專利名稱:上報式防攻擊信息通訊網(wǎng)絡(luò)安全防御方法及防御系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)安全防御領(lǐng)域��,具體涉及一種通過橋接裝置將請求端 的地址解析協(xié)議信息單向發(fā)送至地址解析協(xié)議代理部,并通過地址解析協(xié) 議代理部進行單向信息反饋的上報式防攻擊信息通訊網(wǎng)絡(luò)安全防御方法及 防雄卩系統(tǒng)��。
背景技術(shù):
以太網(wǎng)協(xié)議是由一組IEEE 802.3標(biāo)準(zhǔn)定義的局域網(wǎng)協(xié)議集?�,F(xiàn)已是 最為常用的局域網(wǎng)鏈路層協(xié)議�����。二層以太網(wǎng)交換機是基于鏈路層的物理地 址進行包交換的 一種設(shè)備����。
IP協(xié)議是目前應(yīng)用最為廣泛的數(shù)據(jù)通信網(wǎng)絡(luò)層協(xié)議標(biāo)準(zhǔn)��。IP協(xié)議使用 32bit的IP地址來唯一標(biāo)識設(shè)備����,數(shù)據(jù)報文在網(wǎng)絡(luò)層之上的傳播都是基于 IP地址來完成尋址的。但IP地址僅僅對網(wǎng)絡(luò)層有效�,承載IP網(wǎng)絡(luò)的硬件 設(shè)備并不依賴于IP地址來進行尋址。比如���,以太網(wǎng)物理設(shè)備是使用唯一的 48bit以太網(wǎng)地址來識別硬件接口 ���,在鏈路層中從不檢查IP數(shù)據(jù)報中的目 的IP地址����。在廣播網(wǎng)絡(luò)上�����,這兩種地址形式之間的映射是由地址解析協(xié)議 完成的����,該映射過程是自動完成的。
在實現(xiàn)地址解析協(xié)議的系統(tǒng)中���,地址解析協(xié)議會動態(tài)生成并在一段時 間內(nèi)保留IP地址和硬件地址之間的映射關(guān)系���,在需要使用硬件地址的時 候,系統(tǒng)會以IP地址為唯一標(biāo)識查找映射關(guān)系���,所找到的映射關(guān)系中的硬 件地址就是在物理網(wǎng)絡(luò)上傳發(fā)報文所需的硬件可識別的地址�����。此種映射關(guān) 系的生成��,依賴于地址解析協(xié)議的兩種協(xié)議報文���,地址解析協(xié)議請求和地 址解析協(xié)議應(yīng)答����。
當(dāng)運行地址解析協(xié)議的系統(tǒng)沒有能夠找到所需要的IP地址和硬件地 址的映射關(guān)系時�����,該系統(tǒng)就會發(fā)送地址解析協(xié)議請求報文���,請求所需要的 IP地址的硬件地址��。發(fā)出請求的系統(tǒng)會將自己的IP地址和硬件地址對應(yīng) 關(guān)系包含在這個報文中,并指明需要請求硬件地址的IP地址信息�。此報文 在網(wǎng)絡(luò)中以廣播的方式廣泛發(fā)送。根據(jù)通常的實現(xiàn)�,任何一個接收到這個 地址解析協(xié)議請求報文并運行地址解析協(xié)議的系統(tǒng),都應(yīng)該使用這個請求 報文中所包含的請求發(fā)送者的IP地址和硬件地址信息生成映射關(guān)系�����,如果
已經(jīng)存在以這個IP地址為標(biāo)識的映射關(guān)系����,則應(yīng)該使用此報文中的硬件地 址更新這個映射關(guān)系���。
當(dāng)某個運行地址解析協(xié)議的系統(tǒng)發(fā)現(xiàn)接收到的地址解析協(xié)議請求報 文中所指名的需要請求硬件地址的IP地址是自己的IP地址時,則會向請 求者發(fā)送地址解析協(xié)議應(yīng)答報文�����。將自己的硬件地址通知請求者��,這個報 文是單播方式發(fā)送的�����,當(dāng)請求者接收到這個應(yīng)答報文之后�,就可以根據(jù)這 個應(yīng)答才艮文中包含的信息生成對應(yīng)IP地址和硬件地址之間的映射關(guān)系。
地址解析協(xié)議正常運行的關(guān)鍵�����,是保證IP地址和硬件地址的映射關(guān)系 的正確性�����。運行地址解析協(xié)議的系統(tǒng)并不能主動發(fā)現(xiàn)映射關(guān)系是否錯誤���, 如果生成了錯誤的映射關(guān)系�����,報文的發(fā)送者將會根據(jù)錯誤的硬件地址發(fā)送 報文�����,接收者無法收到報文����,從而導(dǎo)致數(shù)據(jù)轉(zhuǎn)發(fā)的中斷,更為嚴(yán)重的是�����, 由于報文的發(fā)送者認(rèn)為自己已經(jīng)有了報文接收者的硬件地址�����,因此就不會 發(fā)送地址解析協(xié)議的請求報文來更新這個映射關(guān)系�����,這種錯誤的映射就會 在一定時間內(nèi) 一直保持�,直到涉及報文發(fā)送的雙方發(fā)送了地址解析協(xié)議報 文才有可能的被糾正,這會嚴(yán)重影響數(shù)據(jù)網(wǎng)絡(luò)的使用�。
針對地址解析協(xié)議的這個弱點,惡意的攻擊者可以通過偽造地址解析 協(xié)議應(yīng)答^^文的方法來實現(xiàn)對運行地址解析協(xié)議的網(wǎng)絡(luò)的攻擊���。
以下舉出具體實施例對存在的問題進行說明現(xiàn)有技術(shù)中信息發(fā)送端 與信息接收端的通訊過程為第一步當(dāng)信息發(fā)送端主機A與信息接收端 主機B開始通信時�����,主機A需要查找自存儲的地址解析協(xié)議表[主機名IP 地址與物理地址對應(yīng)關(guān)系表],查找主機B的物理地址�����,如查到則跳轉(zhuǎn)到第 五步與信息接收端主機B進行信息通訊�����;如果在主機A的自存儲地址解析 協(xié)議表內(nèi)沒有找到主機B的物理地址則執(zhí)行地址解析協(xié)議學(xué)習(xí)流程�,進入 第二步����;第二步、主機A將向網(wǎng)內(nèi)廣播一個地址解析協(xié)議請求�,請求主 機B所對應(yīng)的物理地址;第三步���、在此局域網(wǎng)絡(luò)中的所有終端將會收到此 地址解析協(xié)議請求�,主機B收到此請求,發(fā)現(xiàn)這個請求是自己��,其將回應(yīng) 主機A—個單播地址解析協(xié)議回應(yīng)���,告訴其自己的物理地址�����;第四步�����、主 才幾A收到這個地址解析協(xié)議回應(yīng)����,將主機B的IP地址與主才幾B的物理地 址對應(yīng)關(guān)系存入主機A的地址解析協(xié)議表內(nèi)���;第五步��、主機A查找地址解 析協(xié)議表中的B主機的物理地址與B主才幾進行通訊。
在上述流程中有幾個安全漏洞�,可能被病毒或人為程序所利用,常用的 J丈擊方法有下面三種
第一種安全漏洞物理地址偽冒攻擊。物理地址欺騙行為發(fā)生在上述 流程的第三步��,此時因為地址解析協(xié)議請求報文是個廣播報文�,現(xiàn)有普通 二層交換機會向所有終端進行廣播,此請求報文在此局域網(wǎng)絡(luò)中的所有終
端都會收到���,例如主機c也收到了給地址解析協(xié)議請求報文�,如果主機c
上有病毒或惡意程序���,它可以偽裝成主機B發(fā)送地址解析協(xié)議回應(yīng)報文給 主機A�����,在第四步中���,主機A收到此偽裝地址解析協(xié)議報文,會將其與主 機C的物理地址對應(yīng)關(guān)系存入其自身的地址解析協(xié)議表中�,這樣以后主機 A與主機B通訊時的所有數(shù)據(jù)將全部發(fā)送給主機C,這樣主機C就可以成 功截獲主4幾A和主機B之間的所有通訊數(shù)據(jù)信息。
第二種安全漏洞物理地址泛濫攻擊��,導(dǎo)致網(wǎng)絡(luò)癱瘓���。通常廣播網(wǎng)絡(luò) 內(nèi)作為網(wǎng)關(guān)的設(shè)備的地址解析協(xié)議映射的數(shù)量是有限的���,如果攻擊者大量 發(fā)送分別偽冒不同源IP地址的地址解析報文請求報文�,就可以使整個廣播 網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)出現(xiàn)故障���,此時攻擊也可以被稱為地址解析協(xié)議泛濫攻擊�����。
第三種安全漏洞物理地址偽冒導(dǎo)致IP沖突����。通常的IP以太網(wǎng)主機 系統(tǒng)為防止IP地址沖突����,會在聯(lián)網(wǎng)的最初階段向外發(fā)送幾個地址解析協(xié)議 宣告,查詢此IP是否有人已經(jīng)占用��,如果有人占用�,則此主機不可使用此 IP,這就有可能有惡意攻擊者在收到此宣告后,發(fā)起一個響應(yīng)��,偽裝已經(jīng) 占用jt匕IP造成j):匕主才幾不可if關(guān)網(wǎng)�����。
目前針對這些攻擊行為的唯一解決方案只有禁用主機地址解析協(xié)議功 能����,使用靜態(tài)配置地址解析協(xié)議映射關(guān)系方法。
如前文所說�����,地址解析協(xié)議映射關(guān)系是動態(tài)生成的�,也正因為是動態(tài) 生成的,給惡意的攻擊造成了偽冒其他用戶發(fā)送報文��,阻斷數(shù)據(jù)報文轉(zhuǎn)發(fā) 的機會���。而靜態(tài)配置地址解析協(xié)議是指用戶配置生成1P地址和硬件地址的 映射關(guān)系報文�����,而且這個映射關(guān)系是不隨著時間而變更的��。因為其優(yōu)先級 高于通過地址解析協(xié)議產(chǎn)生的動態(tài)的映射關(guān)系����,因此也不會隨著地址解析 協(xié)議報文中所攜帶的信息進行變更��。靜態(tài)配置地址解析協(xié)議映射關(guān)系雖然 可以有效地解決地址解析協(xié)議偽冒、泛濫攻擊造成地數(shù)據(jù)報文轉(zhuǎn)發(fā)被阻斷 地問題����,但是,靜態(tài)配置地址解析協(xié)議映射關(guān)系必須要人工生成并維護大 量地IP地址和硬件地址的映射關(guān)系���,完全廢棄了地址解析協(xié)議所帶來的益 處��,實際上僅僅是模擬了地址解析協(xié)議生成的最終結(jié)果��,而摒棄了地址解 析協(xié)議本身�。
發(fā)明內(nèi)容
為了更好的解決現(xiàn)有技術(shù)中存在的物理地址偽冒攻擊���、物理地址泛濫 攻擊和物理地址偽冒導(dǎo)致IP沖突等技術(shù)問題�,本發(fā)明提供了 一種上報式防 攻擊信息通訊網(wǎng)絡(luò)安全防御方法
利用該上報式防攻擊信息通訊網(wǎng)絡(luò)安全防御方法本發(fā)明還提供了 一種
上報式防攻擊信息通訊網(wǎng)絡(luò)安全防御方法系統(tǒng)���。所述防御方法包括步驟: 第一��、通過橋接裝置將請求端的地址解析協(xié)議信息單向發(fā)送至地址解析協(xié) 議代理部��;第二�����、通過所述地址解析協(xié)議代理部對所述信息進行確認(rèn)��;第 三����、所述請求端根據(jù)所述地址解析協(xié)議代理部的確認(rèn)信息與目的端進行通 訊�。
根據(jù)本發(fā)明的一優(yōu)選實施例所述第一步、所述第二步和所述第三步 中所述信息為所述請求端的地址解析協(xié)議宣告和所述目的端的地址查詢信 息�����。
根據(jù)本發(fā)明的一優(yōu)選實施例所述第一步進一步包括子步驟首先��、 所述請求端將所述請求信息經(jīng)端口單向發(fā)送給橋接裝置�;其次、所述橋接 裝置對交換端口入口中的所述信息數(shù)據(jù)包進行^f企測�����,確認(rèn)地址解析協(xié)議請
協(xié)議代理部��。
根據(jù)本發(fā)明的一優(yōu)選實施例在進行所述第一步之前所述地址解析協(xié) 議代理部應(yīng)覆蓋有各終端正確的地址信息�����,并通過所述地址解析代理部對 所述地址信息進行管理。
根據(jù)本發(fā)明的一優(yōu)選實施例所述地址解析代理部建立有地址解析協(xié)
議表�,所述地址解析協(xié)i義表包含各終端IP地址與物理地址的對應(yīng)關(guān)系信 自
根據(jù)本發(fā)明的一優(yōu)選實施例所述第二步進一步包括子步驟首先、 所述地址解析協(xié)議代理部對所述請求端自身地址信息是否被占用進行確 認(rèn)�����,并將所述確認(rèn)信息單向發(fā)送至所述請求端�;其次、所述地址解析協(xié)議 代理部對所述請求端的查詢目的端的地址信息請求進行確認(rèn)�����,并將所述確 認(rèn)信息單向發(fā)送至所述請求端���。
根據(jù)本發(fā)明的一優(yōu)選實施例所述第三步進一步包括所述請求端根 據(jù)所述目的端的地址信息直接與所述目的端進行信息通訊或所述請求端將
所述待發(fā)送信息發(fā)送至所述地址解析協(xié)議代理部�,通過所述地址解析協(xié)議 代理部將所述待發(fā)送信息發(fā)送至所述目的端�����。
本發(fā)明還提供了 一種上報式防攻擊信息通訊網(wǎng)絡(luò)安全防御系統(tǒng)����,所述
防御系統(tǒng)包括所述防御系統(tǒng)包括地址解析協(xié)議代理部,橋接裝置和通 訊終端,其中��,所述各通訊終端與所述橋接裝置連接��,所述橋接裝置與所 述地址解析協(xié)議代理部連接�,所述各終端相互之間通訊所需要的地址信息 通過所述地址解析協(xié)議代理部進行存儲和管理。
#^居本發(fā)明的一優(yōu)選實施例所述地址解析協(xié)議代理部為獨立裝置或 設(shè)置于相關(guān)裝置上的功能部件���。
根據(jù)本發(fā)明的一優(yōu)選實施例所述橋接裝置為交換機或路由器��。
橋接裝置將終端設(shè)備發(fā)送的地址解析協(xié)議宣告廣播包單向轉(zhuǎn)發(fā)至地址 解析協(xié)議代理部,在地址解析協(xié)議代理部上直接查詢該IP是否被內(nèi)網(wǎng)其他 機器占用���,所以其它終端不能此宣告包�����,這樣就解決地址解析協(xié)議中物理地 址偽冒導(dǎo)致IP沖突�����。
本發(fā)明中終端設(shè)備在相互通信時,地址解析協(xié)議請求廣播包不會對內(nèi) 網(wǎng)所有的終端設(shè)備發(fā)送�,而是直接通過地址解析協(xié)議代理部獲取相關(guān)通信 終端設(shè)備的物理地址�����,并通過獲取到的目的端物理地址,直接單向與目的 端進行信息通訊�����,解決了地址解析協(xié)議物理地址偽冒攻擊��。
本發(fā)明有效的防止了攻擊者大量發(fā)送偽冒地址解析請求報文���,解決地 址解析協(xié)議泛濫攻擊����。
通過防御系統(tǒng)在實際中的應(yīng)用能非常好的解決現(xiàn)有技術(shù)中存在的物理地址 偽冒攻擊��、物理地址泛濫攻擊和物理地址偽冒導(dǎo)致IP沖突等技術(shù)問題�,具 有很高的實用性。
圖1為本發(fā)明上報式防攻擊信息通訊網(wǎng)絡(luò)安全防御方法流程圖�; 圖2為本發(fā)明上報式防攻擊信息通訊網(wǎng)絡(luò)安全防御系統(tǒng)結(jié)構(gòu)圖。
具體實施方式
以下結(jié)合
和具體實施方式
對本發(fā)明進一步說明����。 請參閱圖1本發(fā)明上報式防攻擊信息通訊網(wǎng)絡(luò)安全防御方法流程圖. 如圖1所示所述防御方法包括步驟第一、通過橋接裝置200將請求端的
地址解析協(xié)議信息單向發(fā)送至地址解析協(xié)議代理部201;第二��、通過所述
地址解析協(xié)議代理部201對所述信息進行確認(rèn);第三�����、所述請求端根據(jù)所 述地址解析協(xié)議代理部201的確認(rèn)信息與目的端進行通訊�����。
在進行所述第一步之前所述地址解析協(xié)議代理部201應(yīng)覆蓋有各終端 正確的地址信息�����,并通過所述地址解析代理部對所述地址信息進行管理����。 所述地址解析代理部建立有地址解析協(xié)議表�,所述地址解析協(xié)議表包含各 終端IP地址與物理地址的對應(yīng)關(guān)系信息。在本實施例中所述將各終端正確 的地址信息存入所述地址解析協(xié)議代理部201的方法可以為手工配置��。
所述第一步進一步包括子步驟首先�、所述請求端將所述請求信息經(jīng) 端口單向發(fā)送給橋接裝置200;其次、所述橋接裝置200對交換端口入口 中的所述信息數(shù)據(jù)包進行檢測�,確認(rèn)地址解析協(xié)議請求;最后��、通過所述 交換機將所述地址解析協(xié)議請求單向發(fā)送至地址解析協(xié)議代理部201 。
所述第二步進一步包括子步驟首先��、所述地址解析協(xié)議代理部201
對所述請求端自身地址信息是否被占用進行確認(rèn)�����,并將所述確認(rèn)信息單向 發(fā)送至所述請求端�����;其次�、所述地址解析協(xié)議代理部201對所述請求端的 查詢目的端的地址信息請求進行確認(rèn),并將所述確認(rèn)信息單向發(fā)送至所述 請求端��。
所述第三步進一步包括所述請求端根據(jù)所述目的端的地址信息直接 與所述目的端進行信息通訊或所述請求端將所述待發(fā)送信息發(fā)送至所述地 址解析協(xié)議代理部201����,通過所述地址解析協(xié)議代理部201將所述待發(fā)送 信息發(fā)送至所述目的端。
其中��,所述第一步�����、所述第二步和所述第三步中所述信息為所述請求 端的地址解析協(xié)議宣告和所述目的端的地址查詢信息���。
請參閱圖2本發(fā)明上報式防攻擊信息通訊網(wǎng)絡(luò)安全防御系統(tǒng)結(jié)構(gòu)圖��, 如圖2所示本發(fā)明還提供了一種上報式防攻擊信息通訊網(wǎng)絡(luò)安全防御系 統(tǒng)���,所述防御系統(tǒng)包括地址解析協(xié)議代理部201�,橋接裝置200和通訊 終端���,其中���,所述各通訊終端與所述橋接裝置200連接,所述橋接裝置200 與所述地址解析協(xié)議代理部201連接���,所述各終端相互之間通訊所需要的 地址信息通過所述地址解析協(xié)議代理部201進行存儲和管理��。所述地址解 析協(xié)議代理部201為一獨立裝置或部署于相關(guān)裝置上的功能部件或者軟 件����。所述橋接裝置200為交換機或路由器���。
以下舉出一具體實施例對本發(fā)明上報式防攻擊信息通訊網(wǎng)絡(luò)安全防御 問題進行詳細(xì)說明,說明中可同時參閱圖1和圖2����。在本實施例中所述橋
接裝置200為交換機��。
第一步����、用戶首先將正確的終端設(shè)備的IP對應(yīng)的物理地址寫入地址解
析協(xié)議代理部201,并運行地址解析協(xié)議代理部201;
第二步��、當(dāng)所有終設(shè)備在最初聯(lián)網(wǎng)時�,會向內(nèi)網(wǎng)發(fā)送一個地址解析協(xié) 議宣告廣播包。
第三步���、交換機200對交換端口的入口中的廣播數(shù)據(jù)包進行檢測����,發(fā) 現(xiàn)是地址解析協(xié)議請求報文時�����,將地址解析協(xié)議請求報文從指定端口 (連 接上一層交換機200或地址解析協(xié)議代理的接口 )發(fā)送給上一層的交換機 200或地址解析協(xié)議代理��,直至最終發(fā)送給地址解析協(xié)議代理部201;
第四步�����、地址解析協(xié)議代理部201將收到的地址解析協(xié)議請求^l艮文中 的請求IP在物理表中查找到正確的終端設(shè)備B203的物理地址,將向終端 設(shè)備A202單向發(fā)送終端設(shè)備B203的地址解析協(xié)議回應(yīng)報文�����;
第五步�、所有終端設(shè)備根據(jù)地址解析協(xié)議代理部201的回應(yīng)包查詢自 己的IP是否被占用;
第六步���、當(dāng)終端設(shè)備A202與終端設(shè)備B203開始通信時�����,終端設(shè)備 A202需要查找地址解析協(xié)議表[終端設(shè)備IP地址與物理地址對應(yīng)關(guān)系表]���, 查找終端設(shè)備B203的物理地址,如查到則跳轉(zhuǎn)到第十一步���;如果沒找到 終端設(shè)備B203的物理地址則執(zhí)行地址解析協(xié)議學(xué)習(xí)流程����;
第七步�、終端設(shè)備A202將廣播一個地址解析協(xié)議請求�,請求終端設(shè) 備B203所^f應(yīng)的物理i也址���;
第八步、交換機200對交換端口的入口中的廣播數(shù)據(jù)包進行檢測�,發(fā) 現(xiàn)是地址解析協(xié)議請求報文時,將地址解析協(xié)議請求報文從指定端口 (連 接上一層交換機200或地址解析協(xié)議代理的接口 )發(fā)送給上一層的交換機 200或地址解析協(xié)議代理�,直至最終發(fā)送給地址解析協(xié)議代理;
第九步�����、地址解析協(xié)議代理將收到的地址解析協(xié)議請求報文中的請求 IP在物理表查正確的物理地址��,找到IP對應(yīng)的物理地址后�����,將單向發(fā)送 一個地址解析協(xié)議回應(yīng)才艮文��;
第十步�、終端設(shè)備A202收到這個地址解析協(xié)議回應(yīng),將終端設(shè)備B203 的IP地址與終端設(shè)備B203的物理地址對應(yīng)關(guān)系存入自身地址解析協(xié)議表;
第十一步���、終端設(shè)備A202查找地址解析協(xié)議表中的B終端設(shè)備的物 理i也址與B終端i殳備進4于通ifl���。
本發(fā)明中術(shù)語在行業(yè)內(nèi)有不同寫法,例如:本專利中所述地址解析協(xié)議 可寫成ARP;所述物理地址也可寫成MAC地址�。
以上內(nèi)容是結(jié)合具體的優(yōu)選實施方式對本發(fā)明所作的進一步詳細(xì)說 明����,不能認(rèn)定本發(fā)明的具體實施只局限于這些說明。對于本發(fā)明所屬技術(shù) 領(lǐng)域的普通技術(shù)人員來說���,在不脫離本發(fā)明構(gòu)思的前提下���,還可以做出若 干簡單推演或替換,都應(yīng)當(dāng)視為屬于本發(fā)明的保護范圍�。
權(quán)利要求
1.一種上報式防攻擊信息通訊網(wǎng)絡(luò)安全防御方法,其特征在于所述防御方法包括步驟A通過橋接裝置(200)將請求端的地址解析協(xié)議信息單向發(fā)送至地址解析協(xié)議代理部(201)���;B通過所述地址解析協(xié)議代理部(201)對所述信息進行確認(rèn)�����;C所述請求端根據(jù)所述地址解析協(xié)議代理部(201)的確認(rèn)信息與目的端進行通訊����。
2. 根據(jù)權(quán)利要求1所述防御方法����,其特征在于所述步驟A����、所述步 驟B和所述步驟C中所述信息為所述請求端的地址解析協(xié)議宣告和對所述 目的端的地址查詢信息���。
3. 根據(jù)權(quán)利要求1所述防御方法,其特征在于所述步驟A進一步包 括子步驟Al :所述請求端將所述請求信息經(jīng)連接端口發(fā)送給橋接裝置(200);A2:所述橋接裝置(200)對交換端口入口中的所述信息數(shù)據(jù)包進行檢 測��,確認(rèn)地址解析協(xié)議請求�����;A3:通過所述橋接裝置將所述地址解析協(xié)議請求單向發(fā)送至地址解析 協(xié)i義代理部(201)����。
4. 根據(jù)權(quán)利要求1所述防御方法,其特征在于在進行步驟A之前所 述地址解析協(xié)議代理部(201)涵蓋有各終端正確的地址信息���,并通過所述地 址解析代理部進行管理�����。
5. 根據(jù)權(quán)利要求4所述防御方法����,其特征在于所述地址解析代理部 建立有地址解析協(xié)議表,所述地址解析協(xié)議表包含各終端IP地址與物理地 址的對應(yīng)關(guān)系信息���。
6. 根據(jù)權(quán)利要求1所述防御方法���,其特征在于所述步驟B進一步包 括子步驟Bl:所述地址解析協(xié)議代理部(201)對所述請求端自身地址信息是否被 占用進行確認(rèn),并將所述確認(rèn)信息單向發(fā)送至所述請求端�;B2:所述地址解析協(xié)議代理部(201)對所述請求端的查詢目的端的地址 信息請求進行確認(rèn),并將所述確認(rèn)信息單向發(fā)送至所述請求端�����。
7. 根據(jù)權(quán)利要求1所述防御方法��,其特征在于所述步驟C進一步包 括所述請求端根據(jù)所述目的端的地址信息直接與所述目的端進行信息通 訊或所述請求端將所述待發(fā)送信息發(fā)送至所述地址解析協(xié)議代理部(201), 通過所述地址解析協(xié)議代理部(201)將所述待發(fā)送信息發(fā)送至所述目的端��。
8. —種上報式防攻擊信息通訊網(wǎng)絡(luò)安全防御系統(tǒng)�,其特征在于所述 防御系統(tǒng)包括地址解析協(xié)議代理部(201),橋接裝置(200)和通訊終端���,其 中����,所述各通訊終端與所述橋接裝置(200)連接,所述橋接裝置(200)與所述 地址解析協(xié)議代理部(201)連接�,所述各終端相互之間通訊所需要的地址信 息通過所述地址解析協(xié)議代理部(201 )進行存儲和管理。
9. 根據(jù)權(quán)利要求8所述防御系統(tǒng)����,其特征在于所述地址解析協(xié)議代 理部(201)為獨立裝置或部署于相關(guān)裝置上的功能部件或者軟件。
10. 根據(jù)權(quán)利要求8所述防御系統(tǒng)���,其特征在于所述橋接裝置(200) 為交換機或路由器。
全文摘要
本發(fā)明屬于網(wǎng)絡(luò)安全防御領(lǐng)域�����,具體涉及一種上報式防攻擊信息通訊網(wǎng)絡(luò)安全防御方法及防御系統(tǒng)�。所述防御方法將請求端的地址解析廣播請求單向發(fā)送至地址解析協(xié)議代理部進行信息確認(rèn)后回應(yīng)請求端,所述請求端根據(jù)上述回應(yīng)信息與目的端進行通訊�。該防御方法借助由用于對地址信息進行存儲和管理的地址解析協(xié)議代理部,橋接裝置和通訊終端組成的系統(tǒng)進行網(wǎng)絡(luò)安全防御���。本發(fā)明上報式防攻擊信息通訊網(wǎng)絡(luò)安全防御方法原理簡單�,設(shè)計合理�,該防御系統(tǒng)在實際應(yīng)用中能非常好的解決現(xiàn)有技術(shù)中存在的物理地址偽冒攻擊、物理地址泛濫攻擊和物理地址偽冒導(dǎo)致IP沖突等技術(shù)問題���,具有很高的實用性��。
文檔編號H04L29/06GK101197830SQ20071012483
公開日2008年6月11日 申請日期2007年12月7日 優(yōu)先權(quán)日2007年12月7日
發(fā)明者張南希, 潤 焦 申請人:張南希