一种ARP阻断的实现方法、系统及存储介质

技术领域

本发明属于计算机技术领域，尤其涉及一种ARP阻断的实现方法、系统及存储介质。

背景技术

随着网络的日益普及，各企事业单位也都建立了自己的内部网络，如何及时识别接入内部网络的设备，并阻断非法接入设备通信，保护内部网络的信息安全成为网络管理面临的亟待解决的问题。

目前对设备接入感知常用的方法基本是：对于非法设备接入主要通过ACL控制其进行网络通信。但是通过ACL控制设备的网络通信，对于非法设备伪装、欺骗合法设备无法进行有效的检测。

其中，地址解析协议，即ARP，是根据IP地址获取物理地址的一个TCP/IP协议。当一台主机设备接入网络后会主动广播ARP报文，并对收到的ARP报文进行解析。ARP协议进行地址解析时，首先以广播的形式向广播域内的所有主机发送一个ARP请求报文，当广播域内的主机收到请求报文后，检查请求包中的目的地址IP是否与本机IP相同，若不同则丢弃此数据报文，若相同就向源主机发送一个应答报文。应答报文中源IP、MAC地址为本机的地址，目的IP、MAC地址为请求报文的IP、MAC地址。发送请求报文的主机收到应答报文后提取应答报文中的源MAC地址，然后进行数据的发送，但是一旦遭受ARP仿冒攻击，同层网络中的各主机的传输数据会被截取，导致数据外泄，者将导致严重的后果，为此，我们专门提出一种ARP阻断的实现方法、系统及存储介质以解决上述问题。

发明内容

本发明的目的在于提供一种网络安全防范的实现方法、系统、设备及存储介质，旨在解决现网络安全系统中管理硬件设备的位置较为分散和复杂，大量使用专用的软硬件系统，硬件设备升级维护困难，容易遭受仿冒之类的攻击的问题。

一方面，本发明提供了一种网络安全防范的实现方法，所述方法包括下述步骤：

K1：创建数据库；

K2：主机设备构建第一ARP请求报文，并在所述第一ARP请求报文中预设位置添加签名标识位；

K3：所述主机设备在局域网内向所有其他主机设备广播所述第一ARP请求报文，所述其他主机设备接收所述第一ARP请求报文并根据所述签名标识位签名并返回应答报文，其中，所述应答报文包括所述其他主机设备的设备信息；

K4：所述主机设备接收所述应答报文并判断所述签名标识位中的签名，若签名正确，则将所述其他主机设备判定为合法接入设备，正常通信；否则，所述其他主机设备判定为非法接入设备，并阻断所述非法接入设备的通信；

其中，阻断所述非法接入设备的通信包括：

关闭所述服务器的数据转发功能；

所述服务器向局域网中的所有设备广播第二ARP请求报文，接收并解析ARP响应报文并获取所述非法设备的第一IP地址；

所述合法设备根据所述第一IP地址查找自身ARP缓存表中所述第一IP地址所对应的第一MAC地址，并将所述第一MAC地址更新为目标MAC地址；其中，所述目标MAC地址为所述服务器的MAC地址。

本发明所述的ARP阻断的实现方法，其中，关闭所述服务器的数据转发功能包括：将所述服务器的数据转发功能所对应的系统控制文件中的相关配置行注释掉。

本发明所述的ARP阻断的实现方法，其中，所述主机设备接收所述应答报文并判断所述签名标识位中的签名还包括：逐一对比所述签名标识位上的字符串，当所述字符串与所述数据库内的参考字符串相同时，判断该所述应答报文对应的所述其他设备位合法接入设备。

本发明所述的ARP阻断的实现方法，其中，所述第一ARP请求报文与所述第二ARP请求报文打包并同步广播至所述其他主机设备，所述其他主机设备解析数据包并分别获取所述第一ARP请求报文与所述第二ARP请求报文。

本发明所述的ARP阻断的实现方法，其中，所述设备信息包括厂商、型号、序列号、操作系统、开放的端口列表信息以及设备账户信息。

另一方面，本发明提供了一种的ARP阻断的实现系统，其特征在于，所述系统包括：

请求模块，用于服务器向局域网中的所有运行设备广播第一ARP请求报文，接收并解析运行设备的ARP响应报文；

获取模块，用于根据所述ARP响应报文的结果获取到局域网中的运行设备；

执行模块，用于服务器向所述局域网络的运行设备发起ARP请求报文，接收ARP响应报文并从其中提取设备信息；

监听模块，用于监控运行设备的数据异常情况。

另一方面，本发明还提供了一种ARP阻断实现计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述方法的步骤。

另一方面，本发明还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述方法的步骤。

本发明的有益效果在于：当有设备接入时可以快速、及时的发现接入的设备合法性，杜绝了正常设备发出的数据包被危险设备获取，实现了危险设备的完全阻断，保障了数据的安全，相比较传统ARP阻断方法更加安全，从设备进入内网便可实现识别保护，防护等级更高、保护更全面。

附图说明

图1是传统ARP阻断方法流程示意图。

图2是本发明实施例二的系统方框图。

图3是本发明实施例三的计算机设备的系统结构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

以下结合具体实施例对本发明的具体实现进行详细描述：

图1示出了本发明实施例一提供的网络安全防范的实现方法的实现流程，为了便于说明，仅示出了与本发明实施例相关的部分，详述如下：

在第一步K1：创建数据库；

在第二步K2：主机设备构建第一ARP请求报文，并在第一ARP请求报文中预设位置添加签名标识位；

在第三步K3：主机设备在局域网内向所有其他主机设备广播第一ARP请求报文，其他主机设备接收第一ARP请求报文并根据签名标识位签名并返回应答报文，其中，应答报文包括其他主机设备的设备信息；

在第四步K4：主机设备接收应答报文并判断签名标识位中的签名，若签名正确，则将其他主机设备判定为合法接入设备，正常通信；否则，其他主机设备判定为非法接入设备，并阻断非法接入设备的通信；

进一步：阻断非法接入设备的通信包括：

关闭服务器的数据转发功能；

服务器向局域网中的所有设备广播第二ARP请求报文，接收并解析ARP响应报文并获取非法设备的第一IP地址；

合法设备根据第一IP地址查找自身ARP缓存表中第一IP地址所对应的第一MAC地址，并将第一MAC地址更新为目标MAC地址；其中，目标MAC地址为服务器的MAC地址。

当有设备接入时可以快速、及时的发现接入的设备合法性，杜绝了正常设备发出的数据包被危险设备获取，实现了危险设备的完全阻断，保障了数据的安全，相比较传统ARP阻断方法更加安全，从设备进入内网便可实现识别保护，防护等级更高、保护更全面。

优选的，关闭服务器的数据转发功能包括：将服务器的数据转发功能所对应的系统控制文件中的相关配置行注释掉，以实现将服务器的数据转发功能关闭。

优选的，主机设备接收应答报文并判断签名标识位中的签名还包括：逐一对比签名标识位上的字符串，当字符串与数据库内的参考字符串相同时，判断该应答报文对应的其他设备位合法接入设备。

优选的，第一ARP请求报文与第二ARP请求报文打包并同步广播至其他主机设备，其他主机设备解析数据包并分别获取第一ARP请求报文与第二ARP请求报文，以减降低传输资源的占用时间，保障系统响应速度。

优选的，设备信息包括厂商、型号、序列号、操作系统、开放的端口列表信息以及设备账户信息。

图2示出了本发明实施例三提供的ARP阻断的实现系统，为了便于说明，仅示出了与本发明实施例相关的部分，该系统1包括：

请求模块11，用于服务器向指定网络的所有运行设备广播第一ARP请求报文，接收并解析运行设备的第一ARP响应报文；

获取模块12，用于根据第一ARP响应报文的结果获取到指定网络的运行设备；

执行模块13，用于服务器向指定网络的运行设备发起第一ARP请求报文，接收第一ARP响应报文并从其中提取设备信息；

监听模块14，用于监控运行设备的数据异常情况

在本发明实施例中，该系统的各单元可由相应的硬件或软件单元实现，各单元可以为独立的软、硬件单元，也可以集成为一个软、硬件单元，在此不用以限制本发明。

图3示出了本发明实施例四提供的ARP阻断实现计算机设备，为了便于说明，仅示出了与本发明实施例相关的部分。

本发明实施例的网络安全防范的计算机设备2包括处理器20、存储器21以及存储在存储器21中并可在处理器20上运行的计算机程序22。该处理器20执行计算机程序22时实现上述方法实施例一和二中的步骤，例如图1所示的步骤K1至K4。或者，处理器20执行计算机程序22时实现上述系统实施例中各单元的功能，例如图2所示单元11至14的功能。

在本发明实施例中，提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，该计算机程序被处理器执行时实现上述方法实施例一中的步骤，例如，图1所示的步骤K1至K4。或者，该计算机程序被处理器执行时实现上述系统实施例中各单元的功能，例如图2所示单元11至14的功能。

本发明实施例的计算机可读存储介质可以包括能够携带计算机程序代码的任何实体或装置、记录介质，例如，ROM/RAM、磁盘、光盘、闪存等存储器。

以上仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。