[发明专利]防止ARP欺骗的方法、装置及网络接入服务器

说明书

技术领域

本发明涉及一种通信技术，尤其涉及一种防止地址解析协议(Address Resolution Protocol，简称：ARP)欺骗的方法、装置及网络接入服务器(Netwoek Access Server，简称：NAS)。

背景技术

网络(web)认证是一种基于超文本传输协议(Hyper Text Transfer Protocol，简称：HTTP)技术对用户访问网络的权限进行控制的身份认证方法，通常，未认证用户访问网络前需要先使用浏览器打开一个站点，部署身份认证功能的NAS会强制浏览器访问web认证服务器，即Portal服务器，用户通过浏览器在Portal服务器推送的页面上输入身份信息进行身份认证，只有认证通过后才可以使用网络资源。

ARP是指局域网上两台互联网协议(Internet Protocol，简称：IP)设备之间通信时，根据对方的IP地址获知对方媒质接入控制(Medium Access Control，简称：MAC)地址的过程，ARP可以将MAC地址和IP地址绑定，以IP地址作为输入，ARP能够知道该IP地址关联的MAC地址。ARP欺骗是指某个IP设备对外发送假的ARP报文，伪造成其他IP设备，从而将发往其他IP设备的数据流引向自己，实现窥探，并导致其他合法的IP设备无法通信。

现有技术中，为了防止ARP欺骗，通常由预存有IP地址与MAC地址的映射数据库的NAS将所有终端发出的ARP报文全部拦截下来，通过映射数据库对接收到的ARP报文进行校验，若校验通过则由NAS将ARP报文转发出去。现有技术的方案中的映射数据库，若通过静态配置，则不够灵活且管理工作量巨大；若通过动态主机配置协议(Dynamic Host Configuration Protocol，简称：DHCP)嗅探自动生成，则要求所有接入NAS的终端必须是通过DHCP获得IP地址的，对于网络部署有很大的限制，并且使用DHCP也会存在DHCP被欺骗的可能性。因此，亟需提出一种有效防止ARP欺骗的方法。

发明内容

本发明提供一种防止ARP欺骗的方法、装置及网络接入服务器，以在web认证过程中有效防止ARP欺骗。

第一方面，本发明实施例提供一种防止ARP欺骗的方法，包括：

获取接收到的第一报文的报文信息，将所述报文信息记录到第一转发数据库中；其中，所述报文信息包括所述第一报文的源媒质接入控制MAC地址信息、源互联网协议IP地址信息，以及接收所述第一报文的物理端口的物理端口信息；

若获知认证数据库中不存在所述第一报文的所述源IP地址信息对应的源IP地址，将所述源IP地址添加至所述认证数据库中；并向ARP数据库添加一条对应于所述源IP地址的静态ARP表项；其中，所述静态ARP表项中包含所述第一报文的源IP地址和源MAC地址；

根据所述第一转发数据库中对应于所述源IP地址的表项中的所述物理端口信息，将第二报文发送到与所述物理端口信息对应的物理端口，以使与所述源IP地址对应的浏览器跳转访问网络web认证服务器进行web认证；其中，所述第二报文是所述第一报文的重定向报文。

在第一方面的第一种可能的实现方式中，所述方法还包括：

在向所述ARP数据库添加一条对应于所述源IP地址的静态ARP表项时，启动与所述静态ARP表项对应的定时器，在所述定时器超时后删除所述静态ARP表项。

结合第一方面或第一方面的第一种可能的实现方式，在第二种可能的实现方式中，在所述获取接收到的第一报文的报文信息之前，还包括：

在满足预设条件时，拦截所述第一报文。

结合第一方面的第二种可能的实现方式，在第三种可能的实现方式中，所述预设条件包括：

所述第一报文是TCP报文；

第二转发数据库中存在所述第一报文的源IP地址信息；其中，所述第二转发数据库与所述认证数据库同步；

所述第一报文的目的IP地址不是所述web认证服务器的IP地址。

第二方面，本发明实施例提供一种防止ARP欺骗的装置，包括：

获取模块，用于获取接收到的第一报文的报文信息，将所述报文信息记录到第一转发数据库中；其中，所述报文信息包括所述第一报文的源MAC地址信息、源IP地址信息，以及接收所述第一报文的物理端口的物理端口信息；