申请/专利权人:广州锦行网络科技有限公司
申请日:2021-04-20
公开(公告)日:2021-07-16
公开(公告)号:CN113132385A
主分类号:H04L29/06(20060101)
分类号:H04L29/06(20060101);H04L29/12(20060101);H04L12/931(20130101)
优先权:
专利状态码:有效-授权
法律状态:2022.06.21#授权;2021.08.03#实质审查的生效;2021.07.16#公开
摘要:本发明提供了一种防止网关ARP欺骗的方法及装置,属于网络安全技术领域。本发明将汇聚层交换机流量镜像至一台配置了TAP虚拟网络设备的服务器上,在服务器上捕获数据链路层数据,将网关的IP地址及其对应的MAC地址与捕获数据链路层数据中ARP响应数据中的IP地址及MAC地址进行比对,如出现与网关IP地址或MAC地址不相符的ARP响应数据包,则认为该数据是ARP欺骗,可通过其实际响应的MAC地址找到发起欺骗的主机,达到防止欺骗的效果,在大型网络中能进行动态检测,无需对内网服务器进行繁琐的配置,在实际检测到该类型的攻击时,能对攻击主机的MAC地址进行封禁,消除其对网络的影响。
主权项:1.一种防止网关ARP欺骗的方法,其特征在于,包括以下步骤:S100:将汇聚层交换机的流量镜像至检测ARP欺骗的服务器;S200:在所述检测ARP欺骗的服务器上创建一个网桥设备bridge-a;S300:在所述检测ARP欺骗的服务器上创建一个配置文件,用于配置网关IP地址与其MAC地址的对应关系;S400:在所述检测ARP欺骗的服务器上创建一个TAP虚拟网络设备TAP-a,将系统物理网卡和TAP虚拟网络设备接入到所述网桥设备中;S500:在TAP虚拟网络设备上捕获所有数据链路层数据,获取所述数据链路层数据的网关IP地址、攻击者主机MAC地址及攻击者主机IP地址;S600:将捕获的所述数据链路层数据的网关IP地址及MAC地址与所述配置文件中网关IP地址与MAC地址的对应关系做对比,如果出现对应关系不一致,则将捕获的所述数据链路层数据的攻击者主机IP地址及攻击者MAC地址在网关上进行封禁,返回S500继续捕获后续数据链路层数据;如果一致,不作处理,返回S500继续捕获后续数据链路层数据,所述封禁的方法包括通过交换机配置指令,将攻击者IP地址绑定虚假MAC地址,并设置MAC地址黑洞。
全文数据:
权利要求:
百度查询: 广州锦行网络科技有限公司 一种防止网关ARP欺骗的方法及装置
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。