授權(quán)地址解析協(xié)議安全表項的生成方法及裝置制造方法
【專利摘要】本申請?zhí)岢鍪跈?quán)ARP安全表項的生成方法及裝置�����。方法包括:網(wǎng)關(guān)監(jiān)聽到一DHCP客戶端發(fā)給DHCP服務(wù)器的DHCP請求報文��,根據(jù)報文中的IP地址和MAC地址生成授權(quán)ARP安全表項����,并將該安全表項的狀態(tài)設(shè)置為“請求中”�����;網(wǎng)關(guān)監(jiān)聽到所述DHCP客戶端發(fā)出的免費ARP報文��,根據(jù)該報文中的MAC地址和IP地址在自身查找到對應(yīng)的狀態(tài)為“請求中”的授權(quán)ARP安全表項���,將該安全表項的狀態(tài)更改為“有效”�。本申請在網(wǎng)關(guān)與DHCP服務(wù)器/DHCP中繼不為同一臺設(shè)備的情況下�,網(wǎng)關(guān)也能生成授權(quán)ARP安全表項���。
【專利說明】授權(quán)地址解析協(xié)議安全表項的生成方法及裝置
【技術(shù)領(lǐng)域】
[0001] 本申請涉及數(shù)據(jù)安全【技術(shù)領(lǐng)域】,尤其涉及授權(quán)ARP (Address Resolution Protocol,地址解析協(xié)議)安全表項的生成方法及裝置����。
【背景技術(shù)】
[0002] ARP可以將IP(Internet Protocol,因特網(wǎng)協(xié)議)地址解析為實際的MAC(Media Access Control,介質(zhì)訪問控制)地址���,從而實現(xiàn)IP報文在以太網(wǎng)鏈路上的轉(zhuǎn)發(fā)。ARP解析 的過程很簡單:一個攜帶IP地址的請求和一個攜帶MAC地址的響應(yīng)��,兩個報文的交互即可 讓彼此了解對方的MAC地址����。
[0003] ARP提供便利服務(wù)的同時也為惡意攻擊者提供了可乘之機。自從ARP問世以來��, ARP攻擊從未間斷��,欺騙���、泛洪等攻擊手法層出不窮����。目前已有很多防ARP攻擊的手段,它們 各有優(yōu)缺點����。簡單地說,現(xiàn)有的防攻擊手段只能防御某種特定類型的ARP攻擊�,對于其它的 攻擊類型就無能為力了。
[0004] 授權(quán) ARP (Authorized ARP)是一種應(yīng)用于 DHCP (Dynamic Host Configuration Protocol���,動態(tài)主機配置協(xié)議)組網(wǎng)中的ARP防攻擊方法�。在該組網(wǎng)中����,當(dāng)用戶上線時通過 DHCP申請IP地址時,DHCP Server (服務(wù)器)或者DHCP Relay (中繼)記錄該用戶IP地址 與MAC地址的映射關(guān)系�,該映射關(guān)系稱作安全表項。當(dāng)DHCP Server或DHCP Relay同時作 為網(wǎng)關(guān)時�,網(wǎng)關(guān)在收到ARP報文要根據(jù)該報文學(xué)習(xí) ARP表項前,要先判斷ARP報文中攜帶的 IP地址與MAC地址的映射關(guān)系是否與已記錄的安全表項一致��,若一致���,則學(xué)習(xí) ARP表項�;否 貝1J,不學(xué)習(xí) ARP表項�����。也就是說���,如果設(shè)備開啟了授權(quán)ARP功能����,那么它只會學(xué)習(xí)合法用戶 的ARP表項��,而不理會攻擊者偽造的ARP報文�。
【發(fā)明內(nèi)容】
[0005] 本申請?zhí)峁┦跈?quán)ARP安全表項的生成方法及裝置�����。
[0006] 本申請的技術(shù)方案是這樣實現(xiàn)的:
[0007] -種授權(quán)ARP安全表項的生成方法�����,應(yīng)用于DHCP組網(wǎng)中的網(wǎng)關(guān)�����,所述安全表項包 含DHCP客戶端的IP地址和MAC地址的映射關(guān)系�,該方法包括:
[0008] 網(wǎng)關(guān)監(jiān)聽到一 DHCP客戶端發(fā)給DHCP服務(wù)器的DHCP請求報文�,從該報文中解析出 該客戶端的MAC地址和DHCP服務(wù)器欲分配給該客戶端的IP地址��,根據(jù)該IP地址和MAC地 址的映射關(guān)系生成授權(quán)ARP安全表項���,并將該授權(quán)ARP安全表項的狀態(tài)設(shè)置為"請求中"����;
[0009] 網(wǎng)關(guān)監(jiān)聽到所述DHCP客戶端發(fā)出的免費ARP報文���,從該免費ARP報文中解析出所 述客戶端的MAC地址和DHCP服務(wù)器欲分配給該客戶端的IP地址�����,根據(jù)該MAC地址和IP地 址在自身查找到對應(yīng)的狀態(tài)為"請求中"的授權(quán)ARP安全表項����,將該授權(quán)ARP安全表項的狀 態(tài)更改為"有效"����。
[0010] 一種授權(quán)ARP安全表項的生成裝置,位于DHCP組網(wǎng)中的網(wǎng)關(guān)上�����,所述安全表項包 含DHCP客戶端的IP地址和MAC地址的映射關(guān)系,該裝置包括:
[0011] 安全表項生成模塊:監(jiān)聽到一 DHCP客戶端發(fā)給DHCP服務(wù)器的DHCP請求報文���,從 該報文中解析出該客戶端的MAC地址和DHCP服務(wù)器欲分配給該客戶端的IP地址����,根據(jù)該 IP地址和MAC地址的映射關(guān)系生成授權(quán)ARP安全表項���,并將該授權(quán)ARP安全表項的狀態(tài)設(shè) 置為"請求中"��;
[0012] 安全表項維護模塊:監(jiān)聽到所述DHCP客戶端發(fā)出的免費ARP報文���,從該免費ARP 報文中解析出所述客戶端的MAC地址和DHCP服務(wù)器欲分配給該客戶端的IP地址,根據(jù)該 MAC地址和IP地址查找到對應(yīng)的狀態(tài)為"請求中"的授權(quán)ARP安全表項����,將該授權(quán)ARP安全 表項的狀態(tài)更改為"有效"�。
[0013] 可見,本申請中�����,網(wǎng)關(guān)通過監(jiān)聽DHCP客戶端發(fā)出的廣播報文:DHCP Request(請 求)報文和免費ARP報文,獲得成功地從DHCP服務(wù)器申請到IP地址的DHCP客戶端的MAC 地址和IP地址的映射關(guān)系�,并根據(jù)該映射關(guān)系生成授權(quán)ARP安全表項,從而使得:在網(wǎng)關(guān)與 DHCP服務(wù)器/DHCP中繼不為同一臺設(shè)備的情況下�,網(wǎng)關(guān)仍能學(xué)習(xí)到授權(quán)ARP安全表項,從而 能夠?qū)崿F(xiàn)授權(quán)ARP的功能���,防止了針對網(wǎng)關(guān)的ARP攻擊��。
【專利附圖】
【附圖說明】
[0014] 圖1為DHCP Server/DHCP Relay與網(wǎng)關(guān)不為同一臺設(shè)備的DHCP組網(wǎng)示意圖����;
[0015] 圖2為本申請一實施例提供的當(dāng)DHCP Server/DHCP Relay與網(wǎng)關(guān)不是同一臺設(shè) 備時在網(wǎng)關(guān)上生成授權(quán)ARP安全表項的方法流程圖���;
[0016] 圖3為DHCP客戶端向DHCP服務(wù)器申請IP地址的標準流程���;
[0017] 圖4為本申請實施例提供的授權(quán)ARP安全表項的生成裝置的組成示意圖;
[0018] 圖5為本申請實施例提供的包含授權(quán)ARP安全表項的生成裝置的網(wǎng)關(guān)的硬件結(jié)構(gòu) 示意圖�。
【具體實施方式】
[0019] 申請人:對知道的一種現(xiàn)有的通過授權(quán)ARP功能防止ARP攻擊的方案進行分析發(fā) 現(xiàn):現(xiàn)有的授權(quán)ARP功能要求DHCP Server/DHCP Relay與網(wǎng)關(guān)是同一臺設(shè)備。如果它們不 是同一臺設(shè)備��,網(wǎng)關(guān)上就不存在授權(quán)ARP安全表項�,就無法防御欺騙網(wǎng)關(guān)的ARP攻擊。而實 際應(yīng)用中經(jīng)常會有專門的DHCP Server負責(zé)分配IP地址�����,它與網(wǎng)關(guān)并不是同一臺設(shè)備,因 此授權(quán)ARP方式無法應(yīng)用于這種場景���。以下以圖1為例進行說明:
[0020] 在圖1所示組網(wǎng)中���,DHCP Server/DHCP Relay與網(wǎng)關(guān)不是一臺設(shè)備?��?蛻舳松暇€ 時通過DHCP獲取本客戶端的IP地址和網(wǎng)關(guān)地址����,然后通過網(wǎng)關(guān)訪問Internet��。該類組網(wǎng) 中經(jīng)常存在以下所示的ARP欺騙攻擊過程:
[0021] 步驟01 :主機C作為攻擊者冒充主機A向網(wǎng)關(guān)發(fā)送ARP請求報文�,報文的關(guān)鍵字 段如表1所示:
[0022]
【權(quán)利要求】
1. 一種授權(quán)地址解析協(xié)議ARP安全表項的生成方法,應(yīng)用于動態(tài)主機配置協(xié)議DHCP 組網(wǎng)中的網(wǎng)關(guān)�����,所述安全表項包含DHCP客戶端的IP地址和MAC地址的映射關(guān)系���,其特征在 于����,該方法包括: 網(wǎng)關(guān)監(jiān)聽到一 DHCP客戶端發(fā)給DHCP服務(wù)器的DHCP請求報文���,從該報文中解析出該客 戶端的MAC地址和DHCP服務(wù)器欲分配給該客戶端的IP地址����,根據(jù)該IP地址和MAC地址的 映射關(guān)系生成授權(quán)ARP安全表項��,并將該授權(quán)ARP安全表項的狀態(tài)設(shè)置為"請求中"���; 網(wǎng)關(guān)監(jiān)聽到所述DHCP客戶端發(fā)出的免費ARP報文�,從該免費ARP報文中解析出所述客 戶端的MAC地址和DHCP服務(wù)器欲分配給該客戶端的IP地址��,根據(jù)該MAC地址和IP地址在 自身查找到對應(yīng)的狀態(tài)為"請求中"的授權(quán)ARP安全表項��,將該授權(quán)ARP安全表項的狀態(tài)更 改為"有效"����。
2. 根據(jù)權(quán)利要求1所述的方法,其特征在于�����,所述網(wǎng)關(guān)將該授權(quán)ARP安全表項的狀態(tài)設(shè) 置為"請求中"的同時進一步包括: 網(wǎng)關(guān)為該授權(quán)ARP安全表項設(shè)置第一定時器并啟動第一定時器; 且�����,所述網(wǎng)關(guān)將該授權(quán)ARP安全表項的狀態(tài)更改為"有效"進一步包括: 網(wǎng)關(guān)刪除第一定時器��; 且�����,所述方法進一步包括: 當(dāng)所述授權(quán)ARP安全表項的第一定時器定時到時時����,刪除該授權(quán)ARP安全表項和第一 定時器。
3. 根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述網(wǎng)關(guān)將該授權(quán)ARP安全表項的狀態(tài)更 改為"有效"之后進一步包括: 若網(wǎng)關(guān)接收到所述DHCP客戶端發(fā)給DHCP服務(wù)器的DHCP拒絕報文�,從報文中解析出所 述客戶端的MAC地址和IP地址,根據(jù)該MAC地址和IP地址在自身查找到對應(yīng)的狀態(tài)為"有 效"的授權(quán)ARP安全表項����,刪除該授權(quán)ARP安全表項。
4. 根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述網(wǎng)關(guān)將該授權(quán)ARP安全表項的狀態(tài)更 改為"有效"的同時進一步包括: 網(wǎng)關(guān)為該授權(quán)ARP安全表項設(shè)置第二定時器并啟動第二定時器�����; 且�,所述方法進一步包括: 若網(wǎng)關(guān)接收到所述DHCP客戶端發(fā)給DHCP服務(wù)器的DHCP拒絕報文,從報文中解析出所 述客戶端的MAC地址和IP地址�����,根據(jù)該MAC地址和IP地址在自身查找到對應(yīng)的狀態(tài)為"有 效"的授權(quán)ARP安全表項��,判斷該授權(quán)ARP安全表項的第二定時器是否存在�,若是,刪除該授 權(quán)ARP安全表項和第二定時器�����;否則����,不刪除該授權(quán)ARP安全表項;當(dāng)?shù)诙〞r器定時到時 時�����,刪除該第二定時器。
5. 根據(jù)權(quán)利要求1至4任一所述的方法�,其特征在于,所述網(wǎng)關(guān)監(jiān)聽到一 DHCP客戶端 發(fā)給DHCP服務(wù)器的DHCP請求報文之后進一步包括: 網(wǎng)關(guān)從該報文中解析出DHCP服務(wù)器的IP地址���; 且����,所述網(wǎng)關(guān)根據(jù)該IP地址和MAC地址的映射關(guān)系生成授權(quán)ARP安全表項之后進一步 包括: 網(wǎng)關(guān)記錄該授權(quán)ARP安全表項的索引與該DHCP服務(wù)器的IP地址的映射關(guān)系���; 且�,所述網(wǎng)關(guān)將該授權(quán)ARP安全表項的狀態(tài)更改為"有效"的同時進一步包括: 網(wǎng)關(guān)為該授權(quán)ARP安全表項設(shè)置老化定時器并啟動老化定時器�����,且�,當(dāng)老化定時器的 定時到時時,根據(jù)該授權(quán)ARP安全表項的索引查找到對應(yīng)的DHCP服務(wù)器的IP地址����,根據(jù)該 IP地址向該DHCP服務(wù)器發(fā)送DHCP請求消息,該消息中攜帶該授權(quán)ARP安全表項中的IP地 址;若接收到DHCP服務(wù)器返回的DHCP否定消息���,則重新啟動老化定時器�;若接收到DHCP服 務(wù)器返回的DHCP確認消息�����,則刪除該授權(quán)ARP安全表項及老化定時器�����,同時向DHCP服務(wù)器 發(fā)送攜帶該授權(quán)ARP安全表項中的IP地址的DHCP釋放消息����。
6. 根據(jù)權(quán)利要求5所述的方法����,其特征在于,所述網(wǎng)關(guān)從該免費ARP報文中解析出所述 客戶端的MAC地址和DHCP服務(wù)器欲分配給該客戶端的IP地址之后����,根據(jù)該MAC地址和IP 地址在自身查找到對應(yīng)的狀態(tài)為"請求中"的授權(quán)ARP安全表項之前進一步包括: 網(wǎng)關(guān)根據(jù)解析出的客戶端的IP地址,在自身查找對應(yīng)的狀態(tài)為"有效"的授權(quán)ARP安 全表項�,若查找到,刪除該查找到的授權(quán)ARP安全表項,執(zhí)行所述根據(jù)該MAC地址和IP地址 在自身查找到對應(yīng)的狀態(tài)為"請求中"的授權(quán)ARP安全表項的動作����;若未查找到,直接執(zhí)行 所述根據(jù)該MAC地址和IP地址在自身查找到對應(yīng)的狀態(tài)為"請求中"的授權(quán)ARP安全表項 的動作�����。
7. -種授權(quán)地址解析協(xié)議ARP安全表項的生成裝置�����,位于動態(tài)主機配置協(xié)議DHCP組 網(wǎng)中的網(wǎng)關(guān)上�����,所述安全表項包含DHCP客戶端的IP地址和MAC地址的映射關(guān)系��,其特征在 于����,該裝置包括: 安全表項生成模塊:監(jiān)聽到一 DHCP客戶端發(fā)給DHCP服務(wù)器的DHCP請求報文,從該報 文中解析出該客戶端的MAC地址和DHCP服務(wù)器欲分配給該客戶端的IP地址�����,根據(jù)該IP地 址和MAC地址的映射關(guān)系生成授權(quán)ARP安全表項,并將該授權(quán)ARP安全表項的狀態(tài)設(shè)置為 "請求中"����; 安全表項維護模塊:監(jiān)聽到所述DHCP客戶端發(fā)出的免費ARP報文,從該免費ARP報文 中解析出所述客戶端的MAC地址和DHCP服務(wù)器欲分配給該客戶端的IP地址�,根據(jù)該MAC 地址和IP地址查找到對應(yīng)的狀態(tài)為"請求中"的授權(quán)ARP安全表項,將該授權(quán)ARP安全表 項的狀態(tài)更改為"有效"�����。
8. 根據(jù)權(quán)利要求7所述的裝置���,其特征在于,所述安全表項生成模塊將該授權(quán)ARP安全 表項的狀態(tài)設(shè)置為"請求中"的同時進一步用于��, 為該授權(quán)ARP安全表項設(shè)置第一定時器并啟動第一定時器���; 且��,所述安全表項維護模塊將該授權(quán)ARP安全表項的狀態(tài)更改為"有效"進一步用于�����, 刪除第一定時器����; 且,所述安全表項維護模塊進一步用于��,當(dāng)所述安全表項的第一定時器定時到時時�,刪 除該安全表項和第一定時器。
9. 根據(jù)權(quán)利要求7所述的裝置��,其特征在于���,所述安全表項維護模塊將該授權(quán)ARP安全 表項的狀態(tài)更改為"有效"之后進一步用于����, 若接收到所述DHCP客戶端發(fā)給DHCP服務(wù)器的DHCP拒絕報文�,從報文中解析出所述客 戶端的MAC地址和IP地址,根據(jù)該MAC地址和IP地址查找到對應(yīng)的狀態(tài)為"有效"的授權(quán) ARP安全表項�����,刪除該安全表項��。
10. 根據(jù)權(quán)利要求7所述的裝置����,其特征在于����,所述安全表項維護模塊將該授權(quán)ARP安 全表項的狀態(tài)更改為"有效"的同時進一步用于��, 為該安全表項設(shè)置第二定時器并啟動第二定時器���; 且����,所述安全表項維護模塊進一步用于����,若接收到所述DHCP客戶端發(fā)給DHCP服務(wù)器的 DHCP拒絕報文����,從報文中解析出所述客戶端的MAC地址和IP地址,根據(jù)該MAC地址和IP地 址查找到對應(yīng)的狀態(tài)為"有效"的授權(quán)ARP安全表項����,判斷該授權(quán)ARP安全表項的第二定時 器是否存在,若是���,刪除該授權(quán)安全表項和第二定時器�����;否則����,不刪除該授權(quán)ARP安全表項; 當(dāng)?shù)诙〞r器定時到時時����,刪除該第二定時器。
11. 根據(jù)權(quán)利要求7至10任一所述的裝置���,其特征在于�����,所述安全表項生成模塊監(jiān)聽到 一 DHCP客戶端發(fā)給DHCP服務(wù)器的DHCP請求報文之后進一步用于����, 從該報文中解析出DHCP服務(wù)器的IP地址����; 且,所述安全表項生成模塊根據(jù)該IP地址和MAC地址的映射關(guān)系生成授權(quán)ARP安全表 項之后進一步用于���,記錄該安全表項的索引與該DHCP服務(wù)器的IP地址的映射關(guān)系��; 且�����,所述安全表項維護模塊將該授權(quán)ARP安全表項的狀態(tài)更改為"有效"的同時進一步 用于��, 為該安全表項設(shè)置老化定時器并啟動老化定時器���,且�,當(dāng)老化定時器的定時到時時���,根 據(jù)該安全表項的索引查找到對應(yīng)的DHCP服務(wù)器的IP地址��,根據(jù)該IP地址向該DHCP服務(wù)器 發(fā)送DHCP請求消息�,該消息中攜帶該安全表項中的IP地址�����;若接收到DHCP服務(wù)器返回的 DHCP否定消息�,則重新啟動老化定時器���;若接收到DHCP服務(wù)器返回的DHCP確認消息����,則刪 除該安全表項及老化定時器,同時向DHCP服務(wù)器發(fā)送攜帶該安全表項中的IP地址的DHCP 釋放消息��。
12. 根據(jù)權(quán)利要求11所述的裝置�����,其特征在于����,所述安全表項維護模塊從該免費ARP報 文中解析出所述客戶端的MAC地址和DHCP服務(wù)器欲分配給該客戶端的IP地址之后,根據(jù) 該MAC地址和IP地址查找到對應(yīng)的狀態(tài)為"請求中"的授權(quán)ARP安全表項之前進一步用于�����, 根據(jù)解析出的客戶端的IP地址�����,查找對應(yīng)的狀態(tài)為"有效"的授權(quán)ARP安全表項�����,若查 找到,刪除該查找到的安全表項及其老化定時器�,執(zhí)行所述根據(jù)該MAC地址和IP地址在自 身查找到對應(yīng)的狀態(tài)為"請求中"的授權(quán)ARP安全表項的動作;若未查找到��,直接執(zhí)行所述 根據(jù)該MAC地址和IP地址在自身查找到對應(yīng)的狀態(tài)為"請求中"的授權(quán)ARP安全表項的動 作�����。
【文檔編號】H04L29/06GK104219338SQ201410468055
【公開日】2014年12月17日 申請日期:2014年9月15日 優(yōu)先權(quán)日:2014年9月15日
【發(fā)明者】韓冰 申請人:杭州華三通信技術(shù)有限公司