專利名稱:一種聯(lián)動對抗地址解析協(xié)議攻擊的方法、系統(tǒng)及路由器的制作方法
技術領域:
本發(fā)明關于網(wǎng)絡安全技術領域,特別關于一種聯(lián)動對抗ARP (Address Re solution Protocol :地址解析協(xié)議)攻擊的方法、系統(tǒng)及路由器。
背景技術:
ARP攻擊主要是指欺騙主機發(fā)出的ARP請求或應答報文中,將源IP、源MAC (Media Access Control:媒體接入控制)設為欺騙值或隨機值以達到欺騙 其它主機的目的,包括只修改源IP地址、只修改源MAC地址、同時修改源IP和 源MAC等方法,達到阻斷其它主機上網(wǎng)或充當其它主機的中間人的目的。
女口1圖所示,其中PC1為攻擊主機,PC2為被冒充主機、PC4為被欺騙主機。 路由器的IP地址和MAC地址分別為IPO和MACO, PC1的IP地址和MAC地址分別為I P1和MAC1, PC2的IP地址和MAC地址分別為IP2和MAC2, PC4的IP地址和MAC地址 分別為工P4和MAC4。 PC1向PC4發(fā)送ARP應答的欺騙報文,該報文的源MAC為MAC1, 源IP為IP2。 PC4收到該ARP欺騙報文后,將自己ARP表中的PC2對應的MAC修改 為MAC1。這樣后續(xù)PC4想發(fā)往PC2的數(shù)據(jù)報文就都被發(fā)往PC1,導致PC4和PC2之 間通訊不正常,這樣PC1可以選擇進行中間人攻擊或阻斷攻擊。
針對目前ARP攻擊的問題,現(xiàn)有技術中有兩種解決方案配置靜態(tài)ARP以 及在交換機上綁定端口、 IP和MAC。上述解決方法中,靜態(tài)ARP綁定操作很繁 瑣,需要在網(wǎng)關和所有客戶端(PC)上進行配置,配置工作量很大,而且不 靈活。在交換機上配置綁定端口、 IP和MAC是較好的解決辦法,但手工配置同 樣存在配置工作量大、不靈活的缺點,現(xiàn)有技術中,需要手工收集正確的三 元素映射關系,因通常交換機和主機的臺數(shù)都很多,存在收集工作量大的問 題,而且如果主機換網(wǎng)卡或換交換機端口后還要再手工配置相應的交換機, 使用上很不靈活。
發(fā)明內容
本發(fā)明提供了一種聯(lián)動對抗ARP攻擊的方法、系統(tǒng)及路由器。本發(fā)明聯(lián)動 對抗ARP攻擊的方法通過在路由器端生成三元素的映射關系(該三元素是指
交換機端口、與所述交換機口連接的所有主機的IP地址和MAC地址),并將該 映射關系發(fā)給所述交換機,從而在交換機每個端口上完成主機IP地址和MAC地 址的綁定,有效地防止的了ARP攻擊。
本發(fā)明一實施例的目的在于提供一種聯(lián)動對抗ARP攻擊的方法,所述方法 包括路由器生成第一映射關系,所述第一映射關系為所述交換機端口、與 所述交換機端口連接的主機IP地址和主機MAC地址這三者的映射關系;所述路 由器將所述第一映射關系發(fā)給交換機;所述交換機接收所述第一映射關系; 所述交換機根據(jù)接收的所述第一映射關系在所述交換機的端口上綁定與所述 端口相連接的主機的IP地址和MAC地址。
本發(fā)明另一實施例的目的在于提供一種聯(lián)動對抗ARP攻擊的系統(tǒng),所述系 統(tǒng)包括路由器以及與所述路由器連接的交換機,所述交換機包含多個端口, 每個端口連接多個主機,所述路由器包括與所述多個主機連接的半靜態(tài)ARP 單元,生成第一映射關系,所述第一映射關系為所述交換機端口、與所述交 換機端口連接的主機IP地址和主機MAC地址這三者的映射關系;連接所述半靜 態(tài)ARP單元的路由器聯(lián)動通信單元,所述路由器聯(lián)動通信單元至少包含第一映 射關系發(fā)送單元,將所述第一映射關系發(fā)送給所述交換機;所述交換機至少 包括交換機聯(lián)動通信單元,所述交換機聯(lián)動通信單元至少包括第一映射關 系接收單元,接收所述第一映射關系;三元素綁定單元,根據(jù)接收的所述第 一映射關系在所述交換機的端口上綁定與所述端口相連接的主機的IP地址和 MAC地址。
本發(fā)明再一實施例的目的在于提供一種路由器,所述路由器至少包括-與多個主機連接的半靜態(tài)ARP單元,生成第一映射關系,所述第一映射關系為 交換機端口、與所述交換機端口連接的主機IP地址和主機MAC地址這三者的映
射關系;連接所述半靜態(tài)ARP單元的路由器聯(lián)動通信單元,所述路由器聯(lián)動通 信單元至少包含第一映射關系發(fā)送單元,將所述第一映射關系發(fā)送給所述交 換機。
本發(fā)明的路由器能夠自動生成三元素映射關系,并自動地把生成的三元 素映射關系通知給交換機,以在交換機上自動進行三元素綁定,解決了手工 配置工作量大的問題。并且,路由器會根據(jù)ARP報文的變化自動更新三元素綁 定映射關系并通告給交換機,解決了主機換網(wǎng)卡或換交換機端口后手工配置 不靈活的問題。
圖l為本發(fā)明實施例完整的網(wǎng)絡體系架構;
圖2為圖1的一種邏輯網(wǎng)絡體系架構;
圖3為圖1的另一種的邏輯網(wǎng)絡體系架構;
圖4為本發(fā)明實施例系統(tǒng)的原理結構圖5為本發(fā)明實施例的三元素映射表;
圖6為本發(fā)明實施例系統(tǒng)的細化結構圖7為本發(fā)明實施例半靜態(tài)ARP生成單元的細化結構圖; 圖8為本發(fā)明實施例路由器ARP處理單元的細化結構圖; 圖8a為本發(fā)明實施例交換機電路圖8b為本發(fā)明實施例路由器電路圖9為本發(fā)明實施例詳細流程圖。
具體實施例方式
以下結合附圖對本發(fā)明的具體實施方式
進行詳細說明如下
圖卜圖3為本實施例的網(wǎng)絡體系架構,其中圖l是本實施例完整的網(wǎng)絡體 系架構。本實施例中三元素綁定是配置在最接近主機(PC)的設備上,即圖l
中的二層交換機,圖l中的三層交換機只提供透明的數(shù)據(jù)通路,此時可以用圖
3的邏輯網(wǎng)絡體系架構來表示圖1。當圖l中的二層交換機不具備三元素綁定功
能時,本實施例在圖l中的三層交換機上實現(xiàn)三元素綁定,此時可以用圖2的 邏輯網(wǎng)絡體系架構來表示圖l。
圖4為本實施例聯(lián)動對抗ARP攻擊系統(tǒng)的原理結構圖。如圖所示,本實施 例的系統(tǒng)包括路由器40、交換機41和交換機下連的多個主機42 (圖4中用一臺 主機來說明本實施例,實際網(wǎng)絡架構參考圖l-圖3),路由器40分別連接交換 機41和主機42。路由器40至少包括半靜態(tài)ARP單元401和與其相連接的路由器 聯(lián)動通信單元402,交換機41至少包括交換機聯(lián)動通信單元411和三元素綁定 單元412。路由器的半靜態(tài)ARP單元401和主機42相連,路由器聯(lián)動通信單元40 2和交換機聯(lián)動通信單元411相連。
半靜態(tài)ARP單元401用于生成第一映射關系,該第一映射關系為交換機41 的端口、與交換機41端口連接的主機42的IP地址和主機42的MAC地址這三者的 映射關系,圖5以交換機包含三個端口、每個端口下連三臺主機為例,顯示了 由第一映射關系組成的三元素映射表的內容,實際映射表的規(guī)模取決于網(wǎng)絡 的容量。路由器聯(lián)動通信單元402和半靜態(tài)ARP單元401連接,用于獲取圖5所 示的第一映射關系并將其發(fā)送給交換機41。交換機聯(lián)動通信單元411接收該第 一映射關系,并將其傳給三元素綁定單元412,三元素綁定單元412根據(jù)該第 一映射關系在交換機41的相應端口上綁定與該端口相連接的主機的IP地址和 MAC地址。
圖6為本實施例系統(tǒng)的細化結構圖。如圖所示,路由器聯(lián)動通信單元402 至少包括聯(lián)動觸發(fā)單元601,交換機聯(lián)動通信單元至少包括聯(lián)動準備單元611, 這兩個單元共同完成交換機和路由器聯(lián)動的啟動工作。聯(lián)動觸發(fā)單元601,用 于向聯(lián)動準備單元611發(fā)送聯(lián)動觸發(fā)報文,該聯(lián)動觸發(fā)報文為包含預設MAC地 址的二層報文,該二層報文的具體格式可依實際產(chǎn)品需要設置,只要交換機 和路由器之間能夠進行協(xié)商即可。聯(lián)動準備單元611,在收到聯(lián)動觸發(fā)報文之 后,識別該特殊的二層報文,為交換機41生成和路由器40通信的三層接口和 缺省的IP,該三層接口可以為SVI (Switch Virtual Interface:交換虛擬接
□)。
如圖6所示,在一種較佳實施方式中,交換機聯(lián)動通信單元411還包括第 二映射關系發(fā)送單元612,路由器聯(lián)動通信單元402還包括第二映射關系接收 單元602。該第二映射關系是指交換機內預存的交換機端口以及與每個端口 連接的主機的MAC地址的映射關系。該第二映射關系發(fā)送單元612將該第二映 射關系發(fā)給第二映射關系接收單元602;第二映射關系接收單元602,接收該 第二映射關系后,將其發(fā)給半靜態(tài)ARP單元401。
如圖6所示,半靜態(tài)ARP單元401至少包含和主機ARP單元621連接的半靜態(tài) ARP生成單元631,以及和第二映射接收單元602連接的三元素映射單元632。 半靜態(tài)ARP生成單元631通過和主機的ARP報文交互獲取正確的主機IP地址和 MAC地址的映射關系,該映射關系稱為第三映射關系。三元素映射單元632, 連接半靜態(tài)ARP生成單元631和第二映射關系接收單元602,由于半靜態(tài)ARP生 成單元631中包含有第三映射關系(主機IP地址和主機MAC地址的正確映射關 系),而第二映射關系接收單元602中包含有第二映射關系(交換機端口和與 該端口連接的主機MAC地址的映射關系),三元素映射單元632就可以根據(jù)這 兩種映射關系生成圖5的列表所示的第一映射關系。
如圖6所示,路由器聯(lián)動通信單元402中還包含第一映射關系發(fā)送單元, 它和三元素映射單元632連接,用于獲取第一映射關系,并將其發(fā)給交換機聯(lián) 動通信單元的第一映射關系接收單元613,然后第一映射關系接收單元613將 該第一映射關系轉發(fā)給三元素綁定單元412,從而在交換機端口上完成與該端 口連接的主機IP地址和主機MAC地址的綁定。
圖7為半靜態(tài)ARP生成單元的細化結構圖。如圖所示,半靜態(tài)ARP生成單元 631至少包括連接主機42的路由器ARP數(shù)據(jù)單元701以及和路由器ARP數(shù)據(jù)單 元701連接的路由器ARP處理單元702。路由器ARP數(shù)據(jù)單元701在收到源主機的 ARP請求廣播報文后,回發(fā)ARP請求廣播報文以獲取所述源主機的MAC地址,并 接收所述源主機的ARP應答報文。路由器ARP處理單元702判斷如果在一預定時
間內只收到唯一的ARP應答報文或ARP報文的源MAC地址不是嫌疑主機時,則將 所接收ARP應答報文的源IP地址和源MAC地址的映射關系作為第三映射關系。
圖8為路由器ARP處理單元702的細化結構圖。如圖所示,路由器ARP處理 單元702至少包括嫌疑主機檢測單元801,分析所接收的地址解析協(xié)議報文的 特征及源主機的特征,判斷所述源主機是否滿足嫌疑主機的特征,并根據(jù)滿 足嫌疑主機特征的源主機的媒體接入控制地址生成嫌疑主機列表,所述嫌疑 主機的特征包括源MAC地址的主機進行了ARP掃描;源MAC地址對應多個IP; ARP報文頭的源MAC和報文中源MAC不一致;路由器沒有發(fā)出ARP請求卻收到AR P應答;源主機的網(wǎng)卡處于混雜模式。在一較佳實施方式中,路由器ARP數(shù)據(jù) 單元701還包括免費ARP單元(圖中未示),當完成三元素綁定之后,用于向 全網(wǎng)的所有網(wǎng)絡設備和主機發(fā)送第一映射關系中對應主機和網(wǎng)關的免費ARP。 當有三層交換機時,網(wǎng)關指的是三層交換機,當只有二層交換機時,網(wǎng)關為 路由器本身。本實施例免費ARP單元發(fā)送2種免費ARP報文路由器自身的免費 ARP和已形成三元素綁定主機的免費ARP,目的是讓受欺騙的PC得到正確的網(wǎng) 關MAC和已確認正常PC的MAC。
圖8a和圖8b分別為本實施例交換機和路由器的電路圖。如圖8a所示,其 中三元素綁定結果存放在MAC模塊,交換機聯(lián)動通信單元以及交換機的其他單 元位于CPU中。如圖8b所示,其中半靜態(tài)ARP單元以及路由器聯(lián)動通信單元位 于管理模塊,其中半靜態(tài)ARP表、嫌疑主機列表存儲于SDRAM或FLASH中。路由 器以太口 (圖8b中的MAC+PHY模塊)口連接交換機的RJ45模塊的某個端口,交 換機的RJ45模塊的其它端口下連接多個主機。通過圖8a和圖8b的電路連接, 能夠實現(xiàn)本發(fā)明采用路由器和交換機聯(lián)動抗擊ARP攻擊的目的。
圖8a中其他模塊分別解釋如下光電復用口PHY:光電復用物理接口; GT
端口raY:電物理接口; SFP:小型可拔插光模塊;LED:發(fā)光二極管指示燈;
2*41^45*3個24個以太網(wǎng)端口。圖8b中其他模塊分別解釋如下I2C:芯片 間串行總線;10/100/1000 MAC: 10M/100M/1000M自適應媒體接入控制器;10/100 MAC: 10M/100M自適應媒體接入控制器;千兆PHY:千兆以太網(wǎng)物理接口; 百兆PHY:百兆以太網(wǎng)物理接口; 1*GE: l個千兆以太網(wǎng)端口; 1*FE: l個百兆
以太網(wǎng)端口。
圖9為本實施例的詳細流程圖,該流程圖的兩個支路表示這兩個支路的步 驟是獨立進行的,步驟S914需要用到步驟S903的結果。以下結合圖6-圖8詳細 說明本實施例聯(lián)動抗擊ARP攻擊的工作原理
步驟S901,路由器與主機進行ARP報文交互。路由器在收到源主機的ARP 請求廣播報文后,回發(fā)ARP請求廣播報文以獲取所述源主機的MAC地址,并接 收所述源主機的ARP應答報文。如圖7所示,該交互工作由半靜態(tài)ARP生成單元 631與主機ARP單元621完成。半靜態(tài)ARP生成單元631至少包括路由器ARP數(shù)據(jù) 單元701和路由器ARP處理單元702,路由器ARP數(shù)據(jù)單元701在收到源主機的AR P請求廣播報文后,回發(fā)ARP請求廣播報文以獲取所述源主機的MAC地址,并接 收所述源主機的ARP應答報文。
步驟S902,路由器生成嫌疑主機列表。路由器通過分析所接收的ARP報文 的特征及源主機的特征,來確定嫌疑主機,并生成嫌疑主機列表。如圖8所示, 該步驟由路由器ARP處理單元中的嫌疑主機檢測單元801完成,具體的檢測原 則詳見對圖8的描述,此處不再重復。
步驟S903,路由器根據(jù)嫌疑主機列表生成第三映射關系。路由器判斷如 果在一預定時間內只收到唯一的ARP應答報文或ARP報文的源MAC地址不是嫌 疑主機時,則將所接收ARP應答報文的源IP地址和源MAC地址的映射關系作為 第三映射關系。如圖7所示,該工作由路由器ARP處理單元702完成。
前三個步驟用于在路由器端生成第三映射關系,以下步驟用于路由器和 交換機之間聯(lián)動抗擊ARP攻擊。
步驟S911,路由器向交換機發(fā)送聯(lián)動觸發(fā)報文。該聯(lián)動觸發(fā)報文為包含 預設MAC地址的二層報文,該二層報文的具體格式可依實際產(chǎn)品需要設置,只 要交換機和路由器之間能夠進行協(xié)商即可。如圖6所示,路由器聯(lián)動通信單元
402至少包括聯(lián)動觸發(fā)單元601 ,交換機聯(lián)動通信單元至少包括聯(lián)動準備單元6 11,這兩個單元共同完成交換機和路由器聯(lián)動的啟動工作。聯(lián)動觸發(fā)單元601 向聯(lián)動準備單元611發(fā)送聯(lián)動觸發(fā)報文。
步驟S912,交換機生成三層接口和缺省IP地址。交換機在收到聯(lián)動觸發(fā) 報文之后,識別該特殊的二層報文,并生成和路由器通信的三層接口和缺省 的IP,該三層接口可以為SVI接口。如圖6所示,該步驟由聯(lián)動準備單元611完 成。
步驟S913,交換機向路由器發(fā)送第二映射關系。該第二映射關系是指 交換機內預存的交換機端口以及與每個端口連接的主機的MAC地址的映射關 系。如圖6所示,交換機聯(lián)動通信單元411還包括第二映射關系發(fā)送單元612, 路由器聯(lián)動通信單元402還包括第二映射關系接收單元602。該第二映射關系 發(fā)送單元612將該第二映射關系發(fā)給第二映射關系接收單元602;第二映射關 系接收單元602,接收該第二映射關系后,將其發(fā)給半靜態(tài)ARP單元401。
步驟S914,路由器根據(jù)第二映射關系和第三映射關系生成第一映射關系。
所述第一映射關系為所述交換機端口、與所述交換機端口連接的主機IP地址 和主機MAC地址這三者的映射關系。如圖6所示,半靜態(tài)ARP單元401至少包含 和主機ARP單元621連接的半靜態(tài)ARP生成單元631 ,以及和第二映射接收單元 602連接的三元素映射單元632。三元素映射單元632,連接半靜態(tài)ARP生成單 元631和第二映射關系接收單元602,由于半靜態(tài)ARP生成單元631中包含有第 三映射關系(主機IP地址和主機MAC地址的正確映射關系),而第二映射關系 接收單元602中包含有第二映射關系(交換機端口和與該端口連接的主機MAC 地址的映射關系),三元素映射單元632就可以根據(jù)這兩種映射關系生成圖5
的列表所示的第一映射關系。
步驟S915,路由器將該第一映射關系發(fā)給交換機。如圖6所示,路由器聯(lián) 動通信單元402中還包含第一映射關系發(fā)送單元603,用于獲取第一映射關系, 并將其發(fā)給交換機聯(lián)動通信單元的第一映射關系接收單元613。步驟S916,交換機根據(jù)該第一映射關系在其端口上進行三元素綁定。如 圖6所示,第一映射關系接收單元613將該第一映射關系轉發(fā)給三元素綁定單 元412,從而在交換機端口上完成與該端口連接的主機IP地址和主機MAC地址 的綁定。
步驟S917,綁定成功后,路由器向全網(wǎng)的所有網(wǎng)絡設備和主機發(fā)送免費A RP報文。包括2種免費ARP報文路由器自身的免費ARP和已形成三元素綁定主 機的免費ARP,目的是讓受欺騙的PC得到正確的網(wǎng)關MAC和已確認正常PC的MA C。
以下根據(jù)圖1-3所示的網(wǎng)絡結構給出一個詳細的路由器和交換機聯(lián)動抗 擊ARP攻擊的實例。
1. 攻擊主機PC1為進行攻擊開始掃描整個網(wǎng)段,即PC1向本網(wǎng)段所有PC發(fā) 出ARP請求報文。
2. 路由器收到PC1大量的ARP請求報文后將PC1列入嫌疑主機列表。
3. PC1向PC4發(fā)送ARP應答的欺騙報文,該報文的源MAC為MAC1,源IP為IP2。
4. PC4收到該ARP欺騙報文后,將自己ARP表中的PC2對應的MAC修改為MAC 1。這樣后續(xù)PC4想發(fā)往PC2的數(shù)據(jù)報文就都被發(fā)往PC1,導致PC4和PC2之間通 訊不正常。
5. 路由器收到PC1的ARP請求廣播后,路由器回發(fā)ARP請求廣播報文,PC1 向路由器發(fā)送ARP應答,路由器的半靜態(tài)ARP單元判斷30秒內IP 1只有唯一的AR P應答,在半靜態(tài)ARP表中生成PC1對應的三元素映射關系(根據(jù)IP1、 MAC1及 半靜態(tài)ARP表中已有的交換機端口和MAC對應信息)。生成綁定關系后路由器 通知交換機進行三元素綁定,并向全網(wǎng)發(fā)送IP1的免費ARP廣播和網(wǎng)關(三層 交換機)的免費ARP廣播。
6. 路由器收到PC4的ARP請求廣播后,路由器回發(fā)ARP請求廣播報文, 一段 時間后路由器收到IP4的ARP應答(可能不唯一),路由器的半靜態(tài)ARP單元判 斷PC4不在嫌疑主機列表中,在30秒后在半靜態(tài)ARP表中生成PC4對應的三元素
映射關系。生成綁定關系后路由器通知交換機進行三元素綁定,并向全網(wǎng)發(fā)
送IP4的免費ARP廣播和網(wǎng)關(三層交換機)的免費ARP廣播。
7. PC2的三元素綁定工作過程同PC4。
8. 經(jīng)過上述過程,在portl、 port2、 port4都自動完成了正確的三元素綁 定,PC1的ARP攻擊報文已被阻斷,PC2、 PC4的ARP表也由路由器發(fā)送的免費AR P修復,PC之間、PC和網(wǎng)關之間的通訊恢復正常。
以上具體實施方式
僅用于說明本發(fā)明,而非用于限定本發(fā)明。
權利要求
1.一種聯(lián)動對抗地址解析協(xié)議攻擊的方法,其特征在于,所述方法包括路由器生成第一映射關系,所述第一映射關系為交換機端口、與所述交換機端口連接的主機IP地址和主機媒體接入控制地址這三者的映射關系;所述路由器將所述第一映射關系發(fā)給所述交換機;所述交換機接收所述第一映射關系;所述交換機根據(jù)接收的所述第一映射關系在所述交換機的端口上綁定與所述端口相連接的主機的IP地址和媒體接入控制地址。
2. 根據(jù)權利要求1所述的方法,其特征在于,所述方法還包括 所述路由器向所述交換機發(fā)送聯(lián)動觸發(fā)報文,所述聯(lián)動觸發(fā)報文為包含預設媒體接入控制地址的二層報文;所述交換機在收到所述聯(lián)動觸發(fā)報文之后,生成和所述路由器通信的三 層接口和缺省的IP地址。
3. 根據(jù)權利要求1所述的方法,其特征在于,所述路由器生成第一映射關 系進一步包括所述交換機將所存儲的第二映射關系發(fā)給所述路由器,所述第二映射關 系為所述交換機端口以及與所述端口連接的主機的媒體接入控制地址的映射 關系;所述路由器接收所述第二映射關系;所述路由器生成第三映射關系,所述第三映射關系為所述多個主機的IP 地址和媒體接入控制地址的正確映射關系;所述路由器根據(jù)所述第二映射關系和所述第三映射關系生成所述第一映 射關系。
4. 根據(jù)權利要求3所述的方法,其特征在于,所述路由器生成第三映射關 系進一步包括所述路由器在收到源主機的地址解析協(xié)議請求廣播報文后,回發(fā)地址解析協(xié)議請求廣播報文以獲取所述源主機的媒體接入控制地址,并接收所述源主機的地址解析協(xié)議應答報文;所述路由器如果在一預定時間內只收到唯一的所述地址解析協(xié)議應答報 文或所述地址解析協(xié)議報文的源媒體接入控制地址不是嫌疑主機時,則將所 接收的主機的地址解析協(xié)議應答報文的源IP地址和源媒體接入控制地址的映 射關系作為第三映射關系。
5. 根據(jù)權利要求4所述的方法,其特征在于,所述方法還包括所述路由器分析所接收的地址解析協(xié)議報文的特征及源主機的特征,判斷所述源主機 是否滿足嫌疑主機的特征,并根據(jù)滿足嫌疑主機特征的源主機的媒體接入控制地址生成嫌疑主機列表,所述嫌疑主機的特征包括所述源媒體接入控制地址的主機進行了地址解析協(xié)議掃描;或 所述源媒體接入控制地址對應多個IP地址;或所述地址解析協(xié)議報文頭的源媒體接入控制地址和報文中源媒體接入控 制地址不一致;或所述路由器沒有發(fā)出地址解析協(xié)議請求卻收到地址解析協(xié)議應答;或 所述源主機的網(wǎng)卡處于混雜模式。
6. 根據(jù)權利要求1所述的方法,其特征在于,所述方法還包括 所述路由器向全網(wǎng)的所述網(wǎng)絡設備和主機發(fā)送所述第一映射關系中對應主機和網(wǎng)關的免費地址解析協(xié)議報文。
7. —種聯(lián)動對抗地址解析協(xié)議攻擊的系統(tǒng),所述系統(tǒng)包括路由器以及與 所述路由器連接的交換機,所述交換機包含多個端口,每個端口連接多個主 機,其特征在于,所述路由器至少包括與所述多個主機連接的半靜態(tài)地址解析協(xié)議單元, 生成第一映射關系,所述第一映射關系為所述交換機端口、與所述交換機端 口連接的主機IP地址和主機媒體接入控制地址這三者的映射關系;連接所述 半靜態(tài)地址解析協(xié)議單元的路由器聯(lián)動通信單元,所述路由器聯(lián)動通信單元至少包含第一映射關系發(fā)送單元,將所述第一映射關系發(fā)送給所述交換機;所述交換機至少包括交換機聯(lián)動通信單元,所述交換機聯(lián)動通信單元 至少包括第一映射關系接收單元,接收所述第一映射關系;三元素綁定單元, 根據(jù)接收的所述第一映射關系在所述交換機的端口上綁定與所述端口相連接 的主機的IP地址和媒體接入控制地址。
8. 根據(jù)權利要求7所述的系統(tǒng),其特征在于,所述路由器聯(lián)動通信單元還包括聯(lián)動觸發(fā)單元,向所述交換機的聯(lián)動 通信單元發(fā)送聯(lián)動觸發(fā)報文,所述聯(lián)動觸發(fā)報文為包含預設媒體接入控制地 址的二層報文;所述交換機聯(lián)動通信單元還包括聯(lián)動準備單元,在收到所述聯(lián)動觸發(fā) 報文之后,為所述交換機生成和所述路由器通信的三層接口和缺省的IP地址。
9. 根據(jù)權利要求8所述的系統(tǒng),其特征在于,所述交換機聯(lián)動通信單元還包括第二映射關系發(fā)送單元,將所述交換 機存儲的第二映射關系發(fā)給所述路由器聯(lián)動通信單元,所述第二映射關系為 所述交換機端口以及與所述端口連接的主機的媒體接入控制地址的映射關 系;所述路由器聯(lián)動通信單元還包括第二映射關系接收單元,接收所述第 二映射關系,并將所述第二映射關系傳給所述半靜態(tài)地址解析協(xié)議單元;所述半靜態(tài)地址解析協(xié)議單元包括,連接多個主機的半靜態(tài)地址解析協(xié) 議生成單元,生成第三映射關系,所述第三映射關系為所述多個主機的IP地 址和媒體接入控制地址的正確映射關系;三元素映射單元,根據(jù)所述第二映 射關系和所述第三映射關系生成所述第一映射關系。
10. 根據(jù)權利要求9所述的系統(tǒng),其特征在于,所述半靜態(tài)地址解析協(xié)議 生成單元包括連接所述主機的路由器地址解析協(xié)議數(shù)據(jù)單元,在收到源主機的地址解 析協(xié)議請求廣播報文后,回發(fā)地址解析協(xié)議請求廣播報文以獲取所述源主機的媒體接入控制地址,并接收所述源主機的地址解析協(xié)議應答報文;連接所述路由器地址解析協(xié)議數(shù)據(jù)單元的路由器地址解析協(xié)議處理單 元,如果在一預定時間內只收到唯一的所述地址解析協(xié)議應答報文或所述地 址解析協(xié)議報文的源媒體接入控制地址不是嫌疑主機時,則將所接收的主機 的地址解析協(xié)議應答報文的源IP地址和源媒體接入控制地址的映射關系作為 第三映射關系。
11. 根據(jù)權利要求10所述的系統(tǒng),其特征在于,所述路由器地址解析協(xié)議 處理單元包括嫌疑主機檢測單元,分析所接收的地址解析協(xié)議報文的特征 及源主機的特征,判斷所述源主機是否滿足嫌疑主機的特征,并根據(jù)滿足嫌 疑主機特征的源主機的媒體接入控制地址生成嫌疑主機列表,所述嫌疑主機 的特征包括所述源媒體接入控制地址的主機進行了地址解析協(xié)議掃描;或 所述源媒體接入控制地址對應多個IP地址;或所述地址解析協(xié)議報文頭的源媒體接入控制地址和報文中源媒體接入控 制地址不一致;或所述路由器沒有發(fā)出地址解析協(xié)議請求卻收到地址解析協(xié)議應答;或 所述源主機的網(wǎng)卡處于混雜模式。
12. 根據(jù)權利要求10所述的系統(tǒng),其特征在于,所述路由器地址解析協(xié)議 數(shù)據(jù)單元還包括免費地址解析協(xié)議單元,向全網(wǎng)的所有網(wǎng)絡設備和主機發(fā) 送所述第一映射關系中對應主機和網(wǎng)關的免費地址解析協(xié)議報文。
13. —種路由器,其特征在于,所述路由器至少包括與多個主機連接的半靜態(tài)地址解析協(xié)議單元,生成第一映射關系,所述 第一映射關系為交換機端口、與所述交換機端口連接的主機IP地址和主機媒 體接入控制地址這三者的映射關系;連接所述半靜態(tài)地址解析協(xié)議單元的路由器聯(lián)動通信單元,所述路由器 聯(lián)動通信單元至少包含第一映射關系發(fā)送單元,將所述第一映射關系發(fā)送給所述交換機。
14. 根據(jù)權利要求13所述的路由器,其特征在于,所述路由器聯(lián)動通信單元還包括聯(lián)動觸發(fā)單元,向所述交換機發(fā)送聯(lián) 動觸發(fā)報文,所述聯(lián)動觸發(fā)報文為包含預設媒體接入控制地址的二層報文。
15. 根據(jù)權利要求14所述的路由器,其特征在于,所述路由器聯(lián)動通信單元還包括第二映射關系接收單元,接收所述交 換機發(fā)送的第二映射關系,并將所述第二映射關系傳給所述半靜態(tài)地址解析 協(xié)議單元,所述第二映射關系為所述交換機端口以及與所述端口連接的主機的媒體接入控制地址的映射關系;所述半靜態(tài)地址解析協(xié)議單元包括連接多個主機的半靜態(tài)地址解析協(xié) 議生成單元,生成第三映射關系,所述第三映射關系為所述多個主機的IP地址和媒體接入控制地址的正確映射關系;三元素映射單元,根據(jù)所述第二映 射關系和所述第三映射關系生成所述第一映射關系。
16. 根據(jù)權利要求15所述的路由器,其特征在于,所述半靜態(tài)地址解析協(xié)議生成單元包括-連接所述主機的路由器地址解析協(xié)議數(shù)據(jù)單元,在收到源主機的地址解 析協(xié)議請求廣播報文后,回發(fā)地址解析協(xié)議請求廣播報文以獲取所述源主機 的媒體接入控制地址,并接收所述源主機的地址解析協(xié)議應答報文;連接所述路由器地址解析協(xié)議數(shù)據(jù)單元的路由器地址解析協(xié)議處理單 元,如果在一預定時間內只收到唯一的所述地址解析協(xié)議應答報文或所述地 址解析協(xié)議報文的源媒體接入控制地址不是嫌疑主機時,則將所接收的主機 的地址解析協(xié)議應答報文的源IP地址和源媒體接入控制地址的映射關系作為 第三映射關系。
17. 根據(jù)權利要求16所述的路由器,其特征在于,所述路由器地址解析協(xié) 議處理單元包括嫌疑主機檢測單元,分析所接收的地址解析協(xié)議報文的特 征及源主機的特征,判斷所述源主機是否滿足嫌疑主機的特征,并根據(jù)滿足 嫌疑主機特征的源主機的媒體接入控制地址生成嫌疑主機列表,所述嫌疑主 機的特征包括所述源媒體接入控制地址的主機進行了地址解析協(xié)議掃描;或 所述源媒體接入控制地址對應多個IP地址;或所述地址解析協(xié)議報文頭的源媒體接入控制地址和報文中源媒體接入控 制地址不一致;或所述路由器沒有發(fā)出地址解析協(xié)議請求卻收到地址解析協(xié)議應答;或 所述源主機的網(wǎng)卡處于混雜模式。
18.根據(jù)權利要求16所述的路由器,其特征在于,所述路由器地址解析協(xié) 議數(shù)據(jù)單元還包括免費地址解析協(xié)議單元,向全網(wǎng)的所有網(wǎng)絡設備和主機 發(fā)送所述第一映射關系中對應主機和網(wǎng)關的免費地址解析協(xié)議報文。
全文摘要
本發(fā)明提供一種聯(lián)動對抗ARP攻擊的方法、系統(tǒng)及路由器,所述方法包括路由器生成第一映射關系,所述第一映射關系為交換機端口、與所述交換機端口連接的主機IP地址和主機MAC地址這三者的映射關系;所述路由器將所述第一映射關系發(fā)給交換機;所述交換機接收所述第一映射關系;所述交換機根據(jù)接收的所述第一映射關系在所述交換機的端口上綁定與所述端口相連接的主機的IP地址和MAC地址。本發(fā)明的路由器能夠自動生成三元素映射關系,并自動地把生成的三元素映射關系通知給交換機,以在交換機上自動進行三元素綁定,解決了手工配置工作量大的問題。
文檔編號H04L29/06GK101193116SQ200710128168
公開日2008年6月4日 申請日期2007年7月9日 優(yōu)先權日2007年7月9日
發(fā)明者丁金生, 金 王, 勝 蔡 申請人:福建星網(wǎng)銳捷網(wǎng)絡有限公司