[实用新型]一种联动对抗地址解析协议攻击的系统与路由器

说明书

技术领域

本实用新型关于网络安全领域，特别关于一种联动对抗ARP(Address Resolution Protocol：地址解析协议)攻击的系统与路由器。

背景技术

ARP攻击主要是指欺骗主机发出的ARP请求或应答报文中，将源IP、源MAC(Media Access Control：媒体接入控制)设为欺骗值或随机值以达到欺骗其它主机的目的，包括只修改源IP、只修改源MAC、同时修改源IP和源MAC等方法，达到阻断其它主机上网或充当其它主机的中间人的目的。

如1图所示，其中PC1为攻击主机，PC2为被冒充主机、PC4为被欺骗主机。路由器的IP地址和MAC地址分别为IP0和MAC0，PC1的IP地址和MAC地址分别为IP1和MAC1，PC2的IP地址和MAC地址分别为IP2和MAC2，PC4的IP地址和MAC地址分别为IP4和MAC4。PC1向PC4发送ARP应答的欺骗报文，该报文的源MAC为MAC1，源IP为IP2。PC4收到该ARP欺骗报文后，将自己ARP表中的PC2对应的MAC修改为MAC1。这样后续PC4想发往PC2的数据报文就都被发往PC1，导致PC4和PC2之间通讯不正常，这样PC1可以选择进行中间人攻击或阻断攻击。

针对目前ARP攻击的问题，现有技术中有两种解决方案：配置静态ARP以及在交换机上绑定端口、IP和MAC。上述解决方法中，静态ARP绑定操作很繁琐，需要在网关(路由器)和所有客户端(PC)上进行配置，配置工作量很大，而且不灵活。在交换机上配置绑定端口、IP和MAC是较好的解决办法，但手工配置同样存在配置工作量大、不灵活的缺点，现有技术中，需要手工收集正确的三元素映射关系，因通常交换机和主机的台数都很多，存在收集工作量大的问题，而且如果主机换网卡或换交换机端口后还要再手工配置相应的交换机，使用上很不灵活。

实用新型内容

本实用新型提供了一种联动对抗ARP攻击的系统与路由器，该系统包括路由器，和路由器相连的交换机，交换机下的每一个端口连接多台主机。本实用新型在路由器端生成三元素的映射关系(该三元素是指：交换机端口、与所述交换机口连接的所有主机的IP地址和MAC地址)，并通过路由器和交换机的联动通信单元将该映射关系发给所述交换机，从而在交换机每个端口上完成主机IP地址和MAC地址的绑定，有效地防止的了ARP攻击。

本实用新型实施例的目的在于提供了一种联动对抗ARP攻击的系统，所述系统包括路由器以及与所述路由器连接的交换机，所述交换机包含多个端口，每个端口连接多个主机，所述路由器包括：与所述多个主机连接的半静态ARP单元，生成第一映射关系，所述第一映射关系为所述交换机端口、与所述交换机端口连接的主机IP地址和主机MAC地址这三者的映射关系；连接所述半静态ARP单元的路由器联动通信单元，所述路由器联动通信单元至少包含第一映射关系发送单元，将所述第一映射关系发送给所述交换机；所述交换机至少包括：交换机联动通信单元，所述交换机联动通信单元至少包括第一映射关系接收单元，接收所述第一映射关系；三元素绑定单元，根据接收的所述第一映射关系在所述交换机的端口上绑定与所述端口相连接的主机的IP地址和MAC地址。

本实用新型另一实施例的目的在于提供一种路由器，所述路由器至少包括：与多个主机连接的半静态ARP单元，生成第一映射关系，所述第一映射关系为交换机端口、与所述交换机端口连接的主机IP地址和主机MAC地址这三者的映射关系；连接所述半静态ARP单元的路由器联动通信单元，所述路由器联动通信单元至少包含第一映射关系发送单元，将所述第一映射关系发送给所述交换机。

本实用新型的路由器能够自动生成三元素映射关系，并利用路由器和交换机的联动通讯单元自动地把生成的三元素映射关系通知给交换机，交换机的三元素绑定单元自动进行三元素绑定，解决了手工配置工作量大的问题。并且，路由器的半静态ARP单元会根据ARP报文的变化自动更新三元素绑定映射关系并通告给交换机三元素绑定单元，解决了主机换网卡或换交换机端口后手工配置不灵活的问题。

附图说明

图1为本实用新型实施例完整的网络体系架构；

图2为图1的一种逻辑网络体系架构；

图3为图1的另一种的逻辑网络体系架构；

图4为本实施例系统的原理结构图；

图5为本实施例的三元素映射表；

图6为本实施例系统的细化结构图；

图7为本实施例半静态ARP生成单元的细化结构图；

图8为本实施例路由器ARP处理单元的细化结构图；