專利名稱:地址解析協(xié)議報(bào)文的處理方法、裝置及接入設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種地址解析協(xié)議報(bào)文的處理方法、裝置及 接入設(shè)備。
背景技術(shù):
在當(dāng)前網(wǎng)絡(luò)技術(shù)中,終端設(shè)備在網(wǎng)絡(luò)中是以網(wǎng)際協(xié)議(Internet Protocol,簡(jiǎn)稱 IP)地址來(lái)區(qū)分的。因此在通信中,發(fā)起通信的發(fā)送方終端設(shè)備向其他終端設(shè)備發(fā)送報(bào)文 時(shí),需要獲取目標(biāo)終端的介質(zhì)訪問(wèn)控制(Media AccessControl,簡(jiǎn)稱MAC)地址,以完成對(duì) 發(fā)送報(bào)文的封裝,這就需要實(shí)現(xiàn)設(shè)備的IP地址與MAC地址間的轉(zhuǎn)換。目前,該地址轉(zhuǎn)換通 常由地址解析協(xié)議(Address Resolution Protocol,簡(jiǎn)稱ARP)予以實(shí)現(xiàn),ARP協(xié)議將目標(biāo) 終端設(shè)備的IP地址轉(zhuǎn)換為MAC地址,保證了通信的順利進(jìn)行。由于ARP協(xié)議建立在信任局域網(wǎng)內(nèi)所有結(jié)點(diǎn)的基礎(chǔ)上,即運(yùn)行ARP協(xié)議的終端設(shè) 備不會(huì)檢查自己是否發(fā)過(guò)ARP請(qǐng)求報(bào)文,也不管接收到的ARP應(yīng)答報(bào)文是否合法,只要收到 目標(biāo)MAC地址是自身MAC地址的ARP報(bào)文,終端設(shè)備都會(huì)將其接收并緩存,這無(wú)疑為ARP欺 騙攻擊提供了可能。在ARP欺騙攻擊行為中,ARP攻擊會(huì)惡意地冒充合法主機(jī)發(fā)出ARP報(bào) 文,將發(fā)送的ARP報(bào)文中的發(fā)送方IP或MAC地址偽造成合法主機(jī)的IP或MAC地址,以欺騙 其他主機(jī),達(dá)到竊取其他主機(jī)重要數(shù)據(jù)甚至導(dǎo)致局域網(wǎng)內(nèi)網(wǎng)絡(luò)擁塞的目的,因而如何有效 地防范ARP欺騙是局域網(wǎng)部署時(shí)必須考慮的重要問(wèn)題?,F(xiàn)有技術(shù)中常用的防范ARP欺騙攻擊的方法包括接入設(shè)備通過(guò)解析認(rèn)證客戶終 端的認(rèn)證信息,獲取并記錄該客戶終端的IP-MAC地址對(duì)應(yīng)信息,并在接入設(shè)備與該客戶終 端對(duì)應(yīng)的端口的報(bào)文特征數(shù)據(jù)庫(kù)中,將該IP-MAC地址對(duì)應(yīng)信息設(shè)置為不可動(dòng)態(tài)改寫的靜 態(tài)ARP檢測(cè)表項(xiàng)。當(dāng)該端口接收到任何ARP報(bào)文時(shí),同時(shí)對(duì)該ARP報(bào)文中的發(fā)送方IP地址 和發(fā)送方MAC地址進(jìn)行檢測(cè),只有當(dāng)兩者都符合該端口設(shè)置的靜態(tài)ARP檢測(cè)表項(xiàng)時(shí),該ARP 報(bào)文才能被通過(guò),否則該ARP報(bào)文將被過(guò)濾丟棄。通過(guò)這種檢測(cè)方式,雖然能夠在一定程度上防御局域網(wǎng)內(nèi)部的ARP攻擊,但是該 方法同樣存在一定的缺陷對(duì)于靜態(tài)ARP檢測(cè)表項(xiàng)而言,其只能作用在接入設(shè)備開啟了 ARP 檢測(cè)功能的指定端口,因此若要對(duì)接入設(shè)備進(jìn)行全局的ARP防御,則需要將所有的端口都 開啟該檢測(cè)功能,這在很大程度上將限制了網(wǎng)絡(luò)部署的靈活性。同時(shí)在實(shí)際部署中,由于有 些端口下需要使用安全數(shù)據(jù)通道放行某些特權(quán)用戶報(bào)文,這些端口將不會(huì)進(jìn)行任何網(wǎng)絡(luò)安 全功能的配置,也不會(huì)開啟ARP檢測(cè)功能。因而對(duì)于這些安全通道端口而言,該端口下的主 機(jī)若由于ARP中毒或者惡意攻擊等原因發(fā)起ARP欺騙,由于該端口無(wú)法進(jìn)行ARP檢測(cè),這些 主機(jī)則可以成功欺騙鏈接于同一接入設(shè)備的網(wǎng)關(guān)或者其他合法用戶主機(jī),從而導(dǎo)致存在很 大的安全隱患。
發(fā)明內(nèi)容
本發(fā)明提供一種地址解析協(xié)議報(bào)文的處理方法、裝置及接入設(shè)備,用以防止非法客戶端利用接入設(shè)備未設(shè)置靜態(tài)ARP檢測(cè)功能的端口冒充合法用戶進(jìn)行的ARP欺騙攻擊。為實(shí)現(xiàn)上述目的,本發(fā)明提供一種地址解析協(xié)議報(bào)文的處理方法,包括 當(dāng)接入設(shè)備通過(guò)特權(quán)端口接收到終端發(fā)送的第一 ARP報(bào)文時(shí),檢測(cè)所述第一 ARP 報(bào)文是否符合所述接入設(shè)備預(yù)設(shè)的防欺騙特征表項(xiàng),所述防欺騙特征表項(xiàng)包括過(guò)濾發(fā)送方 IP地址為所述接入設(shè)備的任一合法終端的IP地址的ARP報(bào)文,以及過(guò)濾發(fā)送方MAC地址為 所述任一合法終端的MAC地址的ARP報(bào)文,所述特權(quán)端口包括未設(shè)置靜態(tài)ARP檢測(cè)功能的 端□;若檢測(cè)到所述第一 ARP報(bào)文符合所述預(yù)設(shè)的防欺騙特征表項(xiàng),則過(guò)濾所述第一 ARP報(bào)文。為實(shí)現(xiàn)上述目的,本發(fā)明還提供一種地址解析協(xié)議報(bào)文的處理裝置,包括第一報(bào)文接收模塊,用于通過(guò)特權(quán)端口接收終端發(fā)送的第一 ARP報(bào)文;第一表項(xiàng)檢測(cè)模塊,用于檢測(cè)所述第一 ARP報(bào)文是否符合接入設(shè)備預(yù)設(shè)的防欺騙 特征表項(xiàng),所述防欺騙特征表項(xiàng)包括過(guò)濾發(fā)送方IP地址為所述接入設(shè)備的任一合法終端 的IP地址的ARP報(bào)文,以及過(guò)濾發(fā)送方MAC地址為所述任一合法終端的MAC地址的ARP報(bào) 文,所述特權(quán)端口包括未設(shè)置靜態(tài)ARP檢測(cè)功能的端口 ;第一報(bào)文過(guò)濾模塊,用于若所述第一表項(xiàng)檢測(cè)模塊檢測(cè)到所述第一 ARP報(bào)文符合 所述預(yù)設(shè)的防欺騙特征表項(xiàng),則過(guò)濾所述第一 ARP報(bào)文。為實(shí)現(xiàn)上述目的,本發(fā)明還提供一種接入設(shè)備,包括接入模塊,其中,還包括上 述的地址解析協(xié)議報(bào)文的處理裝置,所述地址解析協(xié)議報(bào)文的處理裝置與所述接入模塊連接。本發(fā)明提供的地址解析協(xié)議報(bào)文的處理方法、裝置及接入設(shè)備,通過(guò)在接入設(shè)備 的報(bào)文特征數(shù)據(jù)庫(kù)中設(shè)置防欺騙特征表項(xiàng),用于指示對(duì)該接入設(shè)備的特權(quán)端口下接收到的 發(fā)送方IP地址為冒充合法終端的IP地址的ARP欺騙報(bào)文、以及發(fā)送方MAC地址為冒充合 法終端的MAC地址的ARP欺騙報(bào)文進(jìn)行過(guò)濾,從而使得當(dāng)非法終端欲通過(guò)未設(shè)置靜態(tài)ARP 檢測(cè)功能的特權(quán)端口,對(duì)該接入設(shè)備的合法終端或網(wǎng)關(guān)發(fā)送ARP欺騙報(bào)文時(shí),該特權(quán)端口 能夠通過(guò)預(yù)設(shè)的防欺騙特征表項(xiàng)過(guò)濾掉該ARP欺騙報(bào)文,有效地防范了非法終端通過(guò)特權(quán) 端口冒充合法終端對(duì)其他終端或網(wǎng)關(guān)設(shè)備進(jìn)行的ARP欺騙行為;進(jìn)一步地,本發(fā)明的實(shí)現(xiàn) 無(wú)需網(wǎng)關(guān)設(shè)備及用戶主機(jī)的參與,不增加接入設(shè)備的負(fù)擔(dān),網(wǎng)絡(luò)配置簡(jiǎn)單,極大地提升了網(wǎng) 絡(luò)部署的靈活性、穩(wěn)定性和安全性。
為了更清楚地說(shuō)明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù) 描述中所需要使用的附圖作一簡(jiǎn)單地介紹,顯而易見(jiàn)地,下面描述中的附圖是本發(fā)明的一 些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這 些附圖獲得其他的附圖。圖1為本發(fā)明地址解析協(xié)議報(bào)文的處理方法實(shí)施例一的流程圖;圖2為本發(fā)明地址解析協(xié)議報(bào)文的處理方法實(shí)施例二的流程圖;圖3為本發(fā)明地址解析協(xié)議報(bào)文的處理裝置實(shí)施例一的結(jié)構(gòu)示意圖;圖4為本發(fā)明地址解析協(xié)議報(bào)文的處理裝置實(shí)施例二的結(jié)構(gòu)示意圖5為本發(fā)明接入設(shè)備實(shí)施例的結(jié)構(gòu)示意圖。
具體實(shí)施例方式為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合本發(fā)明實(shí)施例 中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例是 本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員 在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。圖1為本發(fā)明地址解析協(xié)議報(bào)文的處理方法實(shí)施例一的流程圖,如圖1所示,本實(shí) 施例具體包括如下步驟步驟100,當(dāng)接入設(shè)備通過(guò)特權(quán)端口接收到終端發(fā)送的第一 ARP報(bào)文時(shí),檢測(cè)該第 一 ARP報(bào)文是否符合該接入設(shè)備預(yù)設(shè)的防欺騙特征表項(xiàng);在通信網(wǎng)絡(luò)常用的接入設(shè)備中,例如常見(jiàn)的接入交換機(jī)或接入路由器中,為了實(shí) 際部署的需求,通常會(huì)包括兩種類型的端口。其中一類端口開啟了報(bào)文特征數(shù)據(jù)庫(kù)的靜態(tài) ARP表項(xiàng)檢測(cè)功能,當(dāng)該端口接收到任一 ARP報(bào)文時(shí),均會(huì)根據(jù)報(bào)文特征數(shù)據(jù)庫(kù)中的靜態(tài) ARP檢測(cè)表項(xiàng)對(duì)該ARP報(bào)文進(jìn)行檢測(cè),并根據(jù)檢測(cè)的結(jié)果放行或過(guò)濾該ARP報(bào)文,以防范該 端口下連接的終端發(fā)出的ARP欺騙攻擊行為。而另一類端口則為未開啟ARP表項(xiàng)檢測(cè)功能 的特權(quán)端口,在這類端口中,由于存在某些特殊的原因,并不設(shè)置靜態(tài)ARP檢測(cè)表項(xiàng),因此 在這類端口中,接入的終端無(wú)需經(jīng)過(guò)靜態(tài)ARP表項(xiàng)的檢測(cè),即通過(guò)該類端口,未經(jīng)過(guò)認(rèn)證服 務(wù)器的認(rèn)證的終端也可連接到接入設(shè)備中。對(duì)于這類未設(shè)置ARP表項(xiàng)檢測(cè)功能的特權(quán)端口而言,該特權(quán)端口下的特權(quán)終端或 者其他終端便很容易利用端口無(wú)需進(jìn)行ARP檢測(cè)的特征,冒充其他端口下合法終端的IP地 址或MAC地址發(fā)出ARP欺騙報(bào)文。由于該端口對(duì)接收到的ARP報(bào)文并不進(jìn)行靜態(tài)ARP表項(xiàng) 檢測(cè),因此,即使其接收到的ARP欺騙報(bào)文的發(fā)送方IP地址和發(fā)送方MAC地址并非為合法 終端的對(duì)應(yīng)的IP地址和MAC地址,該端口也會(huì)放行該ARP報(bào)文,從而會(huì)對(duì)其他端口下的被 冒充的合法終端造成ARP攻擊。為了防御這種ARP欺騙攻擊現(xiàn)象,在本實(shí)施例中,針對(duì)接入設(shè)備的這類特權(quán)端口, 在報(bào)文特征數(shù)據(jù)庫(kù)中設(shè)置了用于防范該端口下連接的終端發(fā)出ARP欺騙攻擊的防欺騙特 征表項(xiàng)。具體地,在該防欺騙特征表項(xiàng)中指明將特權(quán)端口接收到的源IP地址為接入設(shè)備 的任一合法終端的IP地址的ARP報(bào)文,以及源MAC地址為接入設(shè)備的任一合法終端的MAC 地址的ARP報(bào)文進(jìn)行過(guò)濾。如此一來(lái),當(dāng)接入設(shè)備通過(guò)特權(quán)端口,接收到與該特權(quán)端口連接的終端發(fā)送的ARP 報(bào)文時(shí),將通過(guò)報(bào)文特征數(shù)據(jù)庫(kù)中預(yù)設(shè)的防欺騙特征表項(xiàng),檢測(cè)該ARP報(bào)文是否為一 ARP欺 騙報(bào)文。具體地,在本實(shí)施例中,稱接入設(shè)備通過(guò)特權(quán)端口接收到的ARP報(bào)文為第一 ARP報(bào) 文。接入設(shè)備通過(guò)比較該第一 ARP報(bào)文中的發(fā)送方IP地址與防欺騙特征表項(xiàng)中設(shè)置的IP 地址,以及比較第一 ARP報(bào)文中的發(fā)送方MAC地址與防欺騙特征表項(xiàng)中設(shè)置的MAC地址,檢 測(cè)該第一 ARP報(bào)文是否符合該防欺騙特征表項(xiàng)。具體指通過(guò)該防欺騙特征表項(xiàng)檢測(cè)特權(quán) 端口接收到的第一 ARP報(bào)文中攜帶的發(fā)送方IP地址是否為該接入設(shè)備已通過(guò)認(rèn)證的合法 終端的IP地址,以及特權(quán)端口接收 到的第一 ARP報(bào)文中攜帶的發(fā)送方MAC地址是否為該接 入設(shè)備已通過(guò)認(rèn)證的合法終端的MAC地址。
步驟101,若檢測(cè)到第一 ARP報(bào)文符合預(yù)設(shè)的防欺騙特征表項(xiàng),則過(guò)濾掉該第一 ARP報(bào)文。若通過(guò)上述檢測(cè),接入設(shè)備得到第一 ARP報(bào)文符合預(yù)設(shè)的防欺騙特征表項(xiàng)的檢測(cè) 結(jié)果,由于在特權(quán)端口中,終端無(wú)需經(jīng)過(guò)認(rèn)證服務(wù)器的認(rèn)證便可連接到接入設(shè)備,因而特權(quán) 端口下連接的所有終端均不屬于該接入設(shè)備已認(rèn)證的合法終端,相對(duì)應(yīng)地,該接入設(shè)備的 報(bào)文特征數(shù)據(jù)庫(kù)中也不會(huì)存在任何與該特權(quán)端口的終端的IP地址或MAC地址對(duì)應(yīng)的特征 表項(xiàng)。因此,若此時(shí)該特權(quán)端口接收到的第一 ARP報(bào)文符合接入設(shè)備預(yù)設(shè)的防欺騙特征 表項(xiàng),即該第一 ARP報(bào)文的發(fā)送方IP地址或者發(fā)送方MAC地址為接入設(shè)備的任一合法終端 的IP地址或者M(jìn)AC地址,這表明特權(quán)端口此時(shí)接收到終端發(fā)送的第一 ARP報(bào)文為該終端 冒充該接入設(shè)備其他合法終端的IP地址或MAC地址發(fā)出,而并非該終端自身的IP地址或 MAC地址,這屬于典型的ARP欺騙攻擊行為。在此情況下,接入設(shè)備接收的該第一 ARP報(bào)文 識(shí)別為ARP欺騙報(bào)文,并將該ARP欺騙報(bào)文進(jìn)行過(guò)濾,以防御該終端通過(guò)特權(quán)端口進(jìn)行的 ARP攻擊。如此一來(lái),盡管在接入設(shè)備的報(bào)文特征數(shù)據(jù)庫(kù)中,并未為特權(quán)端口設(shè)置對(duì)應(yīng)的靜 態(tài)ARP檢測(cè)表項(xiàng),但是通過(guò)設(shè)置的防欺騙特征表項(xiàng),接入設(shè)備仍然能夠及時(shí)地檢測(cè)并過(guò)濾 掉惡意攻擊方通過(guò)特權(quán)端口、冒充合法終端發(fā)出的ARP欺騙報(bào)文,從而有效地防范了非法 終端通過(guò)特權(quán)端口冒充合法終端進(jìn)行的ARP欺騙行為。且由于在這類端口中,對(duì)于接收到 的ARP報(bào)文需要首先進(jìn)行防欺騙表項(xiàng)的檢測(cè),因此即使此類端口中開啟了安全數(shù)據(jù)通道, 對(duì)指定的某類ARP報(bào)文可以無(wú)條件的放行通過(guò),由于在進(jìn)行安全數(shù)據(jù)通道放行ARP報(bào)文之 前,都需要對(duì)ARP報(bào)文進(jìn)行防欺騙表項(xiàng)的檢測(cè),因此即使對(duì)于開啟了安全數(shù)據(jù)通道的端口 而言,通過(guò)設(shè)置防欺騙表項(xiàng),同樣能夠防止非法終端利用此類端口冒充合法終端進(jìn)行的ARP 欺騙攻擊。更進(jìn)一步地,本實(shí)施例對(duì)接入設(shè)備的改進(jìn)僅在于在報(bào)文特征數(shù)據(jù)庫(kù)中,為特權(quán)端 口增添設(shè)置特征表項(xiàng),而無(wú)需對(duì)接入終端或網(wǎng)關(guān)設(shè)備進(jìn)行任何改動(dòng),其網(wǎng)絡(luò)配置及實(shí)施方 式簡(jiǎn)單,還相應(yīng)提升了網(wǎng)絡(luò)部署的靈活性和穩(wěn)定性。本實(shí)施例的地址解析協(xié)議報(bào)文的處理方法,通過(guò)在接入設(shè)備的報(bào)文特征數(shù)據(jù)庫(kù)中 設(shè)置防欺騙特征表項(xiàng),用于指示對(duì)該接入設(shè)備的特權(quán)端口下接收到的發(fā)送方IP地址為冒 充合法終端的IP地址的ARP欺騙報(bào)文、以及發(fā)送方MAC地址為冒充合法終端的MAC地址的 ARP欺騙報(bào)文進(jìn)行過(guò)濾,從而使得當(dāng)非法終端欲通過(guò)未設(shè)置靜態(tài)ARP檢測(cè)功能的特權(quán)端口, 冒充合法終端對(duì)該接入設(shè)備的其他終端或網(wǎng)關(guān)發(fā)送ARP欺騙報(bào)文時(shí),該特權(quán)端口能夠通過(guò) 預(yù)設(shè)的防欺騙特征表項(xiàng)過(guò)濾掉該ARP欺騙報(bào)文,有效地防范了非法終端通過(guò)特權(quán)端口冒充 合法終端進(jìn)行的ARP欺騙行為;進(jìn)一步地,本發(fā)明的實(shí)現(xiàn)無(wú)需網(wǎng)關(guān)設(shè)備及用戶主機(jī)的參與, 不增加接入設(shè)備的負(fù)擔(dān),網(wǎng)絡(luò)配置簡(jiǎn)單,極大地提升了網(wǎng)絡(luò)部署的靈活性、穩(wěn)定性和安全 性。圖2為本發(fā)明地址解析協(xié)議報(bào)文的處理方法實(shí)施例二的流程圖,本實(shí)施例中以接 入設(shè)備為接入交換機(jī)為例,對(duì)本發(fā)明的ARP報(bào)文的處理方法進(jìn)行了描述。如圖2所示,本實(shí) 施例具體包括如下步驟步驟200,獲取對(duì)應(yīng)的合法終端的IP地址和MAC地址;
本實(shí)施例中,在接入交換機(jī)通過(guò)報(bào)文特征數(shù)據(jù)庫(kù)中的特征表項(xiàng),對(duì)惡意攻擊方通 過(guò)特權(quán)端口發(fā)出的ARP欺騙攻擊行為進(jìn)行防御之前,為了在該接入交換機(jī)的報(bào)文特征數(shù)據(jù) 庫(kù)中設(shè)置相應(yīng)的防欺騙特征表項(xiàng),接入交換機(jī)將獲取包括的合法終端對(duì)應(yīng)的IP地址以及 MAC地址。具體地,在本實(shí)施例中,接入交換機(jī)可以通過(guò)如下至少兩種方式獲取合法終端的 IP地址及MAC地址信息第一種方式為在認(rèn)證終端進(jìn)行認(rèn)證服務(wù)器的認(rèn)證過(guò)程中,接入交換機(jī)通過(guò)對(duì)認(rèn)證 終端發(fā)送給認(rèn)證服務(wù)器的認(rèn)證信息進(jìn)行截獲并解析,提取出其中攜帶的認(rèn)證終端的IP地 址和MAC地址,當(dāng)該認(rèn)證終端的認(rèn) 證通過(guò)后,該提取出的終端IP地址及MAC地址便為合法 終端對(duì)應(yīng)的IP地址及MAC地址;第二種方式為在接入交換機(jī)中設(shè)置動(dòng)態(tài)主機(jī)設(shè)置協(xié)議安全特性(Dynamic Host Configuration Protocol-Snooping,簡(jiǎn)稱 DHCP—Snooping)功能,通過(guò)該 DHCP—Snooping 功 能,接入交換機(jī)可以截獲到接入的合法終端發(fā)送的DHCP報(bào)文,而根據(jù)對(duì)該DHCP報(bào)文進(jìn)行解 析,接入交換機(jī)可以提取出包括的合法終端的IP地址和MAC地址。以上列舉了兩種獲取合法終端的IP地址和MAC地址的方式,但需了解的是,在實(shí) 際應(yīng)用中,接入交換機(jī)還可以通過(guò)其他多種方式獲取該交換機(jī)內(nèi)通過(guò)認(rèn)證的合法終端的IP 地址及MAC地址,例如通過(guò)命令行設(shè)置的方式獲取等,其他可以適用的替換方式同樣在本 發(fā)明所保護(hù)的范圍之內(nèi)。步驟201,根據(jù)獲取到的合法終端的IP地址和MAC地址,在特征數(shù)據(jù)庫(kù)中為特權(quán)端 口設(shè)置對(duì)應(yīng)的防欺騙特征表項(xiàng);接入交換機(jī)通過(guò)上述任一方式獲取到任一合法終端的IP地址和MAC地址之后,為 了對(duì)該合法終端進(jìn)行ARP攻擊保護(hù),以保護(hù)該合法終端不受到非法終端通過(guò)特權(quán)端口發(fā)出 的ARP欺騙攻擊,將根據(jù)獲取到的IP地址和MAC地址,在報(bào)文特征數(shù)據(jù)庫(kù)中增添設(shè)置對(duì)應(yīng) 的防欺騙特征表項(xiàng),具體指接入交換機(jī)在報(bào)文特征數(shù)據(jù)庫(kù)中,為容易遭受ARP欺騙攻擊的 特權(quán)端口設(shè)置防欺騙特征表項(xiàng)。該防欺騙特征表項(xiàng)用于指示接入交換機(jī)對(duì)接收到的發(fā)送方 IP地址為該合法終端的IP地址的ARP報(bào)文進(jìn)行丟棄,以及對(duì)接收到的發(fā)送方MAC地址為該 合法終端的MAC地址的ARP報(bào)文進(jìn)行過(guò)濾。具體地,針對(duì)獲取得到的合法終端的IP地址和MAC地址,接入交換機(jī)可以在報(bào)文 特征數(shù)據(jù)庫(kù)中,為特權(quán)端口分別設(shè)置與IP地址對(duì)應(yīng)的第一防欺騙特征表項(xiàng)以及與MAC地址 對(duì)應(yīng)的第二防欺騙特征表項(xiàng)。其中第一防欺騙特征表項(xiàng)用于指示接入交換機(jī)對(duì)接收到的發(fā) 送方IP地址為合法終端的IP地址的ARP報(bào)文進(jìn)行過(guò)濾,而第二防欺騙特征表項(xiàng)用于指示 接入交換機(jī)對(duì)接收到的發(fā)送方MAC地址為合法終端的MAC地址的ARP報(bào)文進(jìn)行過(guò)濾。步驟202,根據(jù)獲取到的合法終端的IP地址和MAC地址,在特征數(shù)據(jù)庫(kù)中為非特權(quán) 端口設(shè)置對(duì)應(yīng)的防欺騙特征表項(xiàng);步驟203,在非特權(quán)端口中,設(shè)置防欺騙特征表項(xiàng)的優(yōu)先級(jí)別低于靜態(tài)ARP檢測(cè)表 項(xiàng);進(jìn)一步地,在接入交換機(jī)為特權(quán)端口設(shè)置該特征表項(xiàng)的同時(shí),針對(duì)該接入交換機(jī) 中開啟了靜態(tài)ARP檢測(cè)功能,即需要對(duì)接收到的ARP報(bào)文進(jìn)行靜態(tài)ARP檢測(cè)的非特權(quán)端口, 接入交換機(jī)同時(shí)還可以在報(bào)文特征數(shù)據(jù)庫(kù)中,為這些非特權(quán)端口設(shè)置對(duì)應(yīng)的防欺騙特征表 項(xiàng),并將該新設(shè)置的防欺騙特征表項(xiàng)的優(yōu)先級(jí)別設(shè)置為低于靜態(tài)ARP檢測(cè)表項(xiàng)的優(yōu)先級(jí)別。這樣設(shè)置的目的在于由于在接入交換機(jī)中,對(duì)于開啟了靜態(tài)ARP檢測(cè)功能的非 特權(quán)端口而言,其連接的終端若需要通過(guò)該類端口傳送數(shù)據(jù)報(bào)文之前,需要通過(guò)認(rèn)證服務(wù) 器的認(rèn)證以接入到該接入交換機(jī)中,因此該非特權(quán)端口下通常會(huì)對(duì)應(yīng)連接多個(gè)已經(jīng)通過(guò)認(rèn) 證的合法終端。因此,如果在該非特權(quán)端口接收到ARP報(bào)文時(shí),便直接采用上述設(shè)置的防欺 騙特征表項(xiàng)對(duì)該ARP報(bào)文進(jìn)行檢測(cè),將會(huì)導(dǎo)致合法終端發(fā)送的合法的ARP報(bào)文由于符合防 欺騙特征表項(xiàng)的設(shè)定條件,而被過(guò)濾掉無(wú)法通過(guò)。 因此,為避免發(fā)生上述現(xiàn)象,在本實(shí)施例中,接入交換機(jī)在報(bào)文特征數(shù)據(jù)庫(kù)中,為 非特權(quán)端口增添防欺騙特征表項(xiàng)的同時(shí),還在非特權(quán)端口中,設(shè)置該防欺騙特征表項(xiàng)的優(yōu) 先級(jí)別低于靜態(tài)ARP檢測(cè)表項(xiàng),即使得合法終端在通過(guò)該非特權(quán)端口發(fā)送合法的ARP報(bào)文 時(shí),非特權(quán)端口首先將對(duì)該ARP報(bào)文進(jìn)行靜態(tài)ARP檢測(cè)表項(xiàng)的檢測(cè)。根據(jù)檢測(cè)結(jié)果,合法的 ARP報(bào)文將會(huì)符合非特權(quán)端口對(duì)應(yīng)的靜態(tài)ARP檢測(cè)表項(xiàng),而最終被放行通過(guò),從而避免了合 法的ARP報(bào)文在直接進(jìn)行防欺騙特征表項(xiàng)的檢測(cè)時(shí),被識(shí)別為ARP欺騙報(bào)文而被過(guò)濾掉的 現(xiàn)象。步驟204,通過(guò)特權(quán)端口接收到終端發(fā)送的第一 ARP報(bào)文;步驟205,檢測(cè)第一 ARP報(bào)文是否符合防欺騙特征表項(xiàng),若是則執(zhí)行步驟206,若否 則執(zhí)行步驟207 ;步驟206,過(guò)濾第一 ARP報(bào)文;步驟207,放行通過(guò)第一 ARP報(bào)文;在接入交換機(jī)設(shè)置了與各合法終端的IP地址與MAC地址對(duì)應(yīng)的防欺騙特征表項(xiàng) 后,當(dāng)該接入交換機(jī)通過(guò)特權(quán)端口接收到對(duì)應(yīng)的終端發(fā)送的第一 ARP報(bào)文時(shí),由于特權(quán)端 口并未設(shè)置靜態(tài)ARP檢測(cè)功能,因此接入交換機(jī)將直接對(duì)該第一 ARP報(bào)文進(jìn)行防欺騙特征 表項(xiàng)的檢測(cè),具體指檢測(cè)該第一 ARP報(bào)文的發(fā)送方IP地址是否符合報(bào)文特征數(shù)據(jù)庫(kù)中的第 一防欺騙特征表項(xiàng),以及檢測(cè)ARP報(bào)文的發(fā)送方MAC地址是否符合報(bào)文特征數(shù)據(jù)庫(kù)中的第 二防欺騙特征表項(xiàng)。具體地,接入交換機(jī)將分別從第一 ARP報(bào)文中提取出其中攜帶的發(fā)送方IP地址以 及發(fā)送方MAC地址,并根據(jù)提取出的發(fā)送方IP地址,在特征數(shù)據(jù)庫(kù)中查詢其中是否包括與 該發(fā)送方IP地址對(duì)應(yīng)的第一防欺騙特征表項(xiàng),以及根據(jù)提取出的發(fā)送方MAC地址,查詢是 否包括與該發(fā)送方MAC地址對(duì)應(yīng)的第二防欺騙特征表項(xiàng)。無(wú)論該第一 ARP報(bào)文是符合第一 防欺騙特征表項(xiàng)或第二防欺騙特征表項(xiàng),都表明該第一 ARP報(bào)文為該特權(quán)端口下的非法終 端發(fā)送的ARP欺騙報(bào)文,區(qū)別僅在于其冒充合法終端的地址類型不同,因此接入交換機(jī)均 將該第一 ARP報(bào)文進(jìn)行過(guò)濾。進(jìn)一步地,在過(guò)濾掉該第一 ARP報(bào)文,使該第一 ARP報(bào)文無(wú)法發(fā)送到目的終端的基 礎(chǔ)上,接入交換機(jī)還可以對(duì)該第一 ARP報(bào)文進(jìn)行統(tǒng)計(jì),即根據(jù)對(duì)接收到的第一 ARP報(bào)文進(jìn)行 防欺騙表項(xiàng)檢測(cè)的結(jié)果,統(tǒng)計(jì)對(duì)應(yīng)端口下發(fā)生的冒充合法終端進(jìn)行ARP欺騙攻擊行為的狀 態(tài)。甚至在此之后,接入交換機(jī)還可以將檢測(cè)到為ARP欺騙攻擊的ARP欺騙報(bào)文,發(fā)送給其 他的分析設(shè)備以進(jìn)行統(tǒng)計(jì)和分析。而若經(jīng)過(guò)檢測(cè),接入交換機(jī)發(fā)現(xiàn)該第一 ARP報(bào)文并不符合防欺騙特征數(shù)據(jù)庫(kù)中設(shè) 置的任一防欺騙特征表項(xiàng),這表明該第一 ARP報(bào)文并非該端口下的終端冒充該接入交換機(jī)的合法終端發(fā)出的ARP欺騙報(bào)文,于是接入交換機(jī)放行通過(guò)該第一 ARP報(bào)文,使其可以傳送 到目的終端。步驟208,通過(guò)非特權(quán)端口接收到終端發(fā)送的第二 ARP報(bào)文;
步驟209,檢測(cè)該第二 ARP報(bào)文是否符合該非特權(quán)端口對(duì)應(yīng)的靜態(tài)ARP檢測(cè)表項(xiàng), 若否則執(zhí)行步驟210,若是則執(zhí)行步驟212 ;若接入交換機(jī)通過(guò)未設(shè)置靜態(tài)ARP表項(xiàng)檢測(cè)的非特權(quán)端口,接收到對(duì)應(yīng)的終端發(fā) 送的第二 ARP報(bào)文時(shí),根據(jù)報(bào)文特征數(shù)據(jù)庫(kù)中與該非特權(quán)端口對(duì)應(yīng)的各特征檢測(cè)表項(xiàng)以及 各特征檢測(cè)表項(xiàng)的優(yōu)先權(quán)級(jí)別,接入交換機(jī)將首先對(duì)該第二 ARP報(bào)文是否符合該非特權(quán)端 口設(shè)置的靜態(tài)ARP檢測(cè)表項(xiàng)進(jìn)行檢測(cè)。具體地,對(duì)于某一非特權(quán)端口而言,報(bào)文特征數(shù)據(jù)庫(kù)中可以對(duì)應(yīng)設(shè)置多條靜態(tài)ARP 檢測(cè)表項(xiàng),每條靜態(tài)ARP檢測(cè)表項(xiàng)都對(duì)該非特權(quán)端口下的一臺(tái)已經(jīng)通過(guò)認(rèn)證的合法終端相 對(duì)應(yīng),且每條靜態(tài)ARP檢測(cè)表項(xiàng)均指示將接收到ARP報(bào)文的發(fā)送方IP地址和發(fā)送方MAC 地址對(duì)應(yīng)為該合法終端的IP地址和MAC地址放行通過(guò)。因此在接入交換機(jī)通過(guò)該非特權(quán)端口接收到第二 ARP報(bào)文時(shí),首先對(duì)該第二 ARP 報(bào)文進(jìn)行靜態(tài)ARP檢測(cè)表項(xiàng)的檢測(cè),可以對(duì)該端口下未認(rèn)證的終端發(fā)出的ARP報(bào)文,或者進(jìn) 行惡意ARP欺騙攻擊的終端所發(fā)出的ARP欺騙報(bào)文進(jìn)行攔截。進(jìn)一步地,在進(jìn)行下一步的 防欺騙特征表項(xiàng)的檢測(cè)之前,通過(guò)進(jìn)行靜態(tài)ARP表項(xiàng)檢測(cè),可以放行合法終端發(fā)送的合法 的ARP報(bào)文,以避免在進(jìn)行后續(xù)的檢測(cè)中出現(xiàn)的將合法的ARP報(bào)文識(shí)別為ARP欺騙報(bào)文而 丟棄的現(xiàn)象。在對(duì)接收到的第二 ARP報(bào)文進(jìn)行靜態(tài)ARP表項(xiàng)檢測(cè)之后,若該第二 ARP報(bào)文符合 該非特權(quán)端口設(shè)置的靜態(tài)ARP檢測(cè)表項(xiàng),表明發(fā)送該第二 ARP報(bào)文的終端為該端口下已經(jīng) 通過(guò)認(rèn)證的合法終端,且其發(fā)出的ARP報(bào)文也為合法的ARP報(bào)文,因此接入交換機(jī)返回至執(zhí) 行步驟206,將該第二 ARP報(bào)文放行通過(guò),使其可以傳送到目的終端。步驟210,檢測(cè)該第二 ARP報(bào)文是否符合預(yù)設(shè)的防欺騙特征表項(xiàng),以對(duì)接入設(shè)備接 收到的ARP欺騙攻擊行為進(jìn)行統(tǒng)計(jì),并執(zhí)行步驟211 ;步驟211,過(guò)濾該第二 ARP報(bào)文;步驟212,放行通過(guò)該第二 ARP報(bào)文;而反之,若接入交換機(jī)通過(guò)對(duì)接收到的第二 ARP報(bào)文進(jìn)行靜態(tài)ARP表項(xiàng)檢測(cè),得到 該第二 ARP報(bào)文不符合該非特權(quán)端口設(shè)置的靜態(tài)ARP檢測(cè)表項(xiàng)的結(jié)果,這表明發(fā)送該第二 ARP報(bào)文的終端為該端口下未認(rèn)證未的終端或發(fā)出惡意攻擊終端,該第二 ARP報(bào)文很有可 能為該終端發(fā)出的ARP攻擊報(bào)文,應(yīng)該予以過(guò)濾。此時(shí),接入交換機(jī)已經(jīng)可以直接過(guò)濾掉該第二 ARP報(bào)文,但是在本實(shí)施例中,根據(jù) 報(bào)文特征數(shù)據(jù)庫(kù)中特征檢測(cè)表項(xiàng)的設(shè)置,接入交換機(jī)還將進(jìn)一步地檢測(cè)該第二 ARP報(bào)文是 否符合上述預(yù)設(shè)的防欺騙特征表項(xiàng),即檢測(cè)第二 ARP報(bào)文的發(fā)送方IP地址是否符合預(yù)設(shè)的 第一防欺騙特征表項(xiàng),以及該第二 ARP報(bào)文的發(fā)送方MAC地址是否符合預(yù)設(shè)的第二防欺騙 特征表項(xiàng)。而在無(wú)論是否檢測(cè)到該第二 ARP報(bào)文符合防欺騙特征表項(xiàng),根據(jù)該第二 ARP報(bào)文 不符合靜態(tài)ARP檢測(cè)表項(xiàng)這一點(diǎn),接入交換機(jī)都可以判定該第二 ARP報(bào)文為該端口下終端 發(fā)出的ARP欺騙報(bào)文,都可以將該第二 ARP報(bào)文進(jìn)行過(guò)濾,以防御該端口下終端產(chǎn)生的ARP 欺騙攻擊行為。
而在本實(shí)施例中,接入交換機(jī)在檢測(cè)到第二 ARP報(bào)文不符合靜態(tài)ARP檢測(cè)表項(xiàng) 之后,再進(jìn)一步地進(jìn)行防欺騙特征表項(xiàng)的檢測(cè)的目的在于由于若符合防欺騙特征表項(xiàng)的 ARP報(bào)文必定為惡意終端冒充合法終端的地址發(fā)出的ARP欺騙報(bào)文,因此根據(jù)此檢測(cè)結(jié)果, 接入交換機(jī)可以統(tǒng)計(jì)每一端口下終端發(fā)出的這類ARP欺騙攻擊的狀態(tài),例如發(fā)出ARP欺騙 攻擊的次數(shù)、頻率等,從而在此基礎(chǔ)上,接入交換機(jī)可以對(duì)每一端口的ARP攻擊狀態(tài)進(jìn)行分 析,以制定相應(yīng)的防攻擊策略。具體地,接入交換機(jī)根據(jù)對(duì)接收到的ARP報(bào)文進(jìn)行第一防欺 騙特征表項(xiàng)的檢測(cè)結(jié)果,以及根據(jù)對(duì)ARP報(bào)文進(jìn)行第二防欺騙特征表項(xiàng)的檢測(cè)結(jié)果,能夠 分別統(tǒng)計(jì)出對(duì)應(yīng)端口下冒充合法終端的IP地址進(jìn)行的ARP欺騙攻擊行為的狀態(tài),以及冒充 合法終端的MAC地址進(jìn)行的ARP欺騙攻擊行為的狀況。從而根據(jù)該統(tǒng)計(jì)結(jié)果,接入交換機(jī) 可以對(duì)該端口,甚至對(duì)該接入交換機(jī)整體的性能狀態(tài)進(jìn)行調(diào)整與管理。具體地,若接入交換機(jī)通過(guò)進(jìn)一步的檢測(cè),檢測(cè)到該第二 ARP報(bào)文不符合靜態(tài)ARP 檢測(cè)表項(xiàng),卻也不符合預(yù)設(shè)的防欺騙特征表項(xiàng),這表明發(fā)送該第二 ARP報(bào)文的終端雖然不 是接入交換機(jī)已通過(guò)認(rèn)證的合法終端(不符合靜態(tài)ARP檢測(cè)表項(xiàng)),例如其可能為一惡意 攻擊終端或者為接入交換機(jī)的一未認(rèn)證終端,但是在此次ARP欺騙攻擊行為中,該終端卻 也沒(méi)有冒充其他合法終端的IP地址或MAC地址發(fā)出ARP欺騙報(bào)文(不符合防欺騙特征表 項(xiàng))。因而接入交換機(jī)在將其進(jìn)行過(guò)濾之后,無(wú)需對(duì)該第二 ARP報(bào)文進(jìn)行相應(yīng)的統(tǒng)計(jì)。反之,若接入交換機(jī)通過(guò)進(jìn)一步的檢測(cè),檢測(cè)到該第二 ARP報(bào)文雖然不符合靜態(tài) ARP檢測(cè)表項(xiàng),還進(jìn)一步符合預(yù)設(shè)的防欺騙特征表項(xiàng),這表明發(fā)送該第二 ARP報(bào)文的終端 不僅不是接入交換機(jī)已通過(guò)認(rèn)證的合法終端(不符合靜態(tài)ARP檢測(cè)表項(xiàng)),而且還在此次 ARP欺騙攻擊行為中,冒充了其他合法終端的IP地址或MAC地址對(duì)其他合法終端發(fā)出了 ARP欺騙報(bào)文(符合防欺騙特征表項(xiàng))。因而接入交換機(jī)在將其進(jìn)行過(guò)濾之后,還可以對(duì)該 此次ARP欺騙攻擊行為進(jìn)行相應(yīng)的記錄,以便后續(xù)的統(tǒng)計(jì)與管理。在進(jìn)行了靜態(tài)ARP表項(xiàng)檢測(cè)以及防欺騙表項(xiàng)檢測(cè)之后,接入交換機(jī)可以過(guò)濾掉非 特權(quán)端口下冒充合法終端、對(duì)其他終端或網(wǎng)關(guān)進(jìn)行的ARP欺騙報(bào)文,因而即使該端口中開 啟了安全數(shù)據(jù)通道,對(duì)指定的某類ARP報(bào)文可以無(wú)條件的放行通過(guò),由于在進(jìn)行安全數(shù)據(jù) 通道放行ARP報(bào)文之前,都需要對(duì)接收到的ARP報(bào)文進(jìn)行靜態(tài)ARP表項(xiàng)及防欺騙表項(xiàng)的檢 測(cè),因此即使對(duì)于開啟了安全數(shù)據(jù)通道的端口而言,無(wú)論該端口為設(shè)置了靜態(tài)ARP檢測(cè)表 項(xiàng)的非特權(quán)端口,或未設(shè)置靜態(tài)ARP檢測(cè)表項(xiàng)的特權(quán)端口,通過(guò)設(shè)置防欺騙表項(xiàng),同樣能夠 防止非法終端利用此類端口冒充合法終端進(jìn)行的ARP欺騙攻擊。本實(shí)施例的地址解析協(xié)議報(bào)文的處理方法,通過(guò)在接入設(shè)備為合法用戶在對(duì)應(yīng)端 口的報(bào)文特征數(shù)據(jù)庫(kù)中設(shè)置靜態(tài)ARP檢測(cè)表項(xiàng)的同時(shí),為該合法用戶增添設(shè)置兩條優(yōu)先級(jí) 低于靜態(tài)ARP檢測(cè)表項(xiàng)的特征表項(xiàng)一條用于指示對(duì)全局所有端口下發(fā)送的發(fā)送方MAC地 址為冒充合法終端的MAC地址的ARP欺騙報(bào)文進(jìn)行過(guò)濾,另一條用于指示對(duì)全局所有端口 下發(fā)送的發(fā)送方IP地址為冒充合法終端的IP地址的ARP欺騙報(bào)文進(jìn)行過(guò)濾,從而有效地 防止了非法用戶通過(guò)接入設(shè)備未設(shè)置ARP檢測(cè)功能的特權(quán)端口冒充合法終端,對(duì)其他終端 或網(wǎng)關(guān)設(shè)備進(jìn)行的ARP欺騙攻擊;進(jìn)一步地,本發(fā)明的實(shí)現(xiàn)無(wú)需網(wǎng)關(guān)設(shè)備及用戶主機(jī)的參 與,不增加接入交換機(jī)的負(fù)擔(dān),網(wǎng)絡(luò)配置簡(jiǎn)單,極大地提升了網(wǎng)絡(luò)部署的靈活性、穩(wěn)定性和 安全性。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過(guò)
11程序指令相關(guān)的硬件來(lái)完成,前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中,該程序 在執(zhí)行時(shí),執(zhí)行包括上述方法實(shí)施例的步驟;而前述的存儲(chǔ)介質(zhì)包括ROM、RAM、磁碟或者 光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。圖3為本發(fā)明地址解析協(xié)議報(bào)文的處理裝置實(shí)施例一的結(jié)構(gòu)示意圖,如圖3所示, 本實(shí)施例的地址解析協(xié)議報(bào)文的處理裝置包括第一報(bào)文接收模塊11、第一表項(xiàng)檢測(cè)模塊 12以及第一報(bào)文過(guò)濾模塊13。其中,第一報(bào)文接收模塊11用于通過(guò)特權(quán)端口接收終端發(fā)送的第一 ARP報(bào)文;第 一表項(xiàng)檢測(cè)模塊12用于檢測(cè)第一報(bào)文接收模塊11接收到的第一 ARP報(bào)文是否符合接入設(shè) 備預(yù)設(shè)的防欺騙特征表項(xiàng),該防欺騙特征表項(xiàng)包括過(guò)濾發(fā)送方IP地址為接入設(shè)備的任一 合法終端的IP地址的ARP報(bào)文,以及過(guò)濾發(fā)送方MAC地址為接入設(shè)備的任一合法終端的 MAC地址的ARP報(bào)文,該特權(quán)端口包括未設(shè)置靜態(tài)ARP檢測(cè)功能的端口 ;第一報(bào)文過(guò)濾模塊 13用于若第一表項(xiàng)檢測(cè)模塊12檢測(cè)到第一 ARP報(bào)文符合預(yù)設(shè)的防欺騙特征表項(xiàng)時(shí),過(guò)濾第 一 ARP報(bào)文。具體地,本實(shí)施例中的所有模塊所涉及的具體工作過(guò)程,可以參考上述地址解析 協(xié) 議報(bào)文的處理方法所涉及的相關(guān)實(shí)施例揭露的相關(guān)內(nèi)容,在此不再贅述。本實(shí)施例的地址解析協(xié)議報(bào)文的處理裝置,通過(guò)在接入設(shè)備的報(bào)文特征數(shù)據(jù)庫(kù)中 設(shè)置防欺騙特征表項(xiàng),用于指示對(duì)該接入設(shè)備的特權(quán)端口下接收到的發(fā)送方IP地址為冒 充合法終端的IP地址的ARP欺騙報(bào)文、以及發(fā)送方MAC地址為冒充合法終端的MAC地址的 ARP欺騙報(bào)文進(jìn)行過(guò)濾,從而使得當(dāng)非法終端欲通過(guò)未設(shè)置靜態(tài)ARP檢測(cè)功能的特權(quán)端口, 冒充合法終端對(duì)該接入設(shè)備的其他終端或網(wǎng)關(guān)設(shè)備發(fā)送ARP欺騙報(bào)文時(shí),該特權(quán)端口能夠 通過(guò)預(yù)設(shè)的防欺騙特征表項(xiàng)過(guò)濾掉該ARP欺騙報(bào)文,有效地防范了非法終端通過(guò)特權(quán)端口 冒充合法終端進(jìn)行的ARP欺騙行為;進(jìn)一步地,本發(fā)明的實(shí)現(xiàn)無(wú)需網(wǎng)關(guān)設(shè)備及用戶主機(jī)的 參與,不增加接入設(shè)備的負(fù)擔(dān),網(wǎng)絡(luò)配置簡(jiǎn)單,極大地提升了網(wǎng)絡(luò)部署的靈活性、穩(wěn)定性和 安全性。圖4為本發(fā)明地址解析協(xié)議報(bào)文的處理裝置實(shí)施例二的結(jié)構(gòu)示意圖,如圖4所示, 在上述地址解析協(xié)議報(bào)文的處理裝置實(shí)施例一的基礎(chǔ)上,本實(shí)施例的地址解析協(xié)議報(bào)文的 處理裝置還可以包括第二報(bào)文接收模塊14、第二表項(xiàng)檢測(cè)模塊15、第三表項(xiàng)檢測(cè)模塊16 以及第二報(bào)文過(guò)濾模塊17。其中,第二報(bào)文接收模塊14用于通過(guò)非特權(quán)端口接收終端發(fā)送的第二 ARP報(bào)文; 第二表項(xiàng)檢測(cè)模塊15用于檢測(cè)該第二 ARP報(bào)文是否符合非特權(quán)端口對(duì)應(yīng)的靜態(tài)ARP檢測(cè) 表項(xiàng),該靜態(tài)ARP檢測(cè)表項(xiàng)包括放行發(fā)送方IP地址和發(fā)送方MAC地址對(duì)應(yīng)為非特權(quán)端口下 任一合法終端的IP地址與MAC地址的ARP報(bào)文,而非特權(quán)端口包括設(shè)置有靜態(tài)ARP檢測(cè)功 能的端口 ;第三表項(xiàng)檢測(cè)模塊16用于若第二表項(xiàng)檢測(cè)模塊15檢測(cè)到第二 ARP報(bào)文不符合 靜態(tài)ARP檢測(cè)表項(xiàng)時(shí),進(jìn)一步地檢測(cè)第二 ARP報(bào)文是否符合預(yù)設(shè)的防欺騙特征表項(xiàng),以對(duì)所 述接入設(shè)備接收到的ARP欺騙攻擊行為進(jìn)行統(tǒng)計(jì);而第二報(bào)文過(guò)濾模塊17用于在第三表項(xiàng) 檢測(cè)模塊16對(duì)第二 ARP報(bào)文進(jìn)行檢測(cè)之后,過(guò)濾掉第二 ARP報(bào)文。進(jìn)一步地,本實(shí)施例的地址解析協(xié)議報(bào)文的處理裝置還可以包括地址提取模塊 18和第一表項(xiàng)設(shè)置模塊19、第二表項(xiàng)設(shè)置模塊110以及優(yōu)先級(jí)設(shè)置模塊111。其中,地址提取模塊18用于在第一報(bào)文接收模塊11通過(guò)特權(quán)端口接收到第一 ARP報(bào)文之前,從接入設(shè)備的合法終端發(fā)送的認(rèn)證信息中,或者通過(guò)DHCP安全特性技術(shù)從截獲 到的合法終端發(fā)送的DHCP報(bào)文中,提取接入設(shè)備的合法終端對(duì)應(yīng)的IP地址和MAC地址;第 一表項(xiàng)設(shè)置模塊19用于根據(jù)地址提取模塊18提取出的IP地址和MAC地址,在報(bào)文特征數(shù) 據(jù)庫(kù)中,為特權(quán)端口設(shè)置對(duì)應(yīng)的防欺騙特征表項(xiàng)。第二表項(xiàng)設(shè)置模塊110用于在地址提取模塊18提取出合法終端對(duì)應(yīng)的IP地址和 MAC地址之后,根據(jù)提取出的IP地址和MAC地址,在報(bào)文特征數(shù)據(jù)庫(kù)中,為非特權(quán)端口設(shè)置 對(duì)應(yīng)的防欺騙特征表項(xiàng);而優(yōu)先級(jí)設(shè)置模塊111則用于在非特權(quán)端口中,設(shè)置該防欺騙特 征表項(xiàng)的優(yōu)先級(jí)別低于靜態(tài)ARP檢測(cè)表項(xiàng)。更進(jìn)一步地,在本實(shí)施例中,地址解析協(xié)議報(bào)文的處 理裝置還可以包括報(bào)文放行 模塊112,用于若第一表項(xiàng)檢測(cè)模塊12檢測(cè)到第一 ARP報(bào)文不符合預(yù)設(shè)的防欺騙特征表項(xiàng) 時(shí),放行該第一 ARP報(bào)文。具體地,本實(shí)施例中的上述所有模塊所涉及的具體工作過(guò)程,同樣可以參考上述 地址解析協(xié)議報(bào)文的處理方法所涉及的相關(guān)實(shí)施例揭露的相關(guān)內(nèi)容,在此不再贅述。本實(shí)施例的地址解析協(xié)議報(bào)文的處理裝置,通過(guò)在接入設(shè)備為合法用戶在對(duì)應(yīng)端 口的報(bào)文特征數(shù)據(jù)庫(kù)中設(shè)置靜態(tài)ARP檢測(cè)表項(xiàng)的同時(shí),為該合法用戶增添設(shè)置兩條優(yōu)先級(jí) 低于靜態(tài)ARP檢測(cè)表項(xiàng)的特征表項(xiàng)一條用于指示對(duì)全局所有端口下發(fā)送的發(fā)送方MAC地 址為冒充合法終端的MAC地址的ARP欺騙報(bào)文進(jìn)行過(guò)濾,另一條用于指示對(duì)全局所有端口 下發(fā)送的發(fā)送方IP地址為冒充合法終端的IP地址的ARP欺騙報(bào)文進(jìn)行過(guò)濾,從而有效地 防止了非法終端通過(guò)交換機(jī)未設(shè)置ARP檢測(cè)功能的特權(quán)端口,冒充合法終端對(duì)接入設(shè)備下 其他終端或網(wǎng)關(guān)進(jìn)行的ARP欺騙攻擊;進(jìn)一步地,本發(fā)明的實(shí)現(xiàn)無(wú)需網(wǎng)關(guān)設(shè)備及用戶主機(jī) 的參與,不增加接入交換機(jī)的負(fù)擔(dān),網(wǎng)絡(luò)配置簡(jiǎn)單,極大地提升了網(wǎng)絡(luò)部署的靈活性、穩(wěn)定 性和安全性。圖5為本發(fā)明接入設(shè)備實(shí)施例的結(jié)構(gòu)示意圖,如圖5所示,本實(shí)施例的接入設(shè)備 包括接入模塊1以及與接入模塊1連接的地址解析協(xié)議報(bào)文的處理裝置2。具體地,本實(shí) 施例的接入設(shè)備可以為接入交換機(jī)或接入路由器等路由設(shè)備。其中,接入模塊1用于對(duì)接 入的客戶終端進(jìn)行認(rèn)證,以將客戶終端接入至服務(wù)器中,而地址解析協(xié)議報(bào)文的處理裝置2 所包含的所有模塊,以及各模塊所涉及的具體工作過(guò)程,則可以參考上述地址解析協(xié)議報(bào) 文的處理方法以及地址解析協(xié)議報(bào)文的處理裝置所涉及的相關(guān)實(shí)施例揭露的相關(guān)內(nèi)容,在 此不再贅述。本實(shí)施例的接入設(shè)備,通過(guò)在接入設(shè)備的報(bào)文特征數(shù)據(jù)庫(kù)中設(shè)置防欺騙特征表 項(xiàng),用于指示對(duì)該接入設(shè)備的特權(quán)端口下接收到的發(fā)送方IP地址為冒充合法終端的IP地 址的ARP欺騙報(bào)文、以及發(fā)送方MAC地址為冒充合法終端的MAC地址的ARP欺騙報(bào)文進(jìn)行 過(guò)濾,從而使得當(dāng)非法終端欲通過(guò)未設(shè)置靜態(tài)ARP檢測(cè)功能的特權(quán)端口,冒充合法終端對(duì) 該接入設(shè)備的其他終端或網(wǎng)關(guān)設(shè)備發(fā)送ARP欺騙報(bào)文時(shí),該特權(quán)端口能夠通過(guò)預(yù)設(shè)的防欺 騙特征表項(xiàng)過(guò)濾掉該ARP欺騙報(bào)文,有效地防范了非法終端通過(guò)特權(quán)端口冒充合法終端進(jìn) 行的ARP欺騙行為;進(jìn)一步地,本發(fā)明的實(shí)現(xiàn)無(wú)需網(wǎng)關(guān)設(shè)備及用戶主機(jī)的參與,不增加接入 設(shè)備的負(fù)擔(dān),網(wǎng)絡(luò)配置簡(jiǎn)單,極大地提升了網(wǎng)絡(luò)部署的靈活性、穩(wěn)定性和安全性。最后應(yīng)說(shuō)明的是以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案,而非對(duì)其限制;盡 管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改 ,或者對(duì)其中部分技術(shù)特征進(jìn)行等同替 換;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精 神和范圍。
權(quán)利要求
一種地址解析協(xié)議報(bào)文的處理方法,其特征在于,包括當(dāng)接入設(shè)備通過(guò)特權(quán)端口接收到終端發(fā)送的第一ARP報(bào)文時(shí),檢測(cè)所述第一ARP報(bào)文是否符合所述接入設(shè)備預(yù)設(shè)的防欺騙特征表項(xiàng),所述防欺騙特征表項(xiàng)包括過(guò)濾發(fā)送方IP地址為所述接入設(shè)備的任一合法終端的IP地址的ARP報(bào)文,以及過(guò)濾發(fā)送方MAC地址為所述任一合法終端的MAC地址的ARP報(bào)文,所述特權(quán)端口包括未設(shè)置靜態(tài)ARP檢測(cè)功能的端口;若檢測(cè)到所述第一ARP報(bào)文符合所述預(yù)設(shè)的防欺騙特征表項(xiàng),則過(guò)濾所述第一ARP報(bào)文。
2.根據(jù)權(quán)利要求1所述的地址解析協(xié)議報(bào)文的處理方法,其特征在于,所述方法還包括當(dāng)所述接入設(shè)備通過(guò)非特權(quán)端口接收到終端發(fā)送的第二 ARP報(bào)文時(shí),檢測(cè)所述第二 ARP報(bào)文是否符合與所述非特權(quán)端口對(duì)應(yīng)的靜態(tài)ARP檢測(cè)表項(xiàng),所述靜態(tài)ARP檢測(cè)表項(xiàng)包括 放行發(fā)送方IP地址和發(fā)送方MAC地址對(duì)應(yīng)為所述非特權(quán)端口下任一合法終端的IP地址與 MAC地址的ARP報(bào)文,所述非特權(quán)端口包括設(shè)置有靜態(tài)ARP檢測(cè)功能的端口 ;若所述第二 ARP報(bào)文不符合所述靜態(tài)ARP檢測(cè)表項(xiàng),則檢測(cè)所述第二 ARP報(bào)文是否符 合所述預(yù)設(shè)的防欺騙特征表項(xiàng),以對(duì)所述接入設(shè)備接收到的ARP欺騙攻擊行為進(jìn)行統(tǒng)計(jì), 并過(guò)濾所述第二 ARP報(bào)文。
3.根據(jù)權(quán)利要求1或2所述的地址解析協(xié)議報(bào)文的處理方法,其特征在于,所述接入設(shè) 備通過(guò)特權(quán)端口接收到終端發(fā)送的第一 ARP報(bào)文之前,所述方法還包括從所述接入設(shè)備的合法終端發(fā)送的認(rèn)證信息中,或者通過(guò)DHCP安全特性技術(shù)從截獲 到的所述合法終端發(fā)送的DHCP報(bào)文中,提取所述接入設(shè)備的合法終端對(duì)應(yīng)的IP地址和MAC 地址;根據(jù)提取出的所述IP地址和MAC地址,在所述接入設(shè)備的報(bào)文特征數(shù)據(jù)庫(kù)中,為所述 特權(quán)端口設(shè)置對(duì)應(yīng)的所述防欺騙特征表項(xiàng)。
4.根據(jù)權(quán)利要求3所述的地址解析協(xié)議報(bào)文的處理方法,其特征在于,所述提取所述 接入設(shè)備的合法終端對(duì)應(yīng)的IP地址和MAC地址之后,所述方法還包括根據(jù)提取出的所述IP地址和MAC地址,在所述報(bào)文特征數(shù)據(jù)庫(kù)中,為所述非特權(quán)端口 設(shè)置對(duì)應(yīng)的所述防欺騙特征表項(xiàng);在所述非特權(quán)端口中,設(shè)置所述防欺騙特征表項(xiàng)的優(yōu)先級(jí)別低于所述靜態(tài)ARP檢測(cè)表項(xiàng)。
5.根據(jù)權(quán)利要求1所述的地址解析協(xié)議報(bào)文的處理方法,其特征在于,所述方法還包括若檢測(cè)到所述第一 ARP報(bào)文不符合所述預(yù)設(shè)的防欺騙特征表項(xiàng),則放行所述第一 ARP 報(bào)文。
6.一種地址解析協(xié)議報(bào)文的處理裝置,其特征在于,包括第一報(bào)文接收模塊,用于通過(guò)特權(quán)端口接收終端發(fā)送的第一 ARP報(bào)文; 第一表項(xiàng)檢測(cè)模塊,用于檢測(cè)所述第一 ARP報(bào)文是否符合接入設(shè)備預(yù)設(shè)的防欺騙特征 表項(xiàng),所述防欺騙特征表項(xiàng)包括過(guò)濾發(fā)送方IP地址為所述接入設(shè)備的任一合法終端的IP 地址的ARP報(bào)文,以及過(guò)濾發(fā)送方MAC地址為所述任一合法終端的MAC地址的ARP報(bào)文,所述特權(quán)端口包括未設(shè)置靜態(tài)ARP檢測(cè)功能的端口 ;第一報(bào)文過(guò)濾模塊,用于若所述第一表項(xiàng)檢測(cè)模塊檢測(cè)到所述第一 ARP報(bào)文符合所述 預(yù)設(shè)的防欺騙特征表項(xiàng),則過(guò)濾所述第一 ARP報(bào)文。
7.根據(jù)權(quán)利要求6所述的地址解析協(xié)議報(bào)文的處理裝置,其特征在于,所述裝置還包括第二報(bào)文接收模塊,用于通過(guò)非特權(quán)端口接收終端發(fā)送的第二 ARP報(bào)文; 第二表項(xiàng)檢測(cè)模塊,用于檢測(cè)所述第二 ARP報(bào)文是否符合與所述非特權(quán)端口對(duì)應(yīng)的靜 態(tài)ARP檢測(cè)表項(xiàng),所述靜態(tài)ARP檢測(cè)表項(xiàng)包括放行發(fā)送方IP地址和發(fā)送方MAC地址對(duì)應(yīng)為 所述非特權(quán)端口下任一合法終端的IP地址與MAC地址的ARP報(bào)文,所述非特權(quán)端口包括設(shè) 置有靜態(tài)ARP檢測(cè)功能的端口 ;第三表項(xiàng)檢測(cè)模塊,用于若所述第二表項(xiàng)檢測(cè)模塊檢測(cè)到所述第二 ARP報(bào)文不符合所 述靜態(tài)ARP檢測(cè)表項(xiàng),則檢測(cè)所述第二 ARP報(bào)文是否符合所述預(yù)設(shè)的防欺騙特征表項(xiàng),以對(duì) 所述接入設(shè)備接收到的ARP欺騙攻擊行為進(jìn)行統(tǒng)計(jì);第二報(bào)文過(guò)濾模塊,用于在所述第三表項(xiàng)檢測(cè)模塊對(duì)所述第二 ARP報(bào)文進(jìn)行檢測(cè)之 后,過(guò)濾所述第二 ARP報(bào)文。
8.根據(jù)權(quán)利要求6或7所述的地址解析協(xié)議報(bào)文的處理裝置,其特征在于,所述裝置還 包括地址提取模塊,用于在所述第一報(bào)文接收模塊通過(guò)所述特權(quán)端口接收到所述第一 ARP 報(bào)文之前,從所述接入設(shè)備的合法終端發(fā)送的認(rèn)證信息中,或者通過(guò)DHCP安全特性技術(shù)從 截獲到的所述合法終端發(fā)送的DHCP報(bào)文中,提取所述接入設(shè)備的合法終端對(duì)應(yīng)的IP地址 和MAC地址;第一表項(xiàng)設(shè)置模塊,用于根據(jù)提取出的所述IP地址和MAC地址,在報(bào)文特征數(shù)據(jù)庫(kù)中, 為所述特權(quán)端口設(shè)置對(duì)應(yīng)的所述防欺騙特征表項(xiàng)。
9.根據(jù)權(quán)利要求8所述的地址解析協(xié)議報(bào)文的處理裝置,其特征在于,所述裝置還包括第二表項(xiàng)設(shè)置模塊,用于在所述地址提取模塊提取所述接入設(shè)備的合法終端對(duì)應(yīng)的IP 地址和MAC地址之后,根據(jù)提取出的所述IP地址和MAC地址,在所述報(bào)文特征數(shù)據(jù)庫(kù)中,為 所述非特權(quán)端口設(shè)置對(duì)應(yīng)的所述防欺騙特征表項(xiàng);優(yōu)先級(jí)設(shè)置模塊,用于在所述非特權(quán)端口中,設(shè)置所述防欺騙特征表項(xiàng)的優(yōu)先級(jí)別低 于所述靜態(tài)ARP檢測(cè)表項(xiàng)。
10.根據(jù)權(quán)利要求6所述的地址解析協(xié)議報(bào)文的處理裝置,其特征在于,所述裝置還包括報(bào)文放行模塊,用于若所述第一表項(xiàng)檢測(cè)模塊檢測(cè)到所述第一 ARP報(bào)文不符合所述預(yù) 設(shè)的防欺騙特征表項(xiàng)時(shí),放行所述第一 ARP報(bào)文。
11.一種接入設(shè)備,包括接入模塊,其特征在于,還包括如權(quán)利要求6 10任一所述 的地址解析協(xié)議報(bào)文的處理裝置,所述地址解析協(xié)議報(bào)文的處理裝置與所述接入模塊連接。
全文摘要
本發(fā)明提供一種地址解析協(xié)議報(bào)文的處理方法、裝置及接入設(shè)備,方法包括當(dāng)接入設(shè)備通過(guò)特權(quán)端口接收到終端發(fā)送的ARP報(bào)文時(shí),檢測(cè)ARP報(bào)文是否符合接入設(shè)備預(yù)設(shè)的防欺騙特征表項(xiàng),該防欺騙特征表項(xiàng)包括過(guò)濾發(fā)送方IP地址為接入設(shè)備的任一合法終端的IP地址的ARP報(bào)文,以及發(fā)送方MAC地址為任一合法終端的MAC地址的ARP報(bào)文,該特權(quán)端口包括未設(shè)置靜態(tài)ARP檢測(cè)功能的端口;若檢測(cè)到ARP報(bào)文符合防欺騙特征表項(xiàng),則過(guò)濾該ARP報(bào)文。本發(fā)明有效地防范了非法終端通過(guò)特權(quán)端口冒充合法終端進(jìn)行的ARP欺騙行為;而且本發(fā)明的實(shí)現(xiàn)無(wú)需網(wǎng)關(guān)設(shè)備及用戶主機(jī)的參與,網(wǎng)絡(luò)配置簡(jiǎn)單,提升了網(wǎng)絡(luò)部署的靈活性、穩(wěn)定性和安全性。
文檔編號(hào)H04L12/56GK101888329SQ20101015917
公開日2010年11月17日 申請(qǐng)日期2010年4月28日 優(yōu)先權(quán)日2010年4月28日
發(fā)明者張炯煌 申請(qǐng)人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司