保證arp報文安全性的方法
【專利摘要】本發(fā)明提出了一種保證ARP報文安全性的方法，其包括：步驟1：為交換機和/或路由器使能ARP報文驗證；步驟2：選擇一種ARP報文驗證的方式；步驟3：根據(jù)ARP報文驗證的方式，配置相應(yīng)的驗證手段。本發(fā)明大大增加了ARP報文的安全性，ARP報文不能被攻擊者截獲或偽造。本發(fā)明所用方式簡便，實用性強。
【專利說明】保證ARP報文安全性的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種增強網(wǎng)絡(luò)環(huán)境安全的方法，尤其是涉及增強ARP報文安全的方法。
【背景技術(shù)】
[0002]ARP協(xié)議是“Address Resolution Protocol”(地址解析協(xié)議)的縮寫。ARP協(xié)議用于把IP地址解析成LAN硬件使用的MAC地址。IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送，但以太網(wǎng)設(shè)備并不識別32位IP地址，它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包。因此，必須把IP目的地址轉(zhuǎn)換成以太網(wǎng)目的地址。ARP協(xié)議用于將網(wǎng)絡(luò)中的IP地址解析為目標硬件地址(MAC地址)，以保證通信的順利進行。
[0003]OSI模式把網(wǎng)絡(luò)工作分為七層，彼此不直接打交道，只通過接口(layerinterface)0 IP地址在第三層，MAC地址在第二層。在發(fā)送數(shù)據(jù)包時，得先封裝第三層(IP地址)、第二層(MAC地址)的報頭，但只知道目的節(jié)點的IP地址，不知道其MAC地址，又不能跨第二、三層，所以得用ARP協(xié)議。
[0004]ARP協(xié)議并不只在發(fā)送了 ARP請求才接收ARP應(yīng)答。當計算機接收到ARP應(yīng)答數(shù)據(jù)包的時候，就會對本地的ARP緩存進行更新，將應(yīng)答中的IP和MAC地址存儲在ARP cache中。因此，當局域網(wǎng)中 的某臺機器B向A發(fā)送一個自己冒充C的ARP應(yīng)答，即IP地址為C的IP，而MAC地址是偽造的，則當A接收到B冒充C的ARP應(yīng)答后，就會更新本地的ARP cache,這樣在A看來C的IP地址沒有變，而它的MAC地址已經(jīng)不是原來的了。由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進行，而是按照MAC地址進行傳輸。所以，原來C的真實MAC地址在A上被改變成一個不存在的MAC地址，這樣就會造成網(wǎng)絡(luò)不通，導(dǎo)致A不能Ping通C !這就是一個簡單的ARP欺騙。
[0005]ARP欺騙可以導(dǎo)致目標計算機與網(wǎng)關(guān)通信失敗，更可怕的是會導(dǎo)致通信重定向，所有的數(shù)據(jù)都會通過攻擊者的機器，因此存在極大的安全隱患。

【發(fā)明內(nèi)容】

[0006]本發(fā)明需解決的技術(shù)問題是提供一種保證ARP報文安全性的方法，改善網(wǎng)絡(luò)環(huán)境。
[0007]為解決上述的技術(shù)問題，本發(fā)明設(shè)計了一種保證ARP報文安全性的方法，其包括以下步驟:
[0008]步驟1:為交換機和/或路由器使能ARP報文驗證；
[0009]步驟2:選擇一種ARP報文驗證的方式；
[0010]步驟3:根據(jù)ARP報文驗證的方式，配置相應(yīng)的驗證手段。
[0011]作為本發(fā)明進一步改進，在交換機和/或路由器的用戶界面命令行配置使能ARP報文驗證的命令。
[0012]作為本發(fā)明進一步改進，使能ARP報文驗證的命令為switch (config) #arpauthentication。
[0013]作為本發(fā)明進一步改進，步驟2中選擇明文驗證方式。
[0014]作為本發(fā)明進一步改進，明文驗證方式的命令為switch (config) #arpauthentication-key mypassword。
[0015]作為本發(fā)明進一步改進，步驟2中選擇MD5加密驗證方式。
[0016]作為本發(fā)明進一步改進，MD5加密驗證方式的命令為switch (config) #arp message-digest-keyl0md5mypassword。
[0017]本發(fā)明大大增加了 ARP報文的安全性，ARP報文不能被攻擊者截獲或偽造。本發(fā)明所用方式簡便，實用性強。
【具體實施方式】
[0018]為了使本領(lǐng)域相關(guān)技術(shù)人員更好地理解本發(fā)明的技術(shù)方案，下面將結(jié)合本發(fā)明的實施方式，對本發(fā)明的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施方式僅僅是本發(fā)明一部分實施方式，而不是全部的實施方式。
[0019]本發(fā)明提供一種保證ARP報文安全性的方法，可用于局域網(wǎng)或廣域網(wǎng)上。首先，必須為局域網(wǎng)內(nèi)或廣域網(wǎng)內(nèi)的網(wǎng)關(guān)設(shè)備開啟ARP報文驗證開關(guān)，即為網(wǎng)關(guān)設(shè)備配置使能ARP報文驗證，本發(fā)明網(wǎng)關(guān)設(shè)備即為網(wǎng)絡(luò)環(huán)境中所有的路由器和/或交換機，但是為與PC端ARP報文兼容，連接PC的路由器或交換機arp報文不使用驗證方式。當網(wǎng)絡(luò)環(huán)境中，不需要ARP報文加密驗證時，在命令行配置switch (config) #no arp authentication命令即可關(guān)掉ARP報文驗證。
[0020]配置ARP報文使能驗證具體的操作方法是，在交換機和路由器的用戶界面命令行配置使能ARP報文驗證的命令，在本發(fā)明實施例中，使能ARP報文驗證的命令為switch(config)#arp authentication。
[0021]當開啟了 ARP報文驗證開關(guān)之后，再選擇一種ARP報文驗證的方式。本發(fā)明的報文驗證的方式包括不限于明文驗證方式和MD5加密驗證方式。
[0022]選擇明文驗證方式，其命令為switch (config) #arp authentication-keymypassword。選擇 MD5 加密驗證方式,其命令為 switch (config) #arp message-digest-keyl0md5mypassword。
[0023]根據(jù)明文驗證方式或MD5加密驗證方式，再配置相應(yīng)的驗證手段，例如配置明文密碼和MD5加密秘要信息。當加密之后，會在原來的ARP報文之前封裝一層加密頭部，加密頭部包含加密和驗證所需的信息，比如，用戶名和密碼，驗證碼，加密秘要。
[0024]本發(fā)明大大增加了 ARP報文的安全性，ARP報文不能被攻擊者截獲或偽造。本發(fā)明所用方式簡便，實用性強。
[0025]以上僅表達了本發(fā)明的一種實施方式，其描述較為具體和詳細，但并不能因此而理解為對本發(fā)明專利范圍的限制。應(yīng)當指出的是，對于本領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明構(gòu)思的前提下，還可以做出若干變形和改進，這些都屬于本發(fā)明的保護范圍。因此，本發(fā)明專利的保護范圍應(yīng)以所附權(quán)利要求為準。
【權(quán)利要求】
1.一種保證ARP報文安全性的方法，其特征在于，包括以下步驟: 步驟1:為交換機和/或路由器使能ARP報文驗證； 步驟2:選擇一種ARP報文驗證的方式； 步驟3:根據(jù)ARP報文驗證的方式，配置相應(yīng)的驗證手段。
2.根據(jù)權(quán)利要求1所述的保證ARP報文安全性的方法，其特征在于， 在交換機和/或路由器的用戶界面命令行配置使能ARP報文驗證的命令。
3.根據(jù)權(quán)利要求2所述的保證ARP報文安全性的方法，其特征在于， 使能 ARP 報文驗證的命令為 switch (config) #arp authentication。
4.根據(jù)權(quán)利要求1所述的保證ARP報文安全性的方法，其特征在于，步驟2中選擇明文驗證方式。
5.根據(jù)權(quán)利要求4所述的保證ARP報文安全性的方法，其特征在于，明文驗證方式的命令為 switch (config) #arp authentication-key mypassword。
6.根據(jù)權(quán)利要求1所述的保證ARP報文安全性的方法，其特征在于，步驟2中選擇MD5加密驗證方式。
7.根據(jù)權(quán)利要求6所述的保證ARP報文安全性的方法，其特征在于，MD5加密驗證方式的命令為 switch (config) #arp message-digest-keyl0md5mypasswordo
【文檔編號】H04L29/06GK103873478SQ201410122667
【公開日】2014年6月18日 申請日期:2014年3月28日 優(yōu)先權(quán)日:2014年3月28日
【發(fā)明者】劉文勇, 廖俊杰, 車任秋 申請人:上海斐訊數(shù)據(jù)通信技術(shù)有限公司