专利名称:实现数字电视前端设备抵御arp攻击的方法
技术领域:
本发明涉及数字电视技术领域,尤其涉及一种实现数字电视前端设备抵御ARP攻击的方法。
背景技术:
近些年国内IP数字电视前端设备技术发展迅速,同时通过网络传输而带来的安全隐患也凸显出来。针对网络传输有多种方式,其中,最普遍的一种网络攻击是ARP欺骗。 ARP欺骗不仅能干扰控制服务器和前端设备之间的通信,而且还能截获控制服务器和前端设备的通信数据,造成安全隐患。如图I所示,服务器和数字电视前端设备之间通过交换机连接,另一台与数字电视前端设备具有相同IP地址的伪设备也连接在交换机上,伪设备可以通过发送ARP的方式修改交换机和服务器的动态ARP表里的MAC地址,那么服务器发送的数据就会直接发送到与数字电视前端设备具有相同IP地址的伪设备上。伪设备可以利用截获的服务器数据,解析出服务器与数字电视前端设备之间通信的命令格式,更进一步, 伪设备还可以获取更深层次的数据,导致安全隐患。
发明内容
本发明的目的就是为了解决ARP攻击会造成数字电视前端设备无法正常工作以及数字电视前端系统存在安全隐患等问题,提出了一种实现数字电视前端设备抵御ARP攻击的方法,在服务器端利用静态ARP表,将IP地址与MAC地址绑定,达到定向收发数据的目的,解决了 ARP攻击造成的安全隐患问题。为了实现上述目的,本发明采用如下技术方案
一种实现数字电视前端设备抵御ARP攻击的方法,它的流程为
51:服务器与数字电视前端设备建立连接;
52:服务器运行server进程,判断静态ARP表是否存在与数字电视前端设备对应的 IP-MAC项,若不存在,则转步骤S7 ;若存在,则转步骤S3 ;
53:服务器等待数字电视前端设备发送静态ARP表更新请求;
S4:判断数字电视前端设备是否满足发送静态ARP表更新请求的条件,若不满足,转步骤S3 ;若满足,则转步骤S5 ;
55:数字电视前端设备向服务器发送静态ARP表更新请求;
56:服务器接收静态ARP表更新请求;
57:服务器发送静态ARP表更新算法给数字电视前端设备;
58:数字电视前端设备根据静态ARP表更新算法将数字电视前端设备相关信息封装成静态ARP表更新包,并将静态ARP表更新包发送给服务器;
59:服务器接收静态ARP表更新包,根据静态ARP表更新算法解析静态ARP表更新包得到数字电视前端设备的IP地址与MAC地址,更新服务器中的静态ARP表。所述步骤S9之后还包括
510:数字电视前端设备每隔一段时间发送一次免费ARP ;
511:数字电视前端设备判断是否收到免费ARP的回复,若未收到,转步骤S10;若有收到,转步骤S12 ;
512:数字电视前端设备向服务器发送结束连接请求;
513:服务器结束与数字电视前端设备的连接。所述数字电视前端设备相关信息至少包括IP地址与MAC地址。步骤SlO中,所述数字电视前端设备发送免费ARP的时间间隔为3-10分钟。所述数字电视前端设备设有计时机制,在一定时间内不重复回复同一个IP地址发来的ARP请求。所述服务器存储有数字电视前端设备的IP地址信息,负责对数字电视前端设备进行配置和监控。所述发送静态ARP表更新请求的条件是数字电视前端设备收到服务器的连接请求;或者数字电视前端设备的IP-MAC地址发生改变。所述数字电视前端设备至少包括调制器、复用器、加扰器。步骤SI中,所述服务器与数字电视前端设备通过私有协议建立连接。本发明的有益效果是本发明通过私有协议建立服务器与数字电视前端设备之间的连接,并通过在服务器上设置静态ARP表,绑定数字电视前端设备的IP与MAC地址,实现数据定向发送,可有效解决ARP攻击造成的安全隐患。
图I是目前存在ARP攻击安全隐患的系统的结构示意图2是本发明所述方法的流程图3是本发明所述数字电视前端设备正常工作时的流程图。
具体实施例方式下面结合附图与实施例对本发明作进一步说明。此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意实施例及其说明用于解释本发明,并不构成对本发明的不当限定。如附图2所示,实现数字电视前端设备抵御ARP攻击的方法,它的流程为
Si:服务器与数字电视前端设备建立连接;
52:服务器运行server进程,判断静态ARP表是否存在与数字电视前端设备对应的 IP-MAC项,若不存在,则转步骤S7 ;若存在,则转步骤S3 ;
53:服务器等待数字电视前端设备发送静态ARP表更新请求;
54:判断数字电视前端设备是否满足发送静态ARP表更新请求的条件,若不满足,转步骤S3 ;若满足,则转步骤S5 ;
55:数字电视前端设备向服务器发送静态ARP表更新请求;
56:服务器接收静态ARP表更新请求;57:服务器发送静态ARP表更新算法给数字电视前端设备;
58:数字电视前端设备根据静态ARP表更新算法将数字电视前端设备相关信息封装成静态ARP表更新包,并将静态ARP表更新包发送给服务器;
59:服务器接收静态ARP表更新包,根据静态ARP表更新算法解析静态ARP表更新包得到前端设备的IP地址与MAC地址,更新服务器中的静态ARP表。所述服务器与数字电视前端设备通过私有协议建立连接。所述数字电视前端设备包括调制器、复用器、加扰器。所述服务器存储有数字电视前端设备的IP地址,负责对数字电视前端设备进行配置和监控。所述发送静态ARP表更新请求的条件是数字电视前端设备收到服务器的连接请求;或者数字电视前端设备的IP-MAC地址发生改变。所述数字电视前端设备相关信息至少包括数字电视前端设备的IP地址与MAC地址。如附图3所示,数字电视前端设备正常工作时的流程为,
510:数字电视前端设备每隔5分钟发送一次免费ARP ;
511:数字电视前端设备判断是否收到免费ARP的回复,若未收到,转步骤S10;若有收到,转步骤S12 ;
512:数字电视前端设备向服务器发送结束连接请求;
513:服务器结束与数字电视前端设备的连接。所述数字电视前端设备设有计时机制,在一定时间内不重复回复同一个IP地址发来的ARP请求。上述为本发明的较优实施例,在本发明的技术方案的基础上,做出的各种修改或变形仍属于本发明的保护范围。
权利要求
1.一种实现数字电视前端设备抵御ARP攻击的方法,其特征是,它的步骤为Si:服务器与数字电视前端设备建立连接;52:服务器运行server进程,判断静态ARP表是否存在与数字电视前端设备对应的 IP-MAC项,若不存在,则转步骤S7 ;若存在,则转步骤S3 ;53:服务器等待数字电视前端设备发送静态ARP表更新请求;54:判断数字电视前端设备是否满足发送静态ARP表更新请求条件,若不满足,转步骤 S3 ;若满足,则转步骤S5 ;55:数字电视前端设备向服务器发送静态ARP表更新请求;56:服务器接收静态ARP表更新请求;57:服务器发送静态ARP表更新算法给数字电视前端设备;58:数字电视前端设备根据静态ARP表更新算法将数字电视前端设备相关信息封装成静态ARP表更新包,并将静态ARP表更新包发送给服务器;59:服务器接收静态ARP表更新包,根据静态ARP表更新算法解析静态ARP表更新包得到前端设备的IP地址与MAC地址,更新服务器中的静态ARP表。
2.如权利要求I所述的实现数字电视前端设备抵御ARP攻击的方法,其特征是,所述步骤S9之后还包括510:数字电视前端设备每隔一段时间发送一次免费ARP ;511:数字电视前端设备判断是否收到免费ARP的回复,若未收到,转步骤S10;若有收到,转步骤S12 ;512:数字电视前端设备向服务器发送结束连接请求;513:服务器结束与数字电视前端设备的连接。
3.如权利要求I所述的实现数字电视前端设备抵御ARP攻击的方法,其特征是,所述数字电视前端设备相关信息至少包含数字电视前端设备的IP地址与MAC地址。
4.如权利要求I所述的实现数字电视前端设备抵御ARP攻击的方法,其特征是,所述服务器存储有数字电视前端设备的IP地址信息,负责对数字电视前端设备进行配置和监控。
5.如权利要求I所述的实现数字电视前端设备抵御ARP攻击的方法,其特征是,所述发送静态ARP表更新请求条件是数字电视前端设备收到服务器的连接请求;或者数字电视前端设备的IP-MAC地址发生改变。
6.如权利要求I所述的实现数字电视前端设备抵御ARP攻击的方法,其特征是,所述数字电视前端设备至少包括调制器、复用器、加扰器。
7.如权利要求I所述的实现数字电视前端设备抵御ARP攻击的方法,其特征是,所述步骤Si中,服务器与数字电视前端设备通过私有协议建立连接。
8.如权利要求2所述的实现数字电视前端设备抵御ARP攻击的方法,其特征是,所述步骤SlO中,数字电视前端设备发送免费ARP的时间间隔为3-10分钟。
9.如权利要求2所述的实现数字电视前端设备抵御ARP攻击的方法,其特征是,所述数字电视前端设备设有计时机制,在一定时间内不重复回复同一个IP地址发来的ARP请求。
全文摘要
本发明涉及一种实现数字电视前端设备抵御ARP攻击的方法,它包括S1服务器与数字电视前端设备建立连接;S2服务器运行server进程,判断静态ARP表是否存在与数字电视前端设备对应的IP-MAC项,若不存在,转S7;若存在,转S3;S3服务器等待接收静态ARP表更新请求;S4判断数字电视前端设备是否满足发送静态ARP表更新请求条件,若不满足,转S3;若满足,转S5;S5数字电视前端设备发送静态ARP表更新请求;S6服务器接收静态ARP表更新请求;S7服务器发送静态ARP表更新算法;S8数字电视前端设备根据静态ARP表更新算法将数字电视前端设备相关信息封装成静态ARP表更新包;S9服务器接收静态ARP表更新包,更新静态ARP表。本发明可有效解决ARP攻击造成的安全隐患。
文档编号H04N21/643GK102595250SQ20121005571
公开日2012年7月18日 申请日期2012年3月5日 优先权日2012年3月5日
发明者李如飞 申请人:山东泰信电子有限公司