申请/专利权人：广州锦行网络科技有限公司

申请日：2021-04-20

公开（公告）日：2021-07-16

公开（公告）号：CN113132385A

主分类号：H04L29/06(20060101)

分类号：H04L29/06(20060101);H04L29/12(20060101);H04L12/931(20130101)

优先权：

专利状态码：有效-授权

法律状态：2022.06.21#授权;2021.08.03#实质审查的生效;2021.07.16#公开

摘要：本发明提供了一种防止网关ARP欺骗的方法及装置，属于网络安全技术领域。本发明将汇聚层交换机流量镜像至一台配置了TAP虚拟网络设备的服务器上，在服务器上捕获数据链路层数据，将网关的IP地址及其对应的MAC地址与捕获数据链路层数据中ARP响应数据中的IP地址及MAC地址进行比对，如出现与网关IP地址或MAC地址不相符的ARP响应数据包，则认为该数据是ARP欺骗，可通过其实际响应的MAC地址找到发起欺骗的主机，达到防止欺骗的效果，在大型网络中能进行动态检测，无需对内网服务器进行繁琐的配置，在实际检测到该类型的攻击时，能对攻击主机的MAC地址进行封禁，消除其对网络的影响。

主权项：1.一种防止网关ARP欺骗的方法，其特征在于，包括以下步骤：S100：将汇聚层交换机的流量镜像至检测ARP欺骗的服务器；S200：在所述检测ARP欺骗的服务器上创建一个网桥设备bridge-a；S300：在所述检测ARP欺骗的服务器上创建一个配置文件，用于配置网关IP地址与其MAC地址的对应关系；S400：在所述检测ARP欺骗的服务器上创建一个TAP虚拟网络设备TAP-a，将系统物理网卡和TAP虚拟网络设备接入到所述网桥设备中；S500：在TAP虚拟网络设备上捕获所有数据链路层数据，获取所述数据链路层数据的网关IP地址、攻击者主机MAC地址及攻击者主机IP地址；S600：将捕获的所述数据链路层数据的网关IP地址及MAC地址与所述配置文件中网关IP地址与MAC地址的对应关系做对比，如果出现对应关系不一致，则将捕获的所述数据链路层数据的攻击者主机IP地址及攻击者MAC地址在网关上进行封禁，返回S500继续捕获后续数据链路层数据；如果一致，不作处理，返回S500继续捕获后续数据链路层数据，所述封禁的方法包括通过交换机配置指令，将攻击者IP地址绑定虚假MAC地址，并设置MAC地址黑洞。

全文数据：

权利要求：

百度查询： 广州锦行网络科技有限公司 一种防止网关ARP欺骗的方法及装置

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD