[发明专利]防范利用ARP进行网络攻击的方法、客户端、服务器及系统

说明书

技术领域

本发明涉及网络技术领域，尤其涉及防范利用地址解析协议(AddressResolution Protocol，简称ARP)进行网络攻击的方法、客户端、服务器及系统。 

背景技术

在以太网中，使用逻辑地址(一般为IP地址)在网络层面进行设备标识，使用物理地址(一般为MAC(媒体接入控制)地址)在物理层面进行设备标识；而为了实现不同设备之间的通信，需要通过ARP将IP地址解析为MAC地址实现。 

由于ARP协议设计之初并未考虑安全层面的问题，没有对协议应用对象采取任何认证等安全措施，因此很容易被用来进行网络攻击。比较常见的网络攻击包括：伪造其他用户IP地址的ARP，以篡改网关设备ARP缓存中的用户ARP记录，使网关与该用户的通信失败；伪造网关IP地址的ARP报文，以篡改网络内其他用户ARP缓存中的网关ARP记录，使其他用户与网关的通信失败；以及，ARP扫描攻击，通过发送大量不同IP的ARP报文，使网络设备ARP缓存达到最大规格，不能进行新ARP记录的学习；等等。当ARP被利用进行网络攻击时，不仅可以导致其他用户与网关通信失败，更严重的是会导致通信重定向，使所有的数据都会通过攻击者的主机，因此存在极大的安全隐患；而且，上述ARP攻击往往被结合使用，一般不会针对性的攻击某一台机器，而是针对整个局域网，可以在很短的时间内使整个网络瘫痪。 

鉴于利用ARP进行网络攻击的危害巨大，因此急需有效的技术手段加以解决。目前，所广泛采用的解决方案为双向绑定方案，通过用户在主机上绑定安全网关的IP和MAC地址，以及通过管理员在安全网关上绑定用户主机的IP和MAC地址实现。其中，用户在主机上绑定安全网关的IP和MAC地址包括：(1)获得安全网关的内网MAC地址，例如，对于IP地址为192.168.16.254的内网网关，获得其MAC地址为0022aa0022aa；(2)编写一个批处理文件arp.bat内容如下：

@echo off 

arp-d 

arp-s 192.168.16.25400-22-aa-00-22-aa 

当然在实际使用中，用户需要将上述文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址；(3)将这个批处理软件拖到“windows-开始-程序-启动”中，使主机每一次重新启动后都会进行上述静态设置。管理员在安全网关上绑定用户主机的IP和MAC地址包括：通过交换机端口和MAC地址绑定，限制含有非法MAC地址的帧通过。 

可以看出，双向绑定方案是针对单独个体进行预防的，不但对管理员要求较高，对主机用户的要求也较高，需要主机用户具备一定的计算机基础；同时，配置工作量大，且当用户IP地址发生变更时，还需要进行网关绑定的同步，灵活性低。因此，双向绑定方案实施难度大，且难以满足不同应用环境下防ARP攻击的需求。 

此外，在双向绑定方案中，对于中毒主机的确定是利用抓包工具监听网络中的数据报文，如果发现大量的ARP请求报文或者ARP响应报文从某一台主机发出，那么这台主机就极有可能中毒。但是，双向绑定方案下定位中毒主机后，由于无法借助远程管理软件等解决，因此还存在依赖管理员现场手工隔离中毒主机的缺陷，增加了管理员的工作量。 

发明内容

本发明提供了一种防范利用ARP进行网络攻击的技术方案，以解决现有技术中通过伪造网关地址进行ARP攻击的问题，实现简单、灵活、有效地防范ARP攻击的目的。 

另外，本发明还可解决伪造用户地址进行ARP攻击的问题。 

为实现上述目的，本发明的实施例提供了一种防范利用ARP进行网络攻击的方法，应用于用户本地主机上，与网络中的服务器配合防范ARP攻击，包括以下步骤： 

A1-1、向服务器发起获取网关地址列表的请求，该网关地址列表用于记录网关IP地址和对应的MAC地址； 

A1-2、收到服务器响应的网关地址列表后，对该网关地址列表加以保存； 

A1-3、使用该网关地址列表，更新本地主机的ARP缓存。 

本发明的实施例还提供了一种防范利用ARP进行网络攻击的方法，应用于服务器上，与网络中的用户主机配合防范ARP攻击，包括以下步骤： 

A2-1、在服务器预设的网关地址列表中记录网关IP地址和对应的MAC地址； 

A2-2、当接收到用户主机获取网关地址列表的请求时，将该预设的网关地址列表下发给用户主机，供其进行ARP缓存的更新。