技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)通訊技術(shù)領(lǐng)域，特別涉及一種地址解析協(xié)議ARP報(bào)文處理的方法，網(wǎng)絡(luò)設(shè)備以及系統(tǒng)。

背景技術(shù)

地址解析協(xié)議(Address Resolution Protocol，ARP)用于將計(jì)算機(jī)的網(wǎng)絡(luò)地址轉(zhuǎn)化為物理地址，即將32位的IP地址轉(zhuǎn)換為48位的MAC地址。ARP協(xié)議是屬于鏈路層的協(xié)議，而在以太網(wǎng)中的數(shù)據(jù)幀從一個(gè)主機(jī)到達(dá)網(wǎng)內(nèi)的另一臺(tái)主機(jī)是根據(jù)48位的MAC地址來(lái)確定接口的，而不是根據(jù)32位的IP地址。因此，主機(jī)的內(nèi)核(如驅(qū)動(dòng))必須知道目的端的MAC地址才能發(fā)送數(shù)據(jù)。

ARP地址解析協(xié)議在應(yīng)用之初確實(shí)很大程度上的推動(dòng)了網(wǎng)絡(luò)的進(jìn)程，但也正是因?yàn)殡S著網(wǎng)絡(luò)的拓展和ARP地址解析協(xié)議的普及，以及用戶對(duì)于網(wǎng)絡(luò)安全的關(guān)注，ARP協(xié)議在安全缺陷越來(lái)越受關(guān)注。下面是幾種典型的威脅ARP協(xié)議的安全性的網(wǎng)絡(luò)ARP攻擊方式：

方式一為交換網(wǎng)絡(luò)的嗅探ARP攻擊方式，由于ARP協(xié)議并不只在發(fā)送了ARP請(qǐng)求才接收ARP應(yīng)答。這樣，當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候，就會(huì)對(duì)本地的ARP緩存進(jìn)行更新，將應(yīng)答中的IP和MAC地址存儲(chǔ)在ARP緩存中。因此，在上面的網(wǎng)絡(luò)中，假設(shè)網(wǎng)絡(luò)設(shè)備B向網(wǎng)絡(luò)設(shè)備A發(fā)送一個(gè)自己偽造的ARP應(yīng)答，而這個(gè)偽造的ARP應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3，MAC地址是DD-DD-DD-DD-DD-DD，其中，192.168.10.3為網(wǎng)絡(luò)設(shè)備C的IP地址，而網(wǎng)絡(luò)設(shè)備C的MAC地址本來(lái)應(yīng)該是CC-CC-CC-CC-CC-CC，這里被偽造為DD-DD-DD-DD-DD-DD。當(dāng)網(wǎng)絡(luò)設(shè)備A接收到網(wǎng)絡(luò)設(shè)備B偽造的ARP應(yīng)答，就會(huì)更新本地的ARP緩存，將本地的IP-MAC對(duì)應(yīng)表更換為接收到的數(shù)據(jù)格式，即網(wǎng)絡(luò)設(shè)備A的ARP緩存中記錄對(duì)應(yīng)表中包括：192.168.10.3的IP地址與DD-DD-DD-DD-DD-DD的MAC地址對(duì)應(yīng)，由于這一切都是網(wǎng)絡(luò)設(shè)備A的系統(tǒng)內(nèi)核自動(dòng)完成的，網(wǎng)絡(luò)設(shè)備A可不知道ARP應(yīng)答被偽造了。

方式二為IP地址沖突的ARP攻擊方式，如果網(wǎng)絡(luò)中存在相同IP地址的主機(jī)的時(shí)候，就會(huì)報(bào)告出IP地址沖突的警告。比如某主機(jī)B規(guī)定IP地址為192.168.0.1，如果它處于開(kāi)機(jī)狀態(tài)，那么其他機(jī)器A更改IP地址為192.168.0.1就會(huì)造成IP地址沖突。其原理就是：主機(jī)A在連接網(wǎng)絡(luò)(或更改IP地址)時(shí)，就會(huì)向網(wǎng)絡(luò)發(fā)送ARP包廣播自己的IP地址，也就是freearp。如果網(wǎng)絡(luò)中存在相同IP地址的主機(jī)B，那么B就會(huì)通過(guò)ARP包來(lái)reply該地址，當(dāng)A接收到這個(gè)reply后，A就會(huì)跳出IP地址沖突的警告，當(dāng)然B也會(huì)有警告。因此可用ARP欺騙可以來(lái)偽造這個(gè)ARPreply，從而使目標(biāo)一直遭受IP地址沖突警告的困擾。

方式三為阻止目標(biāo)的數(shù)據(jù)包通過(guò)網(wǎng)關(guān)的ARP攻擊方式。當(dāng)在一個(gè)局域網(wǎng)內(nèi)通過(guò)網(wǎng)關(guān)上網(wǎng)，那么連接外部的計(jì)算機(jī)上的ARP緩存中就存在網(wǎng)關(guān)IP-MAC對(duì)應(yīng)記錄。如果，該記錄被更改，那么該計(jì)算機(jī)向外發(fā)送的數(shù)據(jù)包總是發(fā)送到了錯(cuò)誤的MAC地址上，這樣，該計(jì)算機(jī)就不能夠上網(wǎng)了。

從以上幾種攻擊方式中，可以看出攻擊之所以能夠成功，主要是因?yàn)楫?dāng)前的ARP協(xié)議存在如下缺陷：

1)當(dāng)計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候，就會(huì)對(duì)本地的ARP緩存進(jìn)行更新，將應(yīng)答中的IP和MAC地址存儲(chǔ)在ARP緩存中。也就是不對(duì)ARP應(yīng)答包進(jìn)行合法性校驗(yàn)。

2)ARP請(qǐng)求報(bào)文和ARP應(yīng)答報(bào)文無(wú)法一一對(duì)應(yīng)，從而很容易被人竊取其中一個(gè)報(bào)文從而模擬出ARP應(yīng)答或者請(qǐng)求報(bào)文來(lái)達(dá)到ARP攻擊的目的。

針對(duì)上述缺陷，目前也有些方法可來(lái)彌補(bǔ)或減輕這些缺陷所造成的網(wǎng)絡(luò)安全隱患，其中包括：

專利號(hào)：200910059669中公開(kāi)，通過(guò)交換機(jī)開(kāi)啟ARP代理功能，代替網(wǎng)關(guān)和網(wǎng)絡(luò)設(shè)備處理網(wǎng)絡(luò)中的ARP請(qǐng)求和應(yīng)答報(bào)文，并且加入了一定的合法性校驗(yàn)。但是由于此方法是通過(guò)設(shè)定網(wǎng)絡(luò)設(shè)備ARP記錄上限和認(rèn)為先到的ARP報(bào)文為合法來(lái)實(shí)現(xiàn)防護(hù)功能的，只能說(shuō)在限制ARP報(bào)文數(shù)量上起到了一定的作用，在ARP報(bào)文的合法性校驗(yàn)上沒(méi)有太大的說(shuō)服力；

專利200710121472.2中同樣是先到的ARP報(bào)文認(rèn)為是合法報(bào)文，如與原來(lái)保存的ARP緩存有沖突則啟用ARP驗(yàn)證，發(fā)送一定的ARP查詢報(bào)文來(lái)驗(yàn)證其MAC的合法性，此方法的合法性校驗(yàn)方式依然使用的是存在缺陷的ARP報(bào)文來(lái)驗(yàn)證，那么根本上還是存在被攻擊的隱患。

綜上所述，現(xiàn)有ARP報(bào)文處理過(guò)程中，仍然存在由ARP協(xié)議的本身缺陷引起的安全隱患問(wèn)題。

發(fā)明內(nèi)容