如果发起ARP攻击,则对应攻击报文中的IP/MAC对应关系与端口中已经绑定的IP/MAC对应关系是不同的,此时,不允许该攻击净艮文通过该接入设备,乂人而防止了ARP攻击。如图2所示,终端A是通过认i正的终端,接入设备A已经将终端A正确的IP/MAC对应关系绑定在对应端口的ARP表项中,如果终端A发起ARP攻击,该ARP攻击报文在到达接入设备A的端口时,接入设备A将检查ARP报文中的IP/MAC对应关系,若与绑定的对应关系发生冲突时,则丢弃该ARP报文,从而防止了攻击,即接入设备A下挂的终端A发起的ARP攻击被成功抑制。但是,由于网络环境的复杂性,接入设备下的终端可能有未经过802.1x6认证的终端,例如,接入设备B下的终端B未通过认证,并发起了 ARP攻击,通知网关该终端A的MAC地址已经改变,由于接入设备B上没有终端B对应的正确ARP表项,即没有终端B的IP/MAC绑定关系,此时,接入设备'B无法截获该ARP攻击,网关在收到该攻击报文后将修改自身的ARP表项,当有流量需要发送给终端A时,该流量将会发送到终端B伪造的MAC地址,从而使得接入设备A下的终端A虽然部署了 ARP防攻击方案,但仍然无法正常进行网络通信,无法有效的防止ARP攻击。
技术实现思路
本专利技术提供一种防止ARP攻击的方法及装置,以有效的防止ARP攻击,保证了网络设备的安全性。为了达到上述目的,本专利技术提出了一种防止ARP攻击的方法,应用于包括终端、认证服务器、管理设备和至少两个接入设备的网络中,所述认证服务器用于对所述终端进行认证,并通过所述终端对应的接入设备将认证结果发送给所述终端,当认证结果为认证通过时,在所述终端对应的接入设备上.绑定所述终端IP地址和MAC地址对应关系;所述方法包括以下步骤所述管理设备获取接入设备的端口绑定信息;所述端口绑定信息为接入设备上绑定的终端IP地址和MAC地址对应关系;所述管理设备根据网络拓朴结构将所述端口绑定信息发送给所述网络中的其他接入设备;所述其他接入设备绑定所述端口绑定信息,以防止ARP攻击。所述管理设备获取接入设备的端口绑定信息具体包括所述管理设备向所述接入设备发送端口绑定信息的查询请求;由所述接入设备根据所述查询请求获得自身端口中绑定的端口绑定信息;所述接入设备使用扩展MRC报文封装所述端口绑定信息,并将所述扩展MRC报文发送给所述管理设备;由所述管理设备接收来自所述接入设备的端口绑定信息。所述网络拓朴结构的获^i方式具体为所述管理设备向自身直连接入设备发送NTDP报文;所述直连接入设备向所述管理设备发送响应R文,所述响应报文中携带 了自身通过NDP报文收集的NDP信息;并复制所述NTDP报文给自身的其 他直连接入设备,由所述其他直连接入设备重复所述直连接入设备的操作;所述管理设备接收来自所有接入设备的响应4艮文,并根据所述响应报文 中的NDP信息形成所述网络拓朴结构。所述管理设备向自身直连接入设备发送NTDP l艮文之前,还包括接入设备通过激活端口向邻居设备发送所述NDP报文,并接收所述邻居 设备返回的NDP信 息o所述管理设备根据网络拓朴结构将所述端口绑定信息发送给所述网络中的其他接入设备具体包括所述管理设^使用扩展MRC报文携带所述端口绑定信息; 所述管理设备根据所述网络拓朴结构将所述扩展MRC报文发送给所述网络中的其他接入设备。一种防止ARP攻击的装置,应用于包括终端、认证服务器、管理设备和 至少两个接入设备的网络中,所述认证服务器用于对所述终端进行认证,并证通过时,在所述终端对应的接入设备上绑定本文档来自技高网...
【技术保护点】
一种防止ARP攻击的方法,应用于包括终端、认证服务器、管理设备和至少两个接入设备的网络中,所述认证服务器用于对所述终端进行认证,并通过所述终端对应的接入设备将认证结果发送给所述终端,当认证结果为认证通过时,在所述终端对应的接入设备上绑定所述终端IP地址和MAC地址对应关系;其特征在于,所述方法包括以下步骤: 所述管理设备获取接入设备的端口绑定信息;所述端口绑定信息为接入设备上绑定的终端IP地址和MAC地址对应关系; 所述管理设备根据网络拓扑结构将所述端口绑定信息发 送给所述网络中的其他接入设备; 所述其他接入设备绑定所述端口绑定信息,以防止ARP攻击。
【技术特征摘要】
1、一种防止ARP攻击的方法,应用于包括终端、认证服务器、管理设备和至少两个接入设备的网络中,所述认证服务器用于对所述终端进行认证,并通过所述终端对应的接入设备将认证结果发送给所述终端,当认证结果为认证通过时,在所述终端对应的接入设备上绑定所述终端IP地址和MAC地址对应关系;其特征在于,所述方法包括以下步骤所述管理设备获取接入设备的端口绑定信息;所述端口绑定信息为接入设备上绑定的终端IP地址和MAC地址对应关系;所述管理设备根据网络拓扑结构将所述端口绑定信息发送给所述网络中的其他接入设备;所述其他接入设备绑定所述端口绑定信息,以防止ARP攻击。2、 如权利要求l所述的方法,其特征在于,所述管理设备获取接入设备 的端口绑定信息具体包括所述管理设备向所述接入设备发送端口绑定信息的查询请求;由所述接 入设备根据所述查询请求获得自身端口中绑定的端口绑定信息;所述接入设备使用扩展MRC报文封装所述端口绑定信息,并将所述扩展 MRC报文发送给所述管理设备;由所述管理设备接收来自所述接入设备的端 口绑定信息。3、 如权利要求l所述的方法,其特征在于,所述网络拓朴结构的获取方 式具体为所述管理设备向自身直连接入设备发送NTDP报文;所述直连接入设备向所述管理设备发送响应报文,所述响应报文中携带 了自身通过NDP报文收集的NDP信息;并复制所述NTDP报文给自身的其 他直连接入设备,由所述其他直连接入设备重复所述直连接入设备的操作;所迷管理设备接收来自所有接入设备的响应报文,并根据所述响应报文 中的NDP信息形成所述网络拓朴结构。4、 如权利要求3所述的方法,其特征在于,所述管理设备向自身直连接 入设备发送NTDP报文之前,还包括接入设备通过激活端口向邻居设备发送所述NDP 4艮文,并接收所述邻居 设备返回的NDP信息。5、 如权利要求l所述的方法,其特征在于,所述管理设备根据网络拓朴 结构将所述端口绑定信息发送给所述网络中的其他接入设备具体包括所述管理设备使用扩展MRC报文携带所述端口绑定信息; 所述管理设备根据所述网络拓朴结构将所述扩展MRC报文发送给所述 网络中的其他接入设备。6、 一种防止ARP攻击的装置,应用于包括终端、认证服务器、管理设 备和至少两个接入设备的网络中,所述...
【专利技术属性】
技术研发人员:刘浩,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:86[中国|杭州]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。