[发明专利]防止ARP报文攻击的方法和系统

权利要求书

1.一种防止地址解析协议ARP报文攻击的方法，其特征在于，包括以下步骤：

动态主机配置协议DHCP服务器在DHCP报文中添加IP地址-MAC地址对并向用户终端发送；

所述用户终端接收所述DHCP报文，解析所述DHCP报文中包括的IP地址-MAC地址对并将其配置为本地不可被动态改写的ARP表项，以防止攻击报文通过更改用户终端的ARP表项对网络进行攻击。

2.如权利要求1所述防止ARP报文攻击的方法，其特征在于，

所述IP地址-MAC地址对包括所述用户终端的IP地址-MAC地址对，和网络中特定网络设备的IP地址-MAC地址对，所述特定网络设备至少包括与所述用户终端连接的网关设备；

不同的网络设备分别选择对应的IP地址-MAC地址对并将其配置为本地不可被动态改写的ARP表项。

3.如权利要求2所述防止ARP报文攻击的方法，其特征在于，所述DHCP服务器在DHCP报文中添加IP地址-MAC地址对并向用户终端发送的步骤后还包括：

网关设备接收所述DHCP服务器向用户终端发送的DHCP报文；

所述网关设备将所述DHCP报文中包括的用户终端的IP地址-MAC地址对配置为本地不可被动态改写的ARP表项；

所述网关设备向用户终端发送所述DHCP报文。

4.如权利要求1至3中任一项所述防止ARP报文攻击的方法，其特征在于，所述不可被动态改写的ARP表项为静态ARP表项，或优先级高于动态ARP表项的ARP表项。

5.如权利要求4所述防止ARP报文攻击的方法，其特征在于，所述用户终端在本地配置的为优先级高于动态ARP表项的ARP表项时，所述用户终端解析DHCP报文中包括的IP地址-MAC地址对并将其配置为本地不可被动态改写的ARP表项后还包括步骤：

所述用户终端根据预先设定的机制对所述ARP表项进行老化和更新。

6.如权利要求5所述防止ARP报文攻击的方法，其特征在于，所述用户终端根据预先设定的机制对ARP表项进行老化和更新的步骤具体为：

将所述ARP表项的老化时间设定为从DHCP服务器获得IP的租约时间，在续约或者重新获得IP的时候，更新所述ARP表项和老化时间；或

在释放IP地址资源或复位时，删除所述ARP表项；或

重新通过DHCP服务器获得IP时，刷新所述ARP表项；

中的一种或多种。

7.如权利要求4所述防止ARP报文攻击的方法，其特征在于，所述网关设备在本地配置的为优先级高于动态ARP表项的ARP表项时，所述网关设备向用户终端发送DHCP报文后还包括步骤：

所述网关设备根据预先设定的机制对所述ARP表项进行老化和更新。

8.如权利要求7所述防止ARP报文攻击的方法，其特征在于，所述网关设备根据预先设定的机制对ARP表项进行老化和更新的步骤具体为：

接收到用户终端向DHCP服务器发送的IP地址释放请求时，删除所述用户终端对应的ARP表项；或

在满足DHCP中继老化DHCP安全表项时，删除用户终端对应的ARP表项；或

在满足DHCP Snooping老化其监听表项的时候，删除用户终端对应的ARP表项；或

监听到用户终端的DHCP报文时，更新所述用户终端对应的ARP表项；

中的一种或多种。

9.如权利要求1至3中任一项所述防止ARP报文攻击的方法，其特征在于，所述IP地址-MAC地址对包含在DHCP报文中的Option域；

所述DHCP报文为DHCP OFFER报文、和/或DHCP ACK报文。

10.一种防止ARP报文攻击的系统，包括DHCP服务器和用户终端，其特征在于，

所述DHCP服务器，用于在DHCP报文中添加IP地址-MAC地址对并向所述用户终端发送；

所述用户终端，用于解析所述DHCP服务器发送的DHCP报文中包括的IP地址-MAC地址对并将其配置为本地不可被动态改写的ARP表项。