[发明专利]应用于宽带路由器中的以太网ARP扫描的实现方法

说明书

技术领域：

本发明涉及网络传输、信息安全和数据通信领域，特别涉及一种应用于宽带路由器中的以太网ARP扫描的实现方法。

背景技术：

以太网是目前广泛使用的局域网络。由于其实现简单，管理操作方便，便于扩展等优点，因而得到了在广大的领域中得到了使用。但是以太网也存在安全性相对较差，特别是容易遭受ARP攻击的问题。一些不法分子通过这种ARP欺骗，利用ip的安全性不足，以修改动态的ARP对应表中的MAC地址和IP地址的映射关系来假冒一个合法IP地址入侵网络窃取信息，或者假冒网关以截获通信信息。这严重威胁着互联网的通信安全。

针对这一问题，目前比较普遍的应对方法有以下几种：

(1)采用双向绑定的方法，通过设置网络内静态的mac-->ip对应表来防止ARP欺骗，即先在PC上绑定安全网关的IP和MAC地址，然后在安全网关上手动逐一绑定用户主机的IP和MAC地址。

(2)使用ARP服务器或者第三方代理服务器，通过其查找自己的ARP转换表来响应其他机器的ARP广播。不过需要确保这台ARP服务器不被黑掉。

(3)通过改造硬件使用可防御ARP欺骗攻击的核心交换机，绑定端口-MAC-IP，限制ARP流量，及时发现并自动阻断ARP攻击端口，合理划分VLAN，彻底阻止盗用IP、MAC地址，杜绝ARP欺骗的攻击。

(4)管理员定期用响应的ip包中获得一个rarp请求，然后检查ARP响应的真实性，或者定期轮询，检查主机上的ARP缓存。

上述方案在实际应用在宽带网络时不仅操作复杂，而且十分被动和低效。目前对于宽带路由器，还没有比较一种比较高效可行的方法能解决防止ARP欺骗。

发明内容：

鉴于上述以太网存在的安全问题和现有技术的不足，本发明的目的是提供一种应用于宽带路由器中的以太网ARP扫描的实现方法。该技术方案用以解决以太网宽带路由器容易遭受ARP欺骗的攻击以及加快处理报文的速度等问题，即通过自动扫描搜索局域网内活跃主机的IP地址，将其与该主机的MAC地址绑定，这样在现在广泛使用的宽带网络特别是网吧环境中，简化了人工操作，提高效率，防止因为遭受ARP攻击而导致网络内主机掉线的情况出现。而宽带路由器实现了ARP静态绑定也使得报文处理速度的提高，减少ARP报文的发送，提高网络数据报文传输的效率。另外，本发明还创新采用了扫描网段配置的方法，对某个特定范围的网段进行绑定，提高了灵活性。

为了实现上述发明目的，本发明所述的应用于宽带路由器的以太网ARP扫描方法主要通过在本地局域网中，根据本以太网上配置的IP地址，搜索得到该网段内所有存在的主机的IP地址所对应的MAC地址，并且进行IP地址与ARP绑定，从而实现了ARP扫描功能。

具体步骤为：宽带路由器首先得到本端口上的IP地址，并且计算出该网段的所有IP地址的范围。然后，对该范围内，所有的IP地址，搜索绑定对应的MAC地址。该过程中还包括根据IP地址查找ARP表项，如果未找到，则发送ARP请求，得到ARP应答之后，添加静态ARP表项，绑定。最后，对于设置了IP地址扫描范围的情况，则只扫描该范围内的所有IP地址对应的MAC地址。这当中还包括根据得到的IP地址范围，搜索对应的IP网段范围，绑定该网段内的所有IP和MAC地址。

以上发明所述的有益效果为：

1.由于采取静态绑定的方法，使得局域网内的主机IP地址与其MAC地址永久绑定，在路由器中其ARP表项不会老化而丢弃。当路由器需要向该主机发送报文时，不需要再发送ARP请求报文，直接通过查找IP地址得到相应MAC地址，加快了处理速度。

2.由于采取了静态绑定的方法，当路由器受到ARP欺骗的攻击时，将直接丢弃这些攻击报文，ARP表项不会因此受到破坏。能够很有效的避免受到ARP攻击。

3.由于采取了IP地址范围的设置，可以在某个局域网中，对部分网段的IP地址进行绑定，而对其他IP地址，则实行MAC地址动态学习。这样，提高了网络配置的灵活性。

附图说明：

以下结合附图和具体实施方式来进一步说明本发明。

图1为本发明扫描ARP的流程图。

图2为本发明解除ARP扫描的流程图。

具体实施方式：

为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体图示，进一步阐述本发明。

根据上述所言，本发明所述的以太网ARP扫描的实现方法，该方法能够使得局域网中的主机IP地址与其MAC地址静态绑定，防止ARP地址欺骗的攻击，同时提高了路由器报文处理的性能，加快处理速度。