RP攻擊時(shí)�,傳統(tǒng)的動(dòng)態(tài)IP就給ARP攻擊一個(gè)絕好的隱藏方法,ARP病毒主機(jī)可通過變換不同的IP地址����,使得無法鎖定它的具體位置。
[0023]本發(fā)明實(shí)現(xiàn)動(dòng)態(tài)IP到靜態(tài)IP地址的自動(dòng)轉(zhuǎn)換���,該步驟將接入路由器的每一個(gè)設(shè)備的IP地址鎖定��,不允許再變換IP地址����,再通過歷史ARP表和當(dāng)前ARP表的對照結(jié)果��,分析出疑似病毒主機(jī)�。
[0024]步驟003��、發(fā)送路由器的網(wǎng)關(guān)地址信息給已接入路由器的設(shè)備���,并主動(dòng)將該網(wǎng)關(guān)地址信息與已接入路由器的設(shè)備綁定。
[0025]本發(fā)明將路由器和接入主機(jī)雙向綁定�,防止病毒主機(jī)偽造網(wǎng)關(guān),使得正常主機(jī)無法將數(shù)據(jù)包發(fā)送到路由器����,路由器無法發(fā)送數(shù)據(jù)包給正常主機(jī)。
[0026]步驟004���、檢索與路由器關(guān)聯(lián)的局域網(wǎng)中是否有假主機(jī)和假網(wǎng)關(guān)的出現(xiàn),若發(fā)現(xiàn)則發(fā)送木馬查殺軟件包給事故主機(jī)�����,且斷開該事故主機(jī)與局域網(wǎng)之間的接入��。
[0027]本發(fā)明對病毒主機(jī)主要采取隔離和斷開連接的措施�����,使得整個(gè)局域網(wǎng)無法接收該病毒主機(jī)發(fā)送的數(shù)據(jù)包��,無法對整個(gè)局域網(wǎng)帶來破壞性影響。
[0028]步驟005���、斷聯(lián)事故主機(jī)后����,五分鐘內(nèi)無疑似ARP攻擊的狀態(tài)再次發(fā)生���,則解鎖靜態(tài)IP地址��,解鎖接入路由器的設(shè)備的綁定網(wǎng)關(guān)地址信息�。
[0029]本發(fā)明為防止路由器自動(dòng)與接入主機(jī)雙向綁定��,接入主機(jī)接入其他路由器時(shí)出現(xiàn)無法聯(lián)網(wǎng)的故障���,因此�����,在恢復(fù)網(wǎng)絡(luò)的同時(shí)���,路由器自動(dòng)與接入主機(jī)解除綁定。
[0030]進(jìn)一步地,檢索與路由器關(guān)聯(lián)的局域網(wǎng)中是否有假主機(jī)和假網(wǎng)關(guān)的出現(xiàn)的步驟�����,還包括:
檢索是否有主機(jī)進(jìn)行數(shù)據(jù)包截?�?;
檢索是否有主機(jī)冒用網(wǎng)關(guān)地址;
檢索是否有主機(jī)發(fā)送大量垃圾數(shù)據(jù)包給另一主機(jī)��;
獲取事故主機(jī)的真實(shí)IP地址和真實(shí)MAC地址���。
[0031]以上為ARP攻擊最常用的方法以及最常出現(xiàn)的現(xiàn)象��,路由器根據(jù)該幾種ARP出現(xiàn)的方式�,自動(dòng)檢索和判定����,減少了人工判定和分析的工序�����,提高了效率����,也減輕了人們的維護(hù)負(fù)擔(dān)��。
[0032]優(yōu)選地���,路由器的ARP表連續(xù)5次無法更新某一主機(jī)的信息,則檢索路由器的歷史ARP表���,將該主機(jī)的MAC地址和IP地址綁定為靜態(tài)地址����。
[0033]優(yōu)選地��,當(dāng)路由器出現(xiàn)疑似ARP攻擊時(shí)�����,路由器采用網(wǎng)絡(luò)底層協(xié)議���,穿透各主機(jī)防火墻并對網(wǎng)絡(luò)中的每臺主機(jī)����、網(wǎng)關(guān)設(shè)備進(jìn)行監(jiān)控��,若發(fā)現(xiàn)非法設(shè)備,立即與局域網(wǎng)進(jìn)行隔離��。
[0034]優(yōu)選地��,若路由器發(fā)現(xiàn)有狀態(tài)主機(jī)向另一主機(jī)發(fā)送大量數(shù)據(jù)包�,則立即采集分析該數(shù)據(jù)包是否為垃圾數(shù)據(jù)包,若為垃圾數(shù)據(jù)包���,則立即將該狀態(tài)主機(jī)隔離�。
[0035]優(yōu)選地����,若檢索到多個(gè)不同的IP地址指向同一 MAC地址,則立即將該MAC地址的主機(jī)隔離����。
[0036]以上所述實(shí)施例僅表達(dá)了本發(fā)明的【具體實(shí)施方式】,其描述較為具體和詳細(xì)��,但并不能因此而理解為對本發(fā)明專利范圍的限制���。應(yīng)當(dāng)指出的是,對于本領(lǐng)域的普通技術(shù)人員來說��,在不脫離本發(fā)明構(gòu)思的前提下,還可以做出若干變形和改進(jìn)�,這些都屬于本發(fā)明的保護(hù)范圍。
【主權(quán)項(xiàng)】
1.一種ARP攻擊自動(dòng)識別調(diào)整的方法�,其特征在于,包括: 建立路由器ARP表���,實(shí)時(shí)記錄并更新與路由器相連的設(shè)備地址信息以及與該設(shè)備相關(guān)聯(lián)的網(wǎng)關(guān)地址信息�����,所述地址信息包括IP地址信息和MAC地址信息����; 發(fā)生疑似ARP攻擊狀況時(shí)����,路由器立即鎖定所有動(dòng)態(tài)IP地址,并將鎖定的動(dòng)態(tài)IP地址與對應(yīng)的MAC地址信息綁定��,轉(zhuǎn)換成靜態(tài)IP地址�����,且拒絕新的IP地址生成和接入��; 發(fā)送路由器的網(wǎng)關(guān)地址信息給已接入路由器的設(shè)備,并主動(dòng)將該網(wǎng)關(guān)地址信息與已接入路由器的設(shè)備綁定�����; 檢索與路由器關(guān)聯(lián)的局域網(wǎng)中是否有假主機(jī)和假網(wǎng)關(guān)的出現(xiàn)���,若發(fā)現(xiàn)則發(fā)送木馬查殺軟件包給事故主機(jī)���,且斷開該事故主機(jī)與局域網(wǎng)之間的接入; 斷聯(lián)事故主機(jī)后�,五分鐘內(nèi)無疑似ARP攻擊的狀態(tài)再次發(fā)生,則解鎖靜態(tài)IP地址�����,解鎖接入路由器的設(shè)備的綁定網(wǎng)關(guān)地址信息���。2.根據(jù)權(quán)利要求1所述一種ARP攻擊自動(dòng)識別調(diào)整的方法�,其特征在于�����,檢索與路由器關(guān)聯(lián)的局域網(wǎng)中是否有假主機(jī)和假網(wǎng)關(guān)的出現(xiàn)的步驟��,還包括: 檢索是否有主機(jī)進(jìn)行數(shù)據(jù)包截取����; 檢索是否有主機(jī)冒用網(wǎng)關(guān)地址����; 檢索是否有主機(jī)發(fā)送大量垃圾數(shù)據(jù)包給另一主機(jī); 獲取事故主機(jī)的真實(shí)IP地址和真實(shí)MAC地址���。3.根據(jù)權(quán)利要求1所述一種ARP攻擊自動(dòng)識別調(diào)整的方法�,其特征在于��,路由器的ARP表連續(xù)5次無法更新某一主機(jī)的信息�����,則檢索路由器的歷史ARP表���,將該主機(jī)的MAC地址和IP地址綁定為靜態(tài)地址����。4.根據(jù)權(quán)利要求1所述一種ARP攻擊自動(dòng)識別調(diào)整的方法��,其特征在于,當(dāng)路由器出現(xiàn)疑似ARP攻擊時(shí)����,路由器采用網(wǎng)絡(luò)底層協(xié)議,穿透各主機(jī)防火墻并對網(wǎng)絡(luò)中的每臺主機(jī)����、網(wǎng)關(guān)設(shè)備進(jìn)行監(jiān)控,若發(fā)現(xiàn)非法設(shè)備�����,立即與局域網(wǎng)進(jìn)行隔離��。5.根據(jù)權(quán)利要求1所述一種ARP攻擊自動(dòng)識別調(diào)整的方法�,其特征在于,若路由器發(fā)現(xiàn)有狀態(tài)主機(jī)向另一主機(jī)發(fā)送大量數(shù)據(jù)包�����,則立即采集分析該數(shù)據(jù)包是否為垃圾數(shù)據(jù)包��,若為垃圾數(shù)據(jù)包��,則立即將該狀態(tài)主機(jī)隔離。6.根據(jù)權(quán)利要求1所述一種ARP攻擊自動(dòng)識別調(diào)整的方法��,其特征在于�����,若檢索到多個(gè)不同的IP地址指向同一 MAC地址����,則立即將該MAC地址的主機(jī)隔離���。7.—種路由器����,其特征在于�,具有權(quán)利要求1?6中任一項(xiàng)所述的電子設(shè)備裝置。
【專利摘要】本發(fā)明公開了一種ARP攻擊自動(dòng)識別調(diào)整的方法�����,該方法包括實(shí)時(shí)更新ARP表�����、動(dòng)態(tài)IP地址轉(zhuǎn)換靜態(tài)IP地址��、路由器與接入設(shè)備雙向綁定、隔離目標(biāo)病毒主機(jī)和恢復(fù)后解除雙向綁定�,承載該方法的為一種路由器,該路由器具有智能分析和決策的能力��,減輕傳統(tǒng)網(wǎng)絡(luò)攻擊的人工負(fù)擔(dān)�����。本發(fā)明通過自動(dòng)轉(zhuǎn)換靜態(tài)IP�,檢索和監(jiān)控局域網(wǎng)絡(luò),隔離疑似主機(jī)的步驟����,使得路由器在無需人為操作的情況下,具有自動(dòng)分析�、監(jiān)控和隔離ARP病毒主機(jī)的能力,智能化程度高��,使用方便�。
【IPC分類】H04L12/741, H04L29/06
【公開號】CN105429944
【申請?zhí)枴緾N201510714969
【發(fā)明人】蘇雷
【申請人】安徽省萬薇網(wǎng)絡(luò)科技有限公司
【公開日】2016年3月23日
【申請日】2015年10月29日