本发明专利技术提供一种攻击定位、辅助定位装置和方法,所述方法包括:在确认局域网内发生攻击行为后,向局域网内的交换机发送位置探测报文,所述位置探测报文中携带有攻击者的介质访问控制MAC地址A-MAC;接收局域网内的各交换机发送的位置应答报文,所述位置应答报文中携带所述A-MAC对应的接入端口以及该交换机距离网关设备的跳数,将携带最大跳数的位置应答报文作为目标位置应答报文,并根据该目标位置应答报文中携带的所述A-MAC对应的接入端口以及发送该目标位置应答报文的交换机来确定攻击者的位置。通过本发明专利技术的技术方案,可以定位出攻击者在局域网中的位置,从而隔离攻击者,保证网络安全。
【技术实现步骤摘要】
【专利摘要】本专利技术提供,所述方法包括:在确认局域网内发生攻击行为后,向局域网内的交换机发送位置探测报文,所述位置探测报文中携带有攻击者的介质访问控制MAC地址A-MAC;接收局域网内的各交换机发送的位置应答报文,所述位置应答报文中携带所述A-MAC对应的接入端口以及该交换机距离网关设备的跳数,将携带最大跳数的位置应答报文作为目标位置应答报文,并根据该目标位置应答报文中携带的所述A-MAC对应的接入端口以及发送该目标位置应答报文的交换机来确定攻击者的位置。通过本专利技术的技术方案,可以定位出攻击者在局域网中的位置,从而隔离攻击者,保证网络安全。【专利说明】
本专利技术涉及网络
,尤其涉及。
技术介绍
随着互联网技术的发展,越来越多的企业或者团体内部使用局域网来通信,局域 网可以实现文件管理、应用软件共享、打印机共享等功能,传输速度快,并且便于管理。但与 此同时,网络安全问题也在困扰着用户。在局域网内,如果某个主机中毒或者遇到攻击,网关通常是将攻击报文丢掉。具 体地,网关根据报文的流量和本地保存的表项,来识别攻击报文,在确认攻击后丢弃攻击报 文,或者是对攻击报文进行限速。然而这种方法只是被动的防御,攻击报文仍然在局域网内 范洪,消耗大量的网络带宽,同时占用大量的中央处理器(CPU)处理资源。
技术实现思路
有鉴于此,本专利技术提供一种攻击定位装置,所述装置包括:位置探测模块,用于在确认局域网内发生攻击行为后,向局域网内的交换机发送 位置探测报文,所述位置探测报文中携带有攻击者的介质访问控制MAC地址A-MAC ;位置确认模块,用于接收局域网内的各交换机发送的位置应答报文,所述位置应 答报文中携带所述A-MAC对应的接入端口以及该交换机距离网关设备的跳数,将携带最 大跳数的位置应答报文作为目标位置应答报文,并根据该目标位置应答报文中携带的所述 A-MAC对应的接入端口以及发送该目标位置应答报文的交换机来确定攻击者的位置;其中,位置应答报文为局域网中的交换机接收到位置探测报文,并基于所述A — MAC得到对应的接入端口后返回的响应报文;所述跳数用于表示位置探测报文在局域网内 经过的交换机数量。本专利技术还提供一种攻击辅助定位装置,所述装置包括:解析更新模块,用于在接收到网关设备发送的位置探测报文后,获取该位置探测 报文中携带的攻击者的介质访问控制MAC地址A-MAC,查找所述A-MAC对应的接入端口,并 更新所述位置探测报文的跳数,其中,所述跳数用于表示所述位置探测报文在局域网内经 过的交换机数量;回复应答模块,用于将所述A-MAC对应的接入端口和更新后的跳数携带在位置应 答报文中发送给网关设备;定位转发模块,用于将更新后的跳数携带在所述位置探测报文中从所述A-MAC对 应的接入端口转发。本专利技术还提供一种攻击定位方法,应用在网关设备上,所述方法包括:在确认局域网内发生攻击行为后,向局域网内的交换机发送位置探测报文,所述 位置探测报文中携带有攻击者的介质访问控制MAC地址A-MAC ;接收局域网内的各交换机发送的位置应答报文,所述位置应答报文中携带所述A-MAC对应的接入端口以及该交换机距离网关设备的跳数,将携带最大跳数的位置应答报 文作为目标位置应答报文,并根据该目标位置应答报文中携带的所述A-MAC对应的接入端 口以及发送该目标位置应答报文的交换机来确定攻击者的位置;其中,位置应答报文为局域网中的交换机接收到位置探测报文,并基于所述A — MAC得到对应的接入端口后返回的响应报文;所述跳数用于表示位置探测报文在局域网内 经过的交换机数量。本专利技术还提供一种攻击辅助定位方法,应用在交换机上,所述方法包括:在接收到网关设备发送的位置探测报文后,获取该位置探测报文中携带的攻击者 的介质访问控制MAC地址A-MAC,查找所述A-MAC对应的接入端口,并更新所述位置探测报 文的跳数,其中,所述跳数用于表示所述位置探测报文在局域网内经过的交换机数量;将所述A-MAC对应的接入端口和更新后的跳数携带在位置应答报文中发送给网 关设备;将更新后的跳数携带在所述位置探测报文中从所述A-MAC对应的接入端口转发。由以上技术方案可见,本专利技术通过交换机对攻击者MAC地址的逐级反向查找,找 到攻击者MAC地址对应的接入端口,进而确定攻击者在局域网中的位置。【专利附图】【附图说明】图1是本专利技术实施例一提供的攻击定位方法流程示意图;图2是本专利技术实施例二提供的攻击辅助定位方法流程示意图;图3是本专利技术实施例三提供的攻击定位、辅助定位方法交互的流程示意图;图4是本专利技术实施例三提供的一种典型组网环境图;图5是本专利技术实施例四提供的攻击定位装置的结构示意图;图6是本专利技术实施例五提供的攻击辅助定位装置的结构示意图。【具体实施方式】在实际应用中,网关设备通常根据报文的流量和本地保存的表项来识别攻击报 文。以ARP (AddressResolutionProtocol,地址解析协议)攻击为例,在5秒内,如果接收到 同一个源MAC (Media Access Control,介质访问控制)地址发送的ARP报文的数量超过一 定的阈值,就认为发生攻击,此时,系统会将此MAC地址添加到攻击检测的表项中,在该攻 击检测表项老化之前,过滤掉所有该源MAC地址发送的ARP报文,从而避免遭到攻击。但是 在这种方案中,网关设备不能获知到底是局域网内哪个主机在发送攻击报文,相应地,网络 管理员也就不能采取相应的阻断措施。针对上述方案存在的问题,本专利技术提供一种攻击定位、辅助定位方法。下面将以不 同的实施例对本专利技术技术方案进行详细说明。在第一实施例中,本专利技术提供一种攻击定位方法,所述方法的执行主体具体为局 域网中的网关设备,该网关设备确定存在攻击行为后,即可执行本实施例方法步骤。具体 地,请参考图1,本实施例方法可包括如下步骤:S101,在确认局域网内发生攻击行为后,向局域网内的交换机发送位置探测报文, 所述位置探测报文中携带有攻击者的介质访问控制MAC地址A-MAC ;S102、接收局域网内的各交换机发送的位置应答报文,所述位置应答报文中携带所述A-MAC对应的接入端口以及该交换机距离网关设备的跳数,将携带最大跳数的位置应答报文作为目标位置应答报文,并根据该目标位置应答报文中携带的所述A-MAC对应的接入端口以及发送该目标位置应答报文的交换机来确定攻击者的位置;其中,位置应答报文为局域网中的交换机接收到位置探测报文,并基于所述A —MAC得到对应的接入端口后返回的响应报文;所述跳数用于表示位置探测报文在局域网内经过的交换机数量。本实施例中,网关设备确定局域网中存在攻击行为后,即可向局域网中的交换机发送位置探测报文,以通过MAC地址反向查找的方式来确定攻击者发起的攻击行为所经过的交换机,并利用跳数来确定攻击行经过的交换机距离网关设备的距离,从而可准确的确定出攻击者所连接的交换机,最终确定出攻击者的位置,从而可对攻击者的攻击行为在源头进行控制。具体地,局域网中的交换机接收到探测报文后,即可将接收攻击报文发送者的接入端口,以及交换机距离网关设备的距离,即跳数信息以应答报文形式反馈给网关设备,使得网关设备可准确的确定出攻击者的具体位置。本领域技术人员可以理解,只要知道发送本文档来自技高网...
【技术保护点】
一种攻击定位装置,其特征在于,所述装置包括:位置探测模块,用于在确认局域网内发生攻击行为后,向局域网内的交换机发送位置探测报文,所述位置探测报文中携带有攻击者的介质访问控制MAC地址A?MAC;位置确认模块,用于接收局域网内的各交换机发送的位置应答报文,所述位置应答报文中携带所述A?MAC对应的接入端口以及该交换机距离网关设备的跳数,将携带最大跳数的位置应答报文作为目标位置应答报文,并根据该目标位置应答报文中携带的所述A?MAC对应的接入端口以及发送该目标位置应答报文的交换机来确定攻击者的位置;其中,位置应答报文为局域网中的交换机接收到位置探测报文,并基于所述A-MAC得到对应的接入端口后返回的响应报文;所述跳数用于表示位置探测报文在局域网内经过的交换机数量。
【技术特征摘要】
【专利技术属性】
技术研发人员:徐燕成,王伟,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。