專利名稱：Arp緩存表防攻擊方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種網(wǎng)絡(luò)通信處理方法，尤其涉及一種網(wǎng)絡(luò)設(shè)備的ARP緩存表防攻擊方法。
背景技術(shù)：
數(shù)據(jù)鏈路上的設(shè)備需要一種方法來發(fā)現(xiàn)鄰居的數(shù)據(jù)鏈路標(biāo)識(即MAC地址)，以便將數(shù)據(jù)傳送到正確的目的地。因特網(wǎng)的ARP即地址解析協(xié)議根據(jù)指定的IP地址(即網(wǎng)絡(luò)層地址)來獲取對應(yīng)的MAC地址(媒體訪問控制地址)。
根據(jù)因特網(wǎng)標(biāo)準(zhǔn)RFC826，ARP(地址解析協(xié)議)的機(jī)制是當(dāng)一臺網(wǎng)絡(luò)設(shè)備需要獲取同一鏈路上的另一臺網(wǎng)絡(luò)設(shè)備的MAC地址時，它將組裝ARP請求報文，在這個報文中包括請求設(shè)備的MAC地址和IP地址，即發(fā)送者M(jìn)AC地址和發(fā)送者IP地址；目標(biāo)設(shè)備的IP地址。然后，ARP請求報文被在數(shù)據(jù)鏈路上被廣播，即數(shù)據(jù)鏈路上的所有設(shè)備都將收到該幀，并且必須檢查幀內(nèi)封裝的報文。IP地址與ARP請求報文中的目標(biāo)IP地址相同的目標(biāo)機(jī)將向ARP請求報文的發(fā)送者地址發(fā)送ARP響應(yīng)報文，以提供自己的MAC地址，而其他設(shè)備則不會發(fā)送答復(fù)報文。于是，地址解析操作的結(jié)果就是發(fā)送者獲得了目標(biāo)機(jī)的MAC地址，并且在本地的ARP緩存表中記錄目標(biāo)機(jī)的MAC地址和IP地址的映射關(guān)系。
由于ARP緩存的大小總是有限的，如果ARP表項無限制地增加，那么肯定會充滿整個ARP高速緩存的空間。在高速緩存表資源有限的情況下，如果ARP表項都對應(yīng)著正常的網(wǎng)絡(luò)設(shè)備，那么這是可以接受的；但是，在ARP高速緩存中，如果周期性地存在著一些(甚至大量)無效的ARP表項，那么這就構(gòu)成了對ARP高速緩存的“污染”。
產(chǎn)生“ARP污染”問題的主要來源之一就是ARP攻擊，ARP攻擊可直接導(dǎo)致網(wǎng)絡(luò)設(shè)備不能正常發(fā)送報文。目前ARP表項的生成或更新是在接收到ARP請求報文、ARP響應(yīng)報文時，簡單地檢查目標(biāo)地址、發(fā)送者IP地址、MAC地址的有效性，如果有效，那么讀取發(fā)送者M(jìn)AC地址、發(fā)送者IP地址值來生成或刷新一條ARP表項。這樣，攻擊者很容易利用數(shù)值上有效的IP地址和MAC地址來發(fā)起ARP攻擊。
目前還沒有防止ARP攻擊的一般性方法。對于ARP攻擊的預(yù)防，協(xié)議沒有具體的規(guī)定，僅僅提供了ARP緩存表的老化機(jī)制，以此來保證高速緩存不能被無效的表項所占用，能夠及時地刪除這些表項。ARP協(xié)議沒有規(guī)定防ARP攻擊的標(biāo)準(zhǔn)，其主要原因是基于如下假設(shè)在同一鏈路下的網(wǎng)絡(luò)設(shè)備一般是在同一樓層或同一單位內(nèi)部，發(fā)生ARP攻擊的可能性比較低，即同一鏈路下的網(wǎng)絡(luò)設(shè)備之間是可信任的，所以不需要關(guān)注ARP攻擊的問題。但是，隨著網(wǎng)絡(luò)服務(wù)的大眾化普及，同一鏈路下的網(wǎng)絡(luò)設(shè)備可能分布于同一社區(qū)的不同樓棟之間、不同小區(qū)之間、在不同街區(qū)之間等等。這樣，同一鏈路下的網(wǎng)絡(luò)設(shè)備之間不再是可信任的，因此必須關(guān)注ARP攻擊的問題，特別是對ARP老化機(jī)制容易遭受的惡意的、周期性的ARP攻擊要有相應(yīng)的應(yīng)對辦法。

發(fā)明內(nèi)容
鑒于上述現(xiàn)有技術(shù)所存在的問題，本發(fā)明的目的是提供一種能有效防止惡意的周期性攻擊、又能與現(xiàn)有的ARP機(jī)制保持兼容對接的ARP緩存表的防攻擊方法。
本發(fā)明的目的是通過以下技術(shù)方案實現(xiàn)的
本發(fā)明提供了一種ARP緩存表防攻擊方法，包括該ARP緩存表只根據(jù)ARP響應(yīng)報文的發(fā)送者地址信息進(jìn)行表項的生成和更新，并且所述ARP響應(yīng)報文應(yīng)當(dāng)包括對應(yīng)的ARP請求報文在發(fā)送時隨機(jī)生成的一個標(biāo)識。
所述隨機(jī)生成的標(biāo)識作為ARP操作碼取代發(fā)送者IP地址信息填入ARP請求報文的發(fā)送者IP地址字段。
所述ARP操作碼采用與IP地址一致的格式，由所在子網(wǎng)號與一個隨機(jī)的主機(jī)號構(gòu)成。
所述ARP操作碼的隨機(jī)選擇范圍應(yīng)當(dāng)是本子網(wǎng)中網(wǎng)絡(luò)設(shè)備還沒有使用、為本網(wǎng)絡(luò)設(shè)備保留的那些IP地址。
所述ARP操作碼在發(fā)送免費ARP請求報文時采用發(fā)送者自身的真實IP地址，且還要填入免費ARP請求報文的目標(biāo)IP地址字段。
所述免費ARP請求報文的接收者在該免費ARP請求報文的目標(biāo)IP地址不在緩存表中時發(fā)送單播的ARP請求報文。
所述ARP響應(yīng)報文應(yīng)當(dāng)在ARP請求報文發(fā)出后的一段時間內(nèi)收到。
由上述本發(fā)明提供的技術(shù)方案可以看出，本發(fā)明通過把ARP緩存表表項生成和更新的信息來源由ARP響應(yīng)報文提供，并且要求所收到的ARP響應(yīng)報文應(yīng)當(dāng)包括在ARP請求報文發(fā)送時隨機(jī)生成的一個標(biāo)識，從而大大減少了被污染、攻擊的可能性；同時通過使隨機(jī)生成的標(biāo)識采用與IP地址一致的格式并作為ARP操作碼取代發(fā)送者IP地址信息填入ARP請求報文的發(fā)送者IP地址字段等相關(guān)措施，本發(fā)明還能與其它設(shè)備現(xiàn)有的ARP機(jī)制兼容對接。


圖1為本發(fā)明的ARP操作碼工作機(jī)制示意圖；圖2為本發(fā)明的ARP請求報文發(fā)送處理流程示意圖；圖3為本發(fā)明的ARP報文接收處理流程示意圖；
具體實施例方式
本發(fā)明的核心思想是通過鑒別和限制ARP緩存表的信息來源以達(dá)到防攻擊污染的效果，這種限制和鑒別的措施包括不從ARP請求報文中而只從ARP響應(yīng)報文中獲取IP地址和MAC地址的對應(yīng)關(guān)系、為報文設(shè)置隨機(jī)生成的ARP操作碼作為標(biāo)識來降低ARP響應(yīng)報文被冒充的可能性。
下面結(jié)合附圖對本發(fā)明作進(jìn)一步的說明。
現(xiàn)有ARP既能從ARP響應(yīng)報文中又能從ARP請求報文中獲取地址對應(yīng)關(guān)系，但由于ARP響應(yīng)報文需要以發(fā)送ARP請求報文為基礎(chǔ)，并以單播方式傳送，而且對ARP響應(yīng)報文的響應(yīng)時間有定時限制，而ARP請求報文可以隨時用廣播方式發(fā)送，所以攻擊者的一個主要手段就是通過發(fā)送大量的ARP請求報文來達(dá)到攻擊污染ARP緩存表的目的。因此，防范方法中首先要采取的措施就是把ARP緩存表表項生成和更新的信息來源由具有可高鑒別性的ARP響應(yīng)報文來提供，而不能從ARP請求報文中的發(fā)送者地址信息中獲取IP地址與MAC地址的對應(yīng)關(guān)系。
具有更高可鑒別性的ARP報文是指在發(fā)送對應(yīng)的ARP請求報文時帶有一個隨機(jī)生成標(biāo)識，并要求相應(yīng)的ARP響應(yīng)報文也應(yīng)當(dāng)包括一個同樣的標(biāo)識。
為了能更好地與現(xiàn)有的ARP機(jī)制兼容，這個標(biāo)識作為ARP操作碼取代發(fā)送者IP地址信息填入ARP請求報文的發(fā)送者IP地址字段，并且采用與IP地址一致的格式，由所在子網(wǎng)號與一個隨機(jī)的主機(jī)號構(gòu)成。這樣，即便被查詢的網(wǎng)絡(luò)設(shè)備采用的是現(xiàn)有的ARP機(jī)制，也會通過ARP響應(yīng)報文的目標(biāo)IP地址字段把ARP操作碼傳送回來，從而實現(xiàn)了兼容性。把ARP操作碼方式與定時限制的機(jī)制相結(jié)合，則可以更好地鑒別和確定ARP響應(yīng)報文是否是與本機(jī)先前一段時間內(nèi)所發(fā)送的ARP請求報文相對應(yīng)的。
如圖1所示，網(wǎng)絡(luò)設(shè)備11的IP地址為188.1.1.4，MAC地址為0003.10a1.f024；而網(wǎng)絡(luò)設(shè)備12的IP地址為188.1.1.21，MAC地址為000e.2a11.fc88。網(wǎng)絡(luò)設(shè)備11不知道、但需要知道網(wǎng)絡(luò)設(shè)備12的MAC地址，比如網(wǎng)絡(luò)設(shè)備11是一個網(wǎng)關(guān)，從外網(wǎng)中收到一個報文發(fā)送給IP地址為188.1.1.21的網(wǎng)絡(luò)設(shè)備12，由于網(wǎng)絡(luò)設(shè)備12與網(wǎng)絡(luò)設(shè)備11同屬于一個子網(wǎng)，所以網(wǎng)絡(luò)設(shè)備11需要知道網(wǎng)絡(luò)設(shè)備12的MAC地址，以便把報文直接以單播的方式發(fā)送給網(wǎng)絡(luò)設(shè)備12。
在本發(fā)明中，網(wǎng)絡(luò)設(shè)備11查詢網(wǎng)絡(luò)設(shè)備12時，不是簡單地把自己的地址信息(包括IP地址和MAC地址)以及網(wǎng)絡(luò)設(shè)備12的IP地址放入ARP請求報文13中然后以廣播的方式(即目標(biāo)MAC地址為0000.0000.0000)在本地子網(wǎng)中發(fā)送；而是用子網(wǎng)號(188.1.1.0)加上一個隨機(jī)的主機(jī)號(比如128)作為ARP操作碼(188.1.1.128)代替網(wǎng)絡(luò)設(shè)備11的IP地址填入ARP請求報文13的發(fā)送者IP地址字段，然后在本地子網(wǎng)進(jìn)行廣播發(fā)送。
采用本發(fā)明的網(wǎng)絡(luò)設(shè)備12收到ARP請求報文13時，并不會象現(xiàn)有ARP機(jī)制一樣根據(jù)其中的發(fā)送者地址字段的信息即IP地址字段與MAC地址字段內(nèi)容的對應(yīng)關(guān)系進(jìn)行ARP緩存表表項的生成或者更新；但是，會象現(xiàn)有ARP中的機(jī)制一樣把ARP請求報文13中發(fā)送者IP地址字段的內(nèi)容即ARP操作碼作為ARP響應(yīng)報文14中目標(biāo)IP地址字段的內(nèi)容，把ARP請求報文13中發(fā)送者M(jìn)AC地址字段的內(nèi)容作為ARP響應(yīng)報文14中目標(biāo)MAC地址字段的內(nèi)容，同時把自己的地址信息包括IP地址和MAC地址填入ARP響應(yīng)報文14中，以單播的方式發(fā)送給進(jìn)行查詢的網(wǎng)絡(luò)設(shè)備11。
本發(fā)明中，網(wǎng)絡(luò)設(shè)備11接收ARP響應(yīng)報文時，要把報文中目標(biāo)IP地址字段的內(nèi)容與發(fā)送ARP請求報文時生成的ARP操作碼進(jìn)行比較(而不是與自身的真實IP地址進(jìn)行比較)，以鑒別該響應(yīng)報文是否是對先前發(fā)送的ARP請求報文的響應(yīng)。如果該ARP響應(yīng)報文是對先前一定時間內(nèi)發(fā)送的ARP請求報文的響應(yīng)，則根據(jù)該ARP響應(yīng)報文中發(fā)送者地址信息字段包括IP地址字段和MAC地址字段的內(nèi)容生成、更新ARP緩存表的表項。
這樣一來，為報文設(shè)置隨機(jī)生成的ARP操作碼作為標(biāo)識與現(xiàn)有ARP中用自身IP地址識別報文相比，更能降低ARP響應(yīng)報文被冒充的可能性，從而更好地防止ARP緩存表被攻擊污染。同時，應(yīng)當(dāng)注意的是，當(dāng)一個子網(wǎng)既有采用本發(fā)明的網(wǎng)絡(luò)設(shè)備又有采用現(xiàn)有ARP機(jī)制的網(wǎng)絡(luò)設(shè)備時，ARP操作碼的隨機(jī)選擇范圍應(yīng)當(dāng)是本子網(wǎng)中還未分配的那些IP地址或者本機(jī)的從屬IP地址(一般設(shè)備允許有多個從屬IP地址)；這樣，才能避免采用現(xiàn)有ARP機(jī)制的網(wǎng)絡(luò)設(shè)備由于從采用本發(fā)明的網(wǎng)絡(luò)設(shè)備發(fā)送的ARP請求報文中獲取地址對應(yīng)關(guān)系而造成混亂。
本發(fā)明中，對免費ARP請求報文的處理來有相應(yīng)的調(diào)整。免費ARP請求報文實際上也是一種ARP請求報文，它與普通的ARP請求報文的區(qū)別是該報文的發(fā)送者IP地址字段的內(nèi)容與目標(biāo)IP地址字段的內(nèi)容一樣，這在現(xiàn)有的ARP機(jī)制中，其主要的特有功能是用來檢測IP地址的沖突。
本發(fā)明中，保留了免費ARP請求報文IP地址沖突檢測的功能，但同時還具有引發(fā)其它網(wǎng)絡(luò)設(shè)備發(fā)送ARP請求報文的作用，從而實現(xiàn)地址關(guān)系變化的通告的目的。本發(fā)明中，發(fā)送免費ARP請求報文時填入兩個IP地址字段的內(nèi)容是自身的IP地址，而不是隨機(jī)生成的ARP操作碼，也不生成對應(yīng)的動態(tài)ARP表項；而在接收免費ARP報文時，除了象現(xiàn)有的ARP機(jī)制一樣當(dāng)發(fā)現(xiàn)其中的目標(biāo)IP地址字段內(nèi)容與自身的IP地址相同時發(fā)送免費ARP響應(yīng)報文、報告沖突外；即便沒有沖突，也應(yīng)當(dāng)進(jìn)行響應(yīng)，響應(yīng)的方式是發(fā)送一個單播的ARP請求報文，而不是象現(xiàn)有的ARP機(jī)制一樣不進(jìn)行響應(yīng)。如果能夠及時地收到對應(yīng)的ARP響應(yīng)報文，則可以及時地進(jìn)行ARP緩存表表項的生成或者更新。這樣，通過對無地址沖突的免費ARP請求報文用單播的ARP請求報文進(jìn)行響應(yīng)，能夠安全而快速地通告地址對應(yīng)關(guān)系的變化，及時更新ARP緩存表。
這樣，本發(fā)明ARP請求的發(fā)送和報文接收流程大致可以用圖2、圖3來表示。
如圖2所示，發(fā)送ARP請求報文時，首先進(jìn)入步驟21觸發(fā)ARP請求，這通常是由一些事件引起的，比如需要把報文單播給MAC地址未知的網(wǎng)絡(luò)設(shè)備、地址對應(yīng)關(guān)系發(fā)生變化需要通告或者檢測IP地址是否發(fā)生沖突等；然后進(jìn)入步驟22判斷是否發(fā)免費ARP請求報文如果是，則進(jìn)入步驟24發(fā)送免費ARP請求(此時通常使用真實的IP地址，而不是隨機(jī)生成的ARP操作碼)；否則，進(jìn)入步驟23生成和記錄ARP操作碼，再進(jìn)入步驟25發(fā)送本發(fā)明規(guī)定的ARP請求。發(fā)送ARP請求報文(包括免費ARP請求報文)時需要在ARP緩存表中記錄相關(guān)信息，以便在接收響應(yīng)報文時進(jìn)行鑒別核對；發(fā)送完成之后就到達(dá)步驟26結(jié)束。
其中，ARP緩存表可以采用表1所示的形式。ARP除了記錄確定的IP地址與MAC地址的對應(yīng)關(guān)系(但不記錄自身的IP地址與MAC地址的對應(yīng)關(guān)系)外，還可以用來存放所發(fā)送的ARP請求報文的相關(guān)信息。通過這個表，本發(fā)明可以與現(xiàn)有的ARP機(jī)制一樣，記錄已發(fā)送ARP請求報文的目標(biāo)IP地址(MAC地址則暫記為未知，等待ARP響應(yīng)報文響應(yīng)后再動態(tài)刷新)、用于確定ARP響應(yīng)報文是否超時的時間記錄比如發(fā)送時間等，以便檢查鑒別ARP響應(yīng)報文；此外，本發(fā)明的ARP緩存表還多了一個ARP操作碼字段，可以進(jìn)一步提高對ARP響應(yīng)報文的鑒別力。
表1、網(wǎng)絡(luò)設(shè)備11上的ARP緩存表示意圖

如圖3所示，接收ARP報文時，從步驟31接收ARP報文的事件開始，首先進(jìn)入步驟32判斷是否ARP響應(yīng)報文。
如果是ARP響應(yīng)報文，則進(jìn)入步驟34判斷相關(guān)ARP表項是否存在。如果報文中的“發(fā)送者IP地址”不在ARP緩存表中，則進(jìn)行步驟38判斷是否是免費ARP響應(yīng)，如果是則表明存在IP地址沖突，如步驟42所示，然后進(jìn)入步驟43結(jié)束；如果不是免費ARP響應(yīng)，直接進(jìn)入步驟43結(jié)束。如果報文中的“發(fā)送者IP地址”在ARP緩存表中，則進(jìn)入步驟37判斷ARP操作碼與對應(yīng)ARP表項中記錄的是否相等，如果相等，則進(jìn)入步驟41生成ARP緩存表表項，把報文中發(fā)送者IP地址與MAC地址的對應(yīng)關(guān)系記入ARP緩存表，然后進(jìn)入步驟43結(jié)束；如果不相等，直接進(jìn)入步驟43結(jié)束。
如果不是ARP響應(yīng)報文，則是ARP請求報文，就進(jìn)入步驟33判斷是否是免費ARP請求報文。
如果不是，則進(jìn)入步驟35判斷“發(fā)送者IP地址”是否與自身的IP地址一樣，如果一樣，則表明是向自己發(fā)送ARP請求、詢問MAC地址，就進(jìn)入步驟39發(fā)送ARP響應(yīng)報文向?qū)Ψ綀蟾鍹AC地址，然后進(jìn)入步驟43結(jié)束；如果不一梓，則直接進(jìn)入步驟43結(jié)束。
如果是免費ARP請求的請求報文，則進(jìn)入步驟36判斷相關(guān)ARP表項是否存在，如果報文中的“發(fā)送者IP地址”不在ARP緩存表中，則進(jìn)入步驟35判斷“發(fā)送者IP地址”是否與自身的IP地址一樣，如果一樣，則表明有沖突，就進(jìn)入步驟39發(fā)送ARP響應(yīng)報文向?qū)Ψ綀蟾鏇_突，然后進(jìn)入步驟43結(jié)束；如果不一梓，直接進(jìn)入步驟43結(jié)束。如果報文中的“發(fā)送者IP地址”在ARP緩存表中，則進(jìn)入步驟40發(fā)送單播ARP請求報文，等待ARP響應(yīng)報文；如果ARP響應(yīng)報文響應(yīng)超時則做錯誤處理、刪除發(fā)送請求報文時動態(tài)生成的對應(yīng)ARP表項后進(jìn)入步驟43結(jié)束。
以上所述，僅為本發(fā)明較佳的具體實施方式
，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到的變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)。
權(quán)利要求
1.一種ARP緩存表防攻擊方法，其特征在于，包括該ARP緩存表只根據(jù)ARP響應(yīng)報文的發(fā)送者地址信息進(jìn)行表項的生成和更新，并且所述ARP響應(yīng)報文應(yīng)當(dāng)包括對應(yīng)的ARP請求報文在發(fā)送時隨機(jī)生成的一個標(biāo)識。
2.根據(jù)權(quán)利要求1所述的ARP緩存表防攻擊方法，其特征在于，所述隨機(jī)生成的標(biāo)識作為ARP操作碼取代發(fā)送者IP地址信息填入ARP請求報文的發(fā)送者IP地址字段。
3.根據(jù)權(quán)利要求2所述的ARP緩存表防攻擊方法，其特征在于，所述ARP操作碼采用與IP地址一致的格式，由所在子網(wǎng)號與一個隨機(jī)的主機(jī)號構(gòu)成。
4.根據(jù)權(quán)利要求3所述的ARP緩存表防攻擊方法，其特征在于，所述ARP操作碼的隨機(jī)選擇范圍應(yīng)當(dāng)是本子網(wǎng)中網(wǎng)絡(luò)設(shè)備還沒有使用、為本網(wǎng)絡(luò)設(shè)備保留的那些IP地址。
5.根據(jù)權(quán)利要求4所述的ARP緩存表防攻擊方法，其特征在于，所述ARP操作碼在發(fā)送免費ARP請求報文時采用發(fā)送者自身的真實IP地址，且還要填入免費ARP請求報文的目標(biāo)IP地址字段。
6.根據(jù)權(quán)利要求5所述的ARP緩存表防攻擊方法，其特征在于，所述免費ARP請求報文的接收者在該免費ARP請求報文的目標(biāo)IP地址不在緩存表中時發(fā)送單播的ARP請求報文。
7.根據(jù)權(quán)利要求1至6任一項所述的ARP緩存表防攻擊方法，其特征在于，所述ARP響應(yīng)報文應(yīng)當(dāng)在ARP請求報文發(fā)出后的一段時間內(nèi)收到。
全文摘要
本發(fā)明公開了一種ARP緩存表防攻擊方法，該方法通過把ARP緩存表表項生成和更新的信息來源由具有更高可鑒別性的ARP響應(yīng)報文提供，從而降低了報文被假冒、進(jìn)而被假冒信息欺騙的可能性，從而減少了被污染攻擊的可能性；同時本發(fā)明能與現(xiàn)有其它設(shè)備中的現(xiàn)有ARP機(jī)制保持兼容對接。
文檔編號H04L12/56GK1870627SQ20051009183
公開日2006年11月29日 申請日期2005年8月9日 優(yōu)先權(quán)日2005年8月9日
發(fā)明者李強(qiáng) 申請人:華為技術(shù)有限公司