技術領域

本發明涉及網絡通信技術領域，尤其涉及一種網絡中防止ARP地址欺騙攻擊的方法及裝置。

背景技術

在目前的網絡環境下，ARP(Address?Resolution?Protocol，地址解析協議)作為TCP/IP(Transmission?Control?Protocol傳輸控制協議/InternetProtocol互聯網協議)協議棧中較低層的協議之一，其作用是實現IP地址到MAC地址(Media?Access?Control，媒質接入控制)，也就是以太網物理地址的轉換。網絡設備之間的通信是使用MAC地址來尋址的，而基于TCP/IP的各種應用是以IP地址來尋址的，基于IP地址尋址的各種數據包最終都需要封裝在基于MAC地址尋址的以太網幀內進行傳輸。因此，網絡設備在進行通信時，需要通過協議從對端的IP地址解析出對端的MAC地址，完成這一解析過程的協議就是ARP協議。

為了加快地址轉換的速度，網絡設備在實現ARP協議時都會用到ARP緩存技術，也就是在本地通過表結構來緩存一定數量的地址映射關系，這張表通常叫做ARP緩存表(簡稱ARP表)。ARP緩存表項的來源有兩種途徑：一種是根據ARP報文動態生成，即設備可以從ARP請求報文或ARP響應報文中學習到IP地址與MAC地址的映射關系，并生成動態的ARP緩存表項；一種是由手動靜態配置而生成。為了保持動態ARP緩存表項的有效性，這些動態表項在經過一定時間后就會老化掉，而靜態配置的ARP緩存表項不會被老化，它的增加或刪除都需要通過手動的方式來進行。

ARP協議的處理過程比較復雜，通常是由轉發平面在接收到ARP報文后上傳到控制平面進行處理，控制平面生成ARP緩存表項，再下發到轉發平面的ARP緩存表中供轉發平面封裝發送報文時使用。由于目前ARP協議的處理過程只是簡單地提供了高層協議地址與低層物理地址之間的相互映射，并沒有為這種映射提供任何的安全認證手段，在上網接入等較復雜的網絡環境下，這種簡單性和開放性就為各種地址欺騙攻擊留下了可乘之機。這里所述的ARP地址欺騙攻擊一般是以竊取用戶私密信息為目的，通過發送具有錯誤地址映射關系的ARP請求或ARP響應報文來污染網絡設備的ARP緩存表，使網絡設備將數據報文發送到錯誤的物理地址，從而達到攻擊目的，這里所述的網絡設備可以是網關或主機，也可以是其他的網絡設備。目前為了解決網絡設備ARP緩存表遭受地址欺騙的問題，一般采用以下幾種方法：

1)sticky?ARP方案(粘性ARP方案)

啟用sticky?ARP特性后，不論是通過ARP請求報文還是ARP響應報文學習到的ARP緩存表項在老化之前將不再進行更新，在老化時間到達后，該ARP緩存表項被刪除，可以開始新的學習過程。這種實現方案較為簡單，但也帶來了一個問題，就是一旦ARP攻擊報文先于正常ARP報文在網絡設備中生成了ARP緩存表項，正常主機就無法在網絡設備中形成正確的ARP緩存表項，從而影響了正常主機的使用，無法達到防止ARP地址欺騙攻擊的目的。

2)主動驗證方案

網絡設備在收到ARP請求報文或響應報文后，根據該ARP報文中的IP地址，總是向該IP地址發送一個ARP請求報文，以驗證地址映射關系的正確性。如果該地址不存在，網絡設備將收不到該IP地址對應的ARP響應報文；如果該IP地址對應的ARP緩存表項中的MAC地址被欺騙了，網絡設備將收到一個具有不同MAC地址的ARP響應報文。不論是哪種情況，網絡設備都可以感知到欺騙的發生，從而可以根據情況進行相應的處理。這種方案的缺點是對于每一個IP地址的ARP報文都會有一個這樣的驗證過程，那么在沒有欺騙攻擊發生的情況下就會浪費網絡的帶寬和性能。

綜上所述，在實現本發明過程中，發明人發現現有技術中至少存在如下問題：現有防止ARP地址欺騙攻擊的方法缺乏可靠、有效的驗證機制，在沒有欺騙攻擊發生的情況下將會浪費網絡的帶寬和性能。

發明內容

本發明實施例所要解決的技術問題在于提供一種防止ARP地址欺騙攻擊的方法及裝置，能夠進行可靠、有效的ARP地址驗證，減少報文交互過程，節省網絡資源。

本發明實施例是通過以下技術方案實現的：

一種防止ARP地址欺騙攻擊的方法，包括：

當ARP表項為可更新狀態時，判斷所收到的與所述ARP表項具有相同IP地址的ARP報文中的MAC地址，和所述ARP表項中MAC地址是否相同；