技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，特別涉及一種防止地址解析協(xié)議(ARP)報(bào)文攻擊的方法和路由設(shè)備。

背景技術(shù)

IP地址是主機(jī)在網(wǎng)絡(luò)層中的地址，如果要將網(wǎng)絡(luò)層中數(shù)據(jù)包傳送給目的主機(jī)，必須知道目的主機(jī)的MAC地址，因此必須將IP地址解析為MAC地址，ARP正是將IP地址解析為MAC地址的協(xié)議。如果發(fā)送方與目的方是同一網(wǎng)段，那么發(fā)送方就發(fā)送一個(gè)ARP請求報(bào)文，來請求目的MAC地址；如果發(fā)送方發(fā)送發(fā)與目的方不是同一網(wǎng)段，那么發(fā)送發(fā)就會(huì)發(fā)送一個(gè)ARP請求來請求網(wǎng)關(guān)的MAC地址。

然而，由于ARP協(xié)議設(shè)計(jì)之初沒有考慮安全機(jī)制問題，因此，ARP協(xié)議是一個(gè)非常容易受攻擊的協(xié)議，在當(dāng)前網(wǎng)絡(luò)技術(shù)中，網(wǎng)絡(luò)上基于ARP協(xié)議欺騙的網(wǎng)絡(luò)病毒和攻擊行為越來越猖獗。

圖1為現(xiàn)有部署VRRP的監(jiān)控網(wǎng)絡(luò)的組網(wǎng)示意圖。如圖1所示，監(jiān)控網(wǎng)絡(luò)中包括編碼器1(EC1)、EC2等多個(gè)EC，動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)器(DHCPServer)，DHCP中繼(Relay)，包含了一個(gè)主(Master)路由器和多個(gè)從(Slave)路由器的VRRP備份組。其中，EC獲取網(wǎng)關(guān)MAC的過程如下：

1、EC以廣播方式發(fā)送DHCP-DISCOVER報(bào)文以請求IP地址；

2、DHCP?Relay收到EC以廣播方式發(fā)送的DHCP-DISCOVER報(bào)文，將報(bào)文中的giaddr字段填充為DHCP?Relay的IP地址，并將報(bào)文單播轉(zhuǎn)發(fā)給指定的DHCP?Sever；

3、DHCP?Sever接收到DHCP?Relay轉(zhuǎn)發(fā)來的EC的DHCP-DISCOVER報(bào)文后，根據(jù)IP地址分配的優(yōu)先次序選出一個(gè)IP地址，與其他參數(shù)一起通過DHCP-OFFER報(bào)文單播發(fā)送給DHCP?Relay，由DHCP?Relay把該報(bào)文轉(zhuǎn)發(fā)給EC；

4、EC接受第一個(gè)收到的DHCP-OFFER報(bào)文，然后以廣播方式發(fā)送DHCP-REQUEST報(bào)文，該報(bào)文中包含DHCP?Sever在DHCP-OFFER報(bào)文中分配的IP地址，進(jìn)而由DHCP?Relay轉(zhuǎn)發(fā)此報(bào)文到DHCP服務(wù)器；

5、DHCP?Sever收到EC發(fā)來的DHCP-REQUEST報(bào)文后，如果確認(rèn)將地址分配給該EC，則返回DHCP-ACK報(bào)文；否則返回DHCP-NAK報(bào)文，表明地址不能分配給該客戶端；

6、EC獲取到IP地址后，發(fā)起ARP請求，請求解析網(wǎng)關(guān)IP地址的MAC地址；

7、VRRP中的Master接收到EC發(fā)送的ARP請求后，根據(jù)負(fù)載均衡算法使用不同路由器的虛擬MAC地址應(yīng)答ARP請求，如：EC1發(fā)送ARP請求獲取網(wǎng)關(guān)MAC地址時(shí)，Master使用自己的虛擬MAC地址應(yīng)答該請求；EC2發(fā)送ARP請求獲取網(wǎng)關(guān)MAC地址時(shí)，Master使用Slave的虛擬MAC地址應(yīng)答該請求。

至此，即完成了現(xiàn)有部署了VRRP的監(jiān)控網(wǎng)絡(luò)中EC獲取網(wǎng)關(guān)MAC地址的過程。然而，現(xiàn)有部署VRRP的監(jiān)控網(wǎng)絡(luò)中是通過ARP來獲取網(wǎng)關(guān)MAC地址的，因此，很容易出現(xiàn)由ARP協(xié)議帶來的網(wǎng)絡(luò)病毒和攻擊行為，對監(jiān)控網(wǎng)絡(luò)造成影響。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明提供了一種防止ARP報(bào)文攻擊的方法，不僅能夠準(zhǔn)確地獲取到網(wǎng)關(guān)MAC地址，而且還能夠避免由ARP協(xié)議對監(jiān)控網(wǎng)絡(luò)造成的影響。

本發(fā)明還提供了一種防止ARP報(bào)文攻擊的路由設(shè)備，不僅能夠準(zhǔn)確地獲取到網(wǎng)關(guān)MAC地址，而且還能夠避免由ARP協(xié)議對監(jiān)控網(wǎng)絡(luò)造成的影響。

為了達(dá)到上述目的，本發(fā)明提出的技術(shù)方案為：

一種防止地址解析協(xié)議ARP報(bào)文攻擊的方法，應(yīng)用于部署有虛擬路由器冗余協(xié)議VRRP備份組的監(jiān)控網(wǎng)絡(luò)中，該方法包括：

動(dòng)態(tài)主機(jī)配置協(xié)議中繼DHCP?Relay接收由編碼器EC發(fā)送的用于請求IP地址的DHCP發(fā)現(xiàn)DISCOVER報(bào)文，將所述DHCP?DISCOVER報(bào)文發(fā)送給DHCP服務(wù)器Server；

DHCP?Relay接收由DHCP?Server對所述DHCP?DISCOVER報(bào)文回應(yīng)的包含為EC分配的IP地址和網(wǎng)關(guān)IP地址的DHCP?OFFER報(bào)文；

DHCP?Relay根據(jù)所述網(wǎng)關(guān)IP地址獲取VRRP備份組的網(wǎng)關(guān)接入訪問控制MAC地址，將所述獲取到的MAC地址攜帶在DHCP?OFFER報(bào)文中發(fā)送給EC。

所述DHCP?Relay根據(jù)所述網(wǎng)關(guān)IP地址獲取VRRP備份組的網(wǎng)關(guān)MAC地址，將所述獲取到的MAC地址攜帶在DHCP?OFFER報(bào)文中發(fā)送給EC包括：