一种基于网络设备的arp报文管理方法

一种基于网络设备的arp报文管理方法
【专利摘要】本发明提供了一种解决ARP欺骗、ARP风暴等网络攻击的基于网络设备的ARP报文管理方法，包括如下步骤：(1)判断报文是否是ARP报文；(2)判断网络层MAC和ARP的MAC地址是否一致；(3)判断源IP地址是否在IP-MAC对应表中存在；(4)判断源IP地址、源MAC地址是否在IP-MAC对应表中存在；(5)更新源IP地址和源MAC地址在IP-MAC对应表中的对应项的生命周期；(6)增加源IP地址和源MAC地址到IP-MAC对应表；(7)向源设备发送IP冲突的ARP报文，转至步骤(15)；(8)判断是ARP请求报文还是应答报文；(9)查询IP-MAC对应表是否存在查询的IP信息；(10)返回ARP应答数据报文。
【专利说明】—种基于网络设备的ARP报文管理方法

【技术领域】
[0001]本发明涉及一种ARP报文的管理方法，尤其是一种基于网络设备的ARP报文管理方法。

【背景技术】
[0002]ARP(Address Resolut1n Protocol,地址解析协议)的基本功能是通过目标设备的IP地址，查询目标设备的MAC (Media Access Control，媒体访问控制)地址，以保证通信的顺利进行。它是IPv4中网络层必不可少的协议。
[0003]在以太网协议中规定，同一局域网中的一台主机要和另一台主机进行直接通信，必须要知道目标主机的MAC地址。而在TCP/IP协议中，网络层和传输层只关心目标主机的IP地址。这就导致在以太网中使用IP协议时，只包含目标主机的IP地址。于是，需要一种方式，要根据目标主机的IP地址，获得其MAC地址。这就是ARP协议要做的事情。所谓地址解析就是主机在发送数据帧前将目标IP地址转换成目标MAC地址的过程。
[0004]通常情况下，网络通信的过程如下:
[0005]假如网络中存在一台网络交换设备网络设备和三台主机PC1、PC2、PC3，主机的 IP 地址分别为 192.168.1.1,192.168.1.2,192.168.1.3，MAC 地址分别为11-11-11-11-11-11、22-22-22-22-22-22、33-33-33-33-33-33。
[0006]如果PCl要向PC2发送数据，则需要经过以下步骤:
[0007](I)PCl查询本地ARP缓存中是否存在PC2(192.168.1.2)的IP-MAC对应关系，如果存在则转至步骤(6)。
[0008](2)向网络发送ARP请求报文，查询PC2 (192.168.1.2)的MAC地址。
[0009](3)网络设备向所有主机(端口)分发步骤(2)中的ARP请求报文。
[0010](4)PC2收到PCl发来的ARP请求报文，判断自己是192.168.1.2后向PCl返回带有MAC地址(22-22-22-22-22-22)的ARP应答信息；PC3收到PCl发来的ARP请求报文后，判断自己不是192.168.1.2后丢弃该报文。
[0011](5)网络设备转发PC2发送的ARP应答信息到PCl
[0012](6) PCl 向 PC2 (22-22-22-22-22-22)发送信息。
[0013](7)网络设备转发PCl的信息到PC2。
[0014]因为在ARP协议标准中，网络主机会无条件的接收和响应ARP应答信息。在这种设计下，可以很容易的实现ARP欺骗等方式的攻击，造成网络传输数据的泄漏或断网等网络的不稳定的情况。
[0015]网络数据传输的泄漏实现步骤如下:
[0016](I) PC3向PCl发送一个ARP响应报文，报文中欺骗PCl说PC2的MAC地址为33-33-33-33-33-33 ο
[0017](2)网络设备转发PC3向PCl转发的虚假ARP应答报文。
[0018](3) PCl向PC2发送数据，判断到自己的IP-MAC缓存中存在PC2 (192.168.1.2)->33-33-33-33-33-33 的信息，所以向假的 PC2 (33-33-33-33-33-33)发送信息。
[0019](4)网络设备转发PCl发送到虚假PC2的信息到PC3。
[0020](5)PC3收到PCl发来的信息。导致PCl向PC2发送的数据泄漏给PC3主机。
[0021]网络欺骗方式造成断网的实现步骤如下:
[0022](I) PC3向PCl发送一个ARP响应报文，报文中欺骗PCl说PC2的MAC地址为AA-AA-AA-AA-AA-AA。
[0023](2)网络设备转发PC3向PCl转发的虚假ARP应答报文。
[0024](3)PCl向PC2发送数据，判断到自己的IP-MAC缓存中存在PC2(192.168.1.2) >> AA-AA-AA-AA-AA-AA 的信息，所以向假的 PC2 (AA-AA-AA-AA-AA-AA)发送信息。
[0025](4)网络设备中不存在MAC地址为AA-AA-AA-AA-AA-AA的主机，所以此报文被丢弃。
[0026]网络广播风暴造成的网络不稳定的实现步骤如下:
[0027](1)PC3向网络中发送任意ARP请求报文。
[0028](2)网络设备向所有主机(端口)分发PC3发送的ARP请求报文。
[0029](3)转至步骤(I)。
[0030]因为ARP请求报文会经过网络设备分发到所有的主机(端口)。当ARP请求报文不停的从PC3发出，当把整个网络带宽耗尽时，网络上的所有主机都会因为抢夺带宽而造成网络不稳定。
[0031]当前，最有效的解决办法就是在网络设备上做IP-MAC地址的绑定。但是在实际的应用中，这样会给网络管理员带来大量的前期工作量和后期管理复杂度。


【发明内容】

[0032]本发明提供了一种解决ARP欺骗、ARP风暴等网络攻击的基于网络设备的ARP报文管理方法。
[0033]实现本发明目的的一种基于网络设备的ARP报文管理方法，包括如下步骤:
[0034](I)判断报文是否是ARP报文；如果是转至步骤(3)，否则转至步骤(13)；
[0035](2)判断网络层MAC和ARP的MAC地址是否一致；如果是转至步骤(3);否则转至步骤(15)；
[0036](3)判断源IP地址是否在IP-MAC对应表中存在；如果是转至步骤⑷，否则转至步骤⑶;
[0037](4)判断源IP地址、源MAC地址是否在IP-MAC对应表中存在；如果是转至步骤
(5)，否则转至步骤(7)；
[0038](5)更新源IP地址和源MAC地址在IP-MAC对应表中的对应项的生命周期，转至步骤⑶；
[0039](6)增加源IP地址和源MAC地址到IP-MAC对应表，转至步骤(8)；
[0040](7)向源设备发送IP冲突的ARP报文，转至步骤(15)；
[0041](8)判断是ARP请求报文还是应答报文；如果是请求报文转至步骤(9)，否则转至步骤(12)；
[0042](9)查询IP-MAC对应表是否存在查询的IP信息；如果存在转至步骤(10)，否则转至步骤(11)；
[0043](10)返回ARP应答数据报文，转至步骤(15)；
[0044](11)由网络设备在网络上发送或转发对应ARP请求报文，并记录到“发送请求报文主机列表”，转至步骤(15)；
[0045](12)查询是否存在“发送请求报文主机列表”，如果存在则向记录中的设备发送或转发ARP应答报文，转至步骤(15)；
[0046](13)判断报文源IP地址、源MAC地址和目标IP地址、目标MAC地址是否在IP-MAC对应表中存在；如果存在转至步骤(14)，否则，丢弃当前以太网报文并转至步骤(15)；
[0047](14)网络设备转发以太网报文；
[0048](15)结束以太网报文处理。
[0049]本发明的一种基于网络设备的ARP报文管理方法的有益效果如下:
[0050]本发明的一种基于网络设备的ARP报文管理方法，网络设备将不再转发任何来自主机的ARP报文(包括ARP请求报文和ARP应答报文)。所有的ARP信息和报文都由网络设备本身来维护及应答；大大降低了 ARP欺骗、ARP风暴等网络攻击。

【专利附图】

【附图说明】
[0051]图1为本发明的一种基于网络设备的ARP报文管理方法的流程图。

【具体实施方式】
[0052]如图1所示，本发明的一种基于网络设备的ARP报文管理方法如下:
[0053](I)判断报文是否是ARP报文；如果是转至步骤(3)，否则转至步骤(13)；
[0054](2)判断网络层MAC和ARP的MAC地址是否一致；如果是转至步骤(3);否则转至步骤(15)；
[0055](3)判断源IP地址是否在IP-MAC对应表中存在；如果是转至步骤⑷，否则转至步骤⑶;
[0056](4)判断源IP地址、源MAC地址是否在IP-MAC对应表中存在；如果是转至步骤
(5)，否则转至步骤(7)；
[0057](5)更新源IP地址和源MAC地址在IP-MAC对应表中的对应项的生命周期，转至步骤⑶；
[0058](6)增加源IP地址和源MAC地址到IP-MAC对应表，转至步骤(8)；
[0059](7)向源设备发送IP冲突的ARP报文，转至步骤(15)；
[0060](8)判断是ARP请求报文还是应答报文；如果是请求报文转至步骤(9)，否则转至步骤(12)；
[0061](9)查询IP-MAC对应表是否存在查询的IP信息；如果存在转至步骤(10)，否则转至步骤(11)；
[0062](10)返回ARP应答数据报文，转至步骤(15)；
[0063](11)由网络设备在网络上发送或转发对应ARP请求报文，并记录到“发送请求报文主机列表”，转至步骤(15)；
[0064](12)查询是否存在“发送请求报文主机列表”，如果存在则向记录中的设备发送或转发ARP应答报文，转至步骤(15)；
[0065](13)判断报文源IP地址、源MAC地址和目标IP地址、目标MAC地址是否在IP-MAC对应表中存在；如果存在转至步骤(14)，否则，丢弃当前以太网报文并转至步骤(15)；
[0066](14)网络设备转发以太网报文；
[0067](15)结束以太网报文处理。
[0068]实施例1
[0069]本实施例为模拟PCl向PC2发送数据报文，处理流程如下:
[0070](I)PCl (192.168.1.1)向网络发送对 PC2 (192.168.1.2)的 ARP 请求报文。
[0071](2)网络设备验证PCl的合法性。网络设备从本地的IP-MAC对应表中查找PCl的IP-MAC 对应关系:192.168.1.1 >> 11-11-11-11-11-11。因为未找到 PCl 的 IP-MAC 对应项，所以网络设备往IP-MAC对应表中添加相应对应关系。
[0072](3)网络设备响应ARP请求报文。网络设备从本地的IP-MAC对应表中查找PC2(192.168.1.2)的对应项。
[0073](4)因为网络设备未能在IP-MAC对应表中找到PC2的对应项，所以网络设备向网络发送一个ARP请求包。
[0074](5) PC2向网络设备发送ARP应答报文。
[0075](6)网络设备验证PC2的合法性。网络设备从本地的IP-MAC对应表中查找到PC2的 IP-MAC 对应关系:192.168.1.2 >> 22-22-22-22-22-22。因为未找到 PC2 的 IP-MAC 对应项，所以网络设备往IP-MAC对应表中添加相应对应项。
[0076](7)网络设备响应ARP应答报文，向PCl发送ARP应答报文。
[0077](8) PCl向PC2发送数据报文。
[0078](9)网络设备验证数据报文中PCl和PC2的合法性。
[0079](10)网络设备向PC2转发数据报文。
[0080]实施例2
[0081]本实施例为模拟PC3向PCl发送数据报文，处理流程如下:
[0082](1)PC3(192.168.1.3)向网络发送对 PCl (192.168.1.1)的 ARP 请求报文。
[0083](2)网络设备验证PC3的合法性。网络设备从本地的IP-MAC对应表表中查找PC3的 IP-MAC 对应关系:192.168.1.3 >> 33-33-33-33-33-33。因为未找到 PC3 的 IP-MAC 对应项，所以网络设备往IP-MAC对应表中添加相应对应关系。
[0084](3)网络设备响应ARP请求。网络设备从本地的IP-MAC对应表中查找出PCl的对应项。
[0085](4)网络设备向PC3返回ARP应答报文。
[0086](5) PC3向PCl发送数据报文。
[0087](6)网络设备验证数据报文中PC3、PCl的合法性。
[0088](7)网络设备向PCl转发数据报文。
[0089]实施例3
[0090]本实施例为模拟PC3向PCl发送ARP欺骗报文，把PC3伪装成PC2，过程如下:
[0091](1)PC3向PCl发送一个ARP应答报文，报文中指示PC2的MAC地址为33-33-33-33-33-33
[0092](2)网络设备验证PC3、PC2的合法性。判断发送MAC地址和ARP包中的MAC地址不一致，所以网络设备丢弃此ARP应答报文。
[0093]实施例4
[0094]本实施例为模拟PC3的IP地址改为192.168.1.2后，IP冲突的处理，过程如下:
[0095](1)PC3更改IP= 192.168.1.2后，向网络广播一个ARP报文。
[0096](2)网络设备验证PC3的合法性。网络设备从本地的IP-MAC对应表中查找到已经存在192.168.1.2的对应项，发现存在IP冲突。
[0097](3)网络设备向PC3发送IP冲突ARP报文。
[0098]上面所述的实施例仅仅是对本发明的优选实施方式进行描述，并非对本发明的范围进行限定，在不脱离本发明设计精神前提下，本领域普通工程技术人员对本发明技术方案做出的各种变形和改进，均应落入本发明的权利要求书确定的保护范围内。
【权利要求】
1.一种基于网络设备的ARP报文管理方法，包括如下步骤: (1)判断报文是否是ARP报文；如果是转至步骤(3)，否则转至步骤(13)； (2)判断网络层MAC和ARP的MAC地址是否一致；如果是转至步骤(3);否则转至步骤(15)； (3)判断源IP地址是否在IP-MAC对应表中存在；如果是转至步骤(4)，否则转至步骤(6)； (4)判断源IP地址、源MAC地址是否在IP-MAC对应表中存在；如果是转至步骤(5)，否则转至步骤(7)； (5)更新源IP地址和源MAC地址在IP-MAC对应表中的对应项的生命周期，转至步骤(8)； (6)增加源IP地址和源MAC地址到IP-MAC对应表，转至步骤⑶； (7)向源设备发送IP冲突的ARP报文，转至步骤(15)； (8)判断是ARP请求报文还是应答报文；如果是请求报文转至步骤(9)，否则转至步骤(12)； (9)查询IP-MAC对应表是否存在查询的IP信息；如果存在转至步骤(10)，否则转至步骤(11); (10)返回ARP应答数据报文，转至步骤(15)； (11)由网络设备在网络上发送或转发对应ARP请求报文，并记录到“发送请求报文主机列表”，转至步骤(15)； (12)查询是否存在“发送请求报文主机列表”，如果存在则向记录中的设备发送或转发ARP应答报文，转至步骤(15)； (13)判断报文源IP地址、源MAC地址和目标IP地址、目标MAC地址是否在IP-MAC对应表中存在；如果存在转至步骤(14)，否则，丢弃当前以太网报文并转至步骤(15)； (14)网络设备转发以太网报文； (15)结束以太网报文处理。
【文档编号】H04L29/12GK104427004SQ201310360537
【公开日】2015年3月18日 申请日期:2013年8月19日 优先权日:2013年8月19日
【发明者】吴玉松, 单闽, 曲长利 申请人:北京怀教网络技术服务有限公司