(一)技術領域：

本發明涉及以太網傳輸安全，屬于網絡安全領域，用于設計更為安全的交換機，特別是一種在交換機上實現ARP欺騙檢測的方法。

(二)背景技術：

在TCP/IP協議簇中，地址解析協議(英文名稱為Address?Resolution?Protocol，以下簡稱為ARP)的功能是在互聯網協議(英文名稱為Internet?Protocol，以下簡稱為IP)地址和介質訪問控制(英文名稱為Media?Access?Control，以下簡稱為MAC)地址間提供動態映射，將32位的IP地址轉換為48位的MAC地址，使IP報文能夠在鏈路中正確傳輸。

ARP協議設計之初，網絡中的主機被認為是可信的，因此ARP協議被設計為基于可信主機之間的協議，然而現實中的網絡并非如此，這就產生了ARP欺騙技術。所謂ARP欺騙，是指利用ARP協議的漏洞，通過向目標主機發送虛假ARP報文，冒充目標主機，截取本應發往目標主機的報文，以此實現監聽或截獲目標主機通信數據的一種手段。如果使用ARP欺騙同時冒充通信雙方，就能實現“中間人攻擊”。嚴重時ARP欺騙能造成網絡的擁塞甚至大面積的網絡癱瘓等，對網絡的管理及其安全的維護提出了嚴峻的考驗。

傳統上，要解決ARP欺騙，有以下幾種方法：1、使用ARP代理服務器；2、安裝獨立的ARP欺騙檢測服務器；3、修改ARP協議。上述方法中，第一種需要解決ARP代理服務器的安全問題，防止代理服務器受到攻擊，但在實際中代理服務器很容易成為攻擊靶子，因此難以保證ARP代理服務器的安全；第二種由于要安裝新設備，成本較高，且由于使用主動檢測技術，導致網絡數據量增加，影響網絡運行；第三種缺乏恰當的協議模型，只能部分解決ARP協議的問題，無法從根本上杜絕ARP欺騙。

(二)發明內容：

本發明提供了一種在交換機上實現ARP欺騙檢測的方法，該方法能夠有效避免現有技術存在的問題，快速檢測到ARP欺騙現象，提升網絡管理效率。

本發明的技術方案：一種在交換機上實現ARP欺騙檢測的方法，其特征在于具體步驟如下：

(1)在交換機中，建立報文分發模塊、ARP欺騙檢測模塊、告警模塊，以及ARP表；其中報文分發模塊用于檢測報文類型，判斷是否ARP報文；ARP欺騙檢測模塊負責檢測ARP報文，判斷是否存在ARP欺騙；告警模塊用于提示管理員；ARP表用于緩存接收到的ARP報文中的IP/MAC地址對，由若干ARP記錄組成，每條ARP記錄包括從ARP報文中取出的IP/MAC地址對，以及收到ARP報文的時間，交換機上電時ARP表為空表；

(2)交換機上電后，報文分發模塊進入工作狀態，報文分發模塊判斷交換機輸入的所有報文類型，如果不是ARP應答報文則檢測下一報文；如果是ARP應答報文，則判斷是否發生了ARP風暴，如果是ARP風暴，則通過告警模塊提示管理員；如果不是ARP風暴，則將報文分發給ARP欺騙檢測模塊。

(3)當ARP欺騙檢測模塊接收到ARP應答報文后，從中提取IP地址和MAC地址；

(4)ARP欺騙檢測模塊查找在ARP表中是否存在與ARP應答報文的IP地址相同的記錄：如果找不到，則用ARP應答報文的IP地址、MAC地址和當前時間組成一條記錄，添加到ARP表中；如果能找到，則從ARP表中的記錄中取出MAC地址，判斷ARP表中的MAC地址與從ARP應答報文中提取的MAC地址是否相同，如果相同，則用當前時間更新ARP表中的記錄中的時間，如果不同，則表明接收的IP地址對應的ARP表中的記錄中的MAC地址已經改變；繼續取出ARP表中的記錄中的時間，并計算當前時間與ARP表中的記錄中時間的差值，當差值高于閾值時，則是正常的ARP應答報文，此時用ARP應答報文中的MAC地址和當前時間更新ARP表中的記錄中的相應字段，當差值低于上述閾值時，則發生了ARP欺騙，其中，閾值設置為10-500ms；

(5)當檢測到ARP欺騙后，通過告警模塊提示管理員；或記錄日志文件，以便管理員查閱；或切斷相應端口的連接，避免造成損失。

(6)ARP欺騙檢測中使用的閾值，其含義為從同一IP地址接收到兩次相鄰ARP報文之間的合理間隔，該值可由網絡管理員根據網絡狀況進行設置。

上述所說的時間，可以是絕對時間，也可以是標識交換機啟動時間的計數器。

本發明的技術效果：本發明通過在交換機中加入新的處理邏輯，實時監測ARP欺騙現象，并及時做出處理，提高了網絡健壯性，有助于打造更為安全的網絡。

(三)附圖說明：