专利名称:防arp攻击的方法
技术领域:
本发明涉及网络安全技术领域,尤其涉及一种防ARP(AddreSS Resolution ftx)t0C0l,地址解析协议)攻击的方法。
背景技术:
目前针对DOS (Denial of krvice,拒绝服务)类型的ARP攻击,大部分网络设备 制造商的处理安全控制方案,大致分为两种类型
1、限制单位时间内报文的上送数目或者回应数目来保护CPU不被100%占用。
2、增加对ARP合法性的判断从而决定是否回应报文。
一方面,上述安全控制方案只是从合法性和数目上进行了控制,对于报文的上送, 并没有一种手段可以做到完全的阻止,因此不能从根本上阻止ARP攻击。
另一方面,上述安全控制方案虽然保护了设备CPU不会被100%占用,但产生了新 的安全隐患。例如,一台网络交换机是一个局域网的出口,当局域网内出现了 ARP攻击,且 攻击目标是这台网络交换机时,采用目前的安全控制方案限制单位时间内上送的数目。为 了达到DOS攻击的目的,一般来说攻击报文在单位时间内是非常多的。因此如果限制了单 位时间内报文上送的条目,正常合法的报文就会因为上送数目的限制得不到正常的处理。 最终导致整个局域网内的主机因得不到网关ARP而无法与外界正常通信。发明内容
(一)要解决的技术问题
本发明要解决的技术问题是如何在不影响局域网内的主机与外界的正常通信的 情况下,更有效地防止ARP攻击。
( 二 )技术方案
为解决上述技术问题,本发明提供了一种防ARP攻击的方法,在所述方法中对ARP 表进行了扩展,增加了两个参数刷新次数和刷新周期,分别表示ARP表被刷新的次数和被 刷新的周期,为MAC表中的所述静态MAC增加生存时间参数,所述方法包括以下步骤
Sl 当网络设备接收到ARP报文时,检查其中的源MAC地址是否在所述MAC表中为 所述静态MAC,若存在,则直接丢弃所述ARP报文,若不存在,则上送到CPU处理;
S2 网络设备的CPU接收到上送的ARP报文时,将所述ARP报文的ARP表的刷新次 数加1;
S3 所述刷新周期若未减到0,并且所述刷新次数达到预定惩罚值时在所述网络 设备MAC表中将所述ARP报文中的源MAC地址设为所述静态MAC,并为所述静态MAC中设置 生存时间参数值。
其中,步骤S2中若不存在所述ARP报文对应的ARP表时,新建ARP表,并初始化所 述刷新周期和刷新次数,所述刷新次数初始化为1。
其中,所述生存时间参数值逐渐减小,当减小到0时,从MAC表中删除所述静态MAC。
其中,所述刷新周期从初始化值递减到0,且在其减小到0时重置为初始化值,同 时触发所述刷新次数重置为初始值1。
其中,所述网络设备是网络交换机或路由器。
(三)有益效果
本发明通过根据单位时间内CPU响应ARP报文的次数来设置一个惩罚值,超过惩 罚值时,生成一个惩罚措施。此措施一旦启动,符合此措施的报文会在进入网络交换机之后 直接被丢弃,从而保证正常合法的ARP报文交互,该方法能够防止ARP攻击,而不会影响局 域网内的主机与外界的正常通信。
图1是本发明实施例的一种防ARP攻击的方法流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式
作进一步详细描述。以下实施 例用于说明本发明,但不用来限制本发明的范围。
在本实施例的方法中对ARP表进行了扩展,增加了两个参数刷新次数和刷新周 期,分别表示ARP表被刷新的次数和被刷新的周期,为MAC表中的所述静态MAC增加生存时 间参数。具体流程如图1所示,包括
步骤S101,当网络设备(如交换机或路由器)接收到ARP报文时,检查其中的源 MAC地址是否在所述MAC表中为所述静态MAC,若存在,则直接丢弃所述ARP报文,若不存 在,则上送到CPU处理。在此之前,还包括步骤先对收到的报文进行源MAC检查,若失败, 则直接丢弃;检查通过后,再检测该报文是否为ARP报文,若不为ARP报文,则检查是否为协 议报文,若为协议报文,则上送到CPU处理,否则作普通转发。
步骤S102,网络设备的CPU接收到上送的ARP报文时,将所述ARP报文的ARP表的 刷新次数加1。若不存在该ARP报文对应的ARP表时,新建ARP表,并初始化刷新周期和刷 新次数,所述刷新次数初始化为1。刷新周期从初始化值递减到0,且在其减小到0时重置 为初始化值,同时触发所述刷新次数重置为初始值1。
扩展后的ARP表如下表1所示
表1本发明扩展后的ARP表
权利要求
1.一种防ARP攻击的方法,其特征在于,在所述方法中对ARP表进行了扩展,增加了两 个参数刷新次数和刷新周期,分别表示ARP表被刷新的次数和被刷新的周期,为MAC表中 的静态MAC增加生存时间参数,所述方法包括以下步骤51当网络设备接收到ARP报文时,检查其中的源MAC地址是否在所述MAC表中为所述 静态MAC,若存在,则直接丢弃所述ARP报文,若不存在,则上送到CPU处理;52网络设备的CPU接收到上送的ARP报文时,将所述ARP报文的ARP表的刷新次数加1 ;53所述刷新周期若未减到0,并且所述刷新次数达到预定惩罚值时在所述网络设备 MAC表中将所述ARP报文中的源MAC地址设为所述静态MAC,并为所述静态MAC中设置生存 时间参数值。
2.如权利要求1所述的防ARP攻击的方法,其特征在于,步骤S2中若不存在所述ARP 报文对应的ARP表时,新建ARP表,并初始化所述刷新周期和刷新次数,所述刷新次数初始 化为1。
3.如权利要求1所述的防ARP攻击的方法,其特征在于,所述生存时间参数值逐渐减 小,当减小到0时,从MAC表中删除所述静态MAC。
4.如权利要求1所述的防ARP攻击的方法,其特征在于,所述刷新周期从初始化值递减 到0,且在其减小到0时重置为初始化值,同时触发所述刷新次数重置为初始值1。
5.如权利要求1 4中任一项所述的防ARP攻击的方法,其特征在于,所述网络设备是 网络交换机或路由器。
全文摘要
本发明公开了一种防ARP攻击的方法,包括S1当网络设备接收到ARP报文时,检查其中的源MAC地址是否在所述MAC表中存在所述静态MAC,若存在,则直接丢弃所述ARP报文,若不存在,则上送到CPU处理;S2网络设备的CPU接收到上送的ARP报文时,将所述ARP报文的ARP表的刷新次数加1;S3所述刷新周期若未减到0,并且所述刷新次数达到预定惩罚值时在所述网络设备MAC表中为所述ARP报文中的源MAC地址写入一个静态MAC,并为所述静态MAC中设置生存时间参数值。本发明实现了在不影响局域网内的主机与外界的正常通信的情况下,有效地防止了ARP攻击。
文档编号H04L29/06GK102035851SQ20101060894
公开日2011年4月27日 申请日期2010年12月28日 优先权日2010年12月28日
发明者何希聪, 李海, 聂娟娟 申请人:汉柏科技有限公司