(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111653505.4 (22)申请日 2021.12.31 (71)申请人 四川天邑康和通信股份有限公司 地址 610000 四川省成 都市大邑县晋原镇 雪山大道一段198号 (72)发明人 龙文艳　陈文锦　许勇　 (74)专利代理 机构 成都金英专利代理事务所 (普通合伙) 51218 代理人 詹权松 (51)Int.Cl. H04L 61/103(2022.01) H04L 61/5061(2022.01) H04L 9/40(2022.01) (54)发明名称 一种基于政企网关的防ARP欺骗方法及系统 (57)摘要 本发明公开了一种基于政企网关的防ARP欺 骗方法及系统， 包括： 在用户设备动态或者静态 接入网关时， 网关会通过DHCP协议或者ARP协议 发现设备， 并且将设备信息记录到网关的设备管 理记录表中； 当设备信息有改变时， 网关会更新 设备管理记录表； 新设备上线， 当上线设备与设 备管理记录表中的某一在线设备MAC地址一样， 但是IP不一样， 此IP又与设备记录表中的另一在 线设备IP一样， 则认为新上线设备为ARP欺骗攻 击设备； 并存储ARP欺骗攻击设备信息。 本发明使 用方便， 安全性高； 与现有相比， 本发明检测ARP 攻击包的方法是动态高效的， 不论政企 网络中的 设备怎么变化， 都能起到防ARP欺骗攻击的效果。 权利要求书1页 说明书4页 附图2页 CN 114244801 A 2022.03.25 CN 114244801 A 1.一种基于政企网关的防ARP欺骗方法， 其特 征在于， 包括以下步骤： 步骤1： 当用户设备动态或者静态接入网关时， 网关通过DHCP协议或者ARP协议发现设 备， 并将接入用户设备的IP地址以及MAC地址记录 到设备管理记录表中； 步骤2： 查找设备管理记录表中是否有在线设备与接入用户设备的MAC地址相同； 若有， 则比较该设备的IP地址是否与接入用户设备的IP地址一致， 跳转至步骤3； 若没有， 则跳转 至步骤5； 步骤3： 若一致， 则跳转至步骤5； 若不一致， 则查找设备管理记录表中是否存在其他在 线设备的IP地址与接入设备的IP地址相同， 若不存在， 则跳转至步骤5， 若存在， 则跳转至步 骤4； 步骤4： 判定所述接入用户设备为A RP欺骗攻击设备， 创建ARP欺骗数据库存储攻击设备 信息； 步骤5： 在设备 管理记录表中记录 接入用户设备的IP地址以及MAC地址 。 2.根据权利要求1所述的基于政企网关的防ARP欺骗方法， 其特征在于， 所述步骤1之 前， 还包括在网关页面设置防ARP欺骗开关， 用于启动防ARP欺骗功能。 3.根据权利要求1所述的基于政企网关的防ARP欺骗方法， 其特征在于， 所述步骤4之 后， 还包括对ARP欺骗攻击设备的包处理， 通过丢弃ARP欺骗攻击设备的包， 实现对ARP欺骗 攻击的包进行拦截， 使网关不再应答ARP欺骗请求。 4.根据权利 要求3所述的基于政企网关的防ARP欺骗方法， 其特征在于， 所述丢弃ARP欺 骗攻击设备的包通过设置ARP_CHEAT规则链实现， 在 进行包处理时， 先读取ARP欺骗数据库， 再检查防ARP欺骗开关是否开启； 若开启， 则将ARP欺骗攻击设备添加至ARP_CHEAT规则链 中。 5.根据权利 要求4所述的基于政企网关的防ARP欺骗方法， 其特征在于， 在所述防ARP欺 骗开关关闭后， 清除ARP_C HEAT规则链。 6.根据权利 要求1~5任意所述方法的防ARP欺骗系统， 其特征在于， 包括A RP欺骗攻击识 别模块、 包处 理模块和开关控制模块； 所述ARP欺骗攻击识别 模块用于对A RP欺骗攻击进行识别， 在用户设备动态或者静态接 入网关时， 网关会通过D HCP协议或者ARP协议 发现设备， 并且将设备信息记录到网关的设备 管理记录表中； 当设备信息有改变时， 网关会更新设备管理记录表； 新设备上线， 当上线设 备与设备管理记录表中的某一在 线设备MAC地址一样， 但是IP不一样， 此IP又与设备记录表 中的另一在线设备IP一样， 则认为新上线设备为ARP欺骗攻击设备； 并存储ARP欺骗攻击设 备信息； 所述包处 理模块用于对ARP欺骗攻击的包进行拦截， 网关不再应答ARP欺骗请求； 所述开关控制模块在网关页面进行设置， 开关打开后， 设置开关打开标记， 开关控制模 块读取ARP欺骗数据库， 若数据库中有设备信息， 且设备未被ARP_CHEAT规则链设置过， 则添 加设备信息到ARP_CHEAT规则链中； 若 数据库中没有设备信息， 等待识别模块 发现新的攻击 设备后， 添加设备信息 到ARP_CHEAT规则链中； 开关 关闭后， 清除ARP_C HEAT规则链。权　利　要　求　书 1/1 页 2 CN 114244801 A 2一种基于政企网关的防AR P欺骗方法及系统 技术领域 [0001]本发明涉及网络通信安全技术领域， 尤其涉及一种基于政企网关的防ARP欺骗方 法及系统。 背景技术 [0002]ARP欺骗， 是指利用ARP协议的漏洞， 通过向目标主机发送虚假ARP报文， 冒充目标 主机， 截取本应发往目标主机的报文， 以此实现监听或截获目标主机通信数据的一种手段。 如果使用ARP欺骗同时冒充通信双方， 就能实现 “中间人攻击 ”。 严重时ARP欺骗能造成网络 的拥塞甚至大面积的网络瘫 痪等， 对网络的管理及其 安全的危害提出了严峻的考验。 [0003]政企网关， 是政企网络与外部网络的接口单元， 政企网关对所有LAN侧接入政企网 络的设备进行管理。 政企网络中， 接入设备众多， 若有用户通过伪造IP地址和 MAC地址进行 ARP欺骗， 则会在网络中产生大量的ARP通信量使网络阻塞， 攻击者只要持续不 断的发出伪 造的ARP响应包就能更改目标主机ARP缓存中的IP ‑MAC条目， 造成网络中断或中间人攻击。 因此， 在网关上实现防止ARP欺骗攻击的功能显得 尤为重要。 [0004]在申请号为CN201510617397.3中公开了一种路由器及其防ARP攻击的方法的授权 发明专利， 其具体为接收ARP报文； 解析接收的所述ARP报文中的发送者的MAC地址和IP地 址； 将所述解析得到的MAC地址和IP地址同预先存储的名单链表比对， 并判断所述解析得到 的MAC地址和IP地址是否为攻击地址； 如果为攻击地址， 则丢弃所述ARP报文； 如果不是攻击 地址， 则放行所述ARP报文； 以实现对ARP报文 是否为欺骗报文的判断。 但是该方案是针对如 何通过路 由器来防止ARP攻击， 对于政企网关并不适用， 因为政企网关接入设备众多， 且对 网络速度稳定性要求高， 在防ARP攻击的同时， 还需保证占用的网络资源少； 同时该方案通 过预先存储名单来进 行对比， 在目前的适用性也大不如前， 随着设备使用时间的推移， 该方 案预存名单会越来越长， 尤其是该方案中的白名单， 因而对比所花费 的时间也将延长， 同时 由于是向一对MAC地址和IP地址与预存名单中的数据进行比对， 首先白名单链表或者黑名 单链表的来源并不清楚； 同时MAC地址和IP地址都 需要与预存名单的数据一致， 这对于是否 为ARP攻击的判断是不太准确的， 因为在政企网关中， 设备的IP是由网关分配的， 而分给同 一个设备的IP也可能会发生变化， 即出现同一个设备第一上线与第二次上线的IP地址是不 一样的； 但并不能说明该设备就是攻击设备。 发明内容 [0005]本发明的目的在于克服现有技术的不足， 提供一种基于政企网关的防ARP欺骗方 法及系统。 [0006]本发明的目的是通过以下技 术方案来实现的： 一种基于政企网关的防ARP欺骗方法， 包括以下步骤： 步骤1： 当用户设备动态或者静态接入网关时， 网关通过DHCP协议或者ARP协议发 现设备， 并将接入用户设备的IP地址以及MAC地址记录 到设备管理记录表中；说　明　书 1/4 页 3 CN 114244801 A 3