專利名稱:一種arp病毒偵測(cè)定位方法及免疫方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種arp病毒偵測(cè)定位方法及免疫方法。
背景技術(shù):
現(xiàn)有的以太網(wǎng)數(shù)據(jù)傳輸方法����,它包括
源主機(jī)向以太網(wǎng)發(fā)送arp請(qǐng)求,該arp請(qǐng)求包括有源主機(jī)IPO�、源主機(jī)MAC0及目主機(jī)IP1;每一個(gè)主機(jī)都接收該arp請(qǐng)求,其中���,自身主機(jī)的IP等于IP1的則為目主機(jī)�,該目主機(jī)向源主機(jī)發(fā)送arp應(yīng)答����,該arp應(yīng)答包括目主機(jī)MAC1和IP1;源主機(jī)接收arp應(yīng)答并解析arp應(yīng)答獲取MACl;源主機(jī)將MAC1和IP1建立映射關(guān)系,并保存進(jìn)arp表中�;源主機(jī)向該MAC 1地址發(fā)送數(shù)據(jù)。
由上述描述可知��,為了保證數(shù)據(jù)傳輸?shù)臏?zhǔn)確性���,就必須保證MAC1是準(zhǔn)確的目主機(jī)的MAC地址��,如果該MAC1地址錯(cuò)誤��,則傳輸就會(huì)出錯(cuò)��。
針對(duì)上述的技術(shù)特點(diǎn)�����,網(wǎng)絡(luò)惡意攻擊者就會(huì)偽造arp應(yīng)答�,該偽造arp應(yīng)答包括IPl和偽造的MAC11地址,源主機(jī)接收該偽造arp應(yīng)答�,并建立IP1和MAC11的錯(cuò)誤映射關(guān)系。從而使得源主機(jī)將數(shù)據(jù)發(fā)送至MAC11上��,由于該MAC11并非目主機(jī)的準(zhǔn)確地址��,數(shù)據(jù)發(fā)送錯(cuò)誤���。
針對(duì)上述的缺點(diǎn)�,有人提出了解決方案�����,例如
1��、 先通過比較法偵測(cè)病毒�、再通過MAC地址和IP地址綁定加上人工對(duì)網(wǎng)絡(luò)檢測(cè)來定位arp病毒對(duì)應(yīng)的MAC地址����,從而找到對(duì)應(yīng)的設(shè)備�����,并清除該病毒�。這種方法存在有效率低下的不足�����,對(duì)網(wǎng)絡(luò)的快速恢復(fù)起不到作用��;
2����、 國家知識(shí)產(chǎn)權(quán)局公布的200610152148. 2、 200510069856.5�����、 200710120867.0�����、200810223071. 2等,該些方法都存在有成本高�,效率低下的不足,對(duì)網(wǎng)絡(luò)的快速恢復(fù)起不到作用����。
發(fā)明內(nèi)容
本發(fā)明提供一種arp病毒偵測(cè)定位方法及免疫方法,其克服了背景技術(shù)的arp病毒偵測(cè)��、免疫所存在的免疫效率低下的不足�����。
本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案之一是一種arp病毒偵測(cè)定位方法����,它包括
4步驟IO,源主機(jī)向目主機(jī)發(fā)送一個(gè)第一arp請(qǐng)求����,該第一arp請(qǐng)求包括有源主機(jī)MACO、源主機(jī)IP0和目主機(jī)IP1;
步驟20�����,源主機(jī)判斷是否先后收到至少二個(gè)第一arp應(yīng)答��,如果是則執(zhí)行步驟30,否則表示正常���;
步驟30���,該二個(gè)第一arp應(yīng)答中,前一個(gè)第一arp應(yīng)答包括有MACll��,后一個(gè)第一arp應(yīng)答包括有MAC12��,源主機(jī)隨機(jī)生成一個(gè)偽造IP2��,該偽造IP2與IP1不等��;
步驟40���,源主機(jī)發(fā)送一個(gè)第二arp請(qǐng)求,該第二arp請(qǐng)求包括有源主機(jī)MACO�、源主機(jī)IPO和IP2;
步驟50,判斷源主機(jī)是否收到一個(gè)第二arp應(yīng)答����,該第二arp應(yīng)答包括有MAC21,如果是則執(zhí)行步驟60���,否則表示正常�����;
步驟60�,源主機(jī)判斷MAC12和MAC21是否相等,如果是則表示該MAC12為病毒機(jī)地址�����,定位該病毒機(jī)地址��,否則表示正常���。
一較佳實(shí)施例中��,該該步驟20��,它包括
步驟21���,源主機(jī)收到一個(gè)第一arp應(yīng)答,解析第一arp應(yīng)答獲取MACll和IPl���,將該MACll設(shè)為目主機(jī)MAC1地址����,該MACl和IPl建立映射關(guān)系并保存進(jìn)arp表;
步驟22�����,判斷源主機(jī)是否還收到另一個(gè)第一arp應(yīng)答���,如果是則執(zhí)行步驟23���,否則表示正常�;
步驟23,源主機(jī)收到另一個(gè)第一arp應(yīng)答�,解析該另一個(gè)第一arp應(yīng)答獲取MAC12和IPl;
及
步驟24,源主機(jī)判斷MAC12和arp表中的MACl是否相等��,如果不等�����,則執(zhí)行步驟30���,否則
表示正常�。
一較佳實(shí)施例中,該步驟60中����,源主機(jī)判斷MAC12和MAC21是否相等,如果是則表示該MAC12為病毒機(jī)地址�,定位該病毒機(jī)地址,并將該病毒機(jī)地址保存進(jìn)arp病毒黑名單表中��,否則表示正常�。
本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案之二是
一種arp病毒免疫方法,它包括
步驟A�,源主機(jī)發(fā)送一個(gè)第一arp請(qǐng)求,該第一arp請(qǐng)求包括有源主機(jī)MACO���、源主機(jī)IPO和目主機(jī)IP1;
步驟B���,源主機(jī)收到一個(gè)第一arp應(yīng)答,解析第一arp應(yīng)答獲取MACl;
步驟C�,判斷MAC1與源主機(jī)內(nèi)保存的病毒黑名單表中的病毒性地址是否相等,如果是則丟棄該MAC1���,否則表示該MAC1為目主機(jī)MAC地址����,該MAC1和IP1建立映射關(guān)系;步驟D�����,源主機(jī)向目主機(jī)傳送數(shù)據(jù)�。本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案之三是一種arp病毒免疫方法,它包括步驟A����,目主機(jī)收到源主機(jī)發(fā)送的arp請(qǐng)求;
步驟B���,目主機(jī)向源主機(jī)發(fā)送arp應(yīng)答��,該arp應(yīng)答包括有目主機(jī)MAC;
步驟C,判斷延時(shí)時(shí)間是否超過預(yù)定期限�,如果是則執(zhí)行步驟D,否則繼續(xù)執(zhí)行本步驟C
步驟D�����,目主機(jī)向源主機(jī)再次發(fā)送arp應(yīng)答���,該arp應(yīng)答包括有目主機(jī)MAC����。一較佳實(shí)施例中,該預(yù)定期限為3-5秒�����。
本技術(shù)方案與背景技術(shù)相比本發(fā)明人巧妙地利用了arp病毒機(jī)的所偽造的MAC地址一樣的特點(diǎn)��,設(shè)計(jì)了欺騙法來實(shí)現(xiàn)對(duì)arp病毒的偵測(cè)�、定位和免疫,無需人工干預(yù)�,效率高,成本低���,對(duì)嵌入式網(wǎng)絡(luò)產(chǎn)品(如路由器)來說�,作為整個(gè)以太網(wǎng)的核心設(shè)備��,在TCP/IP協(xié)議棧的arp模塊上增加這個(gè)功能���,對(duì)整個(gè)網(wǎng)絡(luò)健全有著非常重要的意義����。本發(fā)明人利用病毒機(jī)產(chǎn)生的arp應(yīng)答和目主機(jī)的arp應(yīng)答的時(shí)間間隔性,實(shí)現(xiàn)對(duì)arp病毒的偵測(cè)���、定位和免疫�����,無需人工干預(yù)��,效率高��,成本低���。
下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明進(jìn)一步說明。
圖l是本發(fā)明一較佳實(shí)施例的arp病毒偵測(cè)定位方法的流程示意圖����。
圖2是本發(fā)明一較佳實(shí)施例的arp病毒免疫方法的流程示意圖。
具體實(shí)施例方式
請(qǐng)査閱圖l���,該圖是本發(fā)明一較佳實(shí)施例的arp病毒偵測(cè)定位方法的流程示意圖����。 一種arp病毒偵測(cè)定位方法�����,它包括
步驟IO�����,源主機(jī)向目主機(jī)發(fā)送一個(gè)第一arp請(qǐng)求���,該第一arp請(qǐng)求包括有源主機(jī)MACO�����、源主機(jī)IP0和目主機(jī)IP1;
步驟20�����,源主機(jī)判斷是否先后收到至少二個(gè)第一arp應(yīng)答����,如果是則執(zhí)行步驟30����,否則表示正常;
具體來說��,它包括
步驟21,源主機(jī)收到一個(gè)第一arp應(yīng)答��,解析第一arp應(yīng)答獲取MACll和IPl����,將該MACll設(shè)為目主機(jī)MAC1地址,該MACl和IPl建立映射關(guān)系并保存進(jìn)arp表��;步驟22����,判斷源主機(jī)是否還收到另一個(gè)第一arp應(yīng)答,如果是則執(zhí)行步驟23�����,否則表示 正常(也即是MAC 11地址為目主機(jī)MAC 1的準(zhǔn)確地址���,源主機(jī)和目主機(jī)之間的數(shù)據(jù)傳輸準(zhǔn)確)
步驟23�����,源主機(jī)收到另一個(gè)第一arp應(yīng)答�����,解析該另一個(gè)第一arp應(yīng)答獲取MAC12和IPl;
及
步驟24���,源主機(jī)判斷MAC12和arp表中的MACl是否相等,如果不等����,則執(zhí)行步驟30,否則 表示正常�����;
步驟30�,源主機(jī)隨機(jī)生成一個(gè)偽造IP2,該偽造IP2與IP1不等�;
步驟40,源主機(jī)發(fā)送一個(gè)第二arp請(qǐng)求����,該第二arp請(qǐng)求包括有源主機(jī)MACO、源主機(jī)IPO 和IP2;
步驟50�,判斷源主機(jī)是否收到一個(gè)第二arp應(yīng)答,該第二arp應(yīng)答包括有MAC21和IP2�����,如 果是則執(zhí)行步驟60,否則表示正常�;
該步驟60中,源主機(jī)判斷MAC12和MAC21是否相等�����,如果是則表示該MAC12 (MAC21)為病 毒機(jī)地址�,定位該病毒機(jī)地址,并將該病毒機(jī)地址保存進(jìn)arp病毒黑名單表中�����,否則表示正 常����。
源主機(jī)判斷是否先后收到二個(gè)第一arp應(yīng)答,可能存在以下情況
1�、 用戶修改MAC地址。如果源主機(jī)已經(jīng)記住IP1的MAC地址���,此時(shí)IP1人工修改他的MAC地 址�,IP1的會(huì)主動(dòng)廣播新MAC地址的arp應(yīng)答包�����,讓這個(gè)網(wǎng)絡(luò)的所有主機(jī)修正他們已經(jīng)記錄的 MAC地址。因?yàn)槭怯脩粜薷腗AC地址���,所以這個(gè)主機(jī)修改前和修改后發(fā)送的arp應(yīng)答包之間的 延遲至少在3秒以上。
2����、 網(wǎng)絡(luò)中存在arp病毒。當(dāng)主機(jī)發(fā)送一個(gè)IP地址的arp請(qǐng)求時(shí)����,正常的應(yīng)答會(huì)立即作出 應(yīng)答,主機(jī)就記住這個(gè)IP的MAC地址�,而arp病毒對(duì)arp應(yīng)答是滯后的,所以主機(jī)又收到一個(gè) 新的arp應(yīng)答�,按照arp協(xié)議處理過程,將后來的arp應(yīng)答作為新的����,覆蓋掉前面正確的數(shù)據(jù) ,也就是說�,是記住arp病毒給的MAC地址。
一種arp病毒免疫方法�����,它包括
步驟A,源主機(jī)發(fā)送一個(gè)第一arp請(qǐng)求����,該第一arp請(qǐng)求包括有源主機(jī)MACO、源主機(jī)IPO和 目主機(jī)IP1;
步驟B���,源主機(jī)收到一個(gè)第一arp應(yīng)答�����,解析第一arp應(yīng)答獲取MACl; 步驟C����,判斷MAC1與源主機(jī)內(nèi)保存的病毒黑名單表中的病毒性地址是否相等�,如果是則 丟棄該MAC1,否則表示該MAC1為目主機(jī)MAC地址���,該MAC1和IP1建立映射關(guān)系�����;步驟D���,源主機(jī)向目主機(jī)傳送數(shù)據(jù)��。
另一較佳實(shí)施之中�,請(qǐng)査閱圖2�����,該圖是本發(fā)明一較佳實(shí)施例的arp病毒免疫方法的流程 示意圖��。 一種arp病毒免疫方法����,它包括
步驟A�����,目主機(jī)收到源主機(jī)發(fā)送的arp請(qǐng)求���;
步驟B�,目主機(jī)向源主機(jī)發(fā)送arp應(yīng)答�����,該arp應(yīng)答包括有目主機(jī)MAC;
步驟C,判斷延時(shí)時(shí)間是否超過預(yù)定期限��,如果是則執(zhí)行步驟D����,否則繼續(xù)執(zhí)行本步驟C
步驟D,目主機(jī)向源主機(jī)再次發(fā)送arp應(yīng)答���,該arp應(yīng)答包括有目主機(jī)MAC��。 在延時(shí)過程中��,源主機(jī)中的目主機(jī)的MAC地址可能被病毒性的發(fā)送的錯(cuò)誤MAC地址替換��。 步驟D中���,目主機(jī)再次發(fā)送目主機(jī)的MAC地址,以替換錯(cuò)誤目主機(jī)MAC�����。 該預(yù)定期限為3-5秒�。
以上所述,僅為本發(fā)明較佳實(shí)施例而已����,故不能以此限定本發(fā)明實(shí)施的范圍����,即依本發(fā) 明申請(qǐng)專利范圍及說明書內(nèi)容所作的等效變化與修飾���,皆應(yīng)仍屬本發(fā)明專利涵蓋的范圍內(nèi)���。
8
權(quán)利要求
1.一種arp病毒偵測(cè)定位方法,其特征是它包括步驟10�����,源主機(jī)向目主機(jī)發(fā)送一個(gè)第一arp請(qǐng)求���,該第一arp請(qǐng)求包括有源主機(jī)MAC0、源主機(jī)IP0和目主機(jī)IP1�����;步驟20�����,源主機(jī)判斷是否先后收到至少二個(gè)第一arp應(yīng)答,如果是則執(zhí)行步驟30��,否則表示正常����;步驟30,該二個(gè)第一arp應(yīng)答中����,前一個(gè)第一arp應(yīng)答包括有MAC11,后一個(gè)第一arp應(yīng)答包括有MAC12���,源主機(jī)隨機(jī)生成一個(gè)偽造IP2����,該偽造IP2與IP1不等�����;步驟40���,源主機(jī)發(fā)送一個(gè)第二arp請(qǐng)求�,該第二arp請(qǐng)求包括有源主機(jī)MAC0���、源主機(jī)IP0和IP2���;步驟50�����,判斷源主機(jī)是否收到一個(gè)第二arp應(yīng)答�����,該第二arp應(yīng)答包括有MAC21�,如果是則執(zhí)行步驟60�����,否則表示正常����;步驟60�,源主機(jī)判斷MAC12和MAC21是否相等,如果是則表示該MAC12為病毒機(jī)地址���,定位該病毒機(jī)地址��,否則表示正常����。
2.根據(jù)權(quán)利要求l所述的一種arp病毒偵測(cè)定位方法,其特征在于 該該步驟20�,它包括步驟21,源主機(jī)收到一個(gè)第一arp應(yīng)答�,解析第一arp應(yīng)答獲取MACll和IPl,將該 MAC11設(shè)為目主機(jī)MAC1地址����,該MACl和IPl建立映射關(guān)系并保存進(jìn)arp表;步驟22�����,判斷源主機(jī)是否還收到另一個(gè)第一arp應(yīng)答�,如果是則執(zhí)行步驟23,否則表示 正常��;步驟23��,源主機(jī)收到另一個(gè)第一arp應(yīng)答����,解析該另一個(gè)第一arp應(yīng)答獲取MAC12和IPl;及步驟24�,源主機(jī)判斷MAC12和arp表中的MACl是否相等�����,如果不等���,則執(zhí)行步驟30��,否 則表示正常���。
3.根據(jù)權(quán)利 求2所述的一種arp病毒偵測(cè)定位方法,其特征在于該步驟60中����,源主機(jī)判斷MAC12和MAC21是否相等,如果是則表示該MAC12為病毒機(jī)地址�,定 位該病毒機(jī)地址,并將該病毒機(jī)地址保存進(jìn)arp病毒黑名單表中���,否則表示正常���。
4.根據(jù)權(quán)利要求l或2或3的一種arp病毒免疫方法���,其特征是它包括步驟A�����,源主機(jī)發(fā)送一個(gè)第一arp請(qǐng)求�,該第一arp請(qǐng)求包括有源主機(jī)MACO、源主機(jī)IPO 和目主機(jī)IP1;步驟B���,源主機(jī)收到一個(gè)第一arp應(yīng)答����,解析第一arp應(yīng)答獲取MACl; 步驟C�����,判斷MAC1與源主機(jī)內(nèi)保存的病毒黑名單表中的病毒性地址是否相等��,如果是則 丟棄該MAC1����,否則表示該MAC1為目主機(jī)MAC地址,該MAC1和IP1建立映射關(guān)系����; 步驟D��,源主機(jī)向目主機(jī)傳送數(shù)據(jù)�。
5. 一種arp病毒免疫方法�,其特征在于它包括 步驟A,目主機(jī)收到源主機(jī)發(fā)送的arp請(qǐng)求��;步驟B�,目主機(jī)向源主機(jī)發(fā)送arp應(yīng)答,該arp應(yīng)答包括有目主機(jī)MAC;步驟C�,判斷延時(shí)時(shí)間是否超過預(yù)定期限,如果是則執(zhí)行步驟D���,否則繼續(xù)執(zhí)行本步驟C步驟D�,目主機(jī)向源主機(jī)再次發(fā)送arp應(yīng)答�,該arp應(yīng)答包括有目主機(jī)MAC。
6.根據(jù)權(quán)利要求5的一種arp病毒免疫方法�����,其特征在于該預(yù)定期限為3-5秒�����。
全文摘要
本發(fā)明公開了一種arp病毒偵測(cè)定位方法及免疫方法。該偵測(cè)定位方法���,它包括步驟10,源主機(jī)向目主機(jī)發(fā)送一個(gè)第一arp請(qǐng)求����,該第一arp請(qǐng)求包括有源主機(jī)MAC0、源主機(jī)IP0和目主機(jī)IP1�����;步驟20��,源主機(jī)判斷是否先后收到至少二個(gè)第一arp應(yīng)答��,如果是則執(zhí)行步驟30��,否則表示正常�����;步驟30����,該源主機(jī)隨機(jī)生成一個(gè)偽造IP2,該偽造IP2與IP1不等;步驟40�,源主機(jī)發(fā)送一個(gè)第二arp請(qǐng)求,該第二arp請(qǐng)求包括有源主機(jī)MAC0�、源主機(jī)IP0和IP2;步驟50�,判斷源主機(jī)是否收到一個(gè)第二arp應(yīng)答,該第二arp應(yīng)答包括有MAC21��,如果是則執(zhí)行步驟60�����,否則表示正常��;步驟60����,源主機(jī)判斷MAC12和MAC21是否相等,如果是則表示該MAC12為病毒機(jī)地址�,定位該病毒機(jī)地址,否則表示正常���。
文檔編號(hào)H04L29/06GK101635733SQ20091030621
公開日2010年1月27日 申請(qǐng)日期2009年8月27日 優(yōu)先權(quán)日2009年8月27日
發(fā)明者陳曉忠, 黃黎鵬 申請(qǐng)人:廈門敏訊信息技術(shù)股份有限公司