[发明专利]保证ARP报文安全性的方法

说明书

技术领域

本发明涉及一种增强网络环境安全的方法，尤其是涉及增强ARP报文安全的方法。

背景技术

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。ARP协议用于把IP地址解析成LAN硬件使用的MAC地址。IP数据包常通过以太网发送，但以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。ARP协议用于将网络中的IP地址解析为目标硬件地址（MAC地址），以保证通信的顺利进行。

OSI模式把网络工作分为七层，彼此不直接打交道，只通过接口（layer interface）。IP地址在第三层，MAC地址在第二层。在发送数据包时，得先封装第三层（IP地址）、第二层（MAC地址）的报头，但只知道目的节点的IP地址，不知道其MAC地址，又不能跨第二、三层，所以得用ARP协议。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP cache中。因此，当局域网中的某台机器B向A发送一个自己冒充C的ARP应答，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B冒充C的ARP应答后，就会更新本地的ARP cache，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来的了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，原来C的真实MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗。

ARP欺骗可以导致目标计算机与网关通信失败，更可怕的是会导致通信重定向，所有的数据都会通过攻击者的机器，因此存在极大的安全隐患。

发明内容

本发明需解决的技术问题是提供一种保证ARP报文安全性的方法，改善网络环境。

为解决上述的技术问题，本发明设计了一种保证ARP报文安全性的方法，其包括以下步骤:

步骤1：为交换机和/或路由器使能ARP报文验证；

步骤2：选择一种ARP报文验证的方式；

步骤3：根据ARP报文验证的方式，配置相应的验证手段。

作为本发明进一步改进，在交换机和/或路由器的用户界面命令行配置使能ARP报文验证的命令。

作为本发明进一步改进，使能ARP报文验证的命令为switch(config)#arp authentication。

作为本发明进一步改进，步骤2中选择明文验证方式。

作为本发明进一步改进，明文验证方式的命令为switch(config)#arp authentication-key mypassword。

作为本发明进一步改进，步骤2中选择MD5加密验证方式。

作为本发明进一步改进，MD5加密验证方式的命令为switch(config)#arp message-digest-key10md5mypassword。

本发明大大增加了ARP报文的安全性，ARP报文不能被攻击者截获或伪造。本发明所用方式简便，实用性强。

具体实施方式

为了使本领域相关技术人员更好地理解本发明的技术方案，下面将结合本发明的实施方式，对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施方式仅仅是本发明一部分实施方式，而不是全部的实施方式。

本发明提供一种保证ARP报文安全性的方法，可用于局域网或广域网上。首先，必须为局域网内或广域网内的网关设备开启ARP报文验证开关，即为网关设备配置使能ARP报文验证，本发明网关设备即为网络环境中所有的路由器和/或交换机，但是为与PC端ARP报文兼容，连接PC的路由器或交换机arp报文不使用验证方式。当网络环境中，不需要ARP报文加密验证时，在命令行配置switch(config)#no arp authentication命令即可关掉ARP报文验证。

配置ARP报文使能验证具体的操作方法是，在交换机和路由器的用户界面命令行配置使能ARP报文验证的命令，在本发明实施例中，使能ARP报文验证的命令为switch(config)#arp authentication。

当开启了ARP报文验证开关之后，再选择一种ARP报文验证的方式。本发明的报文验证的方式包括不限于明文验证方式和MD5加密验证方式。