[发明专利]一种防ARP攻击的方法及装置

说明书

本申请提供一种防ARP攻击的方法及装置，所述方法包括：网管服务器接收到网关设备上传的与网关接口对应的地址绑定信息和与终端设备对应的地址绑定信息，其中所述地址绑定信息包括IP地址和MAC地址的映射关系；基于所述地址绑定信息创建地址绑定信息表，并向各接入交换机下发所述地址绑定信息表；各接入交换机接收到目标终端设备发送的ARP报文后，根据所述地址绑定信息表防护ARP攻击。本申请通过网管服务器对接入交换机统一部署地址绑定信息表项，实现了自动化的ARP攻击防御，减少了现有技术中大量的人工操作，提高了工作效率，并且有效地解决了ARP攻击造成的网络阻塞的问题。

技术领域

本申请涉及安全防护领域，特别涉及一种防ARP攻击的方法及装置。

背景技术

ARP(Address Resolution Protocol，地址解析协议)协议的基本功能是通过目标设备的IP地址查询目标设备的MAC地址，以保证通信的顺利进行。而ARP攻击是指攻击者通过发送错误的ARP信息使网络通信出现异常。

当局域网中的终端设备发送ARP请求报文获取网关的MAC地址时，攻击者可以通过局域网内的终端设备向上述终端设备返回ARP应答报文，该ARP应答报文携带错误的网关ARP信息。上述终端设备接收到该ARP应答报文后，保存错误的网关ARP信息，则在后续通信过程中，上述终端设备发出的数据包无法正常发送到网关设备，这就导致上述终端设备无法连接网络。

当局域网中的终端设备A发送ARP请求报文获取局域网中终端设备B的MAC地址时，攻击者可以通过局域网内的终端设备向上述终端设备A返回ARP应答报文，该ARP应答报文携带错误的终端设备B的ARP信息。上述终端设备A接收到该ARP应答报文并保存错误的ARP信息后，无法与终端设备B正常通信。

此外，攻击者还可以通过局域网中的终端设备主动发送大量携带错误ARP信息的ARP报文，使得局域网内的其它终端设备无法正常通信，并造成网络阻塞。

在现有技术中，通常可以利用ARP双绑措施来防护ARP攻击。具体地，网络管理员可以将局域网内的网关设备和终端设备上都进行ARP信息绑定，在绑定完成后，终端设备或网关设备在接收到携带错误ARP信息的ARP报文后，不再更改已保存的ARP信息。因此，利用ARP双绑措施可以使局域网内的终端设备正常通信。

然而，ARP双绑措施需要人工在网关设备和终端设备上进行操作，当出现网卡更换或IP更改的情况时，就需要重新配置，工作量巨大。此外，ARP双绑措施对于攻击者发出的大量ARP报文而造成的网络阻塞的问题并无改善。

发明内容

有鉴于此，本申请提供一种防ARP攻击的方法及装置，用以解决ARP双绑措施在防护ARP攻击时，依赖大量人工操作，以及，大量的ARP报文造成的网络阻塞的问题。

具体地，本申请是通过如下技术方案实现的：

一种防ARP攻击的方法，应用于网管服务器，所述网管服务器与目标局域网中的网关设备对接；所述目标局域网还包括若干个接入交换机以及通过所述接入交换机接入所述网关设备的若干个终端设备，包括：

接收到所述网关设备上传的与网关接口对应的地址绑定信息和与所述终端设备对应的地址绑定信息；其中，所述地址绑定信息包括IP地址和MAC地址的映射关系；

基于所述地址绑定信息创建地址绑定信息表；

向各接入交换机下发所述地址绑定信息表，以使各接入交换机在接收到目标终端设备发送的ARP报文时，根据所述地址绑定信息表防护ARP攻击。

在所述防ARP攻击的方法中，所述终端设备的地址绑定信息包括在所述网关设备上完成合法性认证的终端设备的地址绑定信息；

所述接收到所述网关设备上传的与网关接口对应的地址绑定信息和与所述终端设备对应的地址绑定信息，包括：