技術(shù)領(lǐng)域

本發(fā)明涉及通信領(lǐng)域，特別涉及一種防御ARP(AddressResolution?Protocol，地址解析協(xié)議)報(bào)文攻擊的方法和裝置。

背景技術(shù)

ARP是一種將IP地址映射到MAC地址(物理地址)的二層協(xié)議。其基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。如圖1所示，以主機(jī)A(IP地址為192.168.1.1)向主機(jī)B(IP地址為192.168.1.2)發(fā)送數(shù)據(jù)為例。當(dāng)發(fā)送數(shù)據(jù)時(shí)，主機(jī)A會(huì)在自己的ARP緩存表中尋找是否有目標(biāo)IP地址。如果在ARP緩存表中沒有找到相對(duì)應(yīng)的IP地址，主機(jī)A就會(huì)在網(wǎng)絡(luò)上廣播一個(gè)ARP請(qǐng)求報(bào)文，請(qǐng)求IP地址為192.168.1.2的主機(jī)做出響應(yīng)，盡管網(wǎng)絡(luò)上所有的主機(jī)并都收到了主機(jī)A的ARP請(qǐng)求報(bào)文，但是只有主機(jī)B才會(huì)做出回應(yīng)，返回的ARP響應(yīng)報(bào)文中包含了主機(jī)B的MAC地址：bb-bb-bb-bb-bb-bb。這樣，主機(jī)A就知道了主機(jī)B的MAC地址。同時(shí)它還更新了自己的ARP緩存表，下次再向主機(jī)B發(fā)送信息時(shí)，直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機(jī)制，在一段時(shí)間內(nèi)如果表中的某一行沒有使用，就會(huì)被刪除。

這樣的設(shè)計(jì)高效且易于維護(hù)，但是在安全方面卻存在著缺陷。首先，主機(jī)A收到主機(jī)B的ARP響應(yīng)報(bào)文后，在自己的ARP緩存表中建立主機(jī)B的IP地址與MAC地址的對(duì)應(yīng)關(guān)系，但是主機(jī)A并不維護(hù)這種對(duì)應(yīng)關(guān)系的真實(shí)性、有效性和一致性。其次，主機(jī)A默認(rèn)任何接收到的ARP?響應(yīng)報(bào)文都是合法的，甚至在主機(jī)A沒有發(fā)送ARP請(qǐng)求報(bào)文的情況下，也會(huì)根據(jù)接收到的ARP響應(yīng)報(bào)文改寫其ARP緩存表；同樣，主機(jī)A也會(huì)在沒有ARP請(qǐng)求報(bào)文的情況下，向別的主機(jī)發(fā)送ARP響應(yīng)報(bào)文。

ARP報(bào)文攻擊正是利用了ARP協(xié)議本身固有的缺陷。常見的ARP報(bào)文攻擊手段有兩種：ARP報(bào)文欺騙和拒絕服務(wù)。

ARP報(bào)文欺騙。由于網(wǎng)絡(luò)中ARP報(bào)文的真實(shí)性無法保證，同時(shí)沒有請(qǐng)求的ARP響應(yīng)報(bào)文也能被接受并因此而改寫ARP緩存表，實(shí)施ARP報(bào)文欺騙的主機(jī)構(gòu)造一個(gè)ARP響應(yīng)報(bào)文，發(fā)送給想要欺騙的主機(jī)，報(bào)文中IP地址和MAC地址的對(duì)應(yīng)關(guān)系是錯(cuò)誤的，或者報(bào)文中的IP地址和MAC地址是虛假的。例如，圖1中主機(jī)C(IP地址為192.168.1.3)向主機(jī)D(IP地址為192.168.1.4)發(fā)送ARP響應(yīng)報(bào)文，告訴主機(jī)D，IP地址192.168.1.2(主機(jī)B的IP地址)對(duì)應(yīng)的MAC地址為cc-cc-cc-cc-cc-cc(主機(jī)C的MAC地址)。主機(jī)D對(duì)報(bào)文的信息毫不懷疑，并以此在自己的ARP緩存表中建立了這樣的對(duì)應(yīng)關(guān)系。于是，在此后的通信中，主機(jī)D上發(fā)送給主機(jī)B的報(bào)文會(huì)全都發(fā)送到主機(jī)C上。或者，主機(jī)C告訴主機(jī)D，IP地址192.168.1.2(主機(jī)B的IP地址)對(duì)應(yīng)的MAC地址為ee-ee-ee-ee-ee-ee(不存在的MAC地址)，這樣，主機(jī)D與主機(jī)B之間將無法正常通信。

拒絕服務(wù)。實(shí)施ARP報(bào)文攻擊的主機(jī)通過構(gòu)造大量的虛假ARP請(qǐng)求報(bào)文發(fā)送給被攻擊的主機(jī)，由于ARP請(qǐng)求報(bào)文中的信息錯(cuò)誤，被攻擊的主機(jī)無法正常處理，導(dǎo)致系統(tǒng)資源耗盡，無法響應(yīng)正常的請(qǐng)求。若網(wǎng)關(guān)設(shè)備受到ARP報(bào)文攻擊，將導(dǎo)致整個(gè)局域網(wǎng)無法與外界正常通信。

為了防御ARP報(bào)文攻擊，現(xiàn)有技術(shù)中利用DHCP(Dynamic?HostConfiguration?Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議)來建立IP地址與MAC地址的動(dòng)態(tài)綁定表。DHCP是一個(gè)對(duì)網(wǎng)絡(luò)上的主機(jī)動(dòng)態(tài)提供配置參數(shù)的協(xié)議。DHCP服務(wù)器向用戶端發(fā)送的DHCP報(bào)文中攜帶有為用戶端分配的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)以及租期等信息。同時(shí)為了保證安全性，交換機(jī)等接入設(shè)備(DHCP中稱為中繼代理，Relay?Agent)在用戶發(fā)送給DHCP服務(wù)器的DHCP報(bào)文中加入了中繼代理的信息域，即所謂的Option82，使得DHCP服務(wù)器通過該Option82選項(xiàng)能夠了解到遠(yuǎn)端用戶的信息以及中繼代理的相關(guān)信息。DHCP服務(wù)器只為帶有合法Option82選項(xiàng)的用戶端分配IP地址。需要說明的是，當(dāng)用戶端發(fā)送的DHCP報(bào)文通過多個(gè)接入設(shè)備時(shí)，第一個(gè)接入設(shè)備在所述DHCP報(bào)文中插入了Option82選項(xiàng)，當(dāng)后續(xù)接入設(shè)備接收到所述DHCP報(bào)文時(shí)，檢測到該報(bào)文中已經(jīng)插入了Option82選項(xiàng)，則所述后續(xù)接入設(shè)備可以將自己的信息插入Option82選項(xiàng)，以替換之前的接入設(shè)備的Option82選項(xiàng)；也可以不對(duì)報(bào)文做任何修改，直接將報(bào)文轉(zhuǎn)發(fā)出去。