专利名称::一种防arp攻击方法和设备的制作方法
技术领域:
:本发明涉及通信
技术领域:
,特别是涉及一种防ARP攻击方法和设备。
背景技术:
:ARP(AddressResolutionProtocol,地址解析协议)是将IP(InternetProtocol,因特网协议)地址解析为以大网MAC(MediaAccessControl,介质访问控制,或称物理地址)地址的协议。其中,IP地址是终端在网络层中的地址,如果要将网络层中的数据包发送给目的终端,则需要知道目的终端的MAC地址,即需要使用ARP协议将IP地址解析为MAC地址。如图1所示的ARP学习过程,假设终端A和终端B在同一个网段,终端A要向终端B发送信息时,具体的地址解析过程如下(1)终端A查看自身的ARP表,确定该ARP表中是否有终端B对应的ARP表项,即确定该终端A中是否可以找到终端B对应的MAC地址,如果找到了对应的MAC地址,则终端A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给终端B。(2)如果终端A在ARP表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文;该ARP请求报文中的发送端IP地址和发送端MAC地址为终端A的IP地址和MAC地址,目标IP地址和目标MAC地址为终端B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送,该网段上的所有终端都可以接收到该请求,但只有被请求的终端(即终端B)会对该请求进行处理。(3)终端B比较自身的IP地址和ARP请求报文中的目标IP地址,当两者相同时将ARP请求报文中的发送端(即终端A)的IP地址和MAC地址存入自己的ARP表中;并以单播方式发送ARP响应报文给终端A,其中包含了自身的MAC地址。(4)终端A收到ARP响应报文后,将终端B的MAC地址加入到自身的ARP表中以用于后续报文的转发,同时将IP数据包进行封装后发送出去。WLAN(ffirelessLocalAreaNetworks,无线局域网)提供了一种局域网的无线连接服务,能在较小的范围内提供高速的无线数据接入,是目前ITdnformationTechnology,信息技术)行业比较热门的技术之一,也是流行的无线接入方式。和传统的有线接入方式相比,无线局域网让网络的使用更自由,彻底摆脱了线缆和端口位置的束缚,而且无线局域网具有便于携带,易于移动的优点,免去或减少了繁杂的网络布线,只需要安放一个或多个AP(AccessPoint,接入点)设备就可以建立覆盖整个建筑或地区的局域网络。其中,该AP设备是无线局域网的重要组成设备,是一个无线收发设备,可以将从有线网络(例如Internet)接收到的数据转换成无线信号发送,将接收到的无线信号转换成数据并转发到有线网络。而WLAN技术所构建的无线局域网,作为有线网络的补充,摆脱了以太网线的束缚,给终端用户提供了方便快捷的网络接入方式;因此,无线网络得到了越来越多的部署,例如,从城市热点到无线城市网、从无线企业网到无线校园网,无线网络都得到了广泛的应用,大量的AP设备被安装和使用。在无线网络环境下,路由器可以作为网关,为终端提供接入服务,同时路由器还可以提供无线网卡的功能连接无线网络,此时,路由器为client(客户端),如图2所示的无线接入组网示意图,具体的数据交互过程包括(1)路由器A作为AP提供到广域网的接入服务。(2)终端C作为client接入到路由器A,另外,路由器B作为client(其功能类似于终端)接入到路由器A,该终端C和路由器B位于同一个局域网A内。(3)终端A和终端B通过有线连接到网关路由器B,且同在局域网B中;当终端A需要访问广域网时,需要经过路由器B和路由器A,即先经过有线网络,然后经过无线网络;终端C需要访问广域网时,需要经过路由器A,即只经过无线网络。但是,在现有的ARP学习过程中,并没有对ARP报文的认证过程,导致不能区分接收到的ARP回应报文是否为自身所期望的ARP回应,从而为ARP欺骗类型的攻击创造了条件。尤其在无线网络环境中,终端和路由器都可以作为无线的client接入到AP中,接入相当灵活,从而导致在ARP学习过程中,ARP攻击很频繁。例如,在图2所示的无线接入组网中,(1)当终端C和路由器B作为无线客户端接入到路由器A时,路由器A作为FATAP要学习路由器B的IP地址,终端C可能为攻击者(可能是终端C中毒或者恶意行为)。(2)路由器A向无线网络中广播ARP请求,该ARP请求的目标地址是路由器B的地址(即192.168.2.2),此时,终端C和路由器B都可以收到该请求。(3)终端C在接收到来自路由器A的ARP请求后,仿冒路由器B回复该ARP请求,但在ARP响应中添加的目标MAC地址是错误的MAC地址信息(例如,一个不存在的MAC地址),从而导致路由器A学习到的ARP是错误的,并最终导致路由器B和路由器A无法正常通讯。
发明内容本发明提供一种防ARP攻击方法和设备,以在无线网络中,通过验证字来验证ARP信息的合法性,并避免ARP仿冒攻击。为了达到上述目的,本发明提出了一种防ARP攻击方法,应用于包括发送端和接收端的无线网络系统中,所述发送端和所述接收端中配置了相同的hash算法且具有相同的共享密钥,所述方法包括以下步骤所述发送端生成随机数和第一验证字,并向所述接收端发送ARP请求报文,所述ARP请求报文中携带了所述随机数;所述接收端根据所述ARP请求报文中携带的所述随机数生成第二验证字,并向所述发送端发送ARP响应报文,所述ARP响应报文中携带了所述第二验证字;所述发送端根据所述第一验证字和所述第二验证字确定接受所述ARP响应报文或者拒绝所述ARP响应报文。所述发送端生成第一验证字,具体包括所述发送端根据所述随机数、所述发送端上配置的共享密钥和所述ARP请求报文中的SenderIP生成所述第一验证字;所述接收端根据所述ARP请求报文中携带的所述随机数生成第二验证字,具体包括所述接收端根据所述ARP请求报文中携带的所述随机数、所述接收端上配置的共享密钥和所述ARP请求报文中的SenderIP生成所述第二验证字。所述发送端向所述接收端发送ARP请求报文,具体包括所述发送端将所述随机数替换所述ARP请求报文中的目标介质访问控制MAC地址,并将所述ARP请求报文发送给所述接收端。所述接收端向所述发送端发送ARP响应报文,具体包括所述接收端将所述第二验证字替换所述ARP响应报文中的目标IP地址,并将所述ARP响应报文发送给所述发送端。所述发送端根据所述第一验证字和所述第二验证字确定接受所述ARP响应报文或者拒绝所述ARP响应报文,具体包括所述发送端判断所述第一验证字和所述第二验证字是否相同;如果二者相同,则所述发送端确定接受所述ARP响应报文;如果二者不同,则所述发送端确定拒绝所述ARP响应报文。一种防ARP攻击设备,应用于包括发送端和接收端的无线网络系统中,所述发送端和所述接收端中配置了相同的hash算法且具有相同的共享密钥,该设备在所述网络系统中作为所述发送端或者接收端,该设备进一步包括生成模块、收发模块和处理模块,所述生成模块与所述收发模块和所述处理模块分别连接,所述收发模块和所述处理模块连接,当所述设备作为所述发送端时,所述生成模块,用于生成随机数和第一验证字;所述收发模块,用于向所述接收端发送ARP请求报文,所述ARP请求报文中携带了所述随机数;并接收来自所述接收端的ARP响应报文,所述ARP响应报文中携带了所述接收端根据所述随机数生成的第二验证字;所述处理模块,用于根据所述第一验证字和所述第二验证字确定接受所述ARP响应报文或者拒绝所述ARP响应报文;当所述设备作为所述接收端时,所述收发模块,用于接收来自所述发送端的ARP请求报文,所述ARP请求报文中携带了所述发送端生成的随机数;并向所述发送端发送ARP响应报文,所述ARP响应报文中携带了第二验证字;所述生成模块,用于根据所述ARP请求报文中携带的所述随机数生成第二验证字。所述生成模块具体用于,当所述设备作为所述发送端时,根据所述随机数、所述发送端上配置的共享密钥和所述ARP请求报文中的SenderIP生成所述第一验证字;当所述设备作为所述接收端时,根据所述ARP请求报文中携带的所述随机数、所述接收端上配置的共享密钥和所述ARP请求报文中的SenderIP生成所述第二验证字。所述收发模块具体用于,当所述设备作为所述发送端时,将所述随机数替换所述ARP请求报文中的目标介质访问控制MAC地址,并将所述ARP请求报文发送给所述接收端。所述收发模块具体用于,当所述设备作为所述接收端时,将所述第二验证字替换所述ARP响应报文中的目标IP地址,并将所述ARP响应报文发送给所述发送端。所述处理模块具体用于,当所述设备作为所述发送端时,判断所述第一验证字和所述第二验证字是否相同;如果二者相同,则确定接受所述ARP响应报文;如果二者不同,则确定拒绝所述ARP响应报文。与现有技术相比,本发明具有以下优点在无线网络中,通过在ARP交互过程中引入验证字机制,当接收到ARP回应后,验证验证字的正确性,来验证该ARP回应报文的合法性,从而防止无线网络中的ARP攻击。图1为现有技术中的ARP学习过程示意图;图2为现有技术中的无线接入组网示意图;图3为本发明提出的一种防ARP攻击方法流程图;图4为本发明提出的一种具体应用场景示意图;图5为本发明一种应用场景下提出的一种防ARP攻击方法流程图;图6为本发明提出的一种防ARP攻击设备的结构图。具体实施例方式本发明中,通过在发送端生成第一验证字,并在接收端生成第二验证字,当接收到来自接收端的ARP响应报文时,通过判断该ARP响应报文中携带的第二验证字与自身生成的第一验证字是否相同,来判断该ARP响应报文是否合法,从而防止无线网络中的ARP攻击ο基于上述思想,本发明中提供一种防ARP攻击方法,应用于包括发送端和接收端的无线网络系统中,所述发送端和所述接收端中配置了相同的hash算法且具有相同的共享密钥,而且所述发送端和所述接收端通过无线网络进行连接。其中,在进行ARP请求之前,需要在ARP报文的交互双方(即无线网络中的发送端和接收端)确认使用相同的hash算法(该hash算法用于生成验证字),并配置了相同的共享密钥,而只有使用相同hash算法且有相同共享密钥的发送端和接收端之间才能进行ARP交互。需要注意的是,在实际应用中,该hash算法可以根据实际的需要任意选择,而该验证字为根据hash算法得到的哈希值。例如,当该hash算法为MD5算法时,则得到的哈希值为消息认证码,即此时该验证字为消息认证码。基于上述情况,如图3所示,该方法进一步包括以下步骤步骤301,所述发送端生成随机数和第一验证字。具体的,在发送端发送ARP请求之前,需要在本地生成随机数(例如,一个48位的随机数),并同时生成第一验证字(例如,一个32位的验证字)。其中,该第一验证字的输入是该随机数、共享密钥和ARP请求报文中的Sender(发送端)IP。可以看出,所述发送端生成第一验证字的过程具体为所述发送端根据该随机数、在所述发送端上配置的共享密钥和所述ARP请求报文中的SenderIP生成所述第一验证字。步骤302,所述发送端向所述接收端发送ARP请求报文,所述ARP请求报文中携带了所述随机数。具体的,当在本地生成了该随机数后,需要在发送的ARP请求报文中加入该随机数,其中,该随机数可以放在该ARP请求报文的目标MAC的位置(现有实现中目标MAC的位置为全O的mac地址)。当然,在实际应用中,该随机数也可以放置在ARP请求报文的其他位置,本发明中不再详加赘述。可以看出,在将随机数放在目标MAC的位置时,是将所述随机数替换所述ARP请求报文中的目标介质访问控制MAC地址的。步骤303,所述接收端根据所述ARP请求报文中携带的所述随机数生成第二验证字。具体的,当接收端接收到该ARP请求报文后,需要生成第二验证字(例如,一个32位的验证字),本发明中,为了将发送端生成的验证字与接收端生成的验证字进行区分,将发送端生成的验证字记为第一验证字,将接收端生成的验证字记为第二验证字。需要注意的是,在生成第二验证字时,其输入为在ARP请求报文中的随机数、共享密钥和ARP报文中的SenderIP,即所述接收端根据所述ARP请求报文中携带的所述随机数、所述接收端上配置的共享密钥和所述ARP请求报文中的SenderIP生成所述第二验证字。综上可以看出,当发送端和接收端配置了相同的共享密钥,则生成第一验证字的输入部分和生成第二验证字的输入部分是相同的,而当发送端和接收端使用相同的hash算法生成验证字时,则根据上述相同的输入部分,则第一验证字和第二验证字是相同的。步骤304,所述接收端向所述发送端发送ARP响应报文,所述ARP响应报文中携带了所述第二验证字。具体的,当生成了第二验证字后,需要在发送的ARP响应报文中加入该第二验证字,其中,该第二验证字可以放在ARP响应报文中的目标IP地址的位置。当然,在实际应用中,该第二验证字也可以放置在ARP响应报文的其他位置,本发明中不再详加赘述。可以看出,将第二验证字放在ARP响应报文中的目标IP地址的位置时,是将所述第二验证字替换所述ARP响应报文中的目标IP地址的。步骤305,所述发送端根据所述第一验证字和所述第二验证字确定接受所述ARP响应报文或者拒绝所述ARP响应报文。具体的,当接收到该ARP响应报文后,根据该第二验证字,该发送端需要根据自身生成的第一验证字和所述第二验证字确定接受所述ARP响应报文或者拒绝所述ARP响应报文。该确认过程具体为所述发送端判断所述第一验证字和所述第二验证字是否相同;如果二者相同,则所述发送端确定接受所述ARP响应报文;如果二者不同,则所述发送端确定拒绝所述ARP响应报文。在上面的步骤中已经赘述,当发送端和接收端配置了相同的共享密钥,且使用相同的hash算法生成验证字时,则第一验证字和第二验证字是相同的,因此,通过判断第一验证字和第二验证字是否相同,即可以判断出发送端和接收端是否配置了相同的共享密钥且使用相同的hash算法生成验证字,继而发送端可以判断出ARP响应报文所对应的接收端是否合法,从而确定接受所述ARP响应报文或者拒绝所述ARP响应报文,保证了无线网络的安全性,并防止了无线网络中的ARP攻击。需要注意的是,当接收到ARP响应报文时,发送端需要首先查找相应的ARP请求报文,并通过ARP请求报文中的目标IP地址等于ARP响应报文中SenderIP的方式来查找。为了更加清楚的说明本发明提供的技术方案,以下结合一种具体的应用场景,对本发明提供的技术方案进行详细阐述。本应用场景下,以图4所示的ARP学习过程为例进行说明,在图4中,为路由器A和路由器B之间的ARP学习过程,而路由器A和路由器B为无线网络中的不同路由器,即路由器A和路由器B之间通过使用无线网络连接,其中,在路由器A和路由器B的接口启用本方案的基于验证字的ARP。基于上述应用场景,如图5所示,该基于验证字的防ARP攻击方法进一步包括步骤501,在路由器A和路由器B上配置相同的共享密钥test,并使用相同的hash算法计算验证字。步骤502,路由器A在ARP表中无法查找到路由器B对应的MAC地址,则路由器A生成随机数,并以广播方式发送一个ARP请求报文。具体的,当路由器A需要与路由器B通信时,在初始情况下,路由器A在ARP表中无法查找到路由器B对应的MAC地址,则路由器A需要生成随机数(例如,181474976710655),并以广播方式发送一个ARP请求报文。其中,该ARP请求报文中的senderIP地址和senderMAC地址为路由器A的IP地址和MAC地址,targetIP地址为路由器B的IP地址,targetMAC地址为随机数181474976710655。另外,该路由器A还需要使用共享密钥test、181474976710655(本机生成的随机数)和192.168.1.1(ARP请求报文中的SenderIP)作为输入,进行hash计算,生成验证字(例如,3573563557)。需要注意的是,在计算验证字时,同时使用了随机数、ARP请求报文中的SenderIP和共享密钥,其中,随机数是为了保证验证字的随机性和唯一性;ARP请求报文中的SenderIp是为了保证验证字具有身份信息,即发送者是谁;共享密钥是为了保证验证字的私密性。另外,本发明中使用hash的输入参数还可以进行扩充,例如,使用SenderMACAddress和TargetIPaddress等信息,本发明中不再详加赘述,以使用随机数、ARP请求报文中的SenderIP和共享密钥为例进行说明。本步骤中,该路由器A还需要建立ARP请求表项,如表1所示的一种ARP请求表项。该ARP请求表项中包含的内容包括但不限于=SenderIP、TargetIP、共享密钥、随机数和验证字。表1<table>tableseeoriginaldocumentpage9</column></row><table>步骤503,路由器B接收到ARP请求报文后,比较自身的IP地址和ARP请求报文中的targetIP地址,当两者相同时,确定需要对该ARP请求报文进行响应。而对于其他的设备,当接收到该ARP请求报文后,比较自身的IP地址和ARP请求报文中的targetIP地址,二者不同,则丢弃该ARP请求报文。另外,当接收到ARP请求报文后,该路由器B还需要将ARP请求报文中的senderIP地址和MAC地址存入自身的ARP表中。步骤504,路由器B根据ARP请求报文中的随机数生成验证字。具体的,当获知该ARP请求报文中携带的随机数后,路由器B可以使用共享密钥test、181474976710655(ARP请求报文中的随机数)和192.168.1.1(ARP请求报文中的SenderIP)作为输入,进行hash计算,计算出验证字3573563557。步骤505,路由器B以单播方式发送ARP响应报文给路由器A。其中,在该ARP响应报文中,targetMAC为自身的MAC地址,且SenderIP为计算出的验证字3573563557。步骤506,路由器A接收到ARP响应报文后,在ARP请求表项中查找相应的ARP请求报文。具体的,路由器A将通过ARP请求报文中的targetIP与ARP响应报文中SenderIP是否相同的方式来查找,如果查找到有相同的记录(即targetIP与SenderIP相同),则执行后续步骤。步骤507,路由器A判断ARP响应报文中的验证字与本机的验证字是否相同。如果相同,则执行步骤508,否则,执行步骤509。步骤508,路由器A确定接受该ARP响应报文,并将该ARP响应报文中的targetMAC加入到自己的ARP表中,以用于后续报文的转发。其中,该ARP响应报文中的targetMAC即为路由器B的MAC地址。步骤509,路由器A确定拒绝该ARP响应报文,此次ARP学习失败。其中,本发明中的各个步骤还可以根据实际需要进行调整。通过上述步骤,即可以通过验证字来避免无线网络中的ARP仿冒攻击,以图2所示的无线接入组网为例进行说明。其中,路由器A作为AP提供到广域网的接入服务;终端C作为客户端接入到路由器A,路由器B作为客户端(其功能类似于终端)接入到路由器A,且终端C和路由器B位于同一个局域网;终端A和终端B通过有线连接到路由器B。在上述应用场景下,当终端C在接收到路由器A广播的ARP请求报文后,虽然ARP请求报文的目标IP地址和终端C的IP地址不一致,但是终端C还是发送了该ARP请求的ARP响应报文,用来说明IP地址是192.168.1.2的主机MAC地址是一个错误的MAC地址。此时,路由器A在接收到终端C的ARP响应报文后,通过比较验证字,发现其值不一致,则丢掉该ARP回应,达到防止ARP仿冒攻击的作用。基于与上述方法同样的发明构思,本发明还提出了一种基于验证字的防ARP攻击设备,应用于包括发送端和接收端的无线网络系统中,所述发送端和所述接收端中配置了相同的hash算法且具有相同的共享密钥,该设备在所述网络系统中作为所述发送端或者接收端,如图6所示,该设备进一步包括生成模块10、收发模块20和处理模块30,所述生成模块10与所述收发模块20和所述处理模块30分别连接,所述收发模块20和所述处理模块30连接,其中,当所述设备作为所述发送端时,所述生成模块10,用于生成随机数和第一验证字。其中,在生成第一验证字的过程中,所述生成模块10具体用于根据所述随机数、所述发送端上配置的共享密钥和所述ARP请求报文中的SenderIP生成所述第一验证字。所述收发模块20,用于向所述接收端发送ARP请求报文,所述ARP请求报文中携带了所述随机数;并接收来自所述接收端的ARP响应报文,所述ARP响应报文中携带了所述接收端根据所述随机数生成的第二验证字。其中,在向所述接收端发送ARP请求报文的过程中,所述收发模块20具体用于将所述随机数替换所述ARP请求报文中的目标介质访问控制MAC地址,并将所述ARP请求报文发送给所述接收端。所述处理模块30,用于根据所述第一验证字和所述第二验证字确定接受所述ARP响应报文或者拒绝所述ARP响应报文。其中,所述处理模块30具体用于判断所述第一验证字和所述第二验证字是否相同;如果二者相同,则确定接受所述ARP响应报文;如果二者不同,则确定拒绝所述ARP响应报文。当所述设备作为所述接收端时,所述收发模块20,用于接收来自所述发送端的ARP请求报文,所述ARP请求报文中携带了所述发送端生成的随机数;并向所述发送端发送ARP响应报文,所述ARP响应报文中携带了第二验证字。其中,在向所述发送端发送ARP响应报文的过程中,所述收发模块20具体用于将所述第二验证字替换所述ARP响应报文中的目标IP地址,并将所述ARP响应报文发送给所述发送端。所述生成模块10,用于根据所述ARP请求报文中携带的所述随机数生成第二验证字。其中,在生成第二验证字的过程中,所述生成模块10具体用于根据所述ARP请求报文中携带的所述随机数、所述接收端上配置的共享密钥和所述ARP请求报文中的SenderIP生成所述第二验证字。其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是⑶-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。上述本发明序号仅仅为了描述,不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。权利要求一种防地址解析协议ARP攻击方法,应用于包括发送端和接收端的无线网络系统中,所述发送端和所述接收端中配置了相同的hash算法且具有相同的共享密钥,其特征在于,所述方法包括以下步骤所述发送端生成随机数和第一验证字,并向所述接收端发送ARP请求报文,所述ARP请求报文中携带了所述随机数;所述接收端根据所述ARP请求报文中携带的所述随机数生成第二验证字,并向所述发送端发送ARP响应报文,所述ARP响应报文中携带了所述第二验证字;所述发送端根据所述第一验证字和所述第二验证字确定接受所述ARP响应报文或者拒绝所述ARP响应报文。2.如权利要求1所述的方法,其特征在于,所述发送端生成第一验证字,具体包括所述发送端根据所述随机数、所述发送端上配置的共享密钥和所述ARP请求报文中的SenderIP生成所述第一验证字;所述接收端根据所述ARP请求报文中携带的所述随机数生成第二验证字,具体包括所述接收端根据所述ARP请求报文中携带的所述随机数、所述接收端上配置的共享密钥和所述ARP请求报文中的SenderIP生成所述第二验证字。3.如权利要求1所述的方法,其特征在于,所述发送端向所述接收端发送ARP请求报文,具体包括所述发送端将所述随机数替换所述ARP请求报文中的目标介质访问控制MAC地址,并将所述ARP请求报文发送给所述接收端。4.如权利要求1所述的方法,其特征在于,所述接收端向所述发送端发送ARP响应报文,具体包括所述接收端将所述第二验证字替换所述ARP响应报文中的目标IP地址,并将所述ARP响应报文发送给所述发送端。5.如权利要求1所述的方法,其特征在于,所述发送端根据所述第一验证字和所述第二验证字确定接受所述ARP响应报文或者拒绝所述ARP响应报文,具体包括所述发送端判断所述第一验证字和所述第二验证字是否相同;如果二者相同,则所述发送端确定接受所述ARP响应报文;如果二者不同,则所述发送端确定拒绝所述ARP响应报文。6.一种防ARP攻击设备,应用于包括发送端和接收端的无线网络系统中,所述发送端和所述接收端中配置了相同的hash算法且具有相同的共享密钥,其特征在于,该设备在所述网络系统中作为所述发送端或者接收端,该设备进一步包括生成模块、收发模块和处理模块,所述生成模块与所述收发模块和所述处理模块分别连接,所述收发模块和所述处理模块连接,当所述设备作为所述发送端时,所述生成模块,用于生成随机数和第一验证字;所述收发模块,用于向所述接收端发送ARP请求报文,所述ARP请求报文中携带了所述随机数;并接收来自所述接收端的ARP响应报文,所述ARP响应报文中携带了所述接收端根据所述随机数生成的第二验证字;所述处理模块,用于根据所述第一验证字和所述第二验证字确定接受所述ARP响应报文或者拒绝所述ARP响应报文;当所述设备作为所述接收端时,所述收发模块,用于接收来自所述发送端的ARP请求报文,所述ARP请求报文中携带了所述发送端生成的随机数;并向所述发送端发送ARP响应报文,所述ARP响应报文中携带了第二验证字;所述生成模块,用于根据所述ARP请求报文中携带的所述随机数生成第二验证字。7.如权利要求6所述的设备,其特征在于,所述生成模块具体用于,当所述设备作为所述发送端时,根据所述随机数、所述发送端上配置的共享密钥和所述ARP请求报文中的SenderIP生成所述第一验证字;当所述设备作为所述接收端时,根据所述ARP请求报文中携带的所述随机数、所述接收端上配置的共享密钥和所述ARP请求报文中的SenderIP生成所述第二验证字。8.如权利要求6所述的设备,其特征在于,所述收发模块具体用于,当所述设备作为所述发送端时,将所述随机数替换所述ARP请求报文中的目标介质访问控制MAC地址,并将所述ARP请求报文发送给所述接收端。9.如权利要求6所述的设备,其特征在于,所述收发模块具体用于,当所述设备作为所述接收端时,将所述第二验证字替换所述ARP响应报文中的目标IP地址,并将所述ARP响应报文发送给所述发送端。10.如权利要求6所述的设备,其特征在于,所述处理模块具体用于,当所述设备作为所述发送端时,判断所述第一验证字和所述第二验证字是否相同;如果二者相同,则确定接受所述ARP响应报文;如果二者不同,则确定拒绝所述ARP响应报文。全文摘要本发明公开了一种防ARP攻击方法,包括以下步骤发送端生成第一验证字,接收端生成第二验证字,所述发送端根据所述第一验证字和所述第二验证字确定接受所述ARP响应报文或者拒绝所述ARP响应报文。本发明中,通过验证验证字的正确性,来验证ARP回应报文的合法性,从而防止无线网络中的ARP攻击。文档编号H04L29/06GK101808097SQ201010132209公开日2010年8月18日申请日期2010年3月25日优先权日2010年3月25日发明者高凯申请人:杭州华三通信技术有限公司