[发明专利]一种针对ARP应答报文攻击的检测方法及装置

说明书

技术领域

本申请涉及通信技术领域，尤其涉及一种针对ARP应答报文攻击的检测方法及装置。

背景技术

网络通信中，通常采用ARP(Address Resolution Protocol，地址解析协议)将IP地址解析为物理地址。源设备将包含目标IP地址的ARP请求报文广播到网络上的所有设备，并接收返回的包含有目标物理地址的应答报文，在源设备的ARP缓存表中生成记录目标IP地址和目标物理地址映射关系的ARP表项。同时，目标设备的ARP缓存表中也生成记录目标IP地址和目标物理地址映射关系的ARP表项。当源设备和目标设备再次通信时，就可以直接查询ARP缓存表来获取相应的物理地址，有效地节约网络资源。

由于ARP协议是建立在网络中各个设备相互信任的基础上的，因此，ARP协议可以被利用发起攻击，攻击方式主要分为通过ARP请求报文发起攻击和通过ARP应答报文发起攻击。

针对使用ARP请求报文发起的ARP攻击，网络设备会通过主动确认ARP请求报文真实性的方法来进行检测。例如，网络设备收到ARP请求报文1后，会主动发送新的ARP请求报文2，其中ARP请求报文2的目的IP地址是其接收的ARP请求报文1的源IP地址，并通过比较接收的ARP请求报文2的响应报文的源MAC地址、接收端口是否与其接收的ARP请求报文1的源MAC地址、接收端口一致，来判断其接收的ARP请求报文1是否为攻击报文。

然而，针对使用ARP应答报文发起的ARP攻击，由于攻击者的IP地址和MAC地址(即ARP应答报文的源IP地址和MAC地址)可能随机变化，因此在检测上存在一定困难。

发明内容

本申请提供一种针对ARP应答报文攻击的检测方法，应用于网络设备，包括：

向对端网络设备发送ARP请求报文；

响应于接收到的对端网络设备发出的ARP应答报文，判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应；

如果是，基于所述ARP应答报文生成ARP表项；

如果否，则确定所述ARP应答报文为攻击报文。

可选的，所述方法还包括：

当确定所述ARP应答报文为攻击报文，从该ARP应答报文中提取报文特征；

基于提取到的报文特征生成ACL防护规则；

将所述ACL防护规则下发到底层转发硬件。

可选的，所述ACL防护规则对应的处理动作为丢弃；所述ACL防护规则被配置了有效时长；其中，底层转发硬件在所述有效时长内再次接收到报文特征与所述ACL防护规则匹配的ARP应答报文时，基于所述ACL防护规则对该ARP应答报文进行丢弃处理。

可选的，所述响应于接收到的对端网络设备发出的ARP应答报文，判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应之前，还包括：

提取发送的ARP请求报文中的目标IP地址；

在预设的目标IP地址表中创建与提取到的目标IP地址对应的表项。

可选的，所述判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应，包括：

提取所述对端网络设备发出的ARP应答报文中的源IP地址；

在所述目标IP地址表中查找与提取到的源IP地址对应的表项；

如果在所述目标IP地址表中查找到了与所述源IP地址对应的表项时，判断所述ARP应答报文为对端网络设备针对所述ARP请求报文作出的响应。

可选的，所述目标IP地址表中的表项被配置了老化时长；

可选的，所述方法还包括：

在所述目标IP地址表中任一表项的老化时间内，若从ARP请求报文中提取的目标IP地址与该表项对应的目标IP地址一致，则重置该表项的老化时间；

在所述目标IP地址表中任一表项的老化时间内，若从ARP应答报文中提取的源IP地址与该表项对应的目标IP地址一致，则删除该表项；

若所述目标IP地址表中任一表项超出老化时间，从所述目标IP地址表中删除该表项。

本申请还提供一种针对ARP应答报文攻击的检测装置，应用于网络设备，包括：

发送模块，用于向对端网络设备发送ARP请求报文；

判断模块，用于响应于接收到的对端网络设备发出的ARP应答报文，判断所述ARP应答报文是否为对端网络设备针对所述ARP请求报文作出的响应；

生成模块，如果所述判断模块得到的判断结果为是，则用于基于所述ARP应答报文生成ARP表项；