[发明专利]一种ARP欺骗的防御方法、系统及装置

说明书

本发明公开一种ARP欺骗的防御方法、系统及装置，一方面在检测到ARP欺骗时将欺骗报文中的IP和正确的MAC地址静态绑定起来，可以防止欺骗报文覆盖ARP缓存表，同时当片段ARP欺骗行为停止时进行解绑，能够有效的应对ARP欺骗，又能适用于经常变动的网络；另一方面通过对接收的ARP应答报文与事先建立的可信记录进行比对，能够准确识别网关欺骗与攻击源IP，同时不需要大量发送探测包，有利于降低网络资源占用。

技术领域

本发明属于网络安全技术领域，尤其是涉及一种ARP欺骗的防御方法、系统及装置。

背景技术

当路由器、交换机等网络设备将互联网信息发送至各主机时，需要将各主机的IP(Internet Protocol，网络互联协议)地址转换成相应的MAC（Media Access Control，介质访问控制即硬件地址），才可实现与各主机之间的通信，而MAC是通过ARP(AddressResolution Protocol，地址解析协议)实现查询的，ARP是以太网等数据链路层的基础网络协议，负责完成IP地址到MAC地址的转化。具体的讲，发送端主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。

ARP协议是建立在网络中各个主机互相信任的基础上的，即局域网中的主机可以自主发送ARP应答消息，其他主机对收到应答报文并不会进行真实性检测，就加入本机的ARP缓存表中。因此，ARP欺骗成为黑客常用的攻击手段之一，攻击者伪造IP与MAC，向被攻击主机发送假ARP应答报文，使其无法获取IP对应的真实MAC，导致无法与假ARP应答报文中IP地址进行通信，特别是局域网中，只要有一个主机感染ARP病毒，则该主机就会并因此造成网内其它用户的网络连接故障，攻击者甚至试图截获所在网络内的计算机通信信息，造成信息泄露。同时，攻击者在网络中产生的大量ARP通信量能够造成网络阻塞。

在现有技术中，常见的防御ARP欺骗的措施，如加快ARP表项更新速度可能造成网络中给的大量ARP报文以至于阻塞网络；又如建立静态ARP表的配置工作量大、效率低，而且无法适用变动频繁的网络，也无法有效应对网络内多个IP被伪装的情形。

发明内容

基于上述背景，本发明旨在提供一种ARP欺骗的防御方法、系统及装置，提高检测效率，能够准确识别ARP欺骗与网关欺骗，同时更有效的防御ARP欺骗。

一种ARP欺骗的防御方法，包括：

检测到ARP欺骗报文时，从合法IPMAC信息表查找报文的源IP对应的MAC，将所述源IP与查找到的对应MAC静态绑定，并将该绑定关系加入自动绑定列表；

当超过第一规定时长未再次检测到ARP欺骗报文，遍历所述自动绑定列表中的每个IP，若该IP不是网关IP且该IP已开启自动绑定，同时该IP不存在于手动绑定列表，则将该IP从ARP缓存表中删除；

网络通信查询时，所述手动绑定列表、自动绑定列表、ARP缓存表的优先级依次降低。

所述检测ARP欺骗报文，包括：根据收到的ARP应答报文的源IP，查询IPMAC记录表是否存在该源IP的信息；若不存在，则将该应答报文的源IP与源MAC映射关系加入所述IP/MAC记录表；若已存在，则当所述应答报文中的源MAC与所述IP/MAC记录表中的源MAC不一致的次数超过规定次数时，认为发生ARP欺骗，并且若该源IP为网关IP则认为发生网关欺骗。

上述ARP欺骗的防御方法，还包括检测网关欺骗：每隔第一周期，向同一网段内的所有IP发送ARP请求，并记录请求发起时间；收到ARP应答报文时，将应答报文中源IP与源MAC的映射关系添加到IP/MAC记录表，并记录接收时间；每隔第二周期，若判断IP/MAC记录表中接收时间距离发起时间超过规定时长的映射关系数量超过规定阈值，则认为受到网关欺骗。