一种基于政企网关的防ARP欺骗方法及系统与流程

一种基于政企网关的防arp欺骗方法及系统
技术领域
1.本发明涉及网络通信安全技术领域，尤其涉及一种基于政企网关的防arp欺骗方法及系统。


背景技术：

2.arp欺骗，是指利用arp协议的漏洞，通过向目标主机发送虚假arp报文，冒充目标主机，截取本应发往目标主机的报文，以此实现监听或截获目标主机通信数据的一种手段。如果使用arp欺骗同时冒充通信双方，就能实现“中间人攻击”。严重时arp欺骗能造成网络的拥塞甚至大面积的网络瘫痪等，对网络的管理及其安全的危害提出了严峻的考验。
3.政企网关，是政企网络与外部网络的接口单元，政企网关对所有lan侧接入政企网络的设备进行管理。政企网络中，接入设备众多，若有用户通过伪造ip地址和mac地址进行arp欺骗，则会在网络中产生大量的arp通信量使网络阻塞，攻击者只要持续不断的发出伪造的arp响应包就能更改目标主机arp缓存中的ip-mac条目，造成网络中断或中间人攻击。因此，在网关上实现防止arp欺骗攻击的功能显得尤为重要。
4.在申请号为cn201510617397.3中公开了一种路由器及其防arp攻击的方法的授权发明专利，其具体为接收arp报文；解析接收的所述arp报文中的发送者的mac地址和ip地址；将所述解析得到的mac地址和ip地址同预先存储的名单链表比对，并判断所述解析得到的mac地址和ip地址是否为攻击地址；如果为攻击地址，则丢弃所述arp报文；如果不是攻击地址，则放行所述arp报文；以实现对arp报文是否为欺骗报文的判断。但是该方案是针对如何通过路由器来防止arp攻击，对于政企网关并不适用，因为政企网关接入设备众多，且对网络速度稳定性要求高，在防arp攻击的同时，还需保证占用的网络资源少；同时该方案通过预先存储名单来进行对比，在目前的适用性也大不如前，随着设备使用时间的推移，该方案预存名单会越来越长，尤其是该方案中的白名单，因而对比所花费的时间也将延长，同时由于是向一对mac地址和ip地址与预存名单中的数据进行比对，首先白名单链表或者黑名单链表的来源并不清楚；同时mac地址和ip地址都需要与预存名单的数据一致，这对于是否为arp攻击的判断是不太准确的，因为在政企网关中，设备的ip是由网关分配的，而分给同一个设备的ip也可能会发生变化，即出现同一个设备第一上线与第二次上线的ip地址是不一样的；但并不能说明该设备就是攻击设备。


技术实现要素：

5.本发明的目的在于克服现有技术的不足，提供一种基于政企网关的防arp欺骗方法及系统。
6.本发明的目的是通过以下技术方案来实现的：一种基于政企网关的防arp欺骗方法，包括以下步骤：步骤1：当用户设备动态或者静态接入网关时，网关通过dhcp协议或者arp协议发现设备，并将接入用户设备的ip地址以及mac地址记录到设备管理记录表中；
步骤2：查找设备管理记录表中是否有在线设备与接入用户设备的mac地址相同；若有，则比较该设备的ip地址是否与接入用户设备的ip地址一致，跳转至步骤3；若没有，则跳转至步骤5；步骤3：若一致，则跳转至步骤5；若不一致，则查找设备管理记录表中是否存在其他在线设备的ip地址与接入设备的ip地址相同，若不存在，则跳转至步骤5，若存在，则跳转至步骤4；步骤4：判定所述接入用户设备为arp欺骗攻击设备，创建arp欺骗数据库存储攻击设备信息；步骤5：在设备管理记录表中记录接入用户设备的ip地址以及mac地址。
7.进一步的，所述步骤1之前，还包括在网关页面设置防arp欺骗开关，用于启动防arp欺骗功能。
8.进一步的，所述步骤4之后，还包括对arp欺骗攻击设备的包处理，通过丢弃arp欺骗攻击设备的包，实现对arp欺骗攻击的包进行拦截，使网关不再应答arp欺骗请求。
9.进一步的，所述丢弃arp欺骗攻击设备的包通过设置arp_cheat规则链实现，在进行包处理时，先读取arp欺骗数据库，再检查防arp欺骗开关是否开启；若开启，则将arp欺骗攻击设备添加至arp_cheat规则链中。
10.进一步的，在所述防arp欺骗开关关闭后，清除arp_cheat规则链。
11.一种基于政企网关的防arp欺骗系统，包括arp欺骗攻击识别模块、包处理模块和开关控制模块；所述arp欺骗攻击识别模块用于对arp欺骗攻击进行识别，在用户设备动态或者静态接入网关时，网关会通过dhcp协议或者arp协议发现设备，并且将设备信息记录到网关的设备管理记录表中；当设备信息有改变时，网关会更新设备管理记录表；新设备上线，当上线设备与设备管理记录表中的某一在线设备mac地址一样，但是ip不一样，此ip又与设备记录表中的另一在线设备ip一样，则认为新上线设备为arp欺骗攻击设备；并存储arp欺骗攻击设备信息；所述包处理模块用于对arp欺骗攻击的包进行拦截，网关不再应答arp欺骗请求；所述开关控制模块在网关页面进行设置，开关打开后，设置开关打开标记，开关控制模块读取arp欺骗数据库，若数据库中有设备信息，且设备未被arp_cheat规则链设置过，则添加设备信息到arp_cheat规则链中；若数据库中没有设备信息，等待识别模块发现新的攻击设备后，添加设备信息到arp_cheat规则链中；开关关闭后，清除arp_cheat规则链。
12.本发明的有益效果：本发明在网关页面可以开启或者关闭防arp欺骗攻击，可以更方便的利于用户的使用；同时在政企网关中增加了防arp欺骗的功能，更全面的保障了企业用户访问网络的安全性；与现有相比，本发明检测arp攻击包的方法是动态高效的，不论政企网络中的设备怎么变化，都能起到防arp欺骗攻击的效果。
附图说明
13.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以
根据这些附图示出的结构获得其他的附图。
14.图1是本发明的方法流程图。
15.图2是本发明的系统功能框图。
16.具体实施方式
17.应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
18.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
19.实施例1，如图1所示，一种基于政企网关的防arp欺骗方法，包括以下步骤：步骤1：当用户设备a动态或者静态接入网关时，网关通过dhcp协议或者arp协议发现设备，并将用户设备a的ip地址以及mac地址记录到设备管理记录表中；步骤2：查找设备管理记录表中是否存在与用户设备a的mac地址相同的在线设备b；若有，则比较设备b的ip地址是否与用户设备a的ip地址一致，跳转至步骤3；若没有，则跳转至步骤5；步骤3：若一致，则跳转至步骤5；若不一致，则查找设备管理记录表中是否存在在线设备c的ip地址与接入设备a的ip地址相同，若不存在，则跳转至步骤5，若存在，则跳转至步骤4；步骤4：判定所述接入用户设备a为arp欺骗攻击设备，创建arp欺骗数据库存储攻击设备信息；步骤5：在设备管理记录表中记录接入用户设备a的ip地址以及mac地址。
20.其中，步骤1之前，还包括在网关页面设置防arp欺骗开关，用于启动防arp欺骗功能。
21.其中，步骤4之后，还包括对arp欺骗攻击设备的包处理，通过丢弃arp欺骗攻击设备的包，实现对arp欺骗攻击的包进行拦截，使网关不再应答arp欺骗请求。
22.进一步的，所述丢弃arp欺骗攻击设备的包通过设置arp_cheat规则链实现，在进行包处理时，先读取arp欺骗数据库，再检查防arp欺骗开关是否开启；若开启，则将arp欺骗攻击设备添加至arp_cheat规则链中。
23.进一步的，在所述防arp欺骗开关关闭后，清除arp_cheat规则链。
24.实施例2，如图2所示，一种基于政企网关的防arp欺骗系统，包括arp欺骗攻击识别模块、包处理模块和开关控制模块；用户设备通过有线或者无线方式接入政企网关，通过政企网关访问网络。所有用户设备处在同一局域网中，假设用户设备a作为攻击者，用户设备b作为被攻击者，攻击者a可以通过arp泛洪知道网关和被攻击者b的ip_b和mac_b。攻击者a伪造成被攻击者b的ip_b，用ip_b、mac_a向网关发送arp请求，网关收到arp回复后会更新arp表，把被攻击者b的mac由mac_b改为攻击者的mac_a，当被攻击者b向网关发送数据包时，网关收到的是ip_b和目的mac为mac_a的请求，会把数据包转发给攻击者a。攻击者a收到数据包后，可以把它存起来后
再发送给被攻击者b，达到偷听效果。攻击者a也可以篡改数据后才发送数据包给被攻击者b，造成伤害。
25.arp欺骗攻击识别模块用于对arp欺骗攻击进行识别，在用户设备动态或者静态接入网关时，网关会通过dhcp协议或者arp协议发现设备，并且将设备信息记录到网关的设备管理记录表中；当设备信息有改变时，网关会更新设备管理记录表；新设备上线，当上线设备与设备管理记录表中的某一在线设备mac地址一样，但是ip不一样，此ip又与设备记录表中的另一在线设备ip一样，则认为新上线设备为arp欺骗攻击设备；并存储arp欺骗攻击设备信息；其识别过程如图1所示。
26.开关控制模块在网关页面进行设置，开关打开后，设置开关打开标记，开关控制模块读取arp欺骗数据库，若数据库中有设备信息，且设备未被arp_cheat规则链设置过，则添加设备信息到arp_cheat规则链中；若数据库中没有设备信息，等待识别模块发现新的攻击设备后，添加设备信息到arp_cheat规则链中；开关关闭后，清除arp_cheat规则链。
27.开关控制模块在网关页面进行设置，开关打开后，设置开关打开标记，开关控制模块读取arp欺骗数据库，若数据库中有设备信息，且设备未被arp_cheat规则链设置过，则添加设备信息到arp_cheat规则链中；若数据库中没有设备信息，等待识别模块发现新的攻击设备后，添加设备信息到arp_cheat规则链中；开关关闭后，清除arp_cheat规则链。
28.在政企网络中，pc1和pc2可以正常访问网络，若pc1向网关发起arp欺骗，仿造ip为pc2，但由于mac为非pc2 mac的arp报文，每间隔2ms发送一个报文进行攻击。此时pc2会无法访问网络。而应用了本发明后，可在网关上配置防arp欺骗攻击的开关，开关开启后，pc2可不受攻击影响正常上网。
29.本发明在网关页面可以开启或者关闭防arp欺骗攻击，可以更方便的利于用户的使用；同时在政企网关中增加了防arp欺骗的功能，更全面的保障了企业用户访问网络的安全性；与现有相比，本发明检测arp攻击包的方法是动态高效的，不论政企网络中的设备怎么变化，都能起到防arp欺骗攻击的效果。
30.需要说明的是，对于前述的各个方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本技术并不受所描述的动作顺序的限制，因为依据本技术，某一些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和单元并不一定是本技术所必须的。
31.在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详细描述的部分，可以参见其他实施例的相关描述。
32.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、rom、ram等。
33.以上所揭露的仅为本发明较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。