[发明专利]防攻击信息通讯网络安全防御装置及系统

说明书

【技术领域】

本发明属于网络安全防御领域，具体涉及一种通过对各终端发送的地址解析协议请求报文进行特殊处理的防攻击信息通讯网络安全防御装置及防御系统。

【背景技术】

以太网协议是由一组IEEE 802.3标准定义的局域网协议集。现已是最为常用的局域网链路层协议。二层以太网交换机是基于链路层的物理地址进行包交换的一种设备。

IP协议是目前应用最为广泛的数据通信网络层协议标准。IP协议使用32bit的IP地址来唯一标识设备，数据报文在网络层之上的传播都是基于IP地址来完成寻址的。但IP地址仅仅对网络层有效，承载IP网络的硬件设备并不依赖于IP地址来进行寻址。比如，以太网物理设备是使用唯一的48bit以太网地址来识别硬件接口，在链路层中从不检查IP数据报中的目的IP地址。在广播网络上，这两种地址形式之间的映射是由地址解析协议完成的，该映射过程是自动完成的。

在实现地址解析协议的系统中，地址解析协议会动态生成并在一段时间内保留IP地址和硬件地址之间的映射关系，在需要使用硬件地址的时候，系统会以IP地址为唯一标识查找映射关系，所找到的映射关系中的硬件地址就是在物理网络上传发报文所需的硬件可识别的地址。此种映射关系的生成，依赖于地址解析协议的两种协议报文，地址解析协议请求和地址解析协议应答。

当运行地址解析协议的系统没有能够找到所需要的IP地址和硬件地址的映射关系时，该系统就会发送地址解析协议请求报文，请求所需要的IP地址的硬件地址。发出请求的系统会将自己的IP地址和硬件地址对应关系包含在这个报文中，并指明需要请求硬件地址的IP地址信息。此报文在网络中以广播的方式广泛发送。根据通常的实现，任何一个接收到这个地址解析协议请求报文并运行地址解析协议的系统，都应该使用这个请求报文中所包含的请求发送者的IP地址和硬件地址信息生成映射关系，如果已经存在以这个IP地址为标识的映射关系，则应该使用此报文中的硬件地址更新这个映射关系。

当某个运行地址解析协议的系统发现接收到的地址解析协议请求报文中所指名的需要请求硬件地址的IP地址是自己的IP地址时，则会向请求者发送地址解析协议应答报文。将自己的硬件地址通知请求者，这个报文是单播方式发送的，当请求者接收到这个应答报文之后，就可以根据这个应答报文中包含的信息生成对应IP地址和硬件地址之间的映射关系。

地址解析协议正常运行的关键，是保证IP地址和硬件地址的映射关系的正确性。运行地址解析协议的系统并不能主动发现映射关系是否错误，如果生成了错误的映射关系，报文的发送者将会根据错误的硬件地址发送报文，接收者无法收到报文，从而导致数据转发的中断，更为严重的是，由于报文的发送者认为自己已经有了报文接收者的硬件地址，因此就不会发送地址解析协议的请求报文来更新这个映射关系，这种错误的映射就会在一定时间内一直保持，直到涉及报文发送的双方发送了地址解析协议报文才有可能的被纠正，这会严重影响数据网络的使用。

针对地址解析协议的这个弱点，恶意的攻击者可以通过伪造地址解析协议应答报文的方法来实现对运行地址解析协议的网络的攻击。

以下举出具体实施例对存在的问题进行说明：现有技术中信息发送端与信息接收端的通讯过程为：第一步：当信息发送端主机A与信息接收端主机B开始通信时，主机A需要查找自存储的地址解析协议表[主机名IP地址与物理地址对应关系表]，查找主机B的物理地址，如查到则跳转到第五步与信息接收端主机B进行信息通讯；如果在主机A的自存储地址解析协议表内没有找到主机B的物理地址则执行地址解析协议学习流程，进入第二步；第二步、主机A将向网内广播一个地址解析协议请求，请求主机B所对应的物理地址；第三步、在此局域网络中的所有终端将会收到此地址解析协议请求，主机B收到此请求，发现这个请求是自己，其将回应主机A一个单播地址解析协议回应，告诉其自己的物理地址；第四步、主机A收到这个地址解析协议回应，将主机B的IP地址与主机B的物理地址对应关系存入主机A的地址解析协议表内；第五步、主机A查找地址解析协议表中的B主机的物理地址与B主机进行通讯。

在上述流程中有几个安全漏洞，可能被病毒或人为程序所利用，常用的攻击方法有下面三种：