技術(shù)領(lǐng)域

本申請涉及通信技術(shù)領(lǐng)域，尤其涉及一種針對ARP應(yīng)答報文攻擊的檢測方法及裝置。

背景技術(shù)

網(wǎng)絡(luò)通信中，通常采用ARP(Address Resolution Protocol，地址解析協(xié)議)將IP地址解析為物理地址。源設(shè)備將包含目標(biāo)IP地址的ARP請求報文廣播到網(wǎng)絡(luò)上的所有設(shè)備，并接收返回的包含有目標(biāo)物理地址的應(yīng)答報文，在源設(shè)備的ARP緩存表中生成記錄目標(biāo)IP地址和目標(biāo)物理地址映射關(guān)系的ARP表項(xiàng)。同時，目標(biāo)設(shè)備的ARP緩存表中也生成記錄目標(biāo)IP地址和目標(biāo)物理地址映射關(guān)系的ARP表項(xiàng)。當(dāng)源設(shè)備和目標(biāo)設(shè)備再次通信時，就可以直接查詢ARP緩存表來獲取相應(yīng)的物理地址，有效地節(jié)約網(wǎng)絡(luò)資源。

由于ARP協(xié)議是建立在網(wǎng)絡(luò)中各個設(shè)備相互信任的基礎(chǔ)上的，因此，ARP協(xié)議可以被利用發(fā)起攻擊，攻擊方式主要分為通過ARP請求報文發(fā)起攻擊和通過ARP應(yīng)答報文發(fā)起攻擊。

針對使用ARP請求報文發(fā)起的ARP攻擊，網(wǎng)絡(luò)設(shè)備會通過主動確認(rèn)ARP請求報文真實(shí)性的方法來進(jìn)行檢測。例如，網(wǎng)絡(luò)設(shè)備收到ARP請求報文1后，會主動發(fā)送新的ARP請求報文2，其中ARP請求報文2的目的IP地址是其接收的ARP請求報文1的源IP地址，并通過比較接收的ARP請求報文2的響應(yīng)報文的源MAC地址、接收端口是否與其接收的ARP請求報文1的源MAC地址、接收端口一致，來判斷其接收的ARP請求報文1是否為攻擊報文。

然而，針對使用ARP應(yīng)答報文發(fā)起的ARP攻擊，由于攻擊者的IP地址和MAC地址(即ARP應(yīng)答報文的源IP地址和MAC地址)可能隨機(jī)變化，因此在檢測上存在一定困難。

發(fā)明內(nèi)容

本申請?zhí)峁┮环N針對ARP應(yīng)答報文攻擊的檢測方法，應(yīng)用于網(wǎng)絡(luò)設(shè)備，包括：

向?qū)Χ司W(wǎng)絡(luò)設(shè)備發(fā)送ARP請求報文；

響應(yīng)于接收到的對端網(wǎng)絡(luò)設(shè)備發(fā)出的ARP應(yīng)答報文，判斷所述ARP應(yīng)答報文是否為對端網(wǎng)絡(luò)設(shè)備針對所述ARP請求報文作出的響應(yīng)；

如果是，基于所述ARP應(yīng)答報文生成ARP表項(xiàng)；

如果否，則確定所述ARP應(yīng)答報文為攻擊報文。

可選的，所述方法還包括：

當(dāng)確定所述ARP應(yīng)答報文為攻擊報文，從該ARP應(yīng)答報文中提取報文特征；

基于提取到的報文特征生成ACL防護(hù)規(guī)則；

將所述ACL防護(hù)規(guī)則下發(fā)到底層轉(zhuǎn)發(fā)硬件。

可選的，所述ACL防護(hù)規(guī)則對應(yīng)的處理動作為丟棄；所述ACL防護(hù)規(guī)則被配置了有效時長；其中，底層轉(zhuǎn)發(fā)硬件在所述有效時長內(nèi)再次接收到報文特征與所述ACL防護(hù)規(guī)則匹配的ARP應(yīng)答報文時，基于所述ACL防護(hù)規(guī)則對該ARP應(yīng)答報文進(jìn)行丟棄處理。

可選的，所述響應(yīng)于接收到的對端網(wǎng)絡(luò)設(shè)備發(fā)出的ARP應(yīng)答報文，判斷所述ARP應(yīng)答報文是否為對端網(wǎng)絡(luò)設(shè)備針對所述ARP請求報文作出的響應(yīng)之前，還包括：

提取發(fā)送的ARP請求報文中的目標(biāo)IP地址；

在預(yù)設(shè)的目標(biāo)IP地址表中創(chuàng)建與提取到的目標(biāo)IP地址對應(yīng)的表項(xiàng)。

可選的，所述判斷所述ARP應(yīng)答報文是否為對端網(wǎng)絡(luò)設(shè)備針對所述ARP請求報文作出的響應(yīng)，包括：

提取所述對端網(wǎng)絡(luò)設(shè)備發(fā)出的ARP應(yīng)答報文中的源IP地址；

在所述目標(biāo)IP地址表中查找與提取到的源IP地址對應(yīng)的表項(xiàng)；

如果在所述目標(biāo)IP地址表中查找到了與所述源IP地址對應(yīng)的表項(xiàng)時，判斷所述ARP應(yīng)答報文為對端網(wǎng)絡(luò)設(shè)備針對所述ARP請求報文作出的響應(yīng)。

可選的，所述目標(biāo)IP地址表中的表項(xiàng)被配置了老化時長；

可選的，所述方法還包括：

在所述目標(biāo)IP地址表中任一表項(xiàng)的老化時間內(nèi)，若從ARP請求報文中提取的目標(biāo)IP地址與該表項(xiàng)對應(yīng)的目標(biāo)IP地址一致，則重置該表項(xiàng)的老化時間；

在所述目標(biāo)IP地址表中任一表項(xiàng)的老化時間內(nèi)，若從ARP應(yīng)答報文中提取的源IP地址與該表項(xiàng)對應(yīng)的目標(biāo)IP地址一致，則刪除該表項(xiàng)；

若所述目標(biāo)IP地址表中任一表項(xiàng)超出老化時間，從所述目標(biāo)IP地址表中刪除該表項(xiàng)。

本申請還提供一種針對ARP應(yīng)答報文攻擊的檢測裝置，應(yīng)用于網(wǎng)絡(luò)設(shè)備，包括：

發(fā)送模塊，用于向?qū)Χ司W(wǎng)絡(luò)設(shè)備發(fā)送ARP請求報文；

判斷模塊，用于響應(yīng)于接收到的對端網(wǎng)絡(luò)設(shè)備發(fā)出的ARP應(yīng)答報文，判斷所述ARP應(yīng)答報文是否為對端網(wǎng)絡(luò)設(shè)備針對所述ARP請求報文作出的響應(yīng)；

生成模塊，如果所述判斷模塊得到的判斷結(jié)果為是，則用于基于所述ARP應(yīng)答報文生成ARP表項(xiàng)；