[发明专利]保证ARP报文安全性的方法及装置

说明书

技术领域

本发明属于网络通信技术领域，尤其涉及一种保证ARP报文安全性的方法。

背景技术

地址解析协议(ARP，Address Resolution Protocol)，是根据IP地址获取MAC地址的一个TCP/IP子协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。

OSI模型把网络通信定义为七层，IP地址在OSI模型的第三层，MAC地址在第二层。在通过以太网发送IP数据包时，需要先封装第三层(32位IP地址)、第二层(48位MAC地址)的报头，但由于发送时只知道目标IP地址，不知道其MAC地址，又不能跨第二、三层，所以需要使用ARP地址解析协议。使用ARP地址解析协议，可根据网络层IP数据包头部的IP地址信息解析出目标硬件地址(MAC地址)信息，以保证通信的顺利进行。

ARP地址转换表是依赖于计算机中高速缓冲存储器动态更新的，而高速缓冲存储器的更新是受到更新周期的限制的，只保存最近使用的地址的映射关系表项，这使得恶意用户有了可乘之机，可以在高速缓冲存储器更新表项之前修改地址转换表，实现攻击。ARP请求为广播形式发送的，网络上的主机可以自主发送ARP应答消息，并且当其他主机收到应答报文时不会检测该报文的真实性就将其记录在本地的MAC地址转换表，这样攻击者就可以向目标主机发送伪ARP应答报文，从而篡改本地的MAC地址表。ARP欺骗可以导致目标计算机与网关通信失败，更会导致通信重定向，所有的数据都会通过攻击者的机器，因此存在极大的安全隐患。

发明内容

为了解决ARP报文安全性的技术问题，本发明提出如下技术方案：

一种保证ARP报文安全性的方法，其特征在于，包括如下步骤：

S1.网络层数据侦听，获取ARP报文，和DHCP Ack报文；

S2.安全性检验。

进一步的，所述安全性检验，包括：

第一步，DHCP联动ARP学习；

第二步，ARP报文合法性检查；

第三步，ARP报文内MAC地址一致性检查；

第四步，基于网络设备接口的ARP表项限制。

进一步的，所述DHCP联动ARP学习：当DHCP服务器向用户发送一个包含它所提供的IP地址和其他设置的DHCP Ack报文时，通过该报文获取用户的MAC地址，生成该IP地址对应的ARP表项。

进一步的，所述ARP报文合法性检查：提取DHCP Ack报文中出现过的IP地址信息和MAC地址信息，生成ARP信任列表，当设备每次学习和转发ARP报文时，检查其中的IP地址和MAC地址是否存在于ARP信任列表，若不存在于ARP信任列表，则丢弃该报文，若存在于该ARP信任列表中，则执行第三步。

进一步的，所述ARP报文内MAC地址一致性检查，对ARP报文的以太网数据帧首部中的源MAC地址和ARP报文Data部分的源MAC进行检查，如果该以太网数据帧首部中的源MAC地址和ARP报文Data部分的源MAC不一致，则丢弃此ARP报文，如果该以太网数据帧首部中的源MAC地址和ARP报文Data部分的源MAC一致，则对ARP报文的以太网数据帧首部中的目的MAC地址和ARP报文Data部分的目的MAC进行检查，如果该以太网数据帧首部中的源MAC地址和ARP报文Data部分的源MAC不一致，则丢弃此ARP报文，如果该以太网数据帧首部中的源MAC地址和ARP报文Data部分的源MAC一致，则执行第四步。

进一步的，所述基于网络设备接口的ARP表项限制：在指定接口下配置能够学习到的最大动态ARP表项数目，以及ARP表项的最小老化时间，接口达到最大ARP表项数目后，将不允许新增动态ARP表项。

一种保证ARP报文安全性的装置，包括：

侦听模块，用于网络层数据侦听，获取ARP报文，和DHCP Ack报文；

安全性检验模块，用于安全性检验。

进一步的，所述安全性检验模块的检验方法包括：

第一步，DHCP联动ARP学习；

第二步，ARP报文合法性检查；

第三步，ARP报文内MAC地址一致性检查；

第四步，基于网络设备接口的ARP表项限制。

有益效果：