專利名稱:一種聯(lián)動對抗地址解析協(xié)議攻擊的系統(tǒng)與路由器的制作方法
技術(shù)領(lǐng)域:
本實用新型關(guān)于網(wǎng)絡(luò)安全領(lǐng)域�����,特別關(guān)于一種聯(lián)動對抗ARP (Address Re solution Protocol:地址解析協(xié)議)攻擊的系統(tǒng)與路由器���。
背景技術(shù):
ARP攻擊主要是指欺騙主機(jī)發(fā)出的ARP請求或應(yīng)答報文中�,將源IP����、源MAC (Media Access Control:媒體接入控制)設(shè)為欺騙值或隨機(jī)值以達(dá)到欺騙 其它主機(jī)的目的,包括只修改源IP、只修改源MAC����、同時修改源IP和源MAC等 方法,達(dá)到阻斷其它主機(jī)上網(wǎng)或充當(dāng)其它主機(jī)的中間人的目的��。
如1圖所示���,其中PC1為攻擊主機(jī)��,PC2為被冒充主機(jī)�����、PC4為被欺騙主機(jī)��。 路由器的IP地址和MAC地址分別為IPO和MACO��, PC1的IP地址和MAC地址分別為I P1和MAC1�, PC2的IP地址和MAC地址分別為IP2和MAC2����, PC4的IP地址和MAC地址 分別為IP4和MAC4。 PC1向PC4發(fā)送ARP應(yīng)答的欺騙報文���,該報文的源MAC為MAC1��, 源IP為IP2���。 PC4收到該ARP欺騙報文后,將自己ARP表中的PC2對應(yīng)的MAC修改 為MAC1��。這樣后續(xù)PC4想發(fā)往PC2的數(shù)據(jù)報文就都被發(fā)往PC1���,導(dǎo)致PC4和PC2之 間通訊不正常���,這樣PC1可以選擇進(jìn)行中間人攻擊或阻斷攻擊。
針對目前ARP攻擊的問題�����,現(xiàn)有技術(shù)中有兩種解決方案配置靜態(tài)ARP以 及在交換機(jī)上綁定端口�����、 IP和MAC�����。上述解決方法中,靜態(tài)ARP綁定操作很繁 瑣���,需要在網(wǎng)關(guān)(路由器)和所有客戶端(PC)上進(jìn)行配置����,配置工作量很 大�����,而且不靈活�����。在交換機(jī)上配置綁定端口����、 IP和MAC是較好的解決辦法,但 手工配置同樣存在配置工作量大��、不靈活的缺點�,現(xiàn)有技術(shù)中,需要手工收 集正確的三元素映射關(guān)系�,因通常交換機(jī)和主機(jī)的臺數(shù)都很多,存在收集工 作量大的問題���,而且如果主機(jī)換網(wǎng)卡或換交換機(jī)端口后還要再手工配置相應(yīng) 的交換機(jī)�����,使用上很不靈活���。
實用新型內(nèi)容
本實用新型提供了一種聯(lián)動對抗ARP攻擊的系統(tǒng)與路由器�����,該系統(tǒng)包括路 由器,和路由器相連的交換機(jī)��,交換機(jī)下的每一個端口連接多臺主機(jī)�。本實 用新型在路由器端生成三元素的映射關(guān)系(該三元素是指交換機(jī)端口、與
所述交換機(jī)口連接的所有主機(jī)的IP地址和MAC地址)���,并通過路由器和交換機(jī)
的聯(lián)動通信單元將該映射關(guān)系發(fā)給所述交換機(jī)�,從而在交換機(jī)每個端口上完
成主機(jī)IP地址和MAC地址的綁定�,有效地防止的了ARP攻擊。
本實用新型實施例的目的在于提供了一種聯(lián)動對抗ARP攻擊的系統(tǒng)�����,所述 系統(tǒng)包括路由器以及與所述路由器連接的交換機(jī),所述交換機(jī)包含多個端口�����, 每個端口連接多個主機(jī)���,所述路由器包括與所述多個主機(jī)連接的半靜態(tài)ARP 單元��,生成第一映射關(guān)系��,所述第一映射關(guān)系為所述交換機(jī)端口���、與所述交 換機(jī)端口連接的主機(jī)IP地址和主機(jī)MAC地址這三者的映射關(guān)系;連接所述半靜 態(tài)ARP單元的路由器聯(lián)動通信單元����,所述路由器聯(lián)動通信單元至少包含第一映 射關(guān)系發(fā)送單元,將所述第一映射關(guān)系發(fā)送給所述交換機(jī)����;所述交換機(jī)至少 包括交換機(jī)聯(lián)動通信單元,所述交換機(jī)聯(lián)動通信單元至少包括第一映射關(guān) 系接收單元��,接收所述第一映射關(guān)系����;三元素綁定單元���,根據(jù)接收的所述第 一映射關(guān)系在所述交換機(jī)的端口上綁定與所述端口相連接的主機(jī)的IP地址和 MAC地址。
本實用新型另一實施例的目的在于提供一種路由器���,所述路由器至少包
括與多個主機(jī)連接的半靜態(tài)ARP單元�,生成第一映射關(guān)系����,所述第一映射關(guān)
系為交換機(jī)端口�、與所述交換機(jī)端口連接的主機(jī)IP地址和主機(jī)MAC地址這三者 的映射關(guān)系;連接所述半靜態(tài)ARP單元的路由器聯(lián)動通信單元���,所述路由器聯(lián) 動通信單元至少包含第一映射關(guān)系發(fā)送單元���,將所述第一映射關(guān)系發(fā)送給所 述交換機(jī)。
本實用新型的路由器能夠自動生成三元素映射關(guān)系����,并利用路由器和交 換機(jī)的聯(lián)動通訊單元自動地把生成的三元素映射關(guān)系通知給交換機(jī),交換機(jī)
的三元素綁定單元自動進(jìn)行三元素綁定�,解決了手工配置工作量大的問題��。
并且�����,路由器的半靜態(tài)ARP單元會根據(jù)ARP報文的變化自動更新三元素綁定映 射關(guān)系并通告給交換機(jī)三元素綁定單元���,解決了主機(jī)換網(wǎng)卡或換交換機(jī)端口 后手工配置不靈活的問題。
圖l為本實用新型實施例完整的網(wǎng)絡(luò)體系架構(gòu)�����; 圖2為圖1的一種邏輯網(wǎng)絡(luò)體系架構(gòu)��;
圖3為圖1的另一種的邏輯網(wǎng)絡(luò)體系架構(gòu)����;
圖4為本實施例系統(tǒng)的原理結(jié)構(gòu)圖5為本實施例的三元素映射表;
圖6為本實施例系統(tǒng)的細(xì)化結(jié)構(gòu)圖7為本實施例半靜態(tài)ARP生成單元的細(xì)化結(jié)構(gòu)圖8為本實施例路由器ARP處理單元的細(xì)化結(jié)構(gòu)圖�����; 圖8a為本實施例交換機(jī)電路圖8b為本��,實施例路由器電路圖9為本實施例詳細(xì)流程圖�。
具體實施方式
以下結(jié)合附圖對本實用新型的具體實施方式
進(jìn)行詳細(xì)說明如下
圖1-圖3為本實施例的網(wǎng)絡(luò)體系架構(gòu)��,其中圖l是本實施例完整的網(wǎng)絡(luò)體 系架構(gòu)���。本實施例中三元素綁定是配置在最接近主機(jī)(PC)的設(shè)備上,即圖l
中的二層交換機(jī)���,圖l中的三層交換機(jī)只提供透明的數(shù)據(jù)通路�,此時可以用圖
3的邏輯網(wǎng)絡(luò)體系架構(gòu)來表示圖1 ����。當(dāng)圖1中的二層交換機(jī)不具備三元素綁定功 能時,本實施例在圖l中的三層交換機(jī)上實現(xiàn)三元素綁定�,此時可以用圖2的
邏輯網(wǎng)絡(luò)體系架構(gòu)來表示圖l。
圖4為本實施例聯(lián)動對抗ARP攻擊系統(tǒng)的原理結(jié)構(gòu)圖���。如圖所示,本實施 例的系統(tǒng)包括路由器40����、交換機(jī)41和交換機(jī)下連的多個主機(jī)42 (圖4中用一臺主機(jī)來說明本實施例,實際網(wǎng)絡(luò)架構(gòu)參考圖1-圖3)�,路由器40分別連接交換 機(jī)41和主機(jī)42。路由器40至少包括半靜態(tài)ARP單元401和與其相連接的路由器 聯(lián)動通信單元402���,交換機(jī)41至少包括交換機(jī)聯(lián)動通信單元411和三元素綁定 單元412����。路由器的半靜態(tài)ARP單元401和主機(jī)42相連,路由器聯(lián)動通信單元40 2和交換機(jī)聯(lián)動通信單元411相連�����。
半靜態(tài)ARP單元401用于生成第一映射關(guān)系����,該第一映射關(guān)系為交換機(jī)41 的端口、與交換機(jī)41端口連接的主機(jī)42的IP地址和主機(jī)42的區(qū)C地址這三者的 映射關(guān)系�����,圖5以交換機(jī)包含三個端口����、每個端口下連三臺主機(jī)為例,顯示了 由第一映射關(guān)系組成的三元素映射表的內(nèi)容����,實際映射表的規(guī)模取決于網(wǎng)絡(luò) 的容量。路由器聯(lián)動通信單元402和半靜態(tài)ARP單元401連接,用于獲取圖5所 示的第一映射關(guān)系并將其發(fā)送給交換機(jī)41��。交換機(jī)聯(lián)動通信單元411接收該第 一映射關(guān)系�,并將其傳給三元素綁定單元412,三元素綁定單元412根據(jù)該第 一映射關(guān)系在交換機(jī)41的相應(yīng)端口上綁定與該端口相連接的主機(jī)的IP地址和 MAC地址��。
圖6為本實施例系統(tǒng)的細(xì)化結(jié)構(gòu)圖�。如圖所示,路由器聯(lián)動通信單元402 至少包括聯(lián)動觸發(fā)單元601�,交換機(jī)聯(lián)動通信單元至少包括聯(lián)動準(zhǔn)備單元611, 這兩個單元共同完成交換機(jī)和路由器聯(lián)動的啟動工作���。聯(lián)動觸發(fā)單元601�,用 于向聯(lián)動準(zhǔn)備單元611發(fā)送聯(lián)動觸發(fā)報文��,該聯(lián)動觸發(fā)報文為包含預(yù)設(shè)MAC地 址的二層報文�����,該二層報文的具體格式可依實際產(chǎn)品需要設(shè)置�����,只要交換機(jī) 和路由器之間能夠進(jìn)行協(xié)商即可����。聯(lián)動準(zhǔn)備單元611,在收到聯(lián)動準(zhǔn)備觸發(fā)之 后��,識別該特殊的二層報文�����,為交換機(jī)41生成和路由器40通信的三層接口和 缺省的IP����,該三層接口可以為SVI (Switch Virtual Interface:交換虛擬接 □)。
如圖6所示��,在一種較佳實施方式中����,交換機(jī)聯(lián)動通信單元411還包括第 二映射關(guān)系發(fā)送單元612,路由器聯(lián)動通信單元402還包括第二映射關(guān)系接收 單元602�����。該第二映射關(guān)系是指交換機(jī)內(nèi)預(yù)存的交換機(jī)端口以及與每個端口
連接的主機(jī)的MAC地址的映射關(guān)系���。該第二映射關(guān)系發(fā)送單元612將該第二映 射關(guān)系發(fā)給第二映射關(guān)系接收單元602;第二映射關(guān)系接收單元602���,接收該 第二映射關(guān)系后����,將其發(fā)給半靜態(tài)ARP單元401�����。
如圖6所示����,半靜態(tài)ARP單元401至少包含和主機(jī)ARP單元621連接的半靜態(tài) ARP生成單元631,以及和第二映射接收單元602連接的三元素映射單元632����。 半靜態(tài)ARP生成單元631通過和主機(jī)的ARP報文交互獲取正確的主機(jī)IP地址和 MAC地址的映射關(guān)系,該映射關(guān)系稱為第三映射關(guān)系�。三元素映射單元632, 連接半靜態(tài)ARP生成單元631和第二映射關(guān)系接收單元602��,由于半靜態(tài)ARP生 成單元631中包含有第三映射關(guān)系(主機(jī)IP地址和主機(jī)MAC地址的正確映射關(guān) 系)�,而第二映射關(guān)系接收單元602中包含有第二映射關(guān)系(交換機(jī)端口和與 該端口連接的主機(jī)MAC地址的映射關(guān)系),三元素映射單元632就可以根據(jù)這 兩種映射關(guān)系生成圖5的列表所示的第一映射關(guān)系��。
如圖6所示����,路由器聯(lián)動通信單元402中還包含第一映射關(guān)系發(fā)送單元, 它和三元素映射單元632連接��,用于獲取第一映射關(guān)系����,并將其發(fā)給交換機(jī)聯(lián) 動通信單元的第一映射關(guān)系接收單元613,然后第一映射關(guān)系接收單元613將 該第一映射關(guān)系轉(zhuǎn)發(fā)給三元素綁定單元412�����,從而在交換機(jī)端口上完成與該端 口連接的主機(jī)IP地址和主機(jī)MAC地址的綁定�。
圖7為半靜態(tài)ARP生成單元的細(xì)化結(jié)構(gòu)圖。如圖所示��,半靜態(tài)ARP生成單元 631至少包括連接主機(jī)42的路由器ARP數(shù)據(jù)單元701以及和路由器ARP數(shù)據(jù)單 元701連接的路由器ARP處理單元702���。路由器ARP數(shù)據(jù)單元701在收到源主機(jī)的 ARP請求廣播報文后����,回發(fā)ARP請求廣播報文以獲取所述源主機(jī)的MAC地址�����,并 接收所述源主機(jī)的ARP應(yīng)答報文。路由器ARP處理單元702判斷如果在一預(yù)定時 間內(nèi)只收到唯一的ARP應(yīng)答報文或ARP報文的源MAC地址不是嫌疑主機(jī)時����,則將 所接收ARP應(yīng)答報文的源IP地址和源MAC地址的映射關(guān)系作為第三映射關(guān)系。
圖8為路由器ARP處理單元702的細(xì)化結(jié)構(gòu)圖�����。如圖所示����,路由器ARP處理 單元702至少包括嫌疑主機(jī)檢測單元801,用于分析路由器ARP數(shù)據(jù)單元701所
接收的ARP報文的特征及源主機(jī)的特征,并將滿足以下條件的源MAC地址作為 嫌疑主機(jī)���,分析所接收的地址解析協(xié)議報文的特征及源主機(jī)的特征�,判斷所 述源主機(jī)是否滿足嫌疑主機(jī)的特征����,并根據(jù)滿足嫌疑主機(jī)特征的源主機(jī)的媒 體接入控制地址生成嫌疑主機(jī)列表,所述嫌疑主機(jī)的特征包括源MAC地址的 主機(jī)進(jìn)行了ARP掃描����;源MAC地址對應(yīng)多個IP; ARP報文頭的源MAC和報文中源 MAC不一致;路由器沒有發(fā)出ARP請求卻收到ARP應(yīng)答�;源主機(jī)的網(wǎng)卡處于混雜 模式�����。在一較佳實施方式中����,路由器ARP數(shù)據(jù)單元701還包括免費ARP單元(圖 中未示)����,當(dāng)完成三元素綁定之后�,用于向全網(wǎng)的所有網(wǎng)絡(luò)設(shè)備和主機(jī)發(fā)送 第一映射關(guān)系中對應(yīng)主機(jī)和路由器的免費ARP。當(dāng)有三層交換機(jī)時�����,網(wǎng)關(guān)指的 是三層交換機(jī)����,當(dāng)只有二層交換機(jī)時,網(wǎng)關(guān)為路由器本身�。本實施例免費ARP 單元發(fā)送2種免費ARP報文路由器自身的免費ARP和已形成三元素綁定主機(jī)的 免費ARP,目的是讓受欺騙的PC得到正確的網(wǎng)關(guān)(路由器)MAC和已確認(rèn)正常P C的MAC��。
圖8a和圖8b分別為本實施例交換機(jī)和路由器的電路圖�����。如圖8a所示,其 中三元素綁定結(jié)果存放在MAC模塊�,交換機(jī)聯(lián)動通信單元以及交換機(jī)的其他單 元位于CPU中。如圖8b所示����,其中半靜態(tài)ARP單元以及路由器聯(lián)動通信單元位 于管理模塊,其中半靜態(tài)ARP表�、嫌疑主機(jī)列表存儲于SDRAM或FLASH中。路由 器以太口 (圖8b中的MAC+PHY模塊)口連接交換機(jī)的RJ45模塊的某個端口����,交 換機(jī)的RJ45模塊的其它端口下連接多個主機(jī)。通過圖8a和圖8b的電路連接���, 能夠?qū)崿F(xiàn)本實用新型采用路由器和交換機(jī)聯(lián)動抗擊ARP攻擊的目的�����。
圖8a中其他模塊分別解釋如下光電復(fù)用口PHY:光電復(fù)用物理接口����; GT
端口PHY:電物理接口; SFP:小型可拔插光模塊���;LED:發(fā)光二極管指示燈�;
2*411145*3個24個以太網(wǎng)端口���。圖8b中其他模塊分別解釋如下I2C:芯片 間串行總線�;10/100/1000 MAC: 10M/100M/1000M自適應(yīng)媒體接入控制器��;10 /100 MAC: 10M/100M自適應(yīng)媒體接入控制器�����;千兆PHY:千兆以太網(wǎng)物理接口�����; 百兆PHY:百兆以太網(wǎng)物理接口���; 1*GE: l個千兆以太網(wǎng)端口; 1*FE: l個百兆
以太網(wǎng)端口�。
圖9為本實施例的詳細(xì)流程圖,該流程圖的兩個支路表示這兩個支路的步
驟是獨立進(jìn)行的�����,步驟S914需要用到步驟S903的結(jié)果。以下結(jié)合圖6-圖8詳細(xì) 說明本實施例聯(lián)動抗擊ARP攻擊的工作原理
步驟S901�,路由器與主機(jī)進(jìn)行ARP報文交互。該交互工作由半靜態(tài)ARP生 成單元631與主機(jī)ARP單元621完成��。如圖7所示���,半靜態(tài)ARP生成單元631至少 包括路由器ARP數(shù)據(jù)單元701和路由器ARP處理單元702���,路由器ARP數(shù)據(jù)單元70 1在收到源主機(jī)的ARP請求廣播報文后,回發(fā)ARP請求廣播報文以獲取所述源主 機(jī)的MAC地址���,并接收所述源主機(jī)的ARP應(yīng)答報文���。
步驟S902,路由器生成嫌疑主機(jī)列表。如圖8所示�,路由器ARP處理單元 中至少包含有嫌疑主機(jī)檢測單元801,分析所接收的ARP報文的特征及源主機(jī) 的特征�,來確定嫌疑主機(jī),并生成嫌疑主機(jī)列表��。具體的檢測原則詳見對圖8 的描述�,此處不再重復(fù)。
步驟S903,路由器根據(jù)嫌疑主機(jī)列表生成第三映射關(guān)系�����。路由器ARP處理 單元702判斷如果在一預(yù)定時間內(nèi)只收到唯一的ARP應(yīng)答報文或ARP報文的源M AC地址不是嫌疑主機(jī)時�����,則將所接收ARP應(yīng)答報文的源IP地址和源MAC地址的
映射關(guān)系作為第三映射關(guān)系�����。
前三個步驟用于在路由器端生成三元素的映射關(guān)系����,以下步驟用于路由 器和交換機(jī)之間聯(lián)動抗擊ARP攻擊��。
步驟S911�����,路由器向交換機(jī)發(fā)送聯(lián)動觸發(fā)報文�。路由器聯(lián)動通信單元402 至少包括聯(lián)動觸發(fā)單元601,交換機(jī)聯(lián)動通信單元至少包括聯(lián)動準(zhǔn)備單元611�����, 這兩個單元共同完成交換機(jī)和路由器聯(lián)動的啟動工作。聯(lián)動觸發(fā)單元601向聯(lián) 動準(zhǔn)備單元611發(fā)送聯(lián)動觸發(fā)報文�,該聯(lián)動觸發(fā)報文為包含預(yù)設(shè)MAC地址的二 層報文,該二層報文的具體格式可依實際產(chǎn)品需要設(shè)置�����,只要交換機(jī)和路由 器之間能夠進(jìn)行協(xié)商即可��。
步驟S912�,交換機(jī)生成三層接口和缺省IP地址。聯(lián)動準(zhǔn)備單元611在收到
聯(lián)動觸發(fā)報文之后����,識別該特殊的二層報文,為交換機(jī)41生成和路由器40通 信的三層接口和缺省的IP�,該三層接口可以為SVI接口。
步驟S913����,交換機(jī)向路由器發(fā)送第二映射關(guān)系。交換機(jī)聯(lián)動通信單元411 還包括第二映射關(guān)系發(fā)送單元612����,路由器聯(lián)動通信單元402還包括第二映射 關(guān)系接收單元602����。該第二映射關(guān)系是指交換機(jī)內(nèi)預(yù)存的交換機(jī)端口以及與 每個端口連接的主機(jī)的MAC地址的映射關(guān)系�����。該第二映射關(guān)系發(fā)送單元612將 該第二映射關(guān)系發(fā)給第二映射關(guān)系接收單元602;第二映射關(guān)系接收單元602�����, 接收該第二映射關(guān)系后�,將其發(fā)給半靜態(tài)ARP單元401。
步驟S914��,路由器根據(jù)第二映射關(guān)系和第三映射關(guān)系生成第一映射關(guān)系����。 半靜態(tài)ARP單元401至少包含和主機(jī)ARP單元621連接的半靜態(tài)ARP生成單元 631,以及和第二映射接收單元602連接的三元素映射單元632�。三元素映射單 元632,連接半靜態(tài)ARP生成單元631和第二映射關(guān)系接收單元602���,由于半靜 態(tài)ARP生成單元631中包含有第三映射關(guān)系(主機(jī)IP地址和主機(jī)MAC地址的正確 映射關(guān)系)���,而第二映射關(guān)系接收單元602中包含有第二映射關(guān)系(交換機(jī)端 口和與該端口連接的主機(jī)MAC地址的映射關(guān)系)���,三元素映射單元632就可以 根據(jù)這兩種映射關(guān)系生成圖5的列表所示的第一映射關(guān)系。
步驟S915�����,路由器將該第一映射關(guān)系發(fā)給交換機(jī)��。路由器聯(lián)動通信單元4 02中還包含第一映射關(guān)系發(fā)送單元����,用于獲取第一映射關(guān)系,并將其發(fā)給交 換機(jī)聯(lián)動通信單元的第一映射關(guān)系接收單元613����。
步驟S916,交換機(jī)根據(jù)該第一映射關(guān)系在其端口上進(jìn)行三元素綁定�����。第 一映射關(guān)系接收單元613將該第一映射關(guān)系轉(zhuǎn)發(fā)給三元素綁定單元412��,從而 在交換機(jī)端口上完成與該端口連接的主機(jī)IP地址和主機(jī)MAC地址的綁定��。
步驟S917�����,綁定成功后,路由器向全網(wǎng)的所有網(wǎng)絡(luò)設(shè)備和主機(jī)發(fā)送免費A RP報文����。包括2種免費ARP報文路由器自身的免費ARP和已形成三元素綁定主 機(jī)的免費ARP,目的是讓受欺騙的PC得到正確的網(wǎng)關(guān)(路由器)MAC和已確認(rèn) 正常PC的MAC���。
以下根據(jù)圖l-3所示的網(wǎng)絡(luò)結(jié)構(gòu)給出一個詳細(xì)的路由器和交換機(jī)聯(lián)動抗 擊ARP攻擊的實例����。
1. 攻擊主機(jī)PC1為進(jìn)行攻擊開始掃描整個網(wǎng)段����,即PC1向本網(wǎng)段所有PC發(fā) 出ARP請求報文。
2. 路由器收到PC1大量的ARP請求報文后將PC1列入嫌疑主機(jī)列表����。
3. PC1向PC4發(fā)送ARP應(yīng)答的欺騙報文,該報文的源MAC為MAC1���,源IP為IP2。
4. PC4收到該ARP欺騙報文后���,將自己ARP表中的PC2對應(yīng)的MAC修改為MAC 1����。這樣后續(xù)PC4想發(fā)往PC2的數(shù)據(jù)報文就都被發(fā)往PC1,導(dǎo)致PC4和PC2之間通 訊不正常�。
5. 路由器收到PC1的ARP請求廣播后,路由器回發(fā)ARP請求廣播報文���,PC1 向路由器發(fā)送ARP應(yīng)答��,路由器的半靜態(tài)ARP單元判斷30秒內(nèi)IP1只有唯一的AR P應(yīng)答���,在半靜態(tài)ARP表中生成PC1對應(yīng)的三元素映射關(guān)系(根據(jù)IP1、 MAC1及 半靜態(tài)ARP表中已有的交換機(jī)端口和MAC對應(yīng)信息)��。生成綁定關(guān)系后路由器 通知交換機(jī)進(jìn)行三元素綁定�,并向全網(wǎng)發(fā)送IP1的免費ARP廣播和網(wǎng)關(guān)(三層 交換機(jī))的免費ARP廣播。
6. 路由器收到PC4的ARP請求廣播后��,路由器回發(fā)ARP請求廣播報文�����, 一段 時間后路由器收到IP4的ARP應(yīng)答(可能不唯一)����,路由器的半靜態(tài)ARP單元判 斷PC4不在嫌疑主機(jī)列表中����,在30秒后在半靜態(tài)ARP表中生成PC4對應(yīng)的三元素 映射關(guān)系���。生成綁定關(guān)系后路由器通知交換機(jī)進(jìn)行三元素綁定���,并向全網(wǎng)的 所有網(wǎng)絡(luò)設(shè)備和主機(jī)發(fā)送IP4的免費ARP廣播和網(wǎng)關(guān)(三層交換機(jī))的免費ARP廣播。
7. PC2的三元素綁定工作過程同PC4�。
8. 經(jīng)過上述過程,在portl���、 port2��、 port4都自動完成了正確的三元素綁 定�����,PC1的ARP攻擊報文已被阻斷�,PC2���、 PC4的ARP表也由路由器發(fā)送的免費AR P修復(fù)��,PC之間�����、PC和網(wǎng)關(guān)之間的通訊恢復(fù)正常�。
以上具體實施方式
僅用于說明本實用新型�����,而非用于限定本實用新型�。
權(quán)利要求1.一種聯(lián)動對抗地址解析協(xié)議攻擊的系統(tǒng),所述系統(tǒng)包括路由器以及與所述路由器連接的交換機(jī)�����,所述交換機(jī)包含多個端口����,每個端口連接多個主機(jī),其特征在于����,所述路由器至少包括與所述多個主機(jī)連接的半靜態(tài)地址解析協(xié)議單元,生成第一映射關(guān)系,所述第一映射關(guān)系為所述交換機(jī)端口�、與所述交換機(jī)端口連接的主機(jī)IP地址和主機(jī)媒體接入控制地址這三者的映射關(guān)系;連接所述半靜態(tài)地址解析協(xié)議單元的路由器聯(lián)動通信單元��,所述路由器聯(lián)動通信單元至少包含第一映射關(guān)系發(fā)送單元���,將所述第一映射關(guān)系發(fā)送給所述交換機(jī)��;所述交換機(jī)至少包括交換機(jī)聯(lián)動通信單元����,所述交換機(jī)聯(lián)動通信單元至少包括第一映射關(guān)系接收單元��,接收所述第一映射關(guān)系��;三元素綁定單元���,根據(jù)接收的所述第一映射關(guān)系在所述交換機(jī)的端口上綁定與所述端口相連接的主機(jī)的IP地址和媒體接入控制地址����。
2. 根據(jù)權(quán)利要求l所述聯(lián)動對抗地址解析協(xié)議攻擊的系統(tǒng)��,其特征在于���, 所述路由器聯(lián)動通信單元還包括聯(lián)動觸發(fā)單元��,向所述交換機(jī)的聯(lián)動通信單元發(fā)送聯(lián)動觸發(fā)報文�,所述聯(lián)動觸發(fā)報文為包含預(yù)設(shè)媒體接入控制地 址的二層報文;所述交換機(jī)聯(lián)動通信單元還包括聯(lián)動準(zhǔn)備單元���,在收到所述聯(lián)動觸發(fā) 報文之后,為所述交換機(jī)生成和所述路由器通信的三層接口和缺省的IP地址���。
3. 根據(jù)權(quán)利要求2所述聯(lián)動對抗地址解析協(xié)議攻擊的系統(tǒng)�,其特征在于���, 所述交換機(jī)聯(lián)動通信單元還包括第二映射關(guān)系發(fā)送單元��,將所述交換機(jī)存儲的第二映射關(guān)系發(fā)給所述路由器聯(lián)動通信單元���,所述第二映射關(guān)系為 所述交換機(jī)端口以及與所述端口連接的主機(jī)的媒體接入控制地址的映射關(guān) 系;所述路由器聯(lián)動通信單元還包括第二映射關(guān)系接收單元�����,接收所述第 二映射關(guān)系����,并將所述第二映射關(guān)系傳給所述半靜態(tài)地址解析協(xié)議單元����; 所述半靜態(tài)地址解析協(xié)議單元包括���,連接多個主機(jī)的半靜態(tài)地址解析協(xié) 議生成單元����,生成第三映射關(guān)系�����,所述第三映射關(guān)系為所述多個主機(jī)的IP地址和媒體接入控制地址的正確映射關(guān)系����;三元素映射單元,根據(jù)所述第二映 射關(guān)系和所述第三映射關(guān)系生成所述第一映射關(guān)系��。
4. 根據(jù)權(quán)利要求3所述聯(lián)動對抗地址解析協(xié)議攻擊的系統(tǒng)���,其特征在于�����,所述半靜態(tài)地址解析協(xié)議生成單元包括連接所述主機(jī)的路由器地址解析協(xié)議數(shù)據(jù)單元����,在收到源主機(jī)的地址解 析協(xié)議請求廣播報文后,回發(fā)地址解析協(xié)議請求廣播報文以獲取所述源主機(jī)的媒體接入控制地址���,并接收所述源主機(jī)的地址解析協(xié)議應(yīng)答報文����;連接所述路由器地址解析協(xié)議數(shù)據(jù)單元的路由器地址解析協(xié)議處理單 元���,如果在一預(yù)定時間內(nèi)只收到唯一的所述地址解析協(xié)議應(yīng)答報文或所述地 址解析協(xié)議報文的源媒體接入控制地址不是嫌疑主機(jī)時,則將所接收的主機(jī) 的地址解析協(xié)議應(yīng)答報文的源IP地址和源媒體接入控制地址的映射關(guān)系作為 第三映射關(guān)系��。
5. 根據(jù)權(quán)利要求4所述聯(lián)動對抗地址解析協(xié)議攻擊的系統(tǒng)��,其特征在于�����, 所述路由器地址解析協(xié)議處理單元包括嫌疑主機(jī)檢測單元��,分析所接收的 地址解析協(xié)議報文的特征及源主機(jī)的特征�,判斷所述源主機(jī)是否滿足嫌疑主 機(jī)的特征���,并根據(jù)滿足嫌疑主機(jī)特征的源主機(jī)的媒體接入控制地址生成嫌疑 主機(jī)列表,所述嫌疑主機(jī)的特征包括-所述源媒體接入控制地址的主機(jī)進(jìn)行了地址解析協(xié)議掃描�����;或 所述源媒體接入控制地址對應(yīng)多個IP地址���;或所述地址解析協(xié)議報文頭的源媒體接入控制地址和報文中源媒體接入控 制地址不一致��;或所述路由器沒有發(fā)出地址解析協(xié)議請求卻收到地址解析協(xié)議應(yīng)答����;或 所述源主機(jī)的網(wǎng)卡處于混雜模式��。
6. 根據(jù)權(quán)利要求4所述聯(lián)動對抗地址解析協(xié)議攻擊的系統(tǒng)�����,其特征在于���,所述路由器地址解析協(xié)議數(shù)據(jù)單元還包括免費地址解析協(xié)議單元��,向全網(wǎng) 的所有網(wǎng)絡(luò)設(shè)備和主機(jī)發(fā)送所述第一映射關(guān)系中對應(yīng)主機(jī)和網(wǎng)關(guān)的免費地址 解析協(xié)議報文���。
7.—種路由器�,其特征在于�,所述路由器至少包括與多個主機(jī)連接的半靜態(tài)地址解析協(xié)議單元,生成第一映射關(guān)系�,所述 第一映射關(guān)系為交換機(jī)端口、與所述交換機(jī)端口連接的主機(jī)IP地址和主機(jī)媒 體接入控制地址這三者的映射關(guān)系����;連接所述半靜態(tài)地址解析協(xié)議單元的路由器聯(lián)動通信單元,所述路由器 聯(lián)動通信單元至少包含第一映射關(guān)系發(fā)送單元���,將所述第一映射關(guān)系發(fā)送給 所述交換機(jī)�����。
8. 根據(jù)權(quán)利要求7所述的路由器,其特征在于�,所述路由器聯(lián)動通信單元還包括聯(lián)動觸發(fā)單元,向所述交換機(jī)發(fā)送聯(lián) 動觸發(fā)報文�,所述聯(lián)動觸發(fā)報文為包含預(yù)設(shè)媒體接入控制地址的二層報文。
9. 根據(jù)權(quán)利要求8所述的路由器��,其特征在于����,所述路由器聯(lián)動通信單元還包括第二映射關(guān)系接收單元�,接收所述交 換機(jī)發(fā)送的第二映射關(guān)系���,并將所述第二映射關(guān)系傳給所述半靜態(tài)地址解析 協(xié)議單元����,所述第二映射關(guān)系為所述交換機(jī)端口以及與所述端口連接的主機(jī)的媒體接入控制地址的映射關(guān)系�;所述半靜態(tài)地址解析協(xié)議單元包括連接多個主機(jī)的半靜態(tài)地址解析協(xié) 議生成單元,生成第三映射關(guān)系��,所述第三映射關(guān)系為所述多個主機(jī)的IP地 址和媒體接入控制地址的正確映射關(guān)系�����;三元素映射單元���,根據(jù)所述第二映射關(guān)系和所述第三映射關(guān)系生成所述第一映射關(guān)系��。
10. 根據(jù)權(quán)利要求9所述的路由器�����,其特征在于���,所述半靜態(tài)地址解析協(xié)議生成單元包括連接所述主機(jī)的路由器地址解析協(xié)議數(shù)據(jù)單元����,在收到源主機(jī)的地址解 析協(xié)議請求廣播報文后����,回發(fā)地址解析協(xié)議請求廣播報文以獲取所述源主機(jī) 的媒體接入控制地址,并接收所述源主機(jī)的地址解析協(xié)議應(yīng)答報文�����;連接所述路由器地址解析協(xié)議數(shù)據(jù)單元的路由器地址解析協(xié)議處理單 元�����,如果在一預(yù)定時間內(nèi)只收到唯一的所述地址解析協(xié)議應(yīng)答報文或所述地 址解析協(xié)議報文的源媒體接入控制地址不是嫌疑主機(jī)時�,則將所接收的主機(jī) 的地址解析協(xié)議應(yīng)答報文的源IP地址和源媒體接入控制地址的映射關(guān)系作為 第三映射關(guān)系。
11. 根據(jù)權(quán)利要求10所述的路由器�,其特征在于��,所述路由器地址解析協(xié)議處理單元包括嫌疑主機(jī)檢測單元�,分析所接收的地址解析協(xié)議報文的特征及源主機(jī)的特征,判斷所述源主機(jī)是否滿足嫌疑主機(jī)的特征���,并根據(jù)滿足 嫌疑主機(jī)特征的源主機(jī)的媒體接入控制地址生成嫌疑主機(jī)列表��,所述嫌疑主機(jī)的特征包括所述源媒體接入控制地址的主機(jī)進(jìn)行了地址解析協(xié)議掃描�;或 所述源媒體接入控制地址對應(yīng)多個IP地址;或所述地址解析協(xié)議報文頭的源媒體接入控制地址和報文中源媒體接入控 制地址不一致����;或所述路由器沒有發(fā)出地址解析協(xié)議請求卻收到地址解析協(xié)議應(yīng)答;或 所述源主機(jī)的網(wǎng)卡處于混雜模式�����。
12. 根據(jù)權(quán)利要求10所述的路由器���,其特征在于�,所述路由器地址解析協(xié) 議數(shù)據(jù)單元還包括免費地址解析協(xié)議單元����,向全網(wǎng)的所有網(wǎng)絡(luò)設(shè)備和主機(jī) 發(fā)送所述第一映射關(guān)系中對應(yīng)主機(jī)和網(wǎng)關(guān)的免費地址解析協(xié)議報文。
專利摘要本實用新型提供一種聯(lián)動對抗ARP攻擊的系統(tǒng)與路由器��,該系統(tǒng)包括路由器以及與路由器連接的交換機(jī)�����,交換機(jī)包含多個端口,每個端口連接多個主機(jī)����,路由器至少包括與多個主機(jī)連接的半靜態(tài)ARP單元,生成第一映射關(guān)系����,該第一映射關(guān)系為交換機(jī)端口、與交換機(jī)端口連接的主機(jī)IP地址和主機(jī)MAC地址這三者的映射關(guān)系�����;連接半靜態(tài)ARP單元的路由器聯(lián)動通信單元����,該路由器聯(lián)動通信單元用于將第一映射關(guān)系發(fā)送給交換機(jī);交換機(jī)至少包括交換機(jī)聯(lián)動通信單元�����,該交換機(jī)聯(lián)動通信單元用于接收第一映射關(guān)系���;三元素綁定單元����,根據(jù)接收的第一映射關(guān)系在所述交換機(jī)的端口上綁定與所述端口相連接的主機(jī)的IP地址和MAC地址�����。
文檔編號H04L29/06GK201063651SQ20072015660
公開日2008年5月21日 申請日期2007年7月9日 優(yōu)先權(quán)日2007年7月9日
發(fā)明者丁金生, 金 王, 勝 蔡 申請人:福建星網(wǎng)銳捷網(wǎng)絡(luò)有限公司