技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，特別是涉及一種防止ARP攻擊的方法及裝置。

背景技術(shù)

ARP(Address?Resolution?Protocol，地址解析協(xié)議)是將IP(Internet Protocol，因特網(wǎng)協(xié)議)地址解析為MAC(Media?Access?Control，媒體訪問(wèn)控 制)地址的協(xié)議，其中，IP地址是終端在網(wǎng)絡(luò)層中的地址，要將網(wǎng)絡(luò)層中的 數(shù)據(jù)包傳送給目的終端，需要知道目的終端的MAC地址，即需要使用ARP 將IP地址解析為MAC地址。

具體的，在使用ARP的過(guò)程中，并沒(méi)有任何安全機(jī)制，使得攻擊者可以 很容易的利用ARP發(fā)起攻擊，目前ARP攻擊和ARP病毒已經(jīng)成為局域網(wǎng)安 全的主要威脅。其中，利用ARP發(fā)起攻擊的方式包括：(1)仿冒網(wǎng)關(guān)，即攻 擊者向其它終端發(fā)送單播ARP報(bào)文，報(bào)文中的發(fā)送端IP地址填寫(xiě)成網(wǎng)關(guān)的 IP地址，發(fā)送端MAC地址填寫(xiě)為不存在或自身MAC地址，導(dǎo)致被攻擊終端 無(wú)法將數(shù)據(jù)發(fā)送給正確的網(wǎng)關(guān)，從而導(dǎo)致通信失敗或通信流量被攻擊者截獲； (2)欺騙網(wǎng)關(guān)，即攻擊者向網(wǎng)關(guān)發(fā)送單播ARP報(bào)文，報(bào)文中的發(fā)送端IP地 址填寫(xiě)為網(wǎng)絡(luò)中某個(gè)終端的IP地址，發(fā)送端MAC地址填寫(xiě)為不存在或自身 MAC地址，導(dǎo)致網(wǎng)關(guān)將數(shù)據(jù)報(bào)文發(fā)向攻擊者或不存在的終端；(3)欺騙終端， 即攻擊者向某個(gè)終端發(fā)送ARP報(bào)文，告知其他終端的MAC地址已變化，導(dǎo) 致該終端和其它終端不能通信；(4)中間人攻擊，即攻擊者綜合使用上述2 和3兩種欺騙方式，將通信流量重定向到自己，使自己成為網(wǎng)關(guān)和終端、終 端和終端之間的通信橋梁(中間人)，從而達(dá)到竊取終端通信信息的目的；(5) ARP泛洪攻擊，即由于網(wǎng)關(guān)ARP表項(xiàng)有限，攻擊者通過(guò)發(fā)送大量IP或MAC 變化的ARP報(bào)文，使得網(wǎng)關(guān)不停學(xué)習(xí)ARP表項(xiàng)，導(dǎo)致表項(xiàng)最終被占滿，后續(xù) 單播ARP會(huì)被網(wǎng)關(guān)以廣播方式發(fā)送出去，增加了網(wǎng)絡(luò)的負(fù)擔(dān)。

現(xiàn)有技術(shù)中，ARP攻擊采用向目的終端或網(wǎng)關(guān)發(fā)送偽造的IP/MAC對(duì)應(yīng) 關(guān)系(即IP和MAC的對(duì)應(yīng)關(guān)系)，使得被攻擊終端或網(wǎng)關(guān)學(xué)習(xí)到錯(cuò)誤的ARP 表項(xiàng)，從而導(dǎo)致將數(shù)據(jù)發(fā)送到錯(cuò)誤的地址；為了防止ARP攻擊，需要學(xué)習(xí)正 確的IP/MAC對(duì)應(yīng)關(guān)系，并將該對(duì)應(yīng)關(guān)系綁定在接入設(shè)備端口的ARP表項(xiàng)中， 使得終端無(wú)法發(fā)出錯(cuò)誤的ARP報(bào)文。其中，可以通過(guò)802.1x認(rèn)證方式獲得 IP/MAC對(duì)應(yīng)關(guān)系，并將該對(duì)應(yīng)關(guān)系綁定在接入設(shè)備端口的ARP表項(xiàng)中，如 圖1所示，該認(rèn)證過(guò)程包括：(1)管理員在接入設(shè)備上啟動(dòng)802.1x認(rèn)證過(guò)程； (2)終端(例如，終端A)使用802.1x認(rèn)證代理軟件發(fā)起認(rèn)證，其中，該認(rèn) 證代理軟件將獲得終端的IP地址，并將終端名稱、密碼等信息封裝在EAPOL (Extensible?Authentication?Protocol?Over?LAN，基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議) 報(bào)文中；(3)終端的認(rèn)證代理軟件向接入設(shè)備發(fā)起802.1x認(rèn)證過(guò)程，接入設(shè) 備將終端的認(rèn)證信息封裝在RADIUS(Remote?Authentication?Dial?In?User Service，遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng))報(bào)文中，并將該報(bào)文發(fā)送到AAA (Authentication?Authorization?Accounting，認(rèn)證、授權(quán)和計(jì)費(fèi))服務(wù)器；(4) AAA服務(wù)器對(duì)認(rèn)證的終端進(jìn)行身份認(rèn)證，如果認(rèn)證通過(guò)，服務(wù)器將終端的 MAC地址和IP地址一同下發(fā)給接入設(shè)備；(5)接入設(shè)備接收來(lái)自AAA服務(wù) 器的認(rèn)證通過(guò)信息，打開(kāi)終端對(duì)應(yīng)的接入端口，并將服務(wù)器下發(fā)的IP/MAC 對(duì)應(yīng)關(guān)系綁定在該接入端口的ARP表項(xiàng)中，從而保證該端口僅允許該IP/MAC 對(duì)應(yīng)關(guān)系的終端通過(guò)。

顯而易見(jiàn)的，通過(guò)上述部署，認(rèn)證后的終端如果發(fā)起ARP攻擊，則對(duì)應(yīng) 攻擊報(bào)文中的IP/MAC對(duì)應(yīng)關(guān)系與端口中已經(jīng)綁定的IP/MAC對(duì)應(yīng)關(guān)系是不同 的，此時(shí)，不允許該攻擊報(bào)文通過(guò)該接入設(shè)備，從而防止了ARP攻擊。如圖 2所示，終端A是通過(guò)認(rèn)證的終端，接入設(shè)備A已經(jīng)將終端A正確的IP/MAC 對(duì)應(yīng)關(guān)系綁定在對(duì)應(yīng)端口的ARP表項(xiàng)中，如果終端A發(fā)起ARP攻擊，該ARP 攻擊報(bào)文在到達(dá)接入設(shè)備A的端口時(shí)，接入設(shè)備A將檢查ARP報(bào)文中的 IP/MAC對(duì)應(yīng)關(guān)系，若與綁定的對(duì)應(yīng)關(guān)系發(fā)生沖突時(shí)，則丟棄該ARP報(bào)文， 從而防止了攻擊，即接入設(shè)備A下掛的終端A發(fā)起的ARP攻擊被成功抑制。