專利名稱:防止arp地址欺騙攻擊的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域��,尤其涉及一種網(wǎng)絡(luò)中防止ARP地址欺騙攻 擊的方法及裝置�。
背景技術(shù):
在目前的網(wǎng)絡(luò)環(huán)境下���,ARP (Address Resolution Protocol,地址解析協(xié) 議)作為TCP/IP (Transmission Control Protocol傳輸控制協(xié)議/lnternet Protocol互聯(lián)網(wǎng)協(xié)議)協(xié)議棧中較低層的協(xié)議之一��,其作用是實(shí)現(xiàn)IP地址到 MAC地址(Media Access Control, 4某質(zhì)接入控制)��,也就是以太網(wǎng)物理地址 的轉(zhuǎn)換。網(wǎng)絡(luò)設(shè)備之間的通信是使用MAC地址來(lái)尋址的����,而基于TCP/IP的各 種應(yīng)用是以IP地址來(lái)尋址的,基于IP地址尋址的各種數(shù)據(jù)包最終都需要封裝在 基于MAC地址尋址的以太網(wǎng)幀內(nèi)進(jìn)行傳輸����。因此,網(wǎng)絡(luò)設(shè)備在進(jìn)行通信時(shí)���,需 要通過(guò)協(xié)議/人對(duì)端的IP地址解析出對(duì)端的MAC地址�����,完成這一解析過(guò)程的協(xié)議 就是ARP協(xié)議�����。
為了加快地址轉(zhuǎn)換的速度�,網(wǎng)絡(luò)設(shè)備在實(shí)現(xiàn)ARP協(xié)議時(shí)都會(huì)用到ARP緩存 技術(shù),也就是在本地通過(guò)表結(jié)構(gòu)來(lái)緩存一定數(shù)量的地址映射關(guān)系�����,這張表通常 叫做ARP緩存表(簡(jiǎn)稱ARP表)���。ARP緩存表項(xiàng)的來(lái)源有兩種途徑 一種是根 據(jù)ARP報(bào)文動(dòng)態(tài)生成����,即設(shè)備可以從ARP請(qǐng)求報(bào)文或ARP響應(yīng)報(bào)文中學(xué)習(xí)到IP 地址與MAC地址的映射關(guān)系�����,并生成動(dòng)態(tài)的ARP緩存表項(xiàng)�; 一種是由手動(dòng)靜態(tài) 配置而生成。為了保持動(dòng)態(tài)ARP緩存表項(xiàng)的有效性��,這些動(dòng)態(tài)表項(xiàng)在經(jīng)過(guò)一定 時(shí)間后就會(huì)老化掉��,而靜態(tài)配置的ARP緩存表項(xiàng)不會(huì)被老化�,它的增加或刪除 都需要通過(guò)手動(dòng)的方式來(lái)進(jìn)行��。
ARP協(xié)議的處理過(guò)程比較復(fù)雜���,通常是由轉(zhuǎn)發(fā)平面在接收到ARP報(bào)文后上
傳到控制平面進(jìn)行處理,控制平面生成ARP緩存表項(xiàng)��,再下發(fā)到轉(zhuǎn)發(fā)平面的
ARP緩存表中供轉(zhuǎn)發(fā)平面封裝發(fā)送報(bào)文時(shí)使用��。由于目前ARP協(xié)議的處理過(guò)程 只是筒單地提供了高層協(xié)議地址與低層物理地址之間的相互映射��,并沒有為這 種映射提供任何的安全認(rèn)證手段�,在上網(wǎng)接入等較復(fù)雜的網(wǎng)絡(luò)環(huán)境下,這種簡(jiǎn) 單性和開放性就為各種地址欺騙攻擊留下了可乘之機(jī)�。這里所述的ARP地址欺 騙攻擊一般是以竊取用戶私密信息為目的��,通過(guò)發(fā)送具有錯(cuò)誤地址映射關(guān)系的 ARP請(qǐng)求或ARP響應(yīng)報(bào)文來(lái)污染網(wǎng)絡(luò)設(shè)備的ARP緩存表�,使網(wǎng)絡(luò)設(shè)備將數(shù)據(jù)報(bào) 文發(fā)送到錯(cuò)誤的物理地址,從而達(dá)到攻擊目的�����,這里所述的網(wǎng)絡(luò)設(shè)備可以是網(wǎng) 關(guān)或主機(jī)�,也可以是其他的網(wǎng)絡(luò)設(shè)備。目前為了解決網(wǎng)絡(luò)設(shè)備ARP緩存表遭受 地址欺騙的問題�����, 一般采用以下幾種方法 1 ) sticky ARP方案(粘性ARP方案)
啟用sticky ARP特性后,不論是通itARP請(qǐng)求報(bào)文還是ARP響應(yīng)報(bào)文學(xué)習(xí) 到的ARP緩存表項(xiàng)在老化之前將不再進(jìn)行更新�,在老化時(shí)間到達(dá)后,該ARP緩 存表項(xiàng)被刪除��,可以開始新的學(xué)習(xí)過(guò)程��。這種實(shí)現(xiàn)方案較為簡(jiǎn)單�,但也帶來(lái)了 一個(gè)問題,就是一旦ARP攻擊報(bào)文先于正常ARP報(bào)文在網(wǎng)絡(luò)設(shè)備中生成了 ARP 緩存表項(xiàng)�����,正常主機(jī)就無(wú)法在網(wǎng)絡(luò)設(shè)備中形成正確的ARP緩存表項(xiàng)�����,從而影響 了正常主機(jī)的使用�,無(wú)法達(dá)到防止ARP地址欺騙攻擊的目的。
2)主動(dòng)—驗(yàn)證方案
網(wǎng)絡(luò)設(shè)備在收到ARP請(qǐng)求報(bào)文或響應(yīng)報(bào)文后��,根據(jù)該ARP報(bào)文中的IP地 址�,總是向該IP地址發(fā)送一個(gè)ARP請(qǐng)求報(bào)文,以驗(yàn)證地址映射關(guān)系的正確性。 如果該地址不存在����,網(wǎng)絡(luò)設(shè)備將收不到該IP地址對(duì)應(yīng)的ARP響應(yīng)報(bào)文;如果該 I P地址對(duì)應(yīng)的ARP緩存表項(xiàng)中的MAC地址被欺騙了 ��,網(wǎng)絡(luò)設(shè)備將收到 一個(gè)具有 不同MAC地址的ARP響應(yīng)報(bào)文����。不論是哪種情況,網(wǎng)絡(luò)設(shè)備都可以感知到欺騙 的發(fā)生��,從而可以根據(jù)情況進(jìn)行相應(yīng)的處理��。這種方案的缺點(diǎn)是對(duì)于每一個(gè)IP 地址的ARP報(bào)文都會(huì)有一個(gè)這樣的驗(yàn)證過(guò)程�����,那么在沒有欺騙攻擊發(fā)生的情況下就會(huì)浪費(fèi)網(wǎng)絡(luò)的帶寬和性能�����。
綜上所述����,在實(shí)現(xiàn)本發(fā)明過(guò)程中��,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問
題現(xiàn)有防止ARP地址欺騙攻擊的方法缺乏可靠、有效的驗(yàn)證機(jī)制����,在沒有欺
騙攻擊發(fā)生的情況下將會(huì)浪費(fèi)網(wǎng)絡(luò)的帶寬和性能。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例所要解決的技術(shù)問題在于提供一種防止ARP地址欺騙攻擊 的方法及裝置��,能夠進(jìn)行可靠����、有效的ARP地址驗(yàn)證,減少報(bào)文交互過(guò)程����,節(jié) 省網(wǎng)絡(luò)資源。
本發(fā)明實(shí)施例是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的
一種防止ARP地址欺騙攻擊的方法�����,包括
當(dāng)ARP表項(xiàng)為可更新狀態(tài)時(shí)�����,判斷所收到的與所述ARP表項(xiàng)具有相同IP地 址的ARP報(bào)文中的MAC地址����,和所iiARP表項(xiàng)中MAC地址是否相同���;
若不相同,則所收到的所述ARP報(bào)文為引起歧義的ARP報(bào)文��,并發(fā)起ARP 驗(yàn)證過(guò)程���;反之���,則不進(jìn)行ARP驗(yàn)證過(guò)程。
本發(fā)明實(shí)施例還提供一種防止ARP地址欺騙攻擊的裝置�����,包括
接收判斷單元����,用于當(dāng)ARP表項(xiàng)為可更新狀態(tài)時(shí),判斷所接收到的與所述 ARP表項(xiàng)具有相同IP地址的ARP報(bào)文中的MAC地址�,和所述ARP表項(xiàng)中的 MAC地址是否相同;
若不相同��,則判斷所收到的所述ARP報(bào)文為引起歧義的ARP報(bào)文��,并將判 斷結(jié)果上傳����;
驗(yàn)證單元,用于根據(jù)所述接收判斷單元上傳的判斷結(jié)果�,發(fā)起ARP驗(yàn)證過(guò)程。
由上述所提供的技術(shù)方案可以看出���,在沒有收到引起歧義的ARP表項(xiàng)更新 時(shí)�,是不進(jìn)行ARP驗(yàn)證過(guò)程的��,這樣就可以減少報(bào)文交互的過(guò)程�,節(jié)省了網(wǎng)絡(luò) 資源。
圖1為本發(fā)明 一個(gè)實(shí)施例中的方法流程示意圖�; 圖2為本發(fā)明一個(gè)實(shí)施例中的裝置結(jié)構(gòu)示意圖; 圖3為本發(fā)明一個(gè)實(shí)施例中的更新標(biāo)志狀態(tài)變化示意圖�����。
具體實(shí)施例方式
本發(fā)明實(shí)施例提供了 一種防止ARP地址欺騙攻擊的方法及裝置����。當(dāng)ARP表 項(xiàng)為可更新狀態(tài)時(shí),若收到的與所述ARP表項(xiàng)具有相同IP地址的ARP報(bào)文中的 MAC地址�,和所述ARP表項(xiàng)中MAC地址不相同�,則可以判斷所收到的ARP報(bào) 文并不是引起歧義的ARP報(bào)文��,也就是說(shuō)并沒有發(fā)生地址欺騙攻擊���,那么就不 需要引入驗(yàn)證過(guò)程��,從而不會(huì)增加驗(yàn)證報(bào)文開銷���;但是一旦后續(xù)收到引起歧義 的ARP報(bào)文,就會(huì)通過(guò)向該IP地址發(fā)出ARP驗(yàn)證請(qǐng)求報(bào)文來(lái)發(fā)起一個(gè)ARP驗(yàn)證 過(guò)程�。這樣就可以在沒有收到引起歧義的ARP報(bào)文時(shí),也就是在沒有發(fā)生地址 欺騙時(shí)����,不產(chǎn)生額外的驗(yàn)證報(bào)文,從而減少報(bào)文交互的過(guò)程�����,節(jié)省了網(wǎng)絡(luò)資源���。
另外�����,當(dāng)ARP表項(xiàng)為不可更新狀態(tài)時(shí)��,表明該ARP表項(xiàng)已經(jīng)被固定��,那么 再收到ARP報(bào)文時(shí)�,是不需要對(duì)該ARP報(bào)文中的MAC地址進(jìn)行判斷的�,也同樣 不需要引入驗(yàn)證過(guò)程,也不會(huì)增加驗(yàn)證報(bào)文的開銷�。
同時(shí)在正常情況下,所述的ARP驗(yàn)證請(qǐng)求報(bào)文發(fā)出后會(huì)收到ARP驗(yàn)證響應(yīng) 報(bào)文����,網(wǎng)絡(luò)設(shè)備就可以將ARP驗(yàn)證響應(yīng)報(bào)文中的MAC地址、所述ARP表項(xiàng)中的
比較結(jié)果做出最優(yōu)判決并決定真正的MAC地址��,則將真正的MAC地址的ARP 表項(xiàng)作為最優(yōu)判決的ARP表項(xiàng)���,并固定該最優(yōu)判決的ARP表項(xiàng)����,也就是將其變 為不可更新的狀態(tài)�����,且該狀態(tài)將一直持續(xù)到該ARP表項(xiàng)被老化為止。這樣就可 以拒絕隨時(shí)可能發(fā)生的欺騙攻擊���,有效防止采用隨機(jī)掃描方式進(jìn)行的地址#夂騙 攻擊�����,保護(hù)實(shí)際存在的主機(jī)的正常應(yīng)用����。
為更好的描述本發(fā)明實(shí)施例���,現(xiàn)結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施例進(jìn)行說(shuō)
明
如圖1所示為本發(fā)明實(shí)施例所述方法的流程示意圖�����,圖中包括 步驟11:判斷是否收到引起歧義的ARP報(bào)文�����。
當(dāng)ARP表項(xiàng)為可更新狀態(tài)時(shí)�����,例如在ARP表項(xiàng)進(jìn)行初始學(xué)習(xí)時(shí)�����,其過(guò)程和 正常的處理方式是一樣的�,也就是通過(guò)ARP請(qǐng)求報(bào)文或ARP響應(yīng)報(bào)文學(xué)習(xí)生成 相應(yīng)的ARP表項(xiàng),并將其作為初始學(xué)習(xí)到的ARP表項(xiàng)來(lái)正常使用�����,即網(wǎng)絡(luò)設(shè)備 利用其來(lái)封裝轉(zhuǎn)發(fā)報(bào)文����,此時(shí)初始學(xué)習(xí)到的ARP表項(xiàng)就為可更新狀態(tài)����。
如果之后收到的與所述ARP表項(xiàng)具有相同IP地址的ARP報(bào)文,是引起歧義 的ARP報(bào)文����,也就是說(shuō)該ARP報(bào)文中的MAC地址和所述ARP表項(xiàng)中的MAC地 址不一樣,那么該ARP報(bào)文就是引起歧義的ARP報(bào)文���,則此時(shí)就需要針對(duì)所述 ARP表項(xiàng)進(jìn)行驗(yàn)證����,即執(zhí)行步驟12,如果收到的ARP報(bào)文中的MAC地址和所 述ARP表項(xiàng)中的MAC地址一樣����,則執(zhí)行步驟13。
步驟12:發(fā)起ARP驗(yàn)證過(guò)程���,然后執(zhí)行步驟14����。
這里所述的ARP驗(yàn)證過(guò)程的方法是向該IP地址發(fā)送ARP請(qǐng)求報(bào)文����,通過(guò)收 到的ARP驗(yàn)證響應(yīng)報(bào)文中包含的MAC地址來(lái)進(jìn)行驗(yàn)證判斷。舉例來(lái)說(shuō)����,可以采 用廣播的形式向網(wǎng)段內(nèi)所有的網(wǎng)絡(luò)設(shè)備發(fā)送ARP請(qǐng)求報(bào)文,請(qǐng)求該IP地址的 MAC地址�����;擁有該IP地址的網(wǎng)絡(luò)設(shè)備在收到ARP請(qǐng)求報(bào)文之后����,就會(huì)向請(qǐng)求者 單播發(fā)送ARP響應(yīng)報(bào)文來(lái)通知自己的MAC地址�;網(wǎng)絡(luò)設(shè)備�,也就是請(qǐng)求者在收 到該ARP響應(yīng)報(bào)文之后,就可以利用該ARP響應(yīng)報(bào)文中包含的MAC地址來(lái)進(jìn)行 驗(yàn)證判斷了����。
另外,在發(fā)起ARP驗(yàn)證過(guò)程中��,還需要對(duì)所述ARP表項(xiàng)進(jìn)行設(shè)置�����,表明它 只接收ARP響應(yīng)的更新��,也就是說(shuō)在收到ARP驗(yàn)證響應(yīng)報(bào)文之前�,它的表項(xiàng)內(nèi) 容是不更新的�����,這樣就能夠避免在收到ARP驗(yàn)證響應(yīng)報(bào)文之前���,表項(xiàng)內(nèi)容發(fā)生 了更新變化����,使得無(wú)法進(jìn)行相應(yīng)的驗(yàn)證判斷。
步驟13:不進(jìn)行ARP驗(yàn)證過(guò)程�����,將所述ARP表項(xiàng)作為正常的ARP表項(xiàng)來(lái)使200710121472.2
說(shuō)明書第6/10頁(yè)用�。
這樣由于沒有51入驗(yàn)證過(guò)程,所以也不會(huì)增加驗(yàn)證才艮文開銷���,從而就可以 在沒有發(fā)生地址欺騙時(shí)�����,不產(chǎn)生額外的驗(yàn)證報(bào)文��,減少了報(bào)文交互的過(guò)程���,節(jié) 省了網(wǎng)絡(luò)資源。
步驟14:進(jìn)行比較和最優(yōu)判決�����。在執(zhí)行步驟12時(shí)�����,也就是發(fā)起ARP驗(yàn)證過(guò) 程時(shí),需要利用ARP驗(yàn)證響應(yīng)報(bào)文中包含的MAC地址來(lái)進(jìn)行驗(yàn)證判斷�����,具體來(lái) 說(shuō)就是將ARP驗(yàn)證響應(yīng)報(bào)文中的MAC地址�、所述ARP表項(xiàng)中的MAC地址以及 所述51起歧義的ARP報(bào)文中的MAC地址進(jìn)行比較。
若收到 一個(gè)相同��,
MAC地址相同���,或者是與引起歧義的ARP報(bào)文中的MAC地址相同時(shí)�,則可以 做出最優(yōu)判決���,將具有相同MAC地址的ARP表項(xiàng)作為最優(yōu)判決的ARP表項(xiàng),然 后再執(zhí)行步驟15;若收到的ARP驗(yàn)證響應(yīng)報(bào)文中的MAC地址與上述其他兩個(gè) MAC地址都不相同��,此時(shí)就無(wú)法做出最優(yōu)判決���,則執(zhí)行步驟16�����。 步驟15:固定所述的最優(yōu)判決的ARP表項(xiàng)����,然后執(zhí)行步驟17。 這里所述的固定最優(yōu)判決的ARP表項(xiàng)�,具體來(lái)說(shuō)就是在該最優(yōu)判決的ARP 表項(xiàng)老化之前,不對(duì)其進(jìn)行更新����,從而拒絕了隨時(shí)可能發(fā)生的地址欺騙攻擊, 使驗(yàn)證過(guò)程更加的可靠��、有效����。
步驟16:維持所述ARP表項(xiàng)。也就是維持原來(lái)的ARP表項(xiàng)不變����,仍然將其 作為正常表項(xiàng)來(lái)使用,然后返回執(zhí)行步驟11�����,也就是再次判斷是否收到引起歧 義的ARP報(bào)文���。
步驟17:老化前進(jìn)行新一輪更新����。具體來(lái)說(shuō)就是,在所述最優(yōu)判決的ARP 表項(xiàng)老化之前�����,會(huì)重新發(fā)送ARP請(qǐng)求�����,進(jìn)行新一輪的更新學(xué)習(xí)過(guò)程�。
另夕卜,還可以對(duì)所述ARP表項(xiàng)設(shè)置計(jì)數(shù)器��,當(dāng)所述的ARP-驗(yàn)證過(guò)程的次數(shù)����, 在該表項(xiàng)的 一個(gè)老化周期內(nèi)達(dá)到所述計(jì)數(shù)器設(shè)置的次數(shù)后�,就不再發(fā)起針對(duì)所
10
述ARP表項(xiàng)的驗(yàn)證過(guò)程,這樣就可以防止在遭受大流量地址欺騙時(shí)�����,網(wǎng)絡(luò)設(shè)備 發(fā)送過(guò)多的驗(yàn)證報(bào)文而消耗過(guò)度的CPU資源,節(jié)省了設(shè)備資源��。
本發(fā)明實(shí)施例還提供了 一種防止ARP地址欺騙攻擊的裝置�����,如圖2所示為 所述裝置的結(jié)構(gòu)示意圖�����,包括接收判斷單元和驗(yàn)證單元��,其中接收判斷單元用 于當(dāng)ARP表項(xiàng)為可更新狀態(tài)時(shí)�����,判斷所接收到的與所述ARP表項(xiàng)具有相同IP地 址的ARP報(bào)文中的MAC地址�,和所述ARP表項(xiàng)中的MAC地址是否相同;
若不相同��,則判斷所收到的所述ARP報(bào)文為引起歧義的ARP報(bào)文�,并將判 斷結(jié)果上傳;若相同�����,則判斷沒有接收到引起歧義的ARP報(bào)文,那么可以不進(jìn) 行才喿作���,維持現(xiàn)狀���,或?qū)⒉贿M(jìn)行操作的結(jié)果上傳。
驗(yàn)證單元用于根據(jù)所述接收判斷單元上傳的判斷結(jié)果��,發(fā)起ARP驗(yàn)證過(guò) 程��。驗(yàn)證過(guò)程可以是采用廣播的形式向網(wǎng)段內(nèi)所有的網(wǎng)絡(luò)設(shè)備發(fā)送ARP請(qǐng)求報(bào) 文���,請(qǐng)求需要判斷的IP地址的MAC地址�;擁有該IP地址的網(wǎng)絡(luò)設(shè)備在收到ARP 請(qǐng)求報(bào)文之后��,就會(huì)向請(qǐng)求者單播發(fā)送ARP響應(yīng)報(bào)文來(lái)通知自己的MAC地址�����; 網(wǎng)絡(luò)設(shè)備�����,也就是請(qǐng)求者在收到該ARP響應(yīng)報(bào)文之后��,就可以利用該ARP響應(yīng) 報(bào)文中包含的MAC地址來(lái)進(jìn)行驗(yàn)證判斷了 �����。
另外��,所述的裝置中還包括比較單元����,用于在所述驗(yàn)證單元發(fā)起ARP驗(yàn)證 過(guò)程中,將ARP驗(yàn)證響應(yīng)報(bào)文中的MAC地址���、所述ARP表項(xiàng)中的MAC地址以 及所述引起歧義的ARP報(bào)文中的MAC地址進(jìn)行比較�����。若所述ARP驗(yàn)證響應(yīng)報(bào)文 中的MAC地址與其他兩個(gè)MAC地址中的一個(gè)相同時(shí)���,則啦夂出最優(yōu)判決,具有 相同MAC地址的ARP表項(xiàng)為所述最優(yōu)判決的ARP表項(xiàng)�����;若所述ARP驗(yàn)證響應(yīng)報(bào) 文中的MAC地址與其他兩個(gè)MAC地址都不相同時(shí)���,則無(wú)法做出最優(yōu)判決��。���。
另外�����,所述的裝置中還包括判決執(zhí)行單元���,用于根據(jù)所述比較單元的判決 結(jié)果執(zhí)行相應(yīng)的操作,具體來(lái)說(shuō)就是若所述比較單元做出最優(yōu)判決����,則固定 所述最優(yōu)判決的ARP表項(xiàng),也就是在該最優(yōu)判決的ARP表項(xiàng)老化之前����,不對(duì)其 進(jìn)行更新,從而拒絕了隨時(shí)可能發(fā)生的地址欺騙攻擊��,使驗(yàn)證過(guò)程更加的可靠�����、
有效;若所述比較單元無(wú)法做出最優(yōu)判決��,則維持所iiARP表項(xiàng)��,將其作為正 常的ARP表項(xiàng)來(lái)使用�。
另外�����,在所述的裝置中還可以包括計(jì)數(shù)控制單元��,用于對(duì)所述ARP表項(xiàng)i殳 置計(jì)數(shù)器�,并當(dāng)所述的ARP驗(yàn)證過(guò)程的次數(shù),在該表項(xiàng)的一個(gè)老化周期內(nèi)達(dá)到 所述計(jì)數(shù)器設(shè)置的次數(shù)后��,控制所述的驗(yàn)證單元不再發(fā)起針對(duì)所述ARP表項(xiàng)的 驗(yàn)證過(guò)程�。這樣就可以防止在遭受大流量地址欺騙時(shí),網(wǎng)絡(luò)設(shè)備發(fā)送過(guò)多的驗(yàn) 證報(bào)文而消耗過(guò)度的CPU資源����,節(jié)省了設(shè)備資源。
為進(jìn)一步描述本發(fā)明實(shí)施例���,現(xiàn)結(jié)合具體的實(shí)施例對(duì)其技術(shù)方案作進(jìn)一步 說(shuō)明���,以防止網(wǎng)絡(luò)設(shè)備中ARP表被欺騙為例進(jìn)行說(shuō)明如下
在開始時(shí)�����,網(wǎng)絡(luò)設(shè)備中ARP表項(xiàng)的初始學(xué)習(xí)過(guò)程與正常的處理方法是一樣 的��,也就是說(shuō)不論是ARP請(qǐng)求報(bào)文還是ARP響應(yīng)報(bào)文�,網(wǎng)絡(luò)設(shè)備都會(huì)從最初收 到的ARP報(bào)文中生成相應(yīng)的ARP表項(xiàng)�����,用于封裝轉(zhuǎn)發(fā)報(bào)文�,此時(shí)初始學(xué)習(xí)到的 ARP表項(xiàng)就為可更新狀態(tài)。
圖3是本發(fā)明一個(gè)實(shí)施例中的更新標(biāo)志狀態(tài)變化示意圖�����。如圖3所示���,首先 在ARP表項(xiàng)中設(shè)立一個(gè)更新標(biāo)志�,該標(biāo)志的初始值為O,表明該ARP表項(xiàng)為可 更新狀態(tài)�����,可以更新該ARP表項(xiàng)中的MAC地址;并設(shè)定網(wǎng)絡(luò)設(shè)備中的每個(gè)ARP 表項(xiàng)都可以緩存二個(gè)MAC地址����,其中一個(gè)為主用MAC地址,另一個(gè)為暫存MAC 地址�����。這里將所述ARP表項(xiàng)中的MAC地址�����,也就是初始學(xué)習(xí)到的MAC地址作 為主用的MAC地址���,且下發(fā)到轉(zhuǎn)發(fā)平面的只有主用的MAC地址。
若判斷出收到更新的ARP報(bào)文中的MAC地址與主用的MAC地址不一樣 時(shí)���,也就是收到引起歧義的ARP報(bào)文時(shí)�����,將所述引起歧義的ARP報(bào)文中的MAC 地址作為暫存的MAC地址�,并發(fā)起驗(yàn)證過(guò)程,驗(yàn)證的方法為向該所述ARP 表項(xiàng)中的IP地址發(fā)i^ARP請(qǐng)求報(bào)文�����。
此時(shí)還需要將ARP表項(xiàng)中的更新標(biāo)志轉(zhuǎn)變?yōu)?�����,如圖3中的21所示�,此時(shí)表 明ARP表項(xiàng)只接受ARP響應(yīng)的更新,然后再將驗(yàn)證的ARP請(qǐng)求報(bào)文發(fā)出��,這樣
在收到ARP應(yīng)答報(bào)文之前�����,ARP表項(xiàng)的內(nèi)容是不更新�����,包括暫存的MAC地址也 不更新�����。這樣就能夠避免在收到ARP響應(yīng)報(bào)文之前����,表項(xiàng)內(nèi)容發(fā)生了更新變化��, 使得無(wú)法進(jìn)行相應(yīng)的驗(yàn)證判斷���。
假定目前ARP表項(xiàng)中已有的兩個(gè)MAC地址分別為MAC1和MAC2,其中 MAC1為正在使用的主用MAC地址��,MAC2為引起歧義的暫存MAC地址��,MAC3 為收到的ARP驗(yàn)證響應(yīng)報(bào)文中的發(fā)送方的MAC地址����。那么在收到ARP驗(yàn)證響應(yīng) 報(bào)文之后����,將有可能出現(xiàn)以下三種情況
1) MAC1、 MAC2��、 MAC3各不相同
如圖3中的22所示��,在這種情況下���,無(wú)法做出最優(yōu)判決�,則維持ARP表項(xiàng) 中的MAC1地址,忽略MAC2����, MAC3地址,ARP表項(xiàng)中的更新標(biāo)志變?yōu)镺,此 時(shí)維持所述ARP表項(xiàng)不變�,將其作為正常表項(xiàng)來(lái)使用,同時(shí)表明可以更新該 ARP表項(xiàng)����。
2) MAC1與MAC3相同
如圖3中的23所示,在這種情況下�����,可以做出最優(yōu)判決�,則維持所述ARP 表項(xiàng)中的MAC1地址,將其作為最優(yōu)判決的ARP表項(xiàng)���,并忽略MAC2地址(表 明MAC2是欺騙攻擊)�����。同時(shí)將更新標(biāo)志變?yōu)?��。此時(shí)固定該最優(yōu)判決的ARP 表項(xiàng)���,也就是說(shuō)該表項(xiàng)在老化之前不可更新�����。
3) MAC2與MAC3相同
同樣如圖3中的23所示����,在這種情況下�,可以做出最優(yōu)判決,則更新ARP 表項(xiàng)中的主用MAC地址為MAC2地址(表明MAC1是欺騙攻擊)���,將其作為最 優(yōu)判決的ARP表項(xiàng)�,并刷新轉(zhuǎn)發(fā)平面中的ARP表項(xiàng)��。同時(shí)將更新標(biāo)志變?yōu)?���。 此時(shí)固定該最優(yōu)判決的ARP表項(xiàng),也就是說(shuō)該表項(xiàng)在老化之前不可更新���。
另外���,在最優(yōu)判決的ARP表項(xiàng)老化之前���,會(huì)發(fā)出ARP請(qǐng)求報(bào)文,此時(shí)將更 新標(biāo)志置為0��,如圖3中24所示����。此時(shí)表明可以重新進(jìn)行新一輪的更新。
另外���,為了防止在遭受大流量地址欺騙時(shí)網(wǎng)關(guān)發(fā)送過(guò)多的驗(yàn)證報(bào)文而消耗
過(guò)度的CPU資源�����,還可以對(duì)所述ARP表項(xiàng)設(shè)置計(jì)數(shù)器����,當(dāng)針對(duì)該表項(xiàng)發(fā)出的驗(yàn)
證過(guò)程�,在該表項(xiàng)的一個(gè)老化周期內(nèi)到達(dá)設(shè)定的計(jì)數(shù)后,就不再發(fā)起針對(duì)該表 項(xiàng)的新的驗(yàn)證����,從而節(jié)省了設(shè)備資源。
綜上所述�����,本發(fā)明實(shí)施例可以減少報(bào)文交互的過(guò)程,節(jié)省了網(wǎng)絡(luò)資源�;同 時(shí)可以拒絕隨時(shí)可能發(fā)生的欺騙攻擊,有效防止采用隨機(jī)掃描方式進(jìn)行的地址 欺騙攻擊��,保護(hù)實(shí)際存在的主機(jī)的正常應(yīng)用�����;并且能夠防止在遭受大流量地址 欺騙時(shí)網(wǎng)絡(luò)設(shè)備發(fā)送過(guò)多的驗(yàn)證報(bào)文而消耗過(guò)度的CPU資源����,節(jié)省設(shè)備資源。
以上所述�,僅為本發(fā)明較佳的具體實(shí)施例,但本發(fā)明的保護(hù)范圍并不局限 于此����,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明實(shí)施例揭露的技術(shù)范圍內(nèi),可 輕易想到的變化或替換�,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)�。因此,本發(fā)明的 保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)����。
權(quán)利要求
1���、一種防止ARP地址欺騙攻擊的方法,其特征在于當(dāng)ARP表項(xiàng)為可更新狀態(tài)時(shí)���,判斷所收到的與所述ARP表項(xiàng)具有相同IP地址的ARP報(bào)文中的MAC地址��,和所述ARP表項(xiàng)中MAC地址是否相同���;若不相同,則所收到的所述ARP報(bào)文為引起歧義的ARP報(bào)文�����,并發(fā)起ARP驗(yàn)證過(guò)程����;反之,則不進(jìn)行ARP驗(yàn)證過(guò)程���。
2��、 如權(quán)利要求1所述的防止ARP地址欺騙攻擊的方法�����,其特征在于��,所述 發(fā)起ARP驗(yàn)證過(guò)程����,進(jìn)一步包括 '向所述ARP表項(xiàng)中的IP地址發(fā)送ARP請(qǐng)求報(bào)文,通過(guò)收到的ARP驗(yàn)證響應(yīng) 報(bào)文中的MAC地址來(lái)進(jìn)行驗(yàn)證判斷���。
3�����、 如權(quán)利要求2所述的防止ARP地址欺騙攻擊的方法����,其特征在于����,所述 通過(guò)收到的ARP驗(yàn)證響應(yīng)報(bào)文中的MAC地址來(lái)進(jìn)行驗(yàn)證判斷,進(jìn)一步包括將ARP驗(yàn)證響應(yīng)報(bào)文中的MAC地址�、所述ARP表項(xiàng)中的MAC地址以及所 述引起歧義的ARP報(bào)文中的MAC地址進(jìn)行比較�;同時(shí)��,則做出最優(yōu)判決����,具有相同MAC地址的ARP表項(xiàng)為所述最優(yōu)判決的ARP 表項(xiàng)�,并固定所述最優(yōu)判決的ARP表項(xiàng);若所述ARP驗(yàn)證響應(yīng)報(bào)文中的MAC地址與其他兩個(gè)MAC地址都不相同 時(shí)����,則無(wú)法做出最優(yōu)判決,維持所述ARP表項(xiàng)���。
4�����、 如權(quán)利要求3所述的防止ARP地址欺騙攻擊的方法�����,其特征在于��,所述 固定所述最優(yōu)判決的ARP表項(xiàng)��,具體包括所述最優(yōu)判決的ARP表項(xiàng)為不可更新狀態(tài)����,在所述最優(yōu)判決的ARP表項(xiàng)老 化之前,不對(duì)其進(jìn)行更新����。
5、 如權(quán)利要求1所述的防止ARP地址欺騙攻擊的方法��,其特征在于���,當(dāng)發(fā) 起ARP驗(yàn)證過(guò)程時(shí)�,還包括在收到ARP驗(yàn)證響應(yīng)報(bào)文之前�����,不更新所述ARP表項(xiàng)���。
6����、 如權(quán)利要求1 -5中任一權(quán)利要求所述的防止ARP地址欺騙攻擊的方法�����, 其特征在于,還包括對(duì)所述ARP表項(xiàng)設(shè)置計(jì)數(shù)器��,當(dāng)所述ARP驗(yàn)證過(guò)程的次數(shù)在該表項(xiàng)的一個(gè) 老化周期內(nèi)達(dá)到所述計(jì)數(shù)器設(shè)置的次數(shù)后�����,不再發(fā)起針對(duì)所述ARP表項(xiàng)的驗(yàn)證 過(guò)程��。
7�、 一種防止ARP地址欺騙攻擊的裝置�����,其特征在于���,包括 接收判斷單元�,用于當(dāng)ARP表項(xiàng)為可更新狀態(tài)時(shí)�,判斷所接收到的與所述ARP表項(xiàng)具有相同IP地址的ARP報(bào)文中的MAC地址,和所述ARP表項(xiàng)中的 MAC地址是否相同��;若不相同�,則判斷所收到的所述ARP報(bào)文為引起歧義的ARP報(bào)文�,并將判 斷結(jié)果上傳�;驗(yàn)證單元,用于根據(jù)所述接收判斷單元上傳的判斷結(jié)果�����,發(fā)起ARP驗(yàn)證過(guò)程�����。
8�、 如權(quán)利要求7所述的防止ARP地址欺騙攻擊的裝置,其特征在于����,還包括比較單元,用于在所述驗(yàn)證單元發(fā)起ARP驗(yàn)證過(guò)程中�,將ARP驗(yàn)證響應(yīng)報(bào) 文中的MAC地址、所述ARP表項(xiàng)中的MAC地址以及所述引起歧義的ARP報(bào)文 中的MAC地址進(jìn)行比較�;同時(shí),則做出最優(yōu)判決��,具有相同MAC地址的ARP表項(xiàng)為所述最優(yōu)判決的ARP 表項(xiàng)�����;若所述ARP驗(yàn)證響應(yīng)報(bào)文中的MAC地址與其他兩個(gè)MAC地址都不相同時(shí),則無(wú)法做出最優(yōu)判決���。
9��、 如權(quán)利要求8所述的防止ARP地址欺騙攻擊的裝置����,其特征在于�,還包括判決執(zhí)行單元��,用于才艮據(jù)所述比較單元做出的判決比較結(jié)果執(zhí)行相應(yīng)的操作�����;若所述比較單元做出最優(yōu)判決�����,則固定所述最優(yōu)判決的ARP表項(xiàng)�����;若所述 比較單元無(wú)法做出最優(yōu)判決��,則維持所述ARP表項(xiàng)。
10�、 如權(quán)利要求7 - 9中任一權(quán)利要求所述的防止ARP地址欺騙攻擊的裝 置,其特征在于�,還包括計(jì)數(shù)控制單元,用于對(duì)所述ARP表項(xiàng)設(shè)置計(jì)數(shù)器�����,當(dāng)所述的ARP驗(yàn)證過(guò)程 的次數(shù)在所述ARP表項(xiàng)的一個(gè)老化周期內(nèi)達(dá)到所述計(jì)數(shù)器設(shè)置的次數(shù)后���,控制 所述的驗(yàn)證單元不再發(fā)起針對(duì)所述ARP表項(xiàng)的驗(yàn)證過(guò)程��。
全文摘要
本發(fā)明實(shí)施例提供了一種防止ARP地址欺騙攻擊的方法及裝置�。當(dāng)ARP表項(xiàng)為可更新狀態(tài)時(shí)�����,判斷所收到的與所述ARP表項(xiàng)具有相同IP地址的ARP報(bào)文中的MAC地址�,和所述ARP表項(xiàng)中MAC地址是否相同;若不相同����,則所收到的所述ARP報(bào)文為引起歧義的ARP報(bào)文,并發(fā)起ARP驗(yàn)證過(guò)程;反之��,則不進(jìn)行ARP驗(yàn)證過(guò)程��,而不需要引入任何的驗(yàn)證過(guò)程����,從而不會(huì)增加任何的驗(yàn)證報(bào)文開銷。這樣就可以在沒有發(fā)生地址欺騙攻擊時(shí)�����,不產(chǎn)生額外的驗(yàn)證報(bào)文����,從而減少報(bào)文交互的過(guò)程��,節(jié)省了網(wǎng)絡(luò)資源����;同時(shí)還可以拒絕隨時(shí)可能發(fā)生的欺騙攻擊,有效防止采用隨機(jī)掃描方式進(jìn)行的地址欺騙攻擊���,保護(hù)實(shí)際存在的主機(jī)的正常應(yīng)用�。
文檔編號(hào)H04L29/12GK101110821SQ20071012147
公開日2008年1月23日 申請(qǐng)日期2007年9月6日 優(yōu)先權(quán)日2007年9月6日
發(fā)明者李振海 申請(qǐng)人:華為技術(shù)有限公司