專(zhuān)利名稱(chēng):防止arp報(bào)文攻擊的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域�����,尤其涉及一種防止ARP (Address Resolution Protocol,地址解析協(xié)議)報(bào)文攻擊的方法和系統(tǒng)�����。
背景技術(shù):
在當(dāng)前網(wǎng)絡(luò)技術(shù)中�,終端設(shè)備在網(wǎng)絡(luò)中是以IP (Internet Protocol ,因特網(wǎng) 協(xié)議)地址來(lái)區(qū)分的�。在通信中��,發(fā)起通信的源終端設(shè)備向其他終端設(shè)備發(fā) 送報(bào)文時(shí)����,需要獲取目標(biāo)終端設(shè)備的MAC (Media Access Control,媒體訪(fǎng)問(wèn) 控制)地址以完成對(duì)報(bào)文的封裝���。這就需要實(shí)現(xiàn)設(shè)備IP地址與MAC地址間的 轉(zhuǎn)換���。目前。該轉(zhuǎn)換由ARP協(xié)議實(shí)現(xiàn)�����。ARP協(xié)議實(shí)現(xiàn)了將目標(biāo)終端設(shè)備的IP 地址轉(zhuǎn)換為MAC地址的功能�,保證了通信的順利進(jìn)行。
ARP協(xié)議在網(wǎng)絡(luò)中的主要實(shí)現(xiàn)機(jī)制如下網(wǎng)絡(luò)中每臺(tái)支持IP協(xié)議的終端設(shè) 備內(nèi)部均保存有ARP表項(xiàng)�����,ARP表項(xiàng)中的IP地址與MAC地址一"^"對(duì)應(yīng)��,代表 了終端設(shè)備IP地址與MAC地址的映射關(guān)系�。該映射關(guān)系可以通過(guò)ARP4艮文動(dòng) 態(tài)學(xué)習(xí)的方式獲取,即終端設(shè)備在收到其它終端設(shè)備發(fā)送的ARP報(bào)文后�����,將 報(bào)文中該終端設(shè)備的IP地址-MAC地址與其自身ARP表項(xiàng)中的數(shù)據(jù)相比較,如 果報(bào)文中的IP地址-MAC地址在ARP表項(xiàng)中不存在��,則在ARP表項(xiàng)中創(chuàng)建新的 ARP表項(xiàng)�����,并將該IP地址-MAC地址填入��;該映射關(guān)系還可以通過(guò)用戶(hù)靜態(tài)配 置的方式獲取����,即用戶(hù)創(chuàng)建ARP表項(xiàng)中的ARP表項(xiàng)��,并將IP地址-MAC地址填 入�,以表示特定的終端設(shè)備。
由于在ARP協(xié)議設(shè)計(jì)之初沒(méi)有考慮安全機(jī)制問(wèn)題�����,因此ARP協(xié)議是一個(gè)非 常容易受攻擊的協(xié)議���。在當(dāng)前網(wǎng)絡(luò)技術(shù)中���,網(wǎng)絡(luò)上基于ARP協(xié)議欺騙的網(wǎng)絡(luò) 病毒和攻擊行為越來(lái)越猖獗�����。
現(xiàn)有技術(shù)中�,網(wǎng)關(guān)設(shè)備被普遍配置為對(duì)接收到的ARP報(bào)文不進(jìn)行解析處 理����,而進(jìn)行該ARP報(bào)文的直接二層轉(zhuǎn)發(fā),即直接將源終端設(shè)備發(fā)送的ARP報(bào)文轉(zhuǎn)發(fā)至目標(biāo)終端設(shè)備����。較常見(jiàn)的ARP報(bào)文攻擊的示意圖如圖1所示,其中包括 B�。
圖1A所示為正常情況下網(wǎng)絡(luò)中的情況,合法終端設(shè)備A通過(guò)網(wǎng)關(guān)設(shè)備G與 網(wǎng)絡(luò)保持通信�。此時(shí),在網(wǎng)關(guān)設(shè)備G的ARP表項(xiàng)中建立終端設(shè)備A的ARP表項(xiàng) "IPA-MACA"����,在終端設(shè)備A的ARP表項(xiàng)中建立網(wǎng)關(guān)ARP表項(xiàng)"IPG-MACG"。
圖1B所示為非法的終端設(shè)備B進(jìn)行ARP報(bào)文攻擊時(shí)的情況��。該情況下�,非 法的終端設(shè)備B通過(guò)單播或廣播�����,偽造網(wǎng)關(guān)設(shè)備G的IP地址向終端設(shè)備A發(fā)送 ARP報(bào)文����,報(bào)文中的源MAC地址為終端設(shè)備B自身的MAC地址���。此時(shí)終端設(shè) 備A進(jìn)行ARP報(bào)文動(dòng)態(tài)學(xué)習(xí)���,終端設(shè)備A的ARP表項(xiàng)中網(wǎng)關(guān)ARP表項(xiàng)由"IP G-MACG" #^'務(wù)改為"IPG-MACB"。通過(guò)同樣的方法��,終端設(shè)備B也可以 將網(wǎng)關(guān)設(shè)備G中保存的終端設(shè)備A的ARP表項(xiàng)"IP A-MAC A"修改為"IP A-MAC B"��。因此��,在之后的通信過(guò)程中�����,用戶(hù)終端A和網(wǎng)關(guān)設(shè)備G之間交互 的才艮文都首先要經(jīng)過(guò)用戶(hù)終端B,因此用戶(hù)終端B可以竊取用戶(hù)終端A和網(wǎng)關(guān) 設(shè)備G之間的通信�����,達(dá)到網(wǎng)絡(luò)竊聽(tīng)的目的����。另外,當(dāng)非法的終端設(shè)備偽造的 ARP報(bào)文中的MAC為無(wú)效地址時(shí)���,還會(huì)造成通信中斷�����。
現(xiàn)有技術(shù)中針對(duì)上述ARP報(bào)文攻擊的一種處理方法為動(dòng)態(tài)ARP檢測(cè)技術(shù) DAI (Dynamic ARP Inspection),此才支術(shù)是基于DHCP (Dynamic Host Configuration Protocol,動(dòng)態(tài)主機(jī)配置協(xié)議)協(xié)議����,在網(wǎng)關(guān)設(shè)備上監(jiān)控客戶(hù)端 的DHCP通信�����,記錄客戶(hù)端的IP-MAC對(duì)應(yīng)關(guān)系���,將待轉(zhuǎn)發(fā)ARP才艮文全部送上 網(wǎng)關(guān)設(shè)備的CPU處理���。其示意圖如圖2所示網(wǎng)關(guān)設(shè)備首先根據(jù)對(duì)DHCP報(bào)文 的監(jiān)控得到IP-MAC對(duì)應(yīng)關(guān)系;在需要轉(zhuǎn)發(fā)ARP報(bào)文的時(shí)候,網(wǎng)關(guān)設(shè)備對(duì)待轉(zhuǎn) 發(fā)ARP報(bào)文的源IP-MAC對(duì)應(yīng)關(guān)系進(jìn)行檢查���。檢查通過(guò)�,則轉(zhuǎn)發(fā)ARP報(bào)文��, 檢查不通過(guò)則不轉(zhuǎn)發(fā)ARP報(bào)文�����,從而達(dá)到防御ARP欺騙的目的�����。
使用上述動(dòng)態(tài)ARP檢測(cè)技術(shù)時(shí)�,網(wǎng)關(guān)設(shè)備需要對(duì)所有ARP報(bào)文的轉(zhuǎn)發(fā)進(jìn)行 校驗(yàn),而ARP報(bào)文通常在網(wǎng)絡(luò)內(nèi)流量也是比較大�����,導(dǎo)致可能造成網(wǎng)關(guān)設(shè)備的 CPU負(fù)擔(dān)�����。因此為了防止ARP報(bào)文的達(dá)流量導(dǎo)致網(wǎng)關(guān)設(shè)備的CPU過(guò)載�����,通常需
要對(duì)ARP報(bào)文進(jìn)行限速��,這也有可能在網(wǎng)絡(luò)繁忙時(shí)造成客戶(hù)端ARP失敗�����,影響 客戶(hù)端正常的網(wǎng)絡(luò)業(yè)務(wù)�����。
發(fā)明內(nèi)容
本發(fā)明要解決的問(wèn)題是提供一種防止ARP報(bào)文攻擊的方法和系統(tǒng)�����,以使 得網(wǎng)絡(luò)中的用戶(hù)終端以及網(wǎng)關(guān)設(shè)備能夠有效地防御ARP報(bào)文攻擊�。
為達(dá)到上述目的,本發(fā)明提供一種防止地址解析協(xié)議ARP報(bào)文攻擊的方 法�����,包括以下步驟
動(dòng)態(tài)主機(jī)配置協(xié)議DHCP服務(wù)器在DHCP報(bào)文中添加IP地址-MAC地址 對(duì)并向用戶(hù)終端發(fā)送�;
所述用戶(hù)終端接收所述DHCP報(bào)文,解析所述DHCP報(bào)文中包括的IP地 址-MAC地址對(duì)并將其配置為本地不可被動(dòng)態(tài)改寫(xiě)的ARP表項(xiàng)����,以防止攻擊 報(bào)文通過(guò)更改用戶(hù)終端的ARP表項(xiàng)對(duì)網(wǎng)絡(luò)進(jìn)行攻擊���。對(duì),和網(wǎng)絡(luò)中特定網(wǎng)絡(luò)設(shè)備的IP地址-MAC地址對(duì)��,所述特定網(wǎng)絡(luò)設(shè)備至少 包括與所述用戶(hù)終端連接的網(wǎng)關(guān)設(shè)備��;不同的網(wǎng)絡(luò)i殳備分別選擇對(duì)應(yīng)的IP地址-MAC地址對(duì)并將其配置為本地 不可被動(dòng)改寫(xiě)的ARP表項(xiàng)�。
其中,所述DHCP服務(wù)器在DHCP才艮文中添加IP地址-MAC地址對(duì)并向 用戶(hù)終端發(fā)送的步驟后還包括
網(wǎng)關(guān)設(shè)備接收所述DHCP服務(wù)器向用戶(hù)終端發(fā)送的DHCP報(bào)文�;
對(duì)配置為本地不可被動(dòng)態(tài)改寫(xiě)的ARP表項(xiàng);
所述網(wǎng)關(guān)i殳備向用戶(hù)終端發(fā)送所述DHCP才艮文��。
其中���,所述不可被動(dòng)態(tài)改寫(xiě)的ARP表項(xiàng)為靜態(tài)ARP表項(xiàng)���,或優(yōu)先級(jí)高于 動(dòng)態(tài)ARP表項(xiàng)的ARP表項(xiàng)。
其中��,所述用戶(hù)終端在本地配置的為優(yōu)先級(jí)高于動(dòng)態(tài)ARP表項(xiàng)的ARP 表項(xiàng)時(shí)��,所述用戶(hù)終端解析DHCP報(bào)文中包括的IP地址-MAC地址對(duì)并將其
配置為本地不可^皮動(dòng)態(tài)改寫(xiě)的ARP表項(xiàng)后還包括步驟
所述用戶(hù)終端根據(jù)預(yù)先設(shè)定的機(jī)制對(duì)所述ARP表項(xiàng)進(jìn)行老化和更新< 其中�,所述用戶(hù)終端根據(jù)預(yù)先設(shè)定的機(jī)制對(duì)ARP表項(xiàng)進(jìn)行老化和更^
步驟具體為
在續(xù)約或者重新獲得IP的時(shí)候,更新所述ARP表項(xiàng)和老化時(shí)間����;或 在釋放IP地址資源或復(fù)位時(shí),刪除所述ARP表項(xiàng)�;或 重新通過(guò)DHCP服務(wù)器獲得IP時(shí),刷新所述ARP表項(xiàng)����; 中的一種或多種。
其中��,所述網(wǎng)關(guān)設(shè)備在本地配置的為優(yōu)先級(jí)高于動(dòng)態(tài)ARP表項(xiàng)的ARP 表項(xiàng)時(shí)����,所述網(wǎng)關(guān)設(shè)備向用戶(hù)終端發(fā)送DHCP報(bào)文后還包括步驟
步驟具體為
接收到用戶(hù)終端向DHCP服務(wù)器發(fā)送的IP地址釋放請(qǐng)求時(shí),刪除所述用 戶(hù)終端對(duì)應(yīng)的ARP表項(xiàng)�����;或
在滿(mǎn)足DHCP中繼老化DHCP安全表項(xiàng)時(shí)��,刪除用戶(hù)終端對(duì)應(yīng)的ARP表 項(xiàng)����;或
在滿(mǎn)足DHCP Snooping老化其監(jiān)聽(tīng)表項(xiàng)的時(shí)候����,刪除用戶(hù)終端對(duì)應(yīng)的 ARP表項(xiàng)�����;或
監(jiān)聽(tīng)到用戶(hù)終端的DHCP報(bào)文時(shí)�,更新所述用戶(hù)終端對(duì)應(yīng)的ARP表項(xiàng); 中的一種或多種�。
其中,其特4正在于���,所述IP ;也址-MAC地址對(duì)包含在DHCP才艮文中的 Option域��;
所述DHCP報(bào)文為DHCP OFFER報(bào)文�、和/或DHCP ACK報(bào)文�����。 本發(fā)明提供一種防止ARP報(bào)文攻擊的系統(tǒng),包括DHCP服務(wù)器和用戶(hù)終
端,
所述DHCP服務(wù)器��,用于在DHCP報(bào)文中添加IP地址-MAC地址對(duì)并向所述用戶(hù)終端發(fā)送���;
所述用戶(hù)終端,用于解析所述DHCP服務(wù)器發(fā)送的DHCP報(bào)文中包括的 IP地址-MAC地址對(duì)并將其配置為本地不可被動(dòng)態(tài)改寫(xiě)的ARP表項(xiàng)���。
其中,所述DHCP服務(wù)器,除包括報(bào)文發(fā)送模塊外��,還包括
報(bào)文生成模塊�����,用于將IP地址-MAC地址對(duì)添加到向用戶(hù)終端發(fā)送的 DHCP報(bào)文中���,并通過(guò)所述報(bào)文發(fā)送模塊向所述用戶(hù)終端發(fā)送����。
對(duì)應(yīng)關(guān)系生成模塊����,用于根據(jù)向用戶(hù)終端分配的IP地址、以及用戶(hù)終端 的MAC地址�,生成用戶(hù)終端的IP地址-MAC地址對(duì)�,并提供給所述報(bào)文生 成模塊;
對(duì)應(yīng)關(guān)系存儲(chǔ)模塊�����,用于存儲(chǔ)網(wǎng)絡(luò)中特定網(wǎng)絡(luò)設(shè)備的IP地址-MAC地址 對(duì)��,并提供給所述報(bào)文生成模塊�����。
其中���,所述用戶(hù)終端包括
報(bào)文解析模塊,用于解析DHCP服務(wù)器向本用戶(hù)終端發(fā)送的DHCP報(bào)文����, 解析所述DHCP報(bào)文中攜帶的特定網(wǎng)絡(luò)設(shè)備的IP地址-MAC地址對(duì),并通知終 端表項(xiàng)模塊����;
終端表項(xiàng)模塊,用于根據(jù)所述報(bào)文解析模塊獲取的特定網(wǎng)絡(luò)設(shè)備的IP地 址- MAC地址對(duì)�,將其配置為本地不可被動(dòng)態(tài)改寫(xiě)的ARP表項(xiàng)。
其中�����,所述用戶(hù)終端還包括
終端表項(xiàng)更新模塊,用于根據(jù)預(yù)先設(shè)定的機(jī)制對(duì)所述終端表項(xiàng)模塊中的 ARP表項(xiàng)進(jìn)4于老化和更新���。
其中�,還包括網(wǎng)關(guān)設(shè)備��,用于將所述DHCP服務(wù)器發(fā)送的DHCP報(bào)文中 包括的IP地址-MAC地址對(duì)配置為本地不可被動(dòng)態(tài)改寫(xiě)的ARP表項(xiàng)���;所述網(wǎng) 關(guān)設(shè)備包括
報(bào)文監(jiān)聽(tīng)模塊���,用于監(jiān)聽(tīng)DHCP服務(wù)器向用戶(hù)終端發(fā)送的DHCP報(bào)文,解 析所述DHCP報(bào)文中攜帶的用戶(hù)終端的IP地址-MAC地址對(duì)��,并通知表項(xiàng)維護(hù) 模塊���;
表項(xiàng)維護(hù)模塊���,用于根據(jù)所述報(bào)文監(jiān)聽(tīng)模塊獲取的用戶(hù)終端的IP地址-MAC地址對(duì),將其配置為本地不可被動(dòng)態(tài)改寫(xiě)的ARP表項(xiàng)���。其中�����,所述網(wǎng)關(guān)設(shè)備還包括
表項(xiàng)更新模塊�����,用于根據(jù)預(yù)先設(shè)定的機(jī)制對(duì)所述表項(xiàng)維護(hù)模塊中的ARP 表項(xiàng)進(jìn)行老化和更新����。
與現(xiàn)有4支術(shù)相比,本發(fā)明具有以下優(yōu)點(diǎn)
提供了 一套簡(jiǎn)單有效的ARP攻擊報(bào)文防御解決方案���,使得網(wǎng)絡(luò)中的網(wǎng)關(guān) 設(shè)備以及用戶(hù)終端能夠有效的防御接收到的ARP攻擊報(bào)文。另夕卜����,通過(guò)DHCP 服務(wù)器對(duì)網(wǎng)絡(luò)中用戶(hù)終端的重要ARP表項(xiàng)進(jìn)行統(tǒng)一配置,便于集中管理��。
圖1 A和圖1B是現(xiàn)有技術(shù)中ARP報(bào)文攻擊的示意圖2是現(xiàn)有技術(shù)中動(dòng)態(tài)ARP檢測(cè)技術(shù)的示意圖3是本發(fā)明的實(shí)施例 一 中防止ARP報(bào)文攻擊的方法的示意圖4是本發(fā)明的實(shí)施例一中使用到的DHCP報(bào)文格式示意圖5是本發(fā)明的實(shí)施例一中使用的Option域的格式示意圖6是本發(fā)明的實(shí)施例二中防止ARP報(bào)文攻擊的方法的示意圖7是本發(fā)明的實(shí)施例三中防止ARP報(bào)文攻擊的的系統(tǒng)示意圖�����。
具體實(shí)施例方式
以下結(jié)合附圖和實(shí)施例����,對(duì)本發(fā)明的實(shí)施方式做進(jìn)一步說(shuō)明���。 對(duì)一個(gè)IP網(wǎng)絡(luò)設(shè)備,存儲(chǔ)在ARP表項(xiàng)中的協(xié)議地址-物理地址對(duì)(IP地址 -Mac地址對(duì))是必不可少的�����。目前對(duì)ARP的管理����, 一般都包括動(dòng)態(tài)ARP表項(xiàng) 部分和靜態(tài)ARP表項(xiàng)部分。其中����,動(dòng)態(tài)ARP表項(xiàng)為網(wǎng)絡(luò)設(shè)備在通信過(guò)程中通過(guò) ARP協(xié)議所學(xué)習(xí)的ARP表項(xiàng);靜態(tài)ARP表項(xiàng)為用戶(hù)或管理員在網(wǎng)絡(luò)設(shè)備上直接 配置的ARP表項(xiàng)��。 一般來(lái)說(shuō)���,靜態(tài)ARP表項(xiàng)是不能被動(dòng)態(tài)ARP表項(xiàng)所覆蓋的�, 動(dòng)態(tài)表項(xiàng)的學(xué)習(xí)更新也不能與靜態(tài)表項(xiàng)相沖突����,在查詢(xún)ARP表項(xiàng)進(jìn)行地址解 析的時(shí)候����,靜態(tài)表項(xiàng)的優(yōu)先級(jí)也高于動(dòng)態(tài)表項(xiàng)����,且靜態(tài)ARP不會(huì)被超時(shí)老化。 目前基于ARP協(xié)議的欺騙攻擊主要是通過(guò)修改動(dòng)態(tài)ARP表項(xiàng)進(jìn)行的��,通過(guò)
向網(wǎng)絡(luò)設(shè)備發(fā)送ARP欺騙協(xié)議報(bào)文來(lái)讓網(wǎng)絡(luò)設(shè)備學(xué)習(xí)到被篡改后的ARP表項(xiàng)�����, 從而在網(wǎng)絡(luò)設(shè)備上建立錯(cuò)誤的動(dòng)態(tài)ARP表項(xiàng)以供攻擊者利用�����。因此如果預(yù)先 將網(wǎng)關(guān)�、服務(wù)器等關(guān)鍵設(shè)備的IP地址-Mac地址關(guān)系設(shè)置為不可被動(dòng)態(tài)改寫(xiě)的 ARP表項(xiàng)�����,則這些地址關(guān)系對(duì)應(yīng)的表項(xiàng)不能被ARP欺騙協(xié)議報(bào)文所覆蓋��,其IP -MAC對(duì)應(yīng)關(guān)系也不會(huì)被篡改�����。因此,基于該原理��,可以在用戶(hù)終端和網(wǎng)關(guān) 設(shè)備上���,直接配置不可被動(dòng)態(tài)改寫(xiě)的ARP表項(xiàng)����,以免在接收到攻擊者的ARP 協(xié)議報(bào)文時(shí)正確的IP地址-Mac地址關(guān)系被篡改��。該不可被動(dòng)態(tài)改寫(xiě)的ARP表 項(xiàng)的具體方式可以為靜態(tài)ARP表項(xiàng)���,或優(yōu)先級(jí)高于動(dòng)態(tài)ARP表項(xiàng)的ARP表項(xiàng)�����。
考慮到現(xiàn)有技術(shù)中用戶(hù)終端的IP地址都是由DHCP服務(wù)器進(jìn)行動(dòng)態(tài)分配 的��,因此��,本發(fā)明的實(shí)施例一中提出一種防止ARP報(bào)文攻擊的方法���。該實(shí)施 例中的組網(wǎng)形式為用戶(hù)終端通過(guò)網(wǎng)關(guān)設(shè)備與DHCP服務(wù)器連接�。如圖3所示���, 該防止ARP^艮文攻擊的方法包括如下步驟
步驟sl01���、 DHCP服務(wù)器接收到用戶(hù)終端的DHCP DISCOVER (發(fā)現(xiàn))報(bào) 文后,向用戶(hù)終端發(fā)送包括IP地址-Mac地址對(duì)的DHCP OFFER(提供)報(bào)文�。
現(xiàn)有技術(shù)中,用戶(hù)終端向網(wǎng)絡(luò)中廣播DHCP DISCOVER報(bào)文尋找網(wǎng)絡(luò)中 存在的DHCP服務(wù)器���。接收到該DHCPDISCOVER報(bào)文的服務(wù)器向用戶(hù)終端發(fā) 送DHCP OFFER才艮文����,其中攜帶向用戶(hù)終端發(fā)送的地址����。
本發(fā)明實(shí)施例的該步驟中,該DHCP服務(wù)器向用戶(hù)終端發(fā)送的DHCP OFFER寺艮文中除攜帶向用戶(hù)終端分配的IP地址外���,還包括該用戶(hù)終端的IP地址 -Mac地址對(duì),以及網(wǎng)絡(luò)中的一些重要設(shè)備����,如網(wǎng)關(guān)設(shè)備�����、數(shù)據(jù)庫(kù)服務(wù)器等的 IP地址-Mac地址對(duì)����。
步驟sl02��、網(wǎng)關(guān)設(shè)備將DHCP服務(wù)器發(fā)送的DHCP OFFER報(bào)文向用戶(hù)終端 轉(zhuǎn)發(fā)�。
步驟sl03、用戶(hù)終端向選定的DHCP服務(wù)器發(fā)送DHCP REQUEST (請(qǐng)求) 報(bào)文�,并根據(jù)該選定的DHCP服務(wù)器發(fā)送的DHCP OFFER報(bào)文進(jìn)行本地靜態(tài) ARP表項(xiàng)的配置。
用戶(hù)終端可能接收到多個(gè)DHCP服務(wù)器發(fā)送的DHCP OFFER報(bào)文��,根據(jù)預(yù) 定的策略選擇其中的一個(gè)DHCP服務(wù)器并廣播DHCP REQUEST報(bào)文���,其中攜帶所選擇的DHCP服務(wù)器的標(biāo)識(shí)��。
本發(fā)明實(shí)施例的該步驟中��,用戶(hù)終端除向選定的DHCP服務(wù)器發(fā)送DHCP REQUEST報(bào)文外��,還根據(jù)該選定的DHCP服務(wù)器發(fā)送的DHCP OFFER報(bào)文��, 解析該DHCP OFFER報(bào)文中攜帶的網(wǎng)關(guān)設(shè)備�、數(shù)據(jù)庫(kù)服務(wù)器等的IP地址-Mac 地址對(duì),并將這些解析出的IP地址-Mac地址對(duì)加入本地的靜態(tài)ARP表項(xiàng)����。通 過(guò)該步驟,即可保證用戶(hù)終端對(duì)網(wǎng)絡(luò)中網(wǎng)關(guān)設(shè)備以及其他設(shè)備的網(wǎng)絡(luò)地址進(jìn) 行正確解析�,不受ARP攻擊報(bào)文的影響。該步驟也可在下面用戶(hù)終端接收 DHCP服務(wù)器發(fā)送的DHCP ACK (應(yīng)答)報(bào)文之后進(jìn)行�����。
步驟sl04�、用戶(hù)終端選定的DHCP服務(wù)器向用戶(hù)終端發(fā)送DHCP ACK才艮 文,其中攜帶分配給用戶(hù)終端的IP,為其提供服務(wù)�。
本發(fā)明實(shí)施例的該步驟中,該DHCP服務(wù)器向用戶(hù)終端發(fā)送的DHCP OFFER才艮文中除攜帶向用戶(hù)終端分配的IP地址外���,也還包括該用戶(hù)終端的IP 地址-Mac地址對(duì)�,以及網(wǎng)絡(luò)中的一些重要設(shè)備����,如網(wǎng)關(guān)設(shè)備、數(shù)據(jù)庫(kù)服務(wù)器 等的IP地址-Mac地址對(duì)�。
步驟s 105 、網(wǎng)關(guān)設(shè)備根據(jù)接收到的DHCP ACK報(bào)文進(jìn)行本地靜態(tài)ARP表項(xiàng) 的配置��。
如前所述�����,ARP報(bào)文的欺騙攻擊往往是雙向的���,在向用戶(hù)終端發(fā)送外造 的網(wǎng)關(guān)設(shè)備的ARP報(bào)文的同時(shí)�����,也向網(wǎng)關(guān)設(shè)備發(fā)送偽造的ARP報(bào)文��。因此�,本 發(fā)明的實(shí)施例中���,網(wǎng)關(guān)設(shè)備具有DHCP中繼(Relay)功能���,能夠?qū)邮盏降?DHCP報(bào)文進(jìn)行監(jiān)聽(tīng),并根據(jù)DHCP報(bào)文維護(hù)本地存儲(chǔ)的ARP表項(xiàng)��。
具體的����,網(wǎng)關(guān)設(shè)備在步驟sl02中接收到DHCP服務(wù)器向用戶(hù)終端發(fā)送的 DHCP OFFER報(bào)文時(shí)直接進(jìn)行轉(zhuǎn)發(fā)�����,因?yàn)楫?dāng)時(shí)用戶(hù)終端尚未確定使用由哪個(gè) DHCP服務(wù)器提供的IP地址���。而網(wǎng)關(guān)設(shè)備在接收到DHCP服務(wù)器向用戶(hù)終端發(fā) 送的DHCP ACK才艮文時(shí),可以將DHCP ACK才艮文中該用戶(hù)終端的IP地址-Mac地址對(duì)添加到本地的靜態(tài)ARP表項(xiàng)中�����。通過(guò)此方法����,網(wǎng)關(guān)設(shè)備在之后某 時(shí)刻接收到攻擊者發(fā)送的包括用戶(hù)終端偽造IP地址-Mac地址對(duì)的ARP協(xié)議 報(bào)文時(shí),因?yàn)殪o態(tài)ARP表項(xiàng)的優(yōu)先級(jí)高于動(dòng)態(tài)ARP表項(xiàng)�,因此無(wú)法改變用戶(hù) 終端的IP地址-Mac地址對(duì)。通過(guò)該步驟��,在網(wǎng)關(guān)設(shè)備上對(duì)通過(guò)DHCP服務(wù)器
合法獲得IP地址的用戶(hù)終端的ARP表項(xiàng)進(jìn)行了保護(hù)��,實(shí)現(xiàn)了對(duì)ARP報(bào)文攻擊
的防范�����。
步驟sl06、用戶(hù)終端根據(jù)接收到的DHCP ACK報(bào)文進(jìn)行本地靜態(tài)ARP表項(xiàng)
的配置�。
具體的,用戶(hù)終端接收到DHCPACK報(bào)文后�,按照DHCP服務(wù)器向其分配 的IP地址進(jìn)行終端IP地址的配置。另外�,如果用戶(hù)終端在接收到DHCP OFFER 報(bào)文時(shí)沒(méi)有進(jìn)行本地靜態(tài)ARP表項(xiàng)的配置�����,則也可以在接收到該DHCP服務(wù)器 發(fā)送的DHCP ACK報(bào)文后��,解析DHCP ACK報(bào)文中攜帶的網(wǎng)關(guān)設(shè)備��、數(shù)據(jù)庫(kù) 服務(wù)器等的IP地址-Mac地址對(duì)��,并將這些解析出的IP地址-Mac地址對(duì)加入 本地的靜態(tài)ARP表項(xiàng)���。通過(guò)該步驟�����,即可保證用戶(hù)終端對(duì)網(wǎng)絡(luò)中網(wǎng)關(guān)設(shè)備以 及其他設(shè)備的網(wǎng)絡(luò)地址進(jìn)行正確解析��,不受ARP攻擊報(bào)文的影響���。
在上述實(shí)施例一步驟的實(shí)現(xiàn)中�����,要求DHCP服務(wù)器可以在發(fā)送給用戶(hù)終端 的DHCP報(bào)文中攜帶IP地址-Mac地址對(duì)�����。該攜帶可以通過(guò)設(shè)置DHCP報(bào)文中 的Option域?qū)崿F(xiàn)��。DHCP協(xié)議中規(guī)定的DHCP報(bào)文格式如圖4所示����。其中Option 域?yàn)榭梢愿鶕?jù)需要進(jìn)行擴(kuò)展的部分�,因此,為了實(shí)現(xiàn)本發(fā)明實(shí)施例的目的���, 需要通過(guò)此Option域進(jìn)行DHCP協(xié)議的擴(kuò)展���,定義一個(gè)新的DHCP報(bào)文中的 Option來(lái)配置用戶(hù)終端、網(wǎng)關(guān)設(shè)備等的IP地址-Mac地址對(duì)�����。
該Option域的格式如圖5中的(5A )所示,包括
xx:表示Option號(hào)��,對(duì)于該新定義的Option項(xiàng)��,該Option號(hào)暫時(shí)以xx代替����; N:表示Option的長(zhǎng)度,該長(zhǎng)度不包括xx;
i 1至iN:標(biāo)識(shí)Option中的子項(xiàng)�����,每一Option子項(xiàng)包括一組ARP信息����。
其中���,每一子項(xiàng)的結(jié)構(gòu)如圖5中的(5B)所示����,包括
S:子項(xiàng)序號(hào)���,每條ARP信息對(duì)應(yīng)一個(gè)子項(xiàng)�,從1開(kāi)始編號(hào),依次遞增��;
SN:子項(xiàng)長(zhǎng)度����,即SubOptl和SubOpt2的長(zhǎng)度之和;
SubOptl:攜帶協(xié)議地址��,在以太網(wǎng)中為IP地址�����;
SubOpt2:攜帶硬/f牛地址�,以太網(wǎng)中為Maci也址。
其中����,SubOptl和SubOpt2具有相同的結(jié)構(gòu),如圖5中的(5C)和(5D) 所示�����,以其中的SubOptl為例����,S1N為協(xié)議地址的長(zhǎng)度���,Protocol Address為協(xié)議地址,長(zhǎng)度為S1N字節(jié)����。
通過(guò)該方法,DHCP服務(wù)器在為用戶(hù)終端分配IP地址后���,可以將客戶(hù)端的 IP地址-Mac地址對(duì)配置在Option域中����,并在發(fā)送的DHCP報(bào)文中添加Option 域并發(fā)送�。對(duì)于網(wǎng)關(guān)設(shè)備等網(wǎng)絡(luò)設(shè)備����,其IP地址-Mac地址是預(yù)先已經(jīng)設(shè)置好 的,直接添加在Option域中即可���,其添加方法同添加用戶(hù)終端的IP地址-Mac 地址對(duì)的方法相同����。用戶(hù)終端�、網(wǎng)關(guān)設(shè)備等設(shè)備收到帶有Option域的DHCP報(bào) 文后�,根據(jù)上述報(bào)文結(jié)構(gòu)解析Option域��,并將IP地址-Mac地址對(duì)配置為本地 靜態(tài)ARP表項(xiàng)�����。
以上實(shí)施例一中���,以DHCP服務(wù)器在DHCP報(bào)文中添加IP地址-Mac地址 對(duì)�,由用戶(hù)終端以及網(wǎng)關(guān)設(shè)備解析該DHCP報(bào)文并維護(hù)靜態(tài)ARP表項(xiàng)為例���,實(shí) 現(xiàn)了對(duì)ARP報(bào)文攻擊的防御���。除了采取維護(hù)靜態(tài)ARP表項(xiàng)的方法之外,還可以 采用設(shè)置新的ARP表項(xiàng)優(yōu)先級(jí)的方法���。具體的�,可以設(shè)置一類(lèi)新的ARP表項(xiàng)��, 這類(lèi)ARP表項(xiàng)在網(wǎng)絡(luò)設(shè)備上以?xún)?yōu)先級(jí)高于動(dòng)態(tài)ARP表項(xiàng)的形式存在��,不能被 ARP報(bào)文動(dòng)態(tài)改寫(xiě)�。這樣����,同樣可以保證網(wǎng)絡(luò)設(shè)備所經(jīng)常使用一些關(guān)鍵的ARP 不會(huì)被ARP攻擊報(bào)文篡改�,保持正確。這類(lèi)優(yōu)先級(jí)高于動(dòng)態(tài)ARP表項(xiàng)的ARP 表項(xiàng)��,與靜態(tài)ARP表項(xiàng)的區(qū)別在于靜態(tài)ARP表項(xiàng)一般不存在老化機(jī)制���,只能 手動(dòng)刪除而不會(huì)因過(guò)期自動(dòng)刪除���,而且有的系統(tǒng)的靜態(tài)ARP表項(xiàng)不可以被動(dòng) 態(tài)刷新。因此通過(guò)設(shè)置具有新優(yōu)先級(jí)的ARP表項(xiàng)���,可以通過(guò)設(shè)置老化機(jī)制和 刷新機(jī)制進(jìn)行維護(hù)�����。
關(guān)于此類(lèi)新ARP表項(xiàng)的老化機(jī)制,對(duì)于用戶(hù)終端而言���,可以將表項(xiàng)老化 時(shí)間設(shè)定為用戶(hù)終端從DHCP服務(wù)器獲得IP的租約時(shí)間��,在續(xù)約或者重新獲得 IP的時(shí)候���,此類(lèi)新ARP表項(xiàng)的內(nèi)容和老化時(shí)間也隨之更新�����;在用戶(hù)終端發(fā)生釋 放IP地址資源���,以及網(wǎng)絡(luò)接口DOWN或復(fù)位等事件,此類(lèi)新表項(xiàng)應(yīng)隨之刪除�����, 在用戶(hù)終端重新通過(guò)DHCP獲得IP的時(shí)候��,重新建立這類(lèi)新ARP表項(xiàng)���。
關(guān)于此類(lèi)新ARP表項(xiàng)的老化機(jī)制�,對(duì)于網(wǎng)關(guān)設(shè)備而言��,在如下情況應(yīng)考 慮刪除這類(lèi)新ARP表項(xiàng)(1 )在收到用戶(hù)終端向DHCP服務(wù)器發(fā)送的Release (釋放)報(bào)文�,請(qǐng)求釋放IP地址資源時(shí),應(yīng)刪除用戶(hù)終端對(duì)應(yīng)的這類(lèi)新ARP 表項(xiàng)�����。(2)在滿(mǎn)足DHCP中繼老化DHCP安全表項(xiàng)的時(shí)候,應(yīng)考慮刪除用戶(hù)終端對(duì)應(yīng)的這類(lèi)新ARP表項(xiàng)�����。(3 )在滿(mǎn)足DHCP - Snooping ( DHCP監(jiān)聽(tīng))老化 其監(jiān)聽(tīng)表項(xiàng)的時(shí)候���,應(yīng)考慮刪除用戶(hù)終端對(duì)應(yīng)的這類(lèi)新ARP表項(xiàng)�����。另外��,在 網(wǎng)關(guān)設(shè)備監(jiān)聽(tīng)到ACK報(bào)文時(shí)�,應(yīng)該考慮更新原有客戶(hù)端對(duì)應(yīng)的這類(lèi)新ARP表項(xiàng)�。
本發(fā)明的實(shí)施例二中,結(jié)合一個(gè)具體的應(yīng)用場(chǎng)景�,對(duì)本發(fā)明的實(shí)施方式 作進(jìn)一步的說(shuō)明。
設(shè)網(wǎng)絡(luò)中存在DHCP服務(wù)器�����、網(wǎng)關(guān)設(shè)備以及用戶(hù)終端A���。其中用戶(hù)終端A 的MAC地址是52-54-ab-27-82-83;用戶(hù)終端A通告網(wǎng)關(guān)設(shè)備與Internet網(wǎng)絡(luò)連 接��,網(wǎng)關(guān)設(shè)備的IP地址為192.168.1.1, MAC地址為00-88-CC-06-05-43,該網(wǎng) 關(guān)設(shè)備支持DHCP中繼功能�。則用戶(hù)終端A連接網(wǎng)絡(luò)的過(guò)程如圖6所示�����,包括如 下步驟
步驟s601 �、 DHCP服務(wù)器接收到用戶(hù)終端廣播的DHCPDISCOVER報(bào)文。 步驟s602�、 DHCP服務(wù)器向用戶(hù)終端發(fā)送DHCP OFFER報(bào)文。
設(shè)DHCP服務(wù)器從本地地址資源中為用戶(hù)終端分配的IP地址為192.168.1.2,則該DHCPOFFER才艮文中除攜帶向用戶(hù)終端分配的IP地址外�,還攜帶網(wǎng)關(guān)設(shè)備的IP地址-MAC地址對(duì)"192.168.1.1 00-88-CC-06-05-43"。
步驟s603���、用戶(hù)終端向該DHCP服務(wù)器發(fā)送DHCP REQUEST報(bào)文����,同時(shí)
將網(wǎng)關(guān)設(shè)備的IP地址-MAC地址對(duì)添加到本地的ARP表項(xiàng)���。
設(shè)用戶(hù)終端選擇該DHCP服務(wù)器為其提供IP地址分配服務(wù)�,則向該DHCP
服務(wù)器發(fā)送DHCPREQUEST報(bào)文���。另外��,用戶(hù)終端將DHCP OFFER報(bào)文中攜
帶的網(wǎng)關(guān)設(shè)備的IP地址-MAC地址對(duì)"192.168.1.1 00-88-CC-06-05-43"添加
到本地的ARP表項(xiàng)�,該ARP的優(yōu)先級(jí)高于動(dòng)態(tài)ARP表項(xiàng)。
步驟s604��、 DHCP服務(wù)器向網(wǎng)關(guān)設(shè)備發(fā)送DHCP ACK報(bào)文�����。
DHCP服務(wù)器為用戶(hù)終端分配的IP地址為192.168.1.2�,則該ACK報(bào)文中除攜帶用戶(hù)終端的IP地址外,還攜帶有用戶(hù)終端的IP地址_ MAC地址對(duì) "192.168.1.2 52-54-ab-27-82-83 ���,��,以及網(wǎng)關(guān)設(shè)備的IP地址-MAC地址對(duì) "192.168.1.1 00-88-CC-06-05-43"�����。
步驟s605�����、網(wǎng)關(guān)設(shè)備解析該DHCP ACK報(bào)文��,將用戶(hù)終端的IP地址-MAC
地址對(duì)添加到本地的ARP表項(xiàng)�。
網(wǎng)關(guān)設(shè)備將DHCP ACK報(bào)文中攜帶的用戶(hù)終端的IP地址-MAC地址對(duì) "192.168丄2 52-54-ab-27-82-83"添加到本地的ARP表項(xiàng)�����,該ARP的優(yōu)先級(jí)高 于動(dòng)態(tài)ARP表項(xiàng)����。
步驟s606、網(wǎng)關(guān)設(shè)備向用戶(hù)終端發(fā)送DHCPACK報(bào)文���。
步驟s607����、用戶(hù)終端解析該DHCP ACK報(bào)文��,將網(wǎng)關(guān)設(shè)備的IP地址-MAC 地址對(duì)添加到本地的ARP表項(xiàng)�����。
如步驟s603中用戶(hù)終端未將DHCP OFFER報(bào)文中攜帶的網(wǎng)關(guān)設(shè)備的IP地 址- MAC地址對(duì)添加到本地的ARP表項(xiàng)���。則本步驟中用戶(hù)終端將DHCP ACK 報(bào)文中攜帶的網(wǎng)關(guān)設(shè)備的IP地址-MAC地址對(duì) "192.168.1.1 00-88-CC-06-05-43"添加到本地的ARP表項(xiàng)��,該ARP的優(yōu)先級(jí)高于動(dòng)態(tài)ARP 表項(xiàng)����。
至此,完成了在用戶(hù)終端A和網(wǎng)關(guān)設(shè)備上的ARP表項(xiàng)的配置�。當(dāng)用戶(hù)終端 A和網(wǎng)關(guān)設(shè)備接收到網(wǎng)絡(luò)中的ARP攻擊報(bào)文時(shí),其維護(hù)的ARP表項(xiàng)不會(huì)被動(dòng)態(tài) 學(xué)習(xí)到的IP地址-MAC地址對(duì)所修改��,從而達(dá)到了防御ARP報(bào)文攻擊的目的�。
通過(guò)使用以上基于DHCP協(xié)議的防止ARP報(bào)文攻擊的方法,提供了 一套簡(jiǎn) 單有效的ARP攻擊報(bào)文防御解決方案�。使得網(wǎng)絡(luò)中的網(wǎng)關(guān)設(shè)備以及用戶(hù)終端 能夠有效的防御接收到的ARP攻擊報(bào)文。另外�����,通過(guò)DHCP服務(wù)器對(duì)網(wǎng)絡(luò)中用 戶(hù)終端的重要ARP表項(xiàng)進(jìn)行統(tǒng)一配置�,便于集中管理。
本發(fā)明的實(shí)施例三還提供了 一種防止ARP報(bào)文攻擊的系統(tǒng)�,如圖7所示, 該系統(tǒng)由DHCP服務(wù)器IO��、網(wǎng)關(guān)設(shè)備20和至少一個(gè)用戶(hù)終端30組成��。其中DHCP 服務(wù)器用于向請(qǐng)求服務(wù)的用戶(hù)終端分配IP����,并將必要的網(wǎng)絡(luò)設(shè)備以及用戶(hù)終端 的IP地址-MAC地址對(duì)添加到DHCP報(bào)文中向用戶(hù)終端發(fā)送���。網(wǎng)關(guān)設(shè)備用于對(duì) DHCP服務(wù)器發(fā)送的DHCP報(bào)文進(jìn)行監(jiān)聽(tīng),根據(jù)DHCP報(bào)文配置本地的關(guān)于用 戶(hù)終端的ARP表項(xiàng)為不可被動(dòng)態(tài)改寫(xiě)的ARP表項(xiàng)(包括靜態(tài)ARP表項(xiàng)或優(yōu)先級(jí) 高于動(dòng)態(tài)ARP表項(xiàng)的ARP表項(xiàng))���。用戶(hù)終端根據(jù)DHCP服務(wù)器發(fā)送的DHCP報(bào) 文,配置本地如網(wǎng)關(guān)設(shè)備等網(wǎng)絡(luò)設(shè)備的ARP表項(xiàng)為不可被動(dòng)態(tài)改寫(xiě)的ARP表項(xiàng) (包括靜態(tài)ARP表項(xiàng)或優(yōu)先級(jí)高于動(dòng)態(tài)ARP表項(xiàng)的ARP表項(xiàng))���。具體》也��,DHCP月良務(wù)器10包才舌
對(duì)應(yīng)關(guān)系生成模塊ll,用于根據(jù)向發(fā)送DHCPDISCOVER報(bào)文�����、或DHCP REQUEST才艮文的用戶(hù)終端分配的IP地址����、以及用戶(hù)終端的MAC地址�,生成用 戶(hù)終端的IP地址-MAC地址對(duì),并向報(bào)文生成模塊13提供�����。
對(duì)應(yīng)關(guān)系存儲(chǔ)模塊12,用于存儲(chǔ)網(wǎng)絡(luò)中的網(wǎng)關(guān)設(shè)備�����、數(shù)據(jù)庫(kù)服務(wù)器等網(wǎng) 絡(luò)設(shè)備的IP地址-MAC地址對(duì)�,并向報(bào)文生成模塊13提供。
報(bào)文生成模塊13,用于將對(duì)應(yīng)關(guān)系生成模塊l l發(fā)送的用戶(hù)終端的IP地址-MAC地址對(duì)�,以及對(duì)應(yīng)關(guān)系存儲(chǔ)模塊12發(fā)送的網(wǎng)絡(luò)設(shè)備的IP地址-MAC地址 對(duì),添加到向用戶(hù)終端發(fā)送的DHCP報(bào)文中���,該報(bào)文可以為DHCP OFFER報(bào)文����、 和/或DHCP ACK才艮文�。
地址分配模塊14,用于向發(fā)送DHCP DISCOVER報(bào)文、和/或DHCP REQUEST報(bào)文的用戶(hù)終端分配IP地址����,并將分配的IP地址通知對(duì)應(yīng)關(guān)系生成 模塊ll。
報(bào)文發(fā)送模塊15����,用于將報(bào)文生成模塊13生成的DHCP報(bào)文向用戶(hù)終端發(fā)送。
具體地,網(wǎng)關(guān)設(shè)備20包括
才艮文監(jiān)聽(tīng)模塊21 �����,用于監(jiān)聽(tīng)DHCP服務(wù)器向用戶(hù)終端發(fā)送的DHCP ACK報(bào) 文��,當(dāng)該DHCP才艮文中攜帶有用戶(hù)終端的IP地址-MAC地址對(duì)時(shí)�,解析該用戶(hù) 終端的IP地址-MAC地址對(duì)并通知表項(xiàng)維護(hù)模塊22更新ARP表項(xiàng)。
表項(xiàng)維護(hù)模塊22���,用于根據(jù)報(bào)文監(jiān)聽(tīng)模塊21獲取的用戶(hù)終端的IP地址-MAC地址對(duì),將其配置為不可被動(dòng)態(tài)改寫(xiě)的ARP表項(xiàng)�,該包括用戶(hù)終端IP地 址-MAC地址對(duì)的ARP表項(xiàng)為靜態(tài)ARP表項(xiàng)或優(yōu)先級(jí)高于動(dòng)態(tài)ARP表項(xiàng)的 ARP表項(xiàng)。
表項(xiàng)更新模塊23,用于根據(jù)預(yù)先設(shè)定的機(jī)制對(duì)表項(xiàng)維護(hù)模塊22中的ARP 表項(xiàng)進(jìn)行老化和更新����。對(duì)于優(yōu)先級(jí)高于動(dòng)態(tài)ARP表項(xiàng)的新ARP表項(xiàng),在如下情 況應(yīng)考慮刪除(1 )在收到用戶(hù)終端向DHCP服務(wù)器發(fā)送的Release凈艮文����,請(qǐng) 求釋放IP地址資源時(shí),應(yīng)刪除用戶(hù)終端對(duì)應(yīng)的這類(lèi)新ARP表項(xiàng)���。(2)在滿(mǎn)足 DHCP中繼老化DHCP安全表項(xiàng)的時(shí)候�,應(yīng)考慮刪除用戶(hù)終端對(duì)應(yīng)的這類(lèi)新ARP表項(xiàng)����。(3 )在滿(mǎn)足DHCP - Snooping老化其監(jiān)聽(tīng)表項(xiàng)的時(shí)候���,應(yīng)考慮刪 除用戶(hù)終端對(duì)應(yīng)的這類(lèi)新ARP表項(xiàng)。
具體地��,用戶(hù)終端30包括
報(bào)文解析模塊31 �,用于解析DHCP服務(wù)器向本用戶(hù)終端發(fā)送的DHCP報(bào)文, 當(dāng)該DHCP報(bào)文中攜帶有網(wǎng)關(guān)設(shè)備等網(wǎng)絡(luò)設(shè)備的IP地址-MAC地址對(duì)時(shí)��,解析 該網(wǎng)絡(luò)設(shè)備的IP地址-MAC地址對(duì)并通知終端表項(xiàng)模塊22更新ARP表項(xiàng)��。
終端表項(xiàng)模塊32���,用于根據(jù)報(bào)文解析模塊21獲取的網(wǎng)關(guān)設(shè)備等網(wǎng)絡(luò)設(shè)備 的IP地址-MAC地址對(duì)�����,將其配置為不可被動(dòng)態(tài)改寫(xiě)的ARP表項(xiàng)�,該包括網(wǎng) 關(guān)設(shè)備等網(wǎng)絡(luò)設(shè)備的IP地址-MAC地址對(duì)的ARP表項(xiàng)為靜態(tài)ARP表項(xiàng)或優(yōu)先 級(jí)高于動(dòng)態(tài)ARP表項(xiàng)的ARP表項(xiàng)����。
終端表項(xiàng)更新模塊33,用于根據(jù)預(yù)先設(shè)定的機(jī)制對(duì)終端表項(xiàng)模塊32中的 ARP表項(xiàng)進(jìn)行老化和更新。對(duì)于優(yōu)先級(jí)高于動(dòng)態(tài)ARP表項(xiàng)的新ARP表項(xiàng)�,可以
者重新獲得IP的時(shí)候,此類(lèi)新ARP表項(xiàng)的內(nèi)容和老化時(shí)間也隨之更新���;在用戶(hù) 終端發(fā)生釋放IP地址資源���,以及網(wǎng)絡(luò)接口DOWN或復(fù)位等事件,此類(lèi)新表項(xiàng) 應(yīng)隨之刪除����。
除了實(shí)施例三中所描述的組網(wǎng)形式外,在應(yīng)用中還可能包括其他組網(wǎng)結(jié) 構(gòu)�����。如用戶(hù)終端與DHCP服務(wù)器直接連接���,該請(qǐng)況下本發(fā)明的實(shí)施方式與實(shí)施 例三所描述的類(lèi)似,都是由DHCP服務(wù)器在DHCP報(bào)文中添加IP地址-MAC地 址對(duì)���,通知用戶(hù)終端網(wǎng)絡(luò)中重要設(shè)備的IP地址-MAC地址對(duì)�����,以及通知網(wǎng)絡(luò) 中其他設(shè)備該用戶(hù)終端的IP地址-MAC地址對(duì)��。對(duì)于此情況在此不做重復(fù)描 述��。
通過(guò)使用上述實(shí)施例所描述的基于DHCP協(xié)議的防止ARP報(bào)文攻擊的系 統(tǒng)���,提供了一套簡(jiǎn)單有效的ARP攻擊報(bào)文防御解決方案���。使得網(wǎng)絡(luò)中的網(wǎng)關(guān) 設(shè)備以及用戶(hù)終端能夠有效的防御接收到的ARP攻擊報(bào)文。另外����,通過(guò)DHCP 服務(wù)器上對(duì)網(wǎng)絡(luò)中用戶(hù)終端的重要ARP表項(xiàng)進(jìn)行統(tǒng)一配置,便于集中管理�����。
以上公開(kāi)的僅為本發(fā)明的幾個(gè)具體實(shí)施例�,但是,本發(fā)明并非局限于此��, 任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護(hù)范圍�����。
權(quán)利要求
1、一種防止地址解析協(xié)議ARP報(bào)文攻擊的方法����,其特征在于,包括以下步驟動(dòng)態(tài)主機(jī)配置協(xié)議DHCP服務(wù)器在DHCP報(bào)文中添加IP地址-MAC地址對(duì)并向用戶(hù)終端發(fā)送���;所述用戶(hù)終端接收所述DHCP報(bào)文�,解析所述DHCP報(bào)文中包括的IP地址-MAC地址對(duì)并將其配置為本地不可被動(dòng)態(tài)改寫(xiě)的ARP表項(xiàng)�,以防止攻擊報(bào)文通過(guò)更改用戶(hù)終端的ARP表項(xiàng)對(duì)網(wǎng)絡(luò)進(jìn)行攻擊。
2�、 如權(quán)利要求1所述防止ARP報(bào)文攻擊的方法,其特征在于�,網(wǎng)絡(luò)中特定網(wǎng)絡(luò)設(shè)備的IP地址-MAC地址對(duì),所述特定網(wǎng)絡(luò)設(shè)備至少包括與 所述用戶(hù)終端連接的網(wǎng)關(guān)設(shè)備���;不同的網(wǎng)絡(luò)設(shè)備分別選擇對(duì)應(yīng)的IP地址-MAC地址對(duì)并將其配置為本地 不可^皮動(dòng)態(tài)改寫(xiě)的ARP表項(xiàng)��。
3 ���、如權(quán)利要求2所述防止ARP沖艮文攻擊的方法�����,其特征在于,所述DHCP 服務(wù)器在DHCP報(bào)文中添加IP地址-MAC地址對(duì)并向用戶(hù)終端發(fā)送的步驟后 還包括網(wǎng)關(guān)設(shè)備接收所述DHCP服務(wù)器向用戶(hù)終端發(fā)送的DHCP報(bào)文���;對(duì)配置為本地不可^皮動(dòng)態(tài)改寫(xiě)的ARP表項(xiàng)�����;所述網(wǎng)關(guān)設(shè)備向用戶(hù)終端發(fā)送所述DHCP報(bào)文�。
4��、 如權(quán)利要求1至3中任一項(xiàng)所述防止ARP報(bào)文攻擊的方法����,其特征 在于,所述不可被動(dòng)態(tài)改寫(xiě)的ARP表項(xiàng)為靜態(tài)ARP表項(xiàng)�,或優(yōu)先級(jí)高于動(dòng)態(tài) ARP表項(xiàng)的ARP表項(xiàng)。
5�、 如權(quán)利要求4所述防止ARP報(bào)文攻擊的方法,其特征在于�,所述用 戶(hù)終端在本地配置的為優(yōu)先級(jí)高于動(dòng)態(tài)ARP表項(xiàng)的ARP表項(xiàng)時(shí),所述用戶(hù)終 端解析DHCP報(bào)文中包括的IP地址-MAC地址對(duì)并將其配置為本地不可被動(dòng) 態(tài)改寫(xiě)的ARP表項(xiàng)后還包括步驟
6��、 如權(quán)利要求5所述防止ARP報(bào)文攻擊的方法��,其特征在于�����,所述用.'項(xiàng)停所述ARP表項(xiàng)的老化時(shí)間《 在續(xù)約或者重新獲得IP的時(shí)候,更新所述ARP表項(xiàng)和老化時(shí)間���;或 在釋放IP地址資源或復(fù)位時(shí)��,刪除所述ARP表項(xiàng)���;或 重新通過(guò)DHCP服務(wù)器獲得IP時(shí),刷新所述ARP表項(xiàng)�; 中的一種或多種。
7�����、 如權(quán)利要求4所述防止ARP報(bào)文攻擊的方法��,其特征在于�,所述網(wǎng) 關(guān)設(shè)備在本地配置的為優(yōu)先級(jí)高于動(dòng)態(tài)ARP表項(xiàng)的ARP表項(xiàng)時(shí),所述網(wǎng)關(guān)設(shè) 備向用戶(hù)終端發(fā)送DHCP報(bào)文后還包括步驟
8���、 如權(quán)利要求7所述防止ARP報(bào)文攻擊的方法��,其特征在于�,所述網(wǎng)接收到用戶(hù)終端向DHCP服務(wù)器發(fā)送的IP地址釋放請(qǐng)求時(shí)����,刪除所述用 戶(hù)鄉(xiāng)冬端對(duì)應(yīng)的ARP表項(xiàng);或在滿(mǎn)足DHCP中繼老化DHCP安全表項(xiàng)時(shí)��,刪除用戶(hù)終端對(duì)應(yīng)的ARP表 項(xiàng)�;或在滿(mǎn)足DHCP Snooping老化其監(jiān)聽(tīng)表項(xiàng)的時(shí)候,刪除用戶(hù)終端對(duì)應(yīng)的 ARP表項(xiàng)��;或監(jiān)聽(tīng)到用戶(hù)終端的DHCP報(bào)文時(shí)�,更新所述用戶(hù)終端對(duì)應(yīng)的ARP表項(xiàng); 中的一種或多種��。
9����、 如權(quán)利要求1至3中任一項(xiàng)所述防止ARP報(bào)文攻擊的方法,其特征 在于��,所述IP地址-MAC地址對(duì)包含在DHCP報(bào)文中的Option域�;所述DHCP報(bào)文為DHCP OFFER報(bào)文、和/或DHCP ACK報(bào)文�����。
10、 一種防止AIO^艮文攻擊的系統(tǒng)�,包括DHCP服務(wù)器和用戶(hù)終端,其 特征在于�����,所述DHCP服務(wù)器����,用于在DHCP報(bào)文中添加IP地址-MAC地址對(duì)并向 所述用戶(hù)終端發(fā)送;所述用戶(hù)終端�����,用于解析所述DHCP服務(wù)器發(fā)送的DHCP報(bào)文中包括的 IP地址-MAC地址對(duì)并將其配置為本地不可被動(dòng)態(tài)改寫(xiě)的ARP表項(xiàng)�。
11、 如權(quán)利要求10所述防止ARP報(bào)文攻擊的系統(tǒng)���,其特征在于����,所述 DHCP服務(wù)器�����,除包括寺艮文發(fā)送模塊外,還包括報(bào)文生成模塊�,用于將IP地址-MAC地址對(duì)添加到向用戶(hù)終端發(fā)送的 DHCP報(bào)文中���,并通過(guò)所述報(bào)文發(fā)送模塊向所述用戶(hù)終端發(fā)送��。對(duì)應(yīng)關(guān)系生成模塊����,用于根據(jù)向用戶(hù)終端分配的IP地址�、以及用戶(hù)終端 的MAC地址,生成用戶(hù)終端的IP地址_ MAC地址對(duì)��,并提供給所述報(bào)文生 成模塊���;對(duì)應(yīng)關(guān)系存儲(chǔ)模塊��,用于存儲(chǔ)網(wǎng)絡(luò)中特定網(wǎng)絡(luò)設(shè)備的IP地址-MAC地址 對(duì)���,并提供給所述報(bào)文生成模塊。
12�、 如權(quán)利要求10所述防止ARP報(bào)文攻擊的系統(tǒng),其特征在于,所述用 戶(hù)終端包括報(bào)文解析模塊����,用于解析DHCP服務(wù)器向本用戶(hù)終端發(fā)送的DHCP報(bào)文, 解析所述DHCP報(bào)文中攜帶的特定網(wǎng)絡(luò)設(shè)備的IP地址-MAC地址對(duì)�����,并通知終 端表項(xiàng)模塊����;終端表項(xiàng)模塊,用于根據(jù)所述報(bào)文解析模塊獲取的特定網(wǎng)絡(luò)設(shè)備的IP地 址- MAC地址對(duì)��,將其配置為本地不可被動(dòng)態(tài)改寫(xiě)的ARP表項(xiàng)�����。
13�����、 如權(quán)利要求12所述防止ARP報(bào)文攻擊的系統(tǒng)����,其特征在于,所述用 戶(hù)終端還包括終端表項(xiàng)更新模塊,用于根據(jù)預(yù)先設(shè)定的機(jī)制對(duì)所述終端表項(xiàng)模塊中的 ARP表項(xiàng)進(jìn)4于老4b和更新��。
14�����、 如4又利要求10所述防止ARP t艮文攻擊的系統(tǒng)���,其特征在于,還包 括網(wǎng)關(guān)設(shè)備��,用于將所述DHCP服務(wù)器發(fā)送的DHCP報(bào)文中包括的IP地址 -MAC地址對(duì)配置為本地不可被動(dòng)態(tài)改寫(xiě)的ARP表項(xiàng)���;其中��,所述網(wǎng)關(guān)設(shè)備 包括報(bào)文監(jiān)聽(tīng)模塊���,用于監(jiān)聽(tīng)DHCP服務(wù)器向用戶(hù)終端發(fā)送的DHCP報(bào)文,解 析所述DHCP報(bào)文中攜帶的用戶(hù)終端的IP地址-MAC地址對(duì)��,并通知表項(xiàng)維護(hù)模塊���;表項(xiàng)維護(hù)模塊����,用于根據(jù)所述報(bào)文監(jiān)聽(tīng)模塊獲取的用戶(hù)終端的IP地址-MAC地址對(duì),將其配置為本地不可被動(dòng)態(tài)改寫(xiě)的ARP表項(xiàng)�。
15、如權(quán)利要求14所述防止ARP才艮文攻擊的系統(tǒng)�����,其特征在于���,所述網(wǎng) 關(guān)設(shè)備還包括表項(xiàng)更新模塊���,用于根據(jù)預(yù)先設(shè)定的機(jī)制對(duì)所述表項(xiàng)維護(hù)模塊中的ARP 表項(xiàng)進(jìn)行老化和更新。
全文摘要
本發(fā)明公開(kāi)了一種防止地址解析協(xié)議ARP報(bào)文攻擊的方法���,包括以下步驟動(dòng)態(tài)主機(jī)配置協(xié)議DHCP服務(wù)器在DHCP報(bào)文中添加IP地址-MAC地址對(duì)并向用戶(hù)終端發(fā)送����;用戶(hù)終端接收該DHCP報(bào)文���,解析該DHCP報(bào)文中包括的IP地址-MAC地址對(duì)并將其配置為本地不可被動(dòng)態(tài)改寫(xiě)的ARP表項(xiàng)��,以防止攻擊報(bào)文通過(guò)更改用戶(hù)終端的ARP表項(xiàng)對(duì)網(wǎng)絡(luò)進(jìn)行攻擊���。本發(fā)明還公開(kāi)了一種防止ARP報(bào)文攻擊的系統(tǒng)���。通過(guò)使用本發(fā)明,使得網(wǎng)絡(luò)中的網(wǎng)關(guān)設(shè)備以及用戶(hù)終端能夠有效的防御接收到的ARP攻擊報(bào)文��。另外���,通過(guò)DHCP服務(wù)器對(duì)網(wǎng)絡(luò)中用戶(hù)終端的重要ARP表項(xiàng)進(jìn)行統(tǒng)一配置����,便于集中管理����。
文檔編號(hào)H04L29/06GK101175080SQ20071012980
公開(kāi)日2008年5月7日 申請(qǐng)日期2007年7月26日 優(yōu)先權(quán)日2007年7月26日
發(fā)明者雷 秦 申請(qǐng)人:杭州華三通信技術(shù)有限公司