[发明专利]地址解析协议报文处理方法及交换机

说明书

技术领域

本发明涉及通信领域，具体而言，涉及一种方法地址解析协议(Address Resolution Protocol，简称为ARP)报文处理方法及交换机。 

背景技术

在当前网络技术中，终端设备在网络中是以因特网协议(Internet Protocol，简称为IP)地址来区分的。在通信系统中，发起通信的源终端设备向其他终端设备发送报文时，需要获取目标终端设备的媒体访问控制(Media Access Control，简称为MAC)地址以完成对报文的封装。由此可见，在实际应用中，往往需要实现设备IP地址和MAC地址间的转换。 

目前主要通过ARP协议实现将目标终端设备的IP地址转换为MAC地址的功能，以保证通信的顺利进行。ARP协议将目标终端设备的IP地址转换为MAC地址的过程主要包括以下步骤：ARP在网络上广播一个ARP请求报文，该ARP请求报文包括源主机的IP、MAC地址和目的主机的IP地址；当与该IP地址对应的主机收到请求报文时，该主机做出回应，返回包含目的主机的MAC地址的ARP响应报文。通过以上的过程，就可以获得目的主机的IP和MAC地址之间的映射关系。 

攻击设备获知其他设备的IP-MAC地址的对应关系后，就可以对其他设备进行攻击。目前，较常见的ARP报文攻击的示意图如图1所示，图1中包括网管设备H、合法的终端设备A以及尝试进行ARP报文攻击的非法终端设备B。图1A示出了网络工作正常的情况，合法终端设备A通过网关设备H与网络保持通信。此时，在网关设备H的ARP表项中建立终端设备A的ARP表项为(IA，MA)，在终端设备A的ARP表项中建立的网关ARP表项为(IH，MH)。图1B示出了非法的终端设备B进行ARP报文攻击时的情况。此时，非法的终端设备B通过发送单播或广播消息，伪造网关设备H的IP地址向终端设备A发送ARP报文，报文中的源MAC地址为设备B的MAC地址。当设备A收到该ARP报文后进行动态学习，将终端设备A的ARP表项中网关的ARP表项修改为(IH，MB)。同理，设备B也可以将网关设备H中保存的设备A的ARP表项修改为(IA，MB)。因此，用户终端A和网管设备H之间的交互报文首先要发至用户终端B，用户终端B可以窃取用户终端A和网关设备H之间的通信内容，达到网络窃听的目的。另外，当非法的终端设备伪造的ARP报文中MAC为无效地址时，还会造成通信的中断。 

现有技术中针对上述攻击的一种常用处理方法为动态ARP检测技术(Dynamic ARP Inspection，简称为DAI)，该技术基于动态主机配置协议(Dynamic Host Configuration Protocol，简称为DHCP)，网管设备监控客户端的DHCP通信，记录客户端IP-MAC对应关系，将待转发的ARP报文上送至网关设备的CPU进行IP-MAC的对应关系检查。若检查通过则转发ARP报文，否则不转发，从而达到防御ARP欺骗的目的。 

但是，上述动态ARP检测技术只对交换机学习的ARP报文检查DHCP Snooping中的绑定表，也就是说只检测到三层用户。如果交换机下的用户在同一广播域，用户之间的通讯只需要交换机做二层转发，不需要三层转发，此时交换机不需要学习这些用户的ARP 报文，也不进行相关的安全检查，容易导致攻击，造成了很大的安全漏洞。图2示出了现有技术中交换机下同一广播域内用户遭受ARP报文欺骗攻击的网络示意图。如图2所示，A/B/C位于同一广播域，即，同一网段中。A和B在互相通讯时，发送的ARP报文能够被C获得，如果C充当中间人作恶意扫描，只要给A发送免费ARP告知B的IP对应的MAC地址已经更新为C的MAC地址，A-＞B的流量就直接发送至C了，同理C也可以获取B-＞A的流量。在对报文作恶意扫描检查后，C只要修改目的MAC为真实的B或者A的MAC地址返回给交换机即可，A和B之间的流量就可以正常转发而不被察觉，这样，C既达到了攻击的目的又未被发现。 

针对相关技术中交换机下同一广播域内用户遭受ARP欺骗攻击的问题，目前尚未提出有效的解决方案。 

发明内容

针对相关技术中存在的交换机下同一广播域内用户遭受ARP欺骗攻击的问题而提出本发明，为此，本发明的主要目的在于提供一种ARP报文处理方法及交换机，以解决上述问题至少之一。 

为了实现上述目的，根据本发明的一个方面，提供了一种地址解析协议ARP报文处理方法。