[发明专利]防止地址解析协议报文欺骗攻击的方法及交换机

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种防止地址解析协议(AddressResolution Protocol，ARP)报文欺骗攻击的方法及交换机。

背景技术

普通局域网(Local Area Network，简称LAN)中，个人电脑等终端设备只要能接到网络设备上，不需要经过认证和授权即可直接使用网络。这种网络接入方式不仅不利于网络管理员对网络的实时监控，而且带来了网络安全隐患。

为了解决上述问题，提高网络安全性，电气电子工程师学会(Instituteof Electrical and Electronic Engineers，简称IEEE)802委员会制定了一个局域网(Local Area Network，简称LAN)标准--IEEE802.1x(以下简称802.1x)。对于一个部署了802.1x认证的LAN，当用户(如个人电脑等)接入到LAN中时，需要通过802.1x认证，未经过认证的用户将无法接入到LAN中。

802.1x认证采用基于端口的网络存取控制，为局域网用户提供点对点式的安全接入。如图1所示，以电脑(简称PC)11接入为例(也可以是其他接入终端)。安装有认证客户端软件的PC11将提交相关的认证信息给交换机12进行认证，交换机12将相关认证信息转交给认证服务器13进行确认。如果认证通过，交换机12将相关的端口打开。此时，交换机12将学习到该PC11的IP地址和MAC地址，并将PC11接入的相应端口进行绑定，形成一个IP三元组(IP，MAC，PORT)，也就是说只有符合这个三元组条件的PC才能够获准接入LAN，访问相关的网络资源。因而，802.1X认证成为用户对网络或 设备访问合法性认证的一种有效方法，并且提高了网络的安全性。

由于上述802.1x认证过程仅仅是对接入PC的IP流进行控制，因此仅能够有效地控制用户IP报文，防止认证用户滥用IP，而不能对ARP流进行控制，导致在认证之后，无法避免ARP报文欺骗攻击。

ARP报文欺骗攻击主要是指欺骗主机发出的ARP请求或应答报文中，将源IP、源MAC设为欺骗值或随机值以达到欺骗其它主机的目的，包括只修改源IP、只修改源介质访问控制(Media Access Control，简称MAC)地址、同时修改源IP地址和源MAC地址等方法，达到阻断其它主机上网或充当其它主机的中间人的目的。

其中，MAC地址是用于识别LAN中各个节点的标识。MAC地址由网卡生产厂家烧入网卡，存储的是传输数据时真正赖以标识发出数据的电脑和接收数据的主机的地址。MAC地址就如同我们身份证上的身份证号码，具有全球唯一性。

在局域网中，网络中实际传输的是帧，帧里面有目标主机的MAC地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。这个目标MAC地址是通过ARP获得的。所谓“地址解析”是指主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址查询目标设备的MAC地址，以保证通信的顺利进行。

ARP报文头部格式如表1所示，每一个ARP报文的ARP协议头部都会源IP地址。并且，每一个ARP请求/响应报文由2层头部和ARP报文头部组成，2层头部携带发送方的MAC地址即为源MAC地址，也即sender-MAC地址。其中，sender-MAC地址、源IP地址用来标识发送该ARP报文的主机地址。

表1ARP报文头部格式

当交换机从某个端口收到一个ARP数据包时，先读取数据包包头中的源MAC地址，这样它就知道源MAC地址的机器是连在哪个端口上的。再去读取数据包包头中的目的MAC地址，并在地址表中查找相应的端口。如表中有与这目的MAC地址对应的端口，把数据包直接复制到这端口上，发送给目的主机；如表中找不到相应的端口，则把数据包广播到所有端口上，当目的机器对源机器回应时，交换机学习该目的MAC地址与哪个端口对应，在下次传送数据时通过学习到的端口发送数据包。

ARP报文欺骗攻击如图2所示。其中，PC1为被欺骗主机，PC2为攻击主机，PC3为被冒充主机。PC2通过交换机21向PC1发送ARP应答的欺骗报文，该报文的源MAC地址为MAC2，源IP地址为IP3。PC1收到该ARP欺骗报文后，将自己ARP表中的PC3对应的MAC地址修改为MAC2。这样，后续PC1计划发往PC3的数据报文都被发往PC2，导致PC1和PC3之间通讯不正常，造成PC2可以选择进行中间人攻击或阻断攻击。