专利名称:地址解析协议报文的处理方法、装置及接入设备的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种地址解析协议报文的处理方法、装置及 接入设备。
背景技术:
在当前网络技术中,终端设备在网络中是以网际协议(Internet Protocol,简称 IP)地址来区分的。因此在通信中,发起通信的发送方终端设备向其他终端设备发送报文 时,需要获取目标终端的介质访问控制(Media AccessControl,简称MAC)地址,以完成对 发送报文的封装,这就需要实现设备的IP地址与MAC地址间的转换。目前,该地址转换通 常由地址解析协议(Address Resolution Protocol,简称ARP)予以实现,ARP协议将目标 终端设备的IP地址转换为MAC地址,保证了通信的顺利进行。由于ARP协议建立在信任局域网内所有结点的基础上,即运行ARP协议的终端设 备不会检查自己是否发过ARP请求报文,也不管接收到的ARP应答报文是否合法,只要收到 目标MAC地址是自身MAC地址的ARP报文,终端设备都会将其接收并缓存,这无疑为ARP欺 骗攻击提供了可能。在ARP欺骗攻击行为中,ARP攻击会恶意地冒充合法主机发出ARP报 文,将发送的ARP报文中的发送方IP或MAC地址伪造成合法主机的IP或MAC地址,以欺骗 其他主机,达到窃取其他主机重要数据甚至导致局域网内网络拥塞的目的,因而如何有效 地防范ARP欺骗是局域网部署时必须考虑的重要问题。现有技术中常用的防范ARP欺骗攻击的方法包括接入设备通过解析认证客户终 端的认证信息,获取并记录该客户终端的IP-MAC地址对应信息,并在接入设备与该客户终 端对应的端口的报文特征数据库中,将该IP-MAC地址对应信息设置为不可动态改写的静 态ARP检测表项。当该端口接收到任何ARP报文时,同时对该ARP报文中的发送方IP地址 和发送方MAC地址进行检测,只有当两者都符合该端口设置的静态ARP检测表项时,该ARP 报文才能被通过,否则该ARP报文将被过滤丢弃。通过这种检测方式,虽然能够在一定程度上防御局域网内部的ARP攻击,但是该 方法同样存在一定的缺陷对于静态ARP检测表项而言,其只能作用在接入设备开启了 ARP 检测功能的指定端口,因此若要对接入设备进行全局的ARP防御,则需要将所有的端口都 开启该检测功能,这在很大程度上将限制了网络部署的灵活性。同时在实际部署中,由于有 些端口下需要使用安全数据通道放行某些特权用户报文,这些端口将不会进行任何网络安 全功能的配置,也不会开启ARP检测功能。因而对于这些安全通道端口而言,该端口下的主 机若由于ARP中毒或者恶意攻击等原因发起ARP欺骗,由于该端口无法进行ARP检测,这些 主机则可以成功欺骗链接于同一接入设备的网关或者其他合法用户主机,从而导致存在很 大的安全隐患。
发明内容
本发明提供一种地址解析协议报文的处理方法、装置及接入设备,用以防止非法客户端利用接入设备未设置静态ARP检测功能的端口冒充合法用户进行的ARP欺骗攻击。为实现上述目的,本发明提供一种地址解析协议报文的处理方法,包括 当接入设备通过特权端口接收到终端发送的第一 ARP报文时,检测所述第一 ARP 报文是否符合所述接入设备预设的防欺骗特征表项,所述防欺骗特征表项包括过滤发送方 IP地址为所述接入设备的任一合法终端的IP地址的ARP报文,以及过滤发送方MAC地址为 所述任一合法终端的MAC地址的ARP报文,所述特权端口包括未设置静态ARP检测功能的 端□;若检测到所述第一 ARP报文符合所述预设的防欺骗特征表项,则过滤所述第一 ARP报文。为实现上述目的,本发明还提供一种地址解析协议报文的处理装置,包括第一报文接收模块,用于通过特权端口接收终端发送的第一 ARP报文;第一表项检测模块,用于检测所述第一 ARP报文是否符合接入设备预设的防欺骗 特征表项,所述防欺骗特征表项包括过滤发送方IP地址为所述接入设备的任一合法终端 的IP地址的ARP报文,以及过滤发送方MAC地址为所述任一合法终端的MAC地址的ARP报 文,所述特权端口包括未设置静态ARP检测功能的端口 ;第一报文过滤模块,用于若所述第一表项检测模块检测到所述第一 ARP报文符合 所述预设的防欺骗特征表项,则过滤所述第一 ARP报文。为实现上述目的,本发明还提供一种接入设备,包括接入模块,其中,还包括上 述的地址解析协议报文的处理装置,所述地址解析协议报文的处理装置与所述接入模块连接。本发明提供的地址解析协议报文的处理方法、装置及接入设备,通过在接入设备 的报文特征数据库中设置防欺骗特征表项,用于指示对该接入设备的特权端口下接收到的 发送方IP地址为冒充合法终端的IP地址的ARP欺骗报文、以及发送方MAC地址为冒充合 法终端的MAC地址的ARP欺骗报文进行过滤,从而使得当非法终端欲通过未设置静态ARP 检测功能的特权端口,对该接入设备的合法终端或网关发送ARP欺骗报文时,该特权端口 能够通过预设的防欺骗特征表项过滤掉该ARP欺骗报文,有效地防范了非法终端通过特权 端口冒充合法终端对其他终端或网关设备进行的ARP欺骗行为;进一步地,本发明的实现 无需网关设备及用户主机的参与,不增加接入设备的负担,网络配置简单,极大地提升了网 络部署的灵活性、稳定性和安全性。
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术 描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一 些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这 些附图获得其他的附图。图1为本发明地址解析协议报文的处理方法实施例一的流程图;图2为本发明地址解析协议报文的处理方法实施例二的流程图;图3为本发明地址解析协议报文的处理装置实施例一的结构示意图;图4为本发明地址解析协议报文的处理装置实施例二的结构示意图5为本发明接入设备实施例的结构示意图。
具体实施例方式为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例 中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是 本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员 在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。图1为本发明地址解析协议报文的处理方法实施例一的流程图,如图1所示,本实 施例具体包括如下步骤步骤100,当接入设备通过特权端口接收到终端发送的第一 ARP报文时,检测该第 一 ARP报文是否符合该接入设备预设的防欺骗特征表项;在通信网络常用的接入设备中,例如常见的接入交换机或接入路由器中,为了实 际部署的需求,通常会包括两种类型的端口。其中一类端口开启了报文特征数据库的静态 ARP表项检测功能,当该端口接收到任一 ARP报文时,均会根据报文特征数据库中的静态 ARP检测表项对该ARP报文进行检测,并根据检测的结果放行或过滤该ARP报文,以防范该 端口下连接的终端发出的ARP欺骗攻击行为。而另一类端口则为未开启ARP表项检测功能 的特权端口,在这类端口中,由于存在某些特殊的原因,并不设置静态ARP检测表项,因此 在这类端口中,接入的终端无需经过静态ARP表项的检测,即通过该类端口,未经过认证服 务器的认证的终端也可连接到接入设备中。对于这类未设置ARP表项检测功能的特权端口而言,该特权端口下的特权终端或 者其他终端便很容易利用端口无需进行ARP检测的特征,冒充其他端口下合法终端的IP地 址或MAC地址发出ARP欺骗报文。由于该端口对接收到的ARP报文并不进行静态ARP表项 检测,因此,即使其接收到的ARP欺骗报文的发送方IP地址和发送方MAC地址并非为合法 终端的对应的IP地址和MAC地址,该端口也会放行该ARP报文,从而会对其他端口下的被 冒充的合法终端造成ARP攻击。为了防御这种ARP欺骗攻击现象,在本实施例中,针对接入设备的这类特权端口, 在报文特征数据库中设置了用于防范该端口下连接的终端发出ARP欺骗攻击的防欺骗特 征表项。具体地,在该防欺骗特征表项中指明将特权端口接收到的源IP地址为接入设备 的任一合法终端的IP地址的ARP报文,以及源MAC地址为接入设备的任一合法终端的MAC 地址的ARP报文进行过滤。如此一来,当接入设备通过特权端口,接收到与该特权端口连接的终端发送的ARP 报文时,将通过报文特征数据库中预设的防欺骗特征表项,检测该ARP报文是否为一 ARP欺 骗报文。具体地,在本实施例中,称接入设备通过特权端口接收到的ARP报文为第一 ARP报 文。接入设备通过比较该第一 ARP报文中的发送方IP地址与防欺骗特征表项中设置的IP 地址,以及比较第一 ARP报文中的发送方MAC地址与防欺骗特征表项中设置的MAC地址,检 测该第一 ARP报文是否符合该防欺骗特征表项。具体指通过该防欺骗特征表项检测特权 端口接收到的第一 ARP报文中携带的发送方IP地址是否为该接入设备已通过认证的合法 终端的IP地址,以及特权端口接收 到的第一 ARP报文中携带的发送方MAC地址是否为该接 入设备已通过认证的合法终端的MAC地址。
步骤101,若检测到第一 ARP报文符合预设的防欺骗特征表项,则过滤掉该第一 ARP报文。若通过上述检测,接入设备得到第一 ARP报文符合预设的防欺骗特征表项的检测 结果,由于在特权端口中,终端无需经过认证服务器的认证便可连接到接入设备,因而特权 端口下连接的所有终端均不属于该接入设备已认证的合法终端,相对应地,该接入设备的 报文特征数据库中也不会存在任何与该特权端口的终端的IP地址或MAC地址对应的特征 表项。因此,若此时该特权端口接收到的第一 ARP报文符合接入设备预设的防欺骗特征 表项,即该第一 ARP报文的发送方IP地址或者发送方MAC地址为接入设备的任一合法终端 的IP地址或者MAC地址,这表明特权端口此时接收到终端发送的第一 ARP报文为该终端 冒充该接入设备其他合法终端的IP地址或MAC地址发出,而并非该终端自身的IP地址或 MAC地址,这属于典型的ARP欺骗攻击行为。在此情况下,接入设备接收的该第一 ARP报文 识别为ARP欺骗报文,并将该ARP欺骗报文进行过滤,以防御该终端通过特权端口进行的 ARP攻击。如此一来,尽管在接入设备的报文特征数据库中,并未为特权端口设置对应的静 态ARP检测表项,但是通过设置的防欺骗特征表项,接入设备仍然能够及时地检测并过滤 掉恶意攻击方通过特权端口、冒充合法终端发出的ARP欺骗报文,从而有效地防范了非法 终端通过特权端口冒充合法终端进行的ARP欺骗行为。且由于在这类端口中,对于接收到 的ARP报文需要首先进行防欺骗表项的检测,因此即使此类端口中开启了安全数据通道, 对指定的某类ARP报文可以无条件的放行通过,由于在进行安全数据通道放行ARP报文之 前,都需要对ARP报文进行防欺骗表项的检测,因此即使对于开启了安全数据通道的端口 而言,通过设置防欺骗表项,同样能够防止非法终端利用此类端口冒充合法终端进行的ARP 欺骗攻击。更进一步地,本实施例对接入设备的改进仅在于在报文特征数据库中,为特权端 口增添设置特征表项,而无需对接入终端或网关设备进行任何改动,其网络配置及实施方 式简单,还相应提升了网络部署的灵活性和稳定性。本实施例的地址解析协议报文的处理方法,通过在接入设备的报文特征数据库中 设置防欺骗特征表项,用于指示对该接入设备的特权端口下接收到的发送方IP地址为冒 充合法终端的IP地址的ARP欺骗报文、以及发送方MAC地址为冒充合法终端的MAC地址的 ARP欺骗报文进行过滤,从而使得当非法终端欲通过未设置静态ARP检测功能的特权端口, 冒充合法终端对该接入设备的其他终端或网关发送ARP欺骗报文时,该特权端口能够通过 预设的防欺骗特征表项过滤掉该ARP欺骗报文,有效地防范了非法终端通过特权端口冒充 合法终端进行的ARP欺骗行为;进一步地,本发明的实现无需网关设备及用户主机的参与, 不增加接入设备的负担,网络配置简单,极大地提升了网络部署的灵活性、稳定性和安全 性。图2为本发明地址解析协议报文的处理方法实施例二的流程图,本实施例中以接 入设备为接入交换机为例,对本发明的ARP报文的处理方法进行了描述。如图2所示,本实 施例具体包括如下步骤步骤200,获取对应的合法终端的IP地址和MAC地址;
本实施例中,在接入交换机通过报文特征数据库中的特征表项,对恶意攻击方通 过特权端口发出的ARP欺骗攻击行为进行防御之前,为了在该接入交换机的报文特征数据 库中设置相应的防欺骗特征表项,接入交换机将获取包括的合法终端对应的IP地址以及 MAC地址。具体地,在本实施例中,接入交换机可以通过如下至少两种方式获取合法终端的 IP地址及MAC地址信息第一种方式为在认证终端进行认证服务器的认证过程中,接入交换机通过对认证 终端发送给认证服务器的认证信息进行截获并解析,提取出其中携带的认证终端的IP地 址和MAC地址,当该认证终端的认 证通过后,该提取出的终端IP地址及MAC地址便为合法 终端对应的IP地址及MAC地址;第二种方式为在接入交换机中设置动态主机设置协议安全特性(Dynamic Host Configuration Protocol-Snooping,简称 DHCP—Snooping)功能,通过该 DHCP—Snooping 功 能,接入交换机可以截获到接入的合法终端发送的DHCP报文,而根据对该DHCP报文进行解 析,接入交换机可以提取出包括的合法终端的IP地址和MAC地址。以上列举了两种获取合法终端的IP地址和MAC地址的方式,但需了解的是,在实 际应用中,接入交换机还可以通过其他多种方式获取该交换机内通过认证的合法终端的IP 地址及MAC地址,例如通过命令行设置的方式获取等,其他可以适用的替换方式同样在本 发明所保护的范围之内。步骤201,根据获取到的合法终端的IP地址和MAC地址,在特征数据库中为特权端 口设置对应的防欺骗特征表项;接入交换机通过上述任一方式获取到任一合法终端的IP地址和MAC地址之后,为 了对该合法终端进行ARP攻击保护,以保护该合法终端不受到非法终端通过特权端口发出 的ARP欺骗攻击,将根据获取到的IP地址和MAC地址,在报文特征数据库中增添设置对应 的防欺骗特征表项,具体指接入交换机在报文特征数据库中,为容易遭受ARP欺骗攻击的 特权端口设置防欺骗特征表项。该防欺骗特征表项用于指示接入交换机对接收到的发送方 IP地址为该合法终端的IP地址的ARP报文进行丢弃,以及对接收到的发送方MAC地址为该 合法终端的MAC地址的ARP报文进行过滤。具体地,针对获取得到的合法终端的IP地址和MAC地址,接入交换机可以在报文 特征数据库中,为特权端口分别设置与IP地址对应的第一防欺骗特征表项以及与MAC地址 对应的第二防欺骗特征表项。其中第一防欺骗特征表项用于指示接入交换机对接收到的发 送方IP地址为合法终端的IP地址的ARP报文进行过滤,而第二防欺骗特征表项用于指示 接入交换机对接收到的发送方MAC地址为合法终端的MAC地址的ARP报文进行过滤。步骤202,根据获取到的合法终端的IP地址和MAC地址,在特征数据库中为非特权 端口设置对应的防欺骗特征表项;步骤203,在非特权端口中,设置防欺骗特征表项的优先级别低于静态ARP检测表 项;进一步地,在接入交换机为特权端口设置该特征表项的同时,针对该接入交换机 中开启了静态ARP检测功能,即需要对接收到的ARP报文进行静态ARP检测的非特权端口, 接入交换机同时还可以在报文特征数据库中,为这些非特权端口设置对应的防欺骗特征表 项,并将该新设置的防欺骗特征表项的优先级别设置为低于静态ARP检测表项的优先级别。这样设置的目的在于由于在接入交换机中,对于开启了静态ARP检测功能的非 特权端口而言,其连接的终端若需要通过该类端口传送数据报文之前,需要通过认证服务 器的认证以接入到该接入交换机中,因此该非特权端口下通常会对应连接多个已经通过认 证的合法终端。因此,如果在该非特权端口接收到ARP报文时,便直接采用上述设置的防欺 骗特征表项对该ARP报文进行检测,将会导致合法终端发送的合法的ARP报文由于符合防 欺骗特征表项的设定条件,而被过滤掉无法通过。 因此,为避免发生上述现象,在本实施例中,接入交换机在报文特征数据库中,为 非特权端口增添防欺骗特征表项的同时,还在非特权端口中,设置该防欺骗特征表项的优 先级别低于静态ARP检测表项,即使得合法终端在通过该非特权端口发送合法的ARP报文 时,非特权端口首先将对该ARP报文进行静态ARP检测表项的检测。根据检测结果,合法的 ARP报文将会符合非特权端口对应的静态ARP检测表项,而最终被放行通过,从而避免了合 法的ARP报文在直接进行防欺骗特征表项的检测时,被识别为ARP欺骗报文而被过滤掉的 现象。步骤204,通过特权端口接收到终端发送的第一 ARP报文;步骤205,检测第一 ARP报文是否符合防欺骗特征表项,若是则执行步骤206,若否 则执行步骤207 ;步骤206,过滤第一 ARP报文;步骤207,放行通过第一 ARP报文;在接入交换机设置了与各合法终端的IP地址与MAC地址对应的防欺骗特征表项 后,当该接入交换机通过特权端口接收到对应的终端发送的第一 ARP报文时,由于特权端 口并未设置静态ARP检测功能,因此接入交换机将直接对该第一 ARP报文进行防欺骗特征 表项的检测,具体指检测该第一 ARP报文的发送方IP地址是否符合报文特征数据库中的第 一防欺骗特征表项,以及检测ARP报文的发送方MAC地址是否符合报文特征数据库中的第 二防欺骗特征表项。具体地,接入交换机将分别从第一 ARP报文中提取出其中携带的发送方IP地址以 及发送方MAC地址,并根据提取出的发送方IP地址,在特征数据库中查询其中是否包括与 该发送方IP地址对应的第一防欺骗特征表项,以及根据提取出的发送方MAC地址,查询是 否包括与该发送方MAC地址对应的第二防欺骗特征表项。无论该第一 ARP报文是符合第一 防欺骗特征表项或第二防欺骗特征表项,都表明该第一 ARP报文为该特权端口下的非法终 端发送的ARP欺骗报文,区别仅在于其冒充合法终端的地址类型不同,因此接入交换机均 将该第一 ARP报文进行过滤。进一步地,在过滤掉该第一 ARP报文,使该第一 ARP报文无法发送到目的终端的基 础上,接入交换机还可以对该第一 ARP报文进行统计,即根据对接收到的第一 ARP报文进行 防欺骗表项检测的结果,统计对应端口下发生的冒充合法终端进行ARP欺骗攻击行为的状 态。甚至在此之后,接入交换机还可以将检测到为ARP欺骗攻击的ARP欺骗报文,发送给其 他的分析设备以进行统计和分析。而若经过检测,接入交换机发现该第一 ARP报文并不符合防欺骗特征数据库中设 置的任一防欺骗特征表项,这表明该第一 ARP报文并非该端口下的终端冒充该接入交换机的合法终端发出的ARP欺骗报文,于是接入交换机放行通过该第一 ARP报文,使其可以传送 到目的终端。步骤208,通过非特权端口接收到终端发送的第二 ARP报文;
步骤209,检测该第二 ARP报文是否符合该非特权端口对应的静态ARP检测表项, 若否则执行步骤210,若是则执行步骤212 ;若接入交换机通过未设置静态ARP表项检测的非特权端口,接收到对应的终端发 送的第二 ARP报文时,根据报文特征数据库中与该非特权端口对应的各特征检测表项以及 各特征检测表项的优先权级别,接入交换机将首先对该第二 ARP报文是否符合该非特权端 口设置的静态ARP检测表项进行检测。具体地,对于某一非特权端口而言,报文特征数据库中可以对应设置多条静态ARP 检测表项,每条静态ARP检测表项都对该非特权端口下的一台已经通过认证的合法终端相 对应,且每条静态ARP检测表项均指示将接收到ARP报文的发送方IP地址和发送方MAC 地址对应为该合法终端的IP地址和MAC地址放行通过。因此在接入交换机通过该非特权端口接收到第二 ARP报文时,首先对该第二 ARP 报文进行静态ARP检测表项的检测,可以对该端口下未认证的终端发出的ARP报文,或者进 行恶意ARP欺骗攻击的终端所发出的ARP欺骗报文进行拦截。进一步地,在进行下一步的 防欺骗特征表项的检测之前,通过进行静态ARP表项检测,可以放行合法终端发送的合法 的ARP报文,以避免在进行后续的检测中出现的将合法的ARP报文识别为ARP欺骗报文而 丢弃的现象。在对接收到的第二 ARP报文进行静态ARP表项检测之后,若该第二 ARP报文符合 该非特权端口设置的静态ARP检测表项,表明发送该第二 ARP报文的终端为该端口下已经 通过认证的合法终端,且其发出的ARP报文也为合法的ARP报文,因此接入交换机返回至执 行步骤206,将该第二 ARP报文放行通过,使其可以传送到目的终端。步骤210,检测该第二 ARP报文是否符合预设的防欺骗特征表项,以对接入设备接 收到的ARP欺骗攻击行为进行统计,并执行步骤211 ;步骤211,过滤该第二 ARP报文;步骤212,放行通过该第二 ARP报文;而反之,若接入交换机通过对接收到的第二 ARP报文进行静态ARP表项检测,得到 该第二 ARP报文不符合该非特权端口设置的静态ARP检测表项的结果,这表明发送该第二 ARP报文的终端为该端口下未认证未的终端或发出恶意攻击终端,该第二 ARP报文很有可 能为该终端发出的ARP攻击报文,应该予以过滤。此时,接入交换机已经可以直接过滤掉该第二 ARP报文,但是在本实施例中,根据 报文特征数据库中特征检测表项的设置,接入交换机还将进一步地检测该第二 ARP报文是 否符合上述预设的防欺骗特征表项,即检测第二 ARP报文的发送方IP地址是否符合预设的 第一防欺骗特征表项,以及该第二 ARP报文的发送方MAC地址是否符合预设的第二防欺骗 特征表项。而在无论是否检测到该第二 ARP报文符合防欺骗特征表项,根据该第二 ARP报文 不符合静态ARP检测表项这一点,接入交换机都可以判定该第二 ARP报文为该端口下终端 发出的ARP欺骗报文,都可以将该第二 ARP报文进行过滤,以防御该端口下终端产生的ARP 欺骗攻击行为。
而在本实施例中,接入交换机在检测到第二 ARP报文不符合静态ARP检测表项 之后,再进一步地进行防欺骗特征表项的检测的目的在于由于若符合防欺骗特征表项的 ARP报文必定为恶意终端冒充合法终端的地址发出的ARP欺骗报文,因此根据此检测结果, 接入交换机可以统计每一端口下终端发出的这类ARP欺骗攻击的状态,例如发出ARP欺骗 攻击的次数、频率等,从而在此基础上,接入交换机可以对每一端口的ARP攻击状态进行分 析,以制定相应的防攻击策略。具体地,接入交换机根据对接收到的ARP报文进行第一防欺 骗特征表项的检测结果,以及根据对ARP报文进行第二防欺骗特征表项的检测结果,能够 分别统计出对应端口下冒充合法终端的IP地址进行的ARP欺骗攻击行为的状态,以及冒充 合法终端的MAC地址进行的ARP欺骗攻击行为的状况。从而根据该统计结果,接入交换机 可以对该端口,甚至对该接入交换机整体的性能状态进行调整与管理。具体地,若接入交换机通过进一步的检测,检测到该第二 ARP报文不符合静态ARP 检测表项,却也不符合预设的防欺骗特征表项,这表明发送该第二 ARP报文的终端虽然不 是接入交换机已通过认证的合法终端(不符合静态ARP检测表项),例如其可能为一恶意 攻击终端或者为接入交换机的一未认证终端,但是在此次ARP欺骗攻击行为中,该终端却 也没有冒充其他合法终端的IP地址或MAC地址发出ARP欺骗报文(不符合防欺骗特征表 项)。因而接入交换机在将其进行过滤之后,无需对该第二 ARP报文进行相应的统计。反之,若接入交换机通过进一步的检测,检测到该第二 ARP报文虽然不符合静态 ARP检测表项,还进一步符合预设的防欺骗特征表项,这表明发送该第二 ARP报文的终端 不仅不是接入交换机已通过认证的合法终端(不符合静态ARP检测表项),而且还在此次 ARP欺骗攻击行为中,冒充了其他合法终端的IP地址或MAC地址对其他合法终端发出了 ARP欺骗报文(符合防欺骗特征表项)。因而接入交换机在将其进行过滤之后,还可以对该 此次ARP欺骗攻击行为进行相应的记录,以便后续的统计与管理。在进行了静态ARP表项检测以及防欺骗表项检测之后,接入交换机可以过滤掉非 特权端口下冒充合法终端、对其他终端或网关进行的ARP欺骗报文,因而即使该端口中开 启了安全数据通道,对指定的某类ARP报文可以无条件的放行通过,由于在进行安全数据 通道放行ARP报文之前,都需要对接收到的ARP报文进行静态ARP表项及防欺骗表项的检 测,因此即使对于开启了安全数据通道的端口而言,无论该端口为设置了静态ARP检测表 项的非特权端口,或未设置静态ARP检测表项的特权端口,通过设置防欺骗表项,同样能够 防止非法终端利用此类端口冒充合法终端进行的ARP欺骗攻击。本实施例的地址解析协议报文的处理方法,通过在接入设备为合法用户在对应端 口的报文特征数据库中设置静态ARP检测表项的同时,为该合法用户增添设置两条优先级 低于静态ARP检测表项的特征表项一条用于指示对全局所有端口下发送的发送方MAC地 址为冒充合法终端的MAC地址的ARP欺骗报文进行过滤,另一条用于指示对全局所有端口 下发送的发送方IP地址为冒充合法终端的IP地址的ARP欺骗报文进行过滤,从而有效地 防止了非法用户通过接入设备未设置ARP检测功能的特权端口冒充合法终端,对其他终端 或网关设备进行的ARP欺骗攻击;进一步地,本发明的实现无需网关设备及用户主机的参 与,不增加接入交换机的负担,网络配置简单,极大地提升了网络部署的灵活性、稳定性和 安全性。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过
11程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序 在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括ROM、RAM、磁碟或者 光盘等各种可以存储程序代码的介质。图3为本发明地址解析协议报文的处理装置实施例一的结构示意图,如图3所示, 本实施例的地址解析协议报文的处理装置包括第一报文接收模块11、第一表项检测模块 12以及第一报文过滤模块13。其中,第一报文接收模块11用于通过特权端口接收终端发送的第一 ARP报文;第 一表项检测模块12用于检测第一报文接收模块11接收到的第一 ARP报文是否符合接入设 备预设的防欺骗特征表项,该防欺骗特征表项包括过滤发送方IP地址为接入设备的任一 合法终端的IP地址的ARP报文,以及过滤发送方MAC地址为接入设备的任一合法终端的 MAC地址的ARP报文,该特权端口包括未设置静态ARP检测功能的端口 ;第一报文过滤模块 13用于若第一表项检测模块12检测到第一 ARP报文符合预设的防欺骗特征表项时,过滤第 一 ARP报文。具体地,本实施例中的所有模块所涉及的具体工作过程,可以参考上述地址解析 协 议报文的处理方法所涉及的相关实施例揭露的相关内容,在此不再赘述。本实施例的地址解析协议报文的处理装置,通过在接入设备的报文特征数据库中 设置防欺骗特征表项,用于指示对该接入设备的特权端口下接收到的发送方IP地址为冒 充合法终端的IP地址的ARP欺骗报文、以及发送方MAC地址为冒充合法终端的MAC地址的 ARP欺骗报文进行过滤,从而使得当非法终端欲通过未设置静态ARP检测功能的特权端口, 冒充合法终端对该接入设备的其他终端或网关设备发送ARP欺骗报文时,该特权端口能够 通过预设的防欺骗特征表项过滤掉该ARP欺骗报文,有效地防范了非法终端通过特权端口 冒充合法终端进行的ARP欺骗行为;进一步地,本发明的实现无需网关设备及用户主机的 参与,不增加接入设备的负担,网络配置简单,极大地提升了网络部署的灵活性、稳定性和 安全性。图4为本发明地址解析协议报文的处理装置实施例二的结构示意图,如图4所示, 在上述地址解析协议报文的处理装置实施例一的基础上,本实施例的地址解析协议报文的 处理装置还可以包括第二报文接收模块14、第二表项检测模块15、第三表项检测模块16 以及第二报文过滤模块17。其中,第二报文接收模块14用于通过非特权端口接收终端发送的第二 ARP报文; 第二表项检测模块15用于检测该第二 ARP报文是否符合非特权端口对应的静态ARP检测 表项,该静态ARP检测表项包括放行发送方IP地址和发送方MAC地址对应为非特权端口下 任一合法终端的IP地址与MAC地址的ARP报文,而非特权端口包括设置有静态ARP检测功 能的端口 ;第三表项检测模块16用于若第二表项检测模块15检测到第二 ARP报文不符合 静态ARP检测表项时,进一步地检测第二 ARP报文是否符合预设的防欺骗特征表项,以对所 述接入设备接收到的ARP欺骗攻击行为进行统计;而第二报文过滤模块17用于在第三表项 检测模块16对第二 ARP报文进行检测之后,过滤掉第二 ARP报文。进一步地,本实施例的地址解析协议报文的处理装置还可以包括地址提取模块 18和第一表项设置模块19、第二表项设置模块110以及优先级设置模块111。其中,地址提取模块18用于在第一报文接收模块11通过特权端口接收到第一 ARP报文之前,从接入设备的合法终端发送的认证信息中,或者通过DHCP安全特性技术从截获 到的合法终端发送的DHCP报文中,提取接入设备的合法终端对应的IP地址和MAC地址;第 一表项设置模块19用于根据地址提取模块18提取出的IP地址和MAC地址,在报文特征数 据库中,为特权端口设置对应的防欺骗特征表项。第二表项设置模块110用于在地址提取模块18提取出合法终端对应的IP地址和 MAC地址之后,根据提取出的IP地址和MAC地址,在报文特征数据库中,为非特权端口设置 对应的防欺骗特征表项;而优先级设置模块111则用于在非特权端口中,设置该防欺骗特 征表项的优先级别低于静态ARP检测表项。更进一步地,在本实施例中,地址解析协议报文的处 理装置还可以包括报文放行 模块112,用于若第一表项检测模块12检测到第一 ARP报文不符合预设的防欺骗特征表项 时,放行该第一 ARP报文。具体地,本实施例中的上述所有模块所涉及的具体工作过程,同样可以参考上述 地址解析协议报文的处理方法所涉及的相关实施例揭露的相关内容,在此不再赘述。本实施例的地址解析协议报文的处理装置,通过在接入设备为合法用户在对应端 口的报文特征数据库中设置静态ARP检测表项的同时,为该合法用户增添设置两条优先级 低于静态ARP检测表项的特征表项一条用于指示对全局所有端口下发送的发送方MAC地 址为冒充合法终端的MAC地址的ARP欺骗报文进行过滤,另一条用于指示对全局所有端口 下发送的发送方IP地址为冒充合法终端的IP地址的ARP欺骗报文进行过滤,从而有效地 防止了非法终端通过交换机未设置ARP检测功能的特权端口,冒充合法终端对接入设备下 其他终端或网关进行的ARP欺骗攻击;进一步地,本发明的实现无需网关设备及用户主机 的参与,不增加接入交换机的负担,网络配置简单,极大地提升了网络部署的灵活性、稳定 性和安全性。图5为本发明接入设备实施例的结构示意图,如图5所示,本实施例的接入设备 包括接入模块1以及与接入模块1连接的地址解析协议报文的处理装置2。具体地,本实 施例的接入设备可以为接入交换机或接入路由器等路由设备。其中,接入模块1用于对接 入的客户终端进行认证,以将客户终端接入至服务器中,而地址解析协议报文的处理装置2 所包含的所有模块,以及各模块所涉及的具体工作过程,则可以参考上述地址解析协议报 文的处理方法以及地址解析协议报文的处理装置所涉及的相关实施例揭露的相关内容,在 此不再赘述。本实施例的接入设备,通过在接入设备的报文特征数据库中设置防欺骗特征表 项,用于指示对该接入设备的特权端口下接收到的发送方IP地址为冒充合法终端的IP地 址的ARP欺骗报文、以及发送方MAC地址为冒充合法终端的MAC地址的ARP欺骗报文进行 过滤,从而使得当非法终端欲通过未设置静态ARP检测功能的特权端口,冒充合法终端对 该接入设备的其他终端或网关设备发送ARP欺骗报文时,该特权端口能够通过预设的防欺 骗特征表项过滤掉该ARP欺骗报文,有效地防范了非法终端通过特权端口冒充合法终端进 行的ARP欺骗行为;进一步地,本发明的实现无需网关设备及用户主机的参与,不增加接入 设备的负担,网络配置简单,极大地提升了网络部署的灵活性、稳定性和安全性。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽 管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改 ,或者对其中部分技术特征进行等同替 换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精 神和范围。
权利要求
一种地址解析协议报文的处理方法,其特征在于,包括当接入设备通过特权端口接收到终端发送的第一ARP报文时,检测所述第一ARP报文是否符合所述接入设备预设的防欺骗特征表项,所述防欺骗特征表项包括过滤发送方IP地址为所述接入设备的任一合法终端的IP地址的ARP报文,以及过滤发送方MAC地址为所述任一合法终端的MAC地址的ARP报文,所述特权端口包括未设置静态ARP检测功能的端口;若检测到所述第一ARP报文符合所述预设的防欺骗特征表项,则过滤所述第一ARP报文。
2.根据权利要求1所述的地址解析协议报文的处理方法,其特征在于,所述方法还包括当所述接入设备通过非特权端口接收到终端发送的第二 ARP报文时,检测所述第二 ARP报文是否符合与所述非特权端口对应的静态ARP检测表项,所述静态ARP检测表项包括 放行发送方IP地址和发送方MAC地址对应为所述非特权端口下任一合法终端的IP地址与 MAC地址的ARP报文,所述非特权端口包括设置有静态ARP检测功能的端口 ;若所述第二 ARP报文不符合所述静态ARP检测表项,则检测所述第二 ARP报文是否符 合所述预设的防欺骗特征表项,以对所述接入设备接收到的ARP欺骗攻击行为进行统计, 并过滤所述第二 ARP报文。
3.根据权利要求1或2所述的地址解析协议报文的处理方法,其特征在于,所述接入设 备通过特权端口接收到终端发送的第一 ARP报文之前,所述方法还包括从所述接入设备的合法终端发送的认证信息中,或者通过DHCP安全特性技术从截获 到的所述合法终端发送的DHCP报文中,提取所述接入设备的合法终端对应的IP地址和MAC 地址;根据提取出的所述IP地址和MAC地址,在所述接入设备的报文特征数据库中,为所述 特权端口设置对应的所述防欺骗特征表项。
4.根据权利要求3所述的地址解析协议报文的处理方法,其特征在于,所述提取所述 接入设备的合法终端对应的IP地址和MAC地址之后,所述方法还包括根据提取出的所述IP地址和MAC地址,在所述报文特征数据库中,为所述非特权端口 设置对应的所述防欺骗特征表项;在所述非特权端口中,设置所述防欺骗特征表项的优先级别低于所述静态ARP检测表项。
5.根据权利要求1所述的地址解析协议报文的处理方法,其特征在于,所述方法还包括若检测到所述第一 ARP报文不符合所述预设的防欺骗特征表项,则放行所述第一 ARP 报文。
6.一种地址解析协议报文的处理装置,其特征在于,包括第一报文接收模块,用于通过特权端口接收终端发送的第一 ARP报文; 第一表项检测模块,用于检测所述第一 ARP报文是否符合接入设备预设的防欺骗特征 表项,所述防欺骗特征表项包括过滤发送方IP地址为所述接入设备的任一合法终端的IP 地址的ARP报文,以及过滤发送方MAC地址为所述任一合法终端的MAC地址的ARP报文,所述特权端口包括未设置静态ARP检测功能的端口 ;第一报文过滤模块,用于若所述第一表项检测模块检测到所述第一 ARP报文符合所述 预设的防欺骗特征表项,则过滤所述第一 ARP报文。
7.根据权利要求6所述的地址解析协议报文的处理装置,其特征在于,所述装置还包括第二报文接收模块,用于通过非特权端口接收终端发送的第二 ARP报文; 第二表项检测模块,用于检测所述第二 ARP报文是否符合与所述非特权端口对应的静 态ARP检测表项,所述静态ARP检测表项包括放行发送方IP地址和发送方MAC地址对应为 所述非特权端口下任一合法终端的IP地址与MAC地址的ARP报文,所述非特权端口包括设 置有静态ARP检测功能的端口 ;第三表项检测模块,用于若所述第二表项检测模块检测到所述第二 ARP报文不符合所 述静态ARP检测表项,则检测所述第二 ARP报文是否符合所述预设的防欺骗特征表项,以对 所述接入设备接收到的ARP欺骗攻击行为进行统计;第二报文过滤模块,用于在所述第三表项检测模块对所述第二 ARP报文进行检测之 后,过滤所述第二 ARP报文。
8.根据权利要求6或7所述的地址解析协议报文的处理装置,其特征在于,所述装置还 包括地址提取模块,用于在所述第一报文接收模块通过所述特权端口接收到所述第一 ARP 报文之前,从所述接入设备的合法终端发送的认证信息中,或者通过DHCP安全特性技术从 截获到的所述合法终端发送的DHCP报文中,提取所述接入设备的合法终端对应的IP地址 和MAC地址;第一表项设置模块,用于根据提取出的所述IP地址和MAC地址,在报文特征数据库中, 为所述特权端口设置对应的所述防欺骗特征表项。
9.根据权利要求8所述的地址解析协议报文的处理装置,其特征在于,所述装置还包括第二表项设置模块,用于在所述地址提取模块提取所述接入设备的合法终端对应的IP 地址和MAC地址之后,根据提取出的所述IP地址和MAC地址,在所述报文特征数据库中,为 所述非特权端口设置对应的所述防欺骗特征表项;优先级设置模块,用于在所述非特权端口中,设置所述防欺骗特征表项的优先级别低 于所述静态ARP检测表项。
10.根据权利要求6所述的地址解析协议报文的处理装置,其特征在于,所述装置还包括报文放行模块,用于若所述第一表项检测模块检测到所述第一 ARP报文不符合所述预 设的防欺骗特征表项时,放行所述第一 ARP报文。
11.一种接入设备,包括接入模块,其特征在于,还包括如权利要求6 10任一所述 的地址解析协议报文的处理装置,所述地址解析协议报文的处理装置与所述接入模块连接。
全文摘要
本发明提供一种地址解析协议报文的处理方法、装置及接入设备,方法包括当接入设备通过特权端口接收到终端发送的ARP报文时,检测ARP报文是否符合接入设备预设的防欺骗特征表项,该防欺骗特征表项包括过滤发送方IP地址为接入设备的任一合法终端的IP地址的ARP报文,以及发送方MAC地址为任一合法终端的MAC地址的ARP报文,该特权端口包括未设置静态ARP检测功能的端口;若检测到ARP报文符合防欺骗特征表项,则过滤该ARP报文。本发明有效地防范了非法终端通过特权端口冒充合法终端进行的ARP欺骗行为;而且本发明的实现无需网关设备及用户主机的参与,网络配置简单,提升了网络部署的灵活性、稳定性和安全性。
文档编号H04L12/56GK101888329SQ20101015917
公开日2010年11月17日 申请日期2010年4月28日 优先权日2010年4月28日
发明者张炯煌 申请人:北京星网锐捷网络技术有限公司