技術(shù)領(lǐng)域

本申請(qǐng)涉及數(shù)據(jù)安全技術(shù)領(lǐng)域，尤其涉及授權(quán)ARP(Address Resolution Protocol，地址解析協(xié)議)安全表項(xiàng)的生成方法及裝置。

背景技術(shù)

ARP可以將IP(Internet Protocol，因特網(wǎng)協(xié)議)地址解析為實(shí)際的MAC(Media Access Control，介質(zhì)訪問控制)地址，從而實(shí)現(xiàn)IP報(bào)文在以太網(wǎng)鏈路上的轉(zhuǎn)發(fā)。ARP解析的過程很簡單：一個(gè)攜帶IP地址的請(qǐng)求和一個(gè)攜帶MAC地址的響應(yīng)，兩個(gè)報(bào)文的交互即可讓彼此了解對(duì)方的MAC地址。

ARP提供便利服務(wù)的同時(shí)也為惡意攻擊者提供了可乘之機(jī)。自從ARP問世以來，ARP攻擊從未間斷，欺騙、泛洪等攻擊手法層出不窮。目前已有很多防ARP攻擊的手段，它們各有優(yōu)缺點(diǎn)。簡單地說，現(xiàn)有的防攻擊手段只能防御某種特定類型的ARP攻擊，對(duì)于其它的攻擊類型就無能為力了。

授權(quán)ARP(Authorized ARP)是一種應(yīng)用于DHCP(Dynamic Host Configuration Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議)組網(wǎng)中的ARP防攻擊方法。在該組網(wǎng)中，當(dāng)用戶上線時(shí)通過DHCP申請(qǐng)IP地址時(shí)，DHCP Server(服務(wù)器)或者DHCP Relay(中繼)記錄該用戶IP地址與MAC地址的映射關(guān)系，該映射關(guān)系稱作安全表項(xiàng)。當(dāng)DHCP Server或DHCP Relay同時(shí)作為網(wǎng)關(guān)時(shí)，網(wǎng)關(guān)在收到ARP報(bào)文要根據(jù)該報(bào)文學(xué)習(xí)ARP表項(xiàng)前，要先判斷ARP報(bào)文中攜帶的IP地址與MAC地址的映射關(guān)系是否與已記錄的安全表項(xiàng)一致，若一致，則學(xué)習(xí)ARP表項(xiàng)；否則，不學(xué)習(xí)ARP表項(xiàng)。也就是說，如果設(shè)備開啟了授權(quán)ARP功能，那么它只會(huì)學(xué)習(xí)合法用戶的ARP表項(xiàng)，而不理會(huì)攻擊者偽造的ARP報(bào)文。

發(fā)明內(nèi)容

本申請(qǐng)?zhí)峁┦跈?quán)ARP安全表項(xiàng)的生成方法及裝置。

本申請(qǐng)的技術(shù)方案是這樣實(shí)現(xiàn)的：

一種授權(quán)ARP安全表項(xiàng)的生成方法，應(yīng)用于DHCP組網(wǎng)中的網(wǎng)關(guān)，所述安全表項(xiàng)包含DHCP客戶端的IP地址和MAC地址的映射關(guān)系，該方法包括：

網(wǎng)關(guān)監(jiān)聽到一DHCP客戶端發(fā)給DHCP服務(wù)器的DHCP請(qǐng)求報(bào)文，從該報(bào)文中解析出該客戶端的MAC地址和DHCP服務(wù)器欲分配給該客戶端的IP地址，根據(jù)該IP地址和MAC地址的映射關(guān)系生成授權(quán)ARP安全表項(xiàng)，并將該授權(quán)ARP安全表項(xiàng)的狀態(tài)設(shè)置為“請(qǐng)求中”；

網(wǎng)關(guān)監(jiān)聽到所述DHCP客戶端發(fā)出的免費(fèi)ARP報(bào)文，從該免費(fèi)ARP報(bào)文中解析出所述客戶端的MAC地址和DHCP服務(wù)器欲分配給該客戶端的IP地址，根據(jù)該MAC地址和IP地址在自身查找到對(duì)應(yīng)的狀態(tài)為“請(qǐng)求中”的授權(quán)ARP安全表項(xiàng)，將該授權(quán)ARP安全表項(xiàng)的狀態(tài)更改為“有效”。

一種授權(quán)ARP安全表項(xiàng)的生成裝置，位于DHCP組網(wǎng)中的網(wǎng)關(guān)上，所述安全表項(xiàng)包含DHCP客戶端的IP地址和MAC地址的映射關(guān)系，該裝置包括：

安全表項(xiàng)生成模塊：監(jiān)聽到一DHCP客戶端發(fā)給DHCP服務(wù)器的DHCP請(qǐng)求報(bào)文，從該報(bào)文中解析出該客戶端的MAC地址和DHCP服務(wù)器欲分配給該客戶端的IP地址，根據(jù)該IP地址和MAC地址的映射關(guān)系生成授權(quán)ARP安全表項(xiàng)，并將該授權(quán)ARP安全表項(xiàng)的狀態(tài)設(shè)置為“請(qǐng)求中”；

安全表項(xiàng)維護(hù)模塊：監(jiān)聽到所述DHCP客戶端發(fā)出的免費(fèi)ARP報(bào)文，從該免費(fèi)ARP報(bào)文中解析出所述客戶端的MAC地址和DHCP服務(wù)器欲分配給該客戶端的IP地址，根據(jù)該MAC地址和IP地址查找到對(duì)應(yīng)的狀態(tài)為“請(qǐng)求中”的授權(quán)ARP安全表項(xiàng)，將該授權(quán)ARP安全表項(xiàng)的狀態(tài)更改為“有效”。

可見，本申請(qǐng)中，網(wǎng)關(guān)通過監(jiān)聽DHCP客戶端發(fā)出的廣播報(bào)文：DHCP Request(請(qǐng)求)報(bào)文和免費(fèi)ARP報(bào)文，獲得成功地從DHCP服務(wù)器申請(qǐng)到IP地址的DHCP客戶端的MAC地址和IP地址的映射關(guān)系，并根據(jù)該映射關(guān)系生成授權(quán)ARP安全表項(xiàng)，從而使得：在網(wǎng)關(guān)與DHCP服務(wù)器/DHCP中繼不為同一臺(tái)設(shè)備的情況下，網(wǎng)關(guān)仍能學(xué)習(xí)到授權(quán)ARP安全表項(xiàng)，從而能夠?qū)崿F(xiàn)授權(quán)ARP的功能，防止了針對(duì)網(wǎng)關(guān)的ARP攻擊。

附圖說明

圖1為DHCP Server/DHCP Relay與網(wǎng)關(guān)不為同一臺(tái)設(shè)備的DHCP組網(wǎng)示意圖；

圖2為本申請(qǐng)一實(shí)施例提供的當(dāng)DHCP Server/DHCP Relay與網(wǎng)關(guān)不是同一臺(tái)設(shè)備時(shí)在網(wǎng)關(guān)上生成授權(quán)ARP安全表項(xiàng)的方法流程圖；

圖3為DHCP客戶端向DHCP服務(wù)器申請(qǐng)IP地址的標(biāo)準(zhǔn)流程；

圖4為本申請(qǐng)實(shí)施例提供的授權(quán)ARP安全表項(xiàng)的生成裝置的組成示意圖；