[发明专利]一种联动对抗地址解析协议攻击的方法、系统及路由器

说明书

技术领域

本发明关于网络安全技术领域，特别关于一种联动对抗ARP(Address Resolution Protocol：地址解析协议)攻击的方法、系统及路由器。

背景技术

ARP攻击主要是指欺骗主机发出的ARP请求或应答报文中，将源IP、源MAC(Media Access Control：媒体接入控制)设为欺骗值或随机值以达到欺骗其它主机的目的，包括只修改源IP地址、只修改源MAC地址、同时修改源IP和源MAC等方法，达到阻断其它主机上网或充当其它主机的中间人的目的。

如1图所示，其中PC1为攻击主机，PC2为被冒充主机、PC4为被欺骗主机。路由器的IP地址和MAC地址分别为IP0和MACO，PC1的IP地址和MAC地址分别为IP1和MAC1，PC2的IP地址和MAC地址分别为IP2和MAC2，PC4的IP地址和MAC地址分别为IP4和MAC4。PC1向PC4发送ARP应答的欺骗报文，该报文的源MAC为MAC1，源IP为IP2。PC4收到该ARP欺骗报文后，将自己ARP表中的PC2对应的MAC修改为MAC1。这样后续PC4想发往PC2的数据报文就都被发往PC1，导致PC4和PC2之间通讯不正常，这样PC1可以选择进行中间人攻击或阻断攻击。

针对目前ARP攻击的问题，现有技术中有两种解决方案：配置静态ARP以及在交换机上绑定端口、IP和MAC。上述解决方法中，静态ARP绑定操作很繁琐，需要在网关和所有客户端(PC)上进行配置，配置工作量很大，而且不灵活。在交换机上配置绑定端口、IP和MAC是较好的解决办法，但手工配置同样存在配置工作量大、不灵活的缺点，现有技术中，需要手工收集正确的三元素映射关系，因通常交换机和主机的台数都很多，存在收集工作量大的问题，而且如果主机换网卡或换交换机端口后还要再手工配置相应的交换机，使用上很不灵活。

发明内容

本发明提供了一种联动对抗ARP攻击的方法、系统及路由器。本发明联动对抗ARP攻击的方法通过在路由器端生成三元素的映射关系(该三元素是指：交换机端口、与所述交换机口连接的所有主机的IP地址和MAC地址)，并将该映射关系发给所述交换机，从而在交换机每个端口上完成主机IP地址和MAC地址的绑定，有效地防止的了ARP攻击。

本发明一实施例的目的在于提供一种联动对抗ARP攻击的方法，所述方法包括：路由器生成第一映射关系，所述第一映射关系为所述交换机端口、与所述交换机端口连接的主机IP地址和主机MAC地址这三者的映射关系；所述路由器将所述第一映射关系发给交换机；所述交换机接收所述第一映射关系；所述交换机根据接收的所述第一映射关系在所述交换机的端口上绑定与所述端口相连接的主机的IP地址和MAC地址。

本发明另一实施例的目的在于提供一种联动对抗ARP攻击的系统，所述系统包括路由器以及与所述路由器连接的交换机，所述交换机包含多个端口，每个端口连接多个主机，所述路由器包括：与所述多个主机连接的半静态ARP单元，生成第一映射关系，所述第一映射关系为所述交换机端口、与所述交换机端口连接的主机IP地址和主机MAC地址这三者的映射关系；连接所述半静态ARP单元的路由器联动通信单元，所述路由器联动通信单元至少包含第一映射关系发送单元，将所述第一映射关系发送给所述交换机；  所述交换机至少包括：交换机联动通信单元，所述交换机联动通信单元至少包括第一映射关系接收单元，接收所述第一映射关系；三元素绑定单元，根据接收的所述第一映射关系在所述交换机的端口上绑定与所述端口相连接的主机的IP地址和MAC地址。

本发明再一实施例的目的在于提供一种路由器，所述路由器至少包括：与多个主机连接的半静态ARP单元，生成第一映射关系，所述第一映射关系为交换机端口、与所述交换机端口连接的主机IP地址和主机MAC地址这三者的映射关系；连接所述半静态ARP单元的路由器联动通信单元，所述路由器联动通信单元至少包含第一映射关系发送单元，将所述第一映射关系发送给所述交换机。

本发明的路由器能够自动生成三元素映射关系，并自动地把生成的三元素映射关系通知给交换机，以在交换机上自动进行三元素绑定，解决了手工配置工作量大的问题。并且，路由器会根据ARP报文的变化自动更新三元素绑定映射关系并通告给交换机，解决了主机换网卡或换交换机端口后手工配置不灵活的问题。

附图说明

图1为本发明实施例完整的网络体系架构；

图2为图1的一种逻辑网络体系架构；

图3为图1的另一种的逻辑网络体系架构；

图4为本发明实施例系统的原理结构图；