技術(shù)領(lǐng)域

本發(fā)明涉及一種IP(為每個(gè)連接在Internet上的設(shè)備分配的一個(gè)32bit地址)-MAC(物理地址，用來定義網(wǎng)絡(luò)設(shè)備的位置)地址對的綁定技術(shù)，特別是涉及一種在網(wǎng)關(guān)DHCP(動(dòng)態(tài)主機(jī)設(shè)置協(xié)議，Dynamic?Host?Configuration?Protocol)服務(wù)端綁定IP-MAC的方法以及一種能夠?qū)崿F(xiàn)該方法的網(wǎng)關(guān)DHCP服務(wù)端。

背景技術(shù)

ARP(地址解析協(xié)議，Address?Resolution?Protocol，用于實(shí)現(xiàn)通過IP地址得知設(shè)備的MAC地址)攻擊是局域網(wǎng)中常見的一種攻擊方式，其通過攻擊源向局域網(wǎng)發(fā)送ARP欺騙信息，從而或是使局域網(wǎng)內(nèi)的計(jì)算機(jī)中緩存的IP-MAC信息錯(cuò)誤，導(dǎo)致計(jì)算機(jī)無法將數(shù)據(jù)包發(fā)送至網(wǎng)關(guān)；或是造成網(wǎng)關(guān)處的IP-MAC信息錯(cuò)誤，導(dǎo)致網(wǎng)關(guān)無法將數(shù)據(jù)包發(fā)送至計(jì)算機(jī)，并最終均導(dǎo)致通信故障。

目前，避免這種ARP攻擊一般有兩種方法。

第一種方法是：采用管理型交換機(jī)將每一個(gè)房間的網(wǎng)絡(luò)都相互隔開，這樣一來，房間之間互不訪問，就更談不上欺騙和攻擊了。

第二種方法是：如果沒有管理型交換機(jī)可以利用，則通常可以在網(wǎng)關(guān)處綁定每臺計(jì)算機(jī)的IP-MAC地址對，并向每一臺計(jì)算機(jī)發(fā)送免費(fèi)的ARP信息，這樣便可以防止網(wǎng)關(guān)處的IP-MAC信息被篡改。

可想而知的是，在第二種方法中，要想在網(wǎng)關(guān)處綁定每臺計(jì)算機(jī)的IP-MAC地址對，顯然必須事先獲得每臺計(jì)算機(jī)的MAC地址。然而，在公共場所的網(wǎng)絡(luò)中，特別是在例如酒店、餐廳或機(jī)場等公共場所的網(wǎng)絡(luò)中，網(wǎng)絡(luò)用戶的流動(dòng)性極大，因此針對每個(gè)IP地址而言，與其對應(yīng)的網(wǎng)絡(luò)設(shè)備的MAC地址均是不固定的，因此網(wǎng)絡(luò)管理員在網(wǎng)關(guān)處顯然不可能手動(dòng)地對不斷發(fā)生改變的IP-MAC地址對進(jìn)行綁定。即便假定在極端情況下，每個(gè)用戶均將自己的網(wǎng)絡(luò)設(shè)備的MAC地址告知網(wǎng)絡(luò)管理員，允許其在網(wǎng)關(guān)處手動(dòng)地進(jìn)行IP-MAC地址對的綁定，但是當(dāng)任何一個(gè)用戶離線后，網(wǎng)絡(luò)管理員都必須再手動(dòng)地將相應(yīng)的IP-MAC地址對解除綁定，當(dāng)考慮到用戶的極大流動(dòng)性時(shí)，這樣的手動(dòng)綁定顯然也是不現(xiàn)實(shí)的。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問題是為了克服現(xiàn)有技術(shù)中難以在公共場所的網(wǎng)絡(luò)網(wǎng)關(guān)處實(shí)現(xiàn)IP-MAC地址對綁定，從而難以有效地避免ARP攻擊的缺陷，提供一種能夠在網(wǎng)關(guān)DHCP服務(wù)端自動(dòng)地實(shí)現(xiàn)IP-MAC地址對綁定的方法以及一種能夠?qū)崿F(xiàn)該方法的網(wǎng)關(guān)DHCP服務(wù)端。

本發(fā)明是通過下述技術(shù)方案來解決上述技術(shù)問題的：一種在網(wǎng)關(guān)DHCP服務(wù)端綁定IP-MAC的方法，該DHCP服務(wù)端的分配信息包括該DHCP服務(wù)端分配的IP地址以及與各IP地址對應(yīng)的MAC地址，其特點(diǎn)在于，在該方法中，該DHCP服務(wù)端維護(hù)一用于保存已綁定的各IP-MAC地址對的綁定列表，其中該DHCP服務(wù)端以一預(yù)設(shè)頻率執(zhí)行以下步驟：S1、讀取該綁定列表，判斷該綁定列表中的各IP-MAC地址對在該DHCP服務(wù)端的當(dāng)前分配信息中是否存在，將存在于該綁定列表中但不存在于該當(dāng)前分配信息中的IP-MAC地址對解除綁定、并從該綁定列表中刪除；S2、讀取該當(dāng)前分配信息，判斷該當(dāng)前分配信息中的各IP地址在該綁定列表中是否存在，將存在于該當(dāng)前分配信息中但不存在于該綁定列表中的IP地址與對應(yīng)的MAC地址綁定、并將該已綁定的IP-MAC地址對添加入該綁定列表中。

較佳地，該預(yù)設(shè)頻率為每分鐘一次。

本發(fā)明的目的還在于提供了一種網(wǎng)關(guān)DHCP服務(wù)端，該DHCP服務(wù)端的分配信息包括該DHCP服務(wù)端分配的IP地址以及與各IP地址對應(yīng)的MAC地址，其特點(diǎn)在于，該DHCP服務(wù)端包括：一綁定列表模塊，用于存儲一用于保存已綁定的各IP-MAC地址對的綁定列表；一計(jì)時(shí)模塊，用于以一預(yù)設(shè)頻率調(diào)用一維護(hù)模塊，該維護(hù)模塊包括：一綁定解除模塊，用于讀取該綁定列表，判斷該綁定列表中的各IP-MAC地址對在該DHCP服務(wù)端的當(dāng)前分配信息中是否存在，將存在于該綁定列表中但不存在于該當(dāng)前分配信息中的IP-MAC地址對解除綁定、并從該綁定列表中刪除；一綁定添加模塊，用于讀取該當(dāng)前分配信息，判斷該當(dāng)前分配信息中的各IP地址在該綁定列表中是否存在，將存在于該當(dāng)前分配信息中但不存在于該綁定列表中的IP地址與對應(yīng)的MAC地址綁定、并將該已綁定的IP-MAC地址對添加入該綁定列表中。

較佳地，該預(yù)設(shè)頻率為每分鐘一次。