一种防御ARP攻击的方法及装置与流程

本申请涉及通信
技术领域：
：，特别涉及防御ARP攻击的方法及装置。
背景技术：
：：在网络通信中，IP(InternetProtocol，互联网协议)地址是IP协议在网际范围标识网络主机的一种逻辑地址。在网络层，每个网络主机在通信时都会被分配一个IP地址，以此来屏蔽物理地址的差异。但在链路层，数据帧要被准确送达需要知道的是网络主机的MAC(MediaAccessControl，媒体访问控制)地址。这就需要应用ARP(AddressResolutionProtocol，地址解析协议)，将网络主机的IP地址解析为其对应的MAC地址。ARP的建立是依靠本机接收其它网络主机的ARP报文，将其它网络主机ARP报文中的源IP地址与源MAC地址的对应关系记入本机的ARP缓存实现的。然而，随着计算机通信网技术的不断发展，ARP攻击也随之出现，ARP泛洪攻击就是一种常见的ARP攻击。攻击者利用网络主机ARP缓存有限的特点，不断向某一网络主机发送伪造的ARP报文，使网络主机ARP缓存溢出。这样，合法用户的ARP报文就不能在被攻击网络主机的ARP缓存生成有效的ARP，导致被攻击网络主机与合法用户的正常通信中断。现有的防御ARP攻击技术，通过在网络主机中对相同源IP或相同源MAC的ARP报文的接收数量以及接收速度进行限制，在一定程度上避免了网络主机的ARP缓存溢出。但攻击者仍然可以通过修改源IP或源MAC的方式，绕过网络主机对攻击者ARP报文的接收数量以及接收速度的限制，持续进行ARP攻击，导致网络主机的ARP缓存溢出。可见，现有技术防御ARP攻击的性能较差。技术实现要素：本发明实施例提供防御ARP攻击的方法和装置，用于解决现有技术防御ARP攻击的性能较差的问题。根据本发明实施例的第一方面，提供一种防御ARP攻击的方法，其特征在于，所述方法应用于网络主机，所述网络主机上预先设置有ARP高位表和ARP低位表，所述ARP高位表用于保存所述网络主机主动获取的地址对应关系，所述ARP低位表用于保存所述网络主机被动接收的地址对应关系，每组地址对应关系为：1个源IP地址与1个源MAC地址的对应关系；当任一组对应关系的被写入表中时，为该组对应关系设置对应于该表的老化时间，当老化时间到达时，将该组对应关系从其所在的表中删除，其中，对应于低位表的老化时间少于对应于高位表的老化时间，所述方法包括：接收ARP报文，所述ARP报文包含目标对应关系，所述目标对应关系为：所述ARP报文的源IP地址与源MAC地址的对应关系；在所述ARP高位表查找所述目标对应关系，其中，所述ARP高位表中的高位表老化时间的设置需要保障ARP所述网络主机的IP地址解析需求；如果未在所述ARP高位表中找到所述目标对应关系，则在所述ARP低位表中查找所述目标对应关系；如果未在所述ARP低位表中找到所述目标对应关系，则在所述ARP低位表中写入所述目标对应关系。根据本发明实施例的第二方面，提供一种防御ARP攻击的装置，其特征在于，所述装置应用于网络主机，所述网络主机上预先设置有ARP高位表和ARP低位表，所述ARP高位表用于保存所述网络主机主动获取的地址对应关系，所述ARP低位表用于保存所述网络主机被动接收的地址对应关系，每组地址对应关系为：1个源IP地址与1个源MAC地址的对应关系；当任一组对应关系的被写入表中时，为该组对应关系设置对应于该表的老化时间，当老化时间到达时，将该组对应关系从其所在的表中删除，其中，对应于低位表的老化时间少于对应于高位表的老化时间，所述装置包括：接收单元，用于接收ARP报文，所述ARP报文包含目标对应关系，所述目标对应关系为：所述ARP报文的源IP地址与源MAC地址的对应关系；高位表查找单元，用于在所述ARP高位表查找所述目标对应关系，其中，所述ARP高位表中的高位表老化时间的设置需要保障ARP所述网络主机的IP地址解析需求；低位表查找单元，用于在所述高位表查找单元未在所述ARP高位表中找到所述目标对应关系的情况下，则在所述ARP低位表中查找所述目标对应关系；写入单元，用于如果所述低位表查找单元未在所述ARP低位表中找到所述目标对应关系，则在所述ARP低位表中写入所述目标对应关系。由以上技术方案可见，本发明实施例通过使用从ARP缓存中区分出的ARP高位表和ARP低位表，将所述网络主机主动获取的地址对应关系以及所述网络主机被动接收的地址对应关系分开保存，并设置不同的老化时间，实现了对不同等级的ARP的分开管理。当遇到ARP泛洪攻击时，可以通过ARP低位表更低的老化时间快速删除所述网络主机被动接收的地址对应关系，提高网络主机ARP缓存的利用率。因此，本发明实施例提高了网络主机防御ARP攻击的性能。附图说明图1为本发明实施例防御ARP攻击的方法的一个应用场景示意图；图2为本发明防御ARP攻击的方法的一个实施例流程图；图3为本发明防御ARP攻击的方法的另一个实施例流程图；图4为本发明防御ARP攻击的装置所在设备的一种硬件结构图；图5为本发明防御ARP攻击的装置的一个实施例框图。具体实施方式为了使本
技术领域：
：的人员更好的理解本发明实施例中的技术方案，并使本发明实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明实施例中的技术方案作进一步详细的说明。图1为本发明实施例软件的测试方法的一个应用场景示意图。如图1所示，该应用场景中包括：网络主机、PC1、PC2以及PC3。其中，所示PC1与PC2为正常用户，PC3为泛洪攻击的攻击者。PC1、PC2以及PC3都与网络主机直接相连，可以与网络主机直接通信。网络主机、PC1、PC2以及PC3都具有有限的ARP缓存。当网络主机、PC1、PC2以及PC3接收到ARP报文时，会将该ARP报文中的源IP地址与源MAC地址的对应关系记入本机的ARP缓存。以对图1中所示网络主机进行ARP泛洪攻击的防御为例，现有技术通过在网络主机中对相同源IP或相同源MAC的ARP报文的接收数量以及接收速度进行限制，在一定程度上避免了攻击者PC3向网络主机发送大量的源IP或源MAC不断变化的ARP报文以使网络主机的ARP缓存溢出。但攻击者PC3仍然可以通过修改源IP或源MAC的方式，绕过网络主机对攻击者ARP报文的接收数量以及接收速度的限制，持续进行ARP攻击，导致网络主机的ARP缓存溢出。可见，现有技术防御ARP攻击的性能较差。本发明实施例通过使用从网络主机ARP缓存中区分出的ARP高位表和ARP低位表，将所示网络主机主动获取的地址对应关系以及所示网络主机被动接收的地址对应关系分开保存，并设置不同的老化时间，实现了对不同等级的ARP的分开管理。当攻击者PC3对网络主机进行泛洪攻击时，网络主机可以通过ARP低位表更低的老化时间快速删除其被动接收的地址对应关系，提高其ARP缓存的利用率。因此，本发明实施例提高了网络主机防御ARP攻击的性能。下面结合图1示出的应用场景，对本发明实施例进行详细说明。参见图2，图2为本发明防御ARP攻击的方法的一个实施例流程图，该实施例应用于网络主机，包括以下步骤：步骤201：接收ARP报文，所述ARP报文包含目标对应关系，所述目标对应关系为：所述ARP报文的源IP地址与源MAC地址的对应关系。本步骤中，网络主机在接收上述ARP报文前，预先设置有ARP高位表和ARP低位表，ARP高位表用于保存该网络主机主动获取的地址对应关系，ARP低位表用于保存该网络主机被动接收的地址对应关系，每组地址对应关系为：1个源IP地址与1个源MAC地址的对应关系；当任一组对应关系的被写入表中时，为该组对应关系设置对应于该表的老化时间，当老化时间到达时，将该组对应关系从其所在的表中删除，其中，对应于低位表的老化时间少于对应于高位表的老化时间。在一个可选的方式中，上述低位表老化时间与上述ARP报文的接收频率负相关，即：当上述网络主机的接收ARP报文的频率升高时，就将上述低位表老化时间降低。例如：可以将网络主机的接收ARP报文的频率与低位表老化时间设置为一个反比例函数，令网络主机的接收ARP报文的频率与低位表老化时间的乘积为一个固定值，根据当前网络主机的接收ARP报文的频率实时计算得出对应的低位表老化时间。步骤202：在所述ARP高位表查找所述目标对应关系，其中，所述ARP高位表中的高位表老化时间的设置需要保障所述网络主机的IP地址解析需求。在一个可选的方式中，在接收上述ARP报文后，验证上述ARP报文的源IP地址与源MAC地址的对应关系、目的IP地址与目的MAC地址的对应关系是否正确；如果该验证的结果都为正确，则继续在ARP高位表查找所述目标对应关系；如果该验证的结果不都为正确，则丢弃上述ARP报文，流程终止。在另一个可选的方式中，如果上述网络主机为交换机，则在验证上述ARP报文的源IP地址与源MAC地址的对应关系、目的IP地址与目的MAC地址的对应关系是否正确后，判断上述ARP报文的目的IP地址与目的MAC地址是否为本机；如果上述ARP报文的目的IP地址与目的MAC地址为本机，则继续在上述ARP高位表查找目标对应关系；如果上述ARP报文的目的IP地址与目的MAC地址不为本机，则按照上述ARP报文的目的IP地址与目的MAC地址转发该ARP报文。步骤203：如果未在所述ARP高位表中找到所述目标对应关系，则在所述ARP低位表中查找所述目标对应关系。在一个可选的方式中，如果在上述ARP高位表中找到目标对应关系，则重新为找到的对应关系设置高位表老化时间；如果未在上述ARP高位表中找到所述目标对应关系，且上述ARP报文为上述网络主机主动发出的ARP请求的回应报文，则在上述ARP高位表中写入该目标对应关系。步骤204：如果未在所述ARP低位表中找到所述目标对应关系，则在所述ARP低位表中写入所述目标对应关系。如果在上述ARP低位表中找到目标对应关系，则重新为找到的对应关系设置低位表老化时间。由以上实施例可见，该实施例通过使用从ARP缓存中区分出的ARP高位表和ARP低位表，将所述网络主机主动获取的地址对应关系以及所述网络主机被动接收的地址对应关系分开保存，并设置不同的老化时间，实现了对不同等级的ARP的分开管理。当遇到ARP泛洪攻击时，可以通过ARP低位表更低的老化时间快速删除所述网络主机被动接收的地址对应关系，提高网络主机ARP缓存的利用率。因此，本发明实施例提高了网络主机防御ARP攻击的性能。参见图3，图3为本发明防御ARP攻击的方法的另一个实施例流程图，该实施例中，假设上述网络主机为交换机，从交换机侧对防御ARP攻击的过程进行了详细描述，包括以下步骤：步骤301：接收ARP报文，该ARP报文包含目标对应关系，所述目标对应关系为：该ARP报文的源IP地址与源MAC地址的对应关系。本步骤中，交换机在接收上述ARP报文前，预先设置有ARP高位表和ARP低位表，ARP高位表用于保存该交换机主动获取的地址对应关系，ARP低位表用于保存该交换机被动接收的地址对应关系，每组地址对应关系为：1个源IP地址与1个源MAC地址的对应关系；当任一组对应关系的被写入表中时，为该组对应关系设置对应于该表的老化时间，当老化时间到达时，将该组对应关系从其所在的表中删除，其中，对应于低位表的老化时间少于对应于高位表的老化时间。步骤302：验证上述ARP报文的源IP地址与源MAC地址的对应关系、目的IP地址与目的MAC地址的对应关系是否正确，如果是，则执行步骤304，如果否则执行步骤303。在一个可选的例子中，可以在交换机中预设ARPtable表，该ARPtable表用于记录上述ARP报文的源IP地址与源MAC地址的对应关系、目的IP地址与目的MAC地址的对应关系，当上述ARP报文的源IP地址与源MAC地址的对应关系、目的IP地址与目的MAC地址的对应关系被ARPtable表记录后，可以立即对记录的对应关系进行验证。如果未通过验证，则从上述ARPtable表删除该对应关系。在另一个可选的例子中，上述验证过程包括：分别向上述源IP地址与源MAC地址以及目的IP地址与目的MAC地址发送ARP请求报文进行验证；如果只得到一个验证回应，则判定该ARP报文的源IP地址与源MAC地址的对应关系、目的IP地址与目的MAC地址的对应关系为错误；如果只得到两个验证回应，则再向上述源IP地址与源MAC地址以及目的IP地址与目的MAC地址进行ICMP(InternetControlMessage，控制报文协议)请求报文验证，如果发送的ICMP请求报文都得到回应则判定该ARP报文的源IP地址与源MAC地址的对应关系、目的IP地址与目的MAC地址的对应关系为正确。步骤303：丢弃上述ARP报文，然后执行步骤312。步骤304：判断上述ARP报文的目的IP地址与目的MAC地址是否为本机，如果是则执行步骤306，否则执行步骤305。步骤305：按照上述ARP报文的目的IP地址与目的MAC地址转发该ARP报文，然后执行步骤312。步骤306：在交换机的ARP高位表查找上述目标对应关系，如果找到则执行步骤310，如果未找到则执行步骤307。本步骤中，上述ARP高位表中的高位表老化时间的设置需要保障该交换机的IP地址解析需求。步骤307：判断上述ARP报文是否为该网络主机主动发出的ARP请求的回应报文，如果是则执行步骤308，如果否则执行步骤309。步骤308：在上述ARP高位表中写入上述目标对应关系，并为其设置高位表老化时间，然后执行步骤312。在一个可选的方式中，管理人员可以根据需求将保存在高位表中的目标对应关系更改到低位表，并为其设置低位表老化时间。步骤309：在交换机的ARP低位表查找上述目标对应关系，如果找到则执行步骤310，如果未找到则执行步骤311。步骤310：重新为上述找到的对应关系设置对应于该表的老化时间，然后执行步骤312。步骤311：在上述ARP低位表中写入上述目标对应关系，并为其设置低位表老化时间。在一个可选的方式中，管理人员可以根据需求将保存在低位表中的目标对应关系更改到高位表，并为其设置高位表老化时间。步骤312：等待接收下一个ARP报文。由以上实施例可见，一方面该实施例通过使用从ARP缓存中区分出的ARP高位表和ARP低位表，将所述交换机主动获取的地址对应关系以及所述网络主机被动接收的地址对应关系分开保存，并设置不同的老化时间，实现了对不同等级的ARP的分开管理。当遇到ARP泛洪攻击时，可以通过ARP低位表更低的老化时间快速删除所述交换机被动接收的地址对应关系，提高交换机ARP缓存的利用率。因此，本发明实施例提高了交换机防御ARP攻击的性能；另一方面，该实施例在接收ARP报文后即对所接收的ARP报文的地址对应关系的正确性进行验证，本机ARP缓存只保存通过正确性验证的地址对应关系，当遇到ARP泛洪攻击时，可以排除掉攻击者发布的虚假的地址对应关系，避免本机有限ARP缓存被虚假的地址对应关系锁占用，进一步提高了交换机防御ARP泛洪攻击的性能；再一方面，由于该实施例在接收ARP报文后即对所接收的ARP报文的地址对应关系的正确性进行验证，交换机只转发通过正确性验证的ARP报文，当攻击者通过交换机进行ARP欺骗攻击时，该攻击者的ARP报文将被交换机丢弃，可见，本发明实施例可以使交换机具有防御ARP欺骗攻击的能力。下面通过一个具体的应用实例对本发明实施例进行说明，该应用实例结合图1示出的应用场景进行描述，假设该场景中的网络主机为交换机，其中，假设交换机、PC1、PC2以及PC3的IP地址和MAC地址如表1所示：设备IP地址MAC地址PC1192.168.0.10000-0000-0001PC2192.168.0.20000-0000-0002PC3192.168.0.30000-0000-0003交换机192.168.0.40000-0000-0004攻击者PC3将通过交换机对PC1和PC2进行ARP欺骗攻击，攻击报文分别为ARP-1以及ARP-2；攻击者PC3还将对交换机进行ARP泛洪攻击，攻击报文为ARP-0001至ARP-9999，如表2所示：报文名称攻击对象源IP源MAC目的IP目的MACARP-1PC1192.168.0.20000-0000-0003192.168.0.10000-0000-0001ARP-2PC2192.168.0.10000-0000-0003192.168.0.20000-0000-0002ARP-0001交换机192.168.0.30000-0000-0003192.168.0.40000-0000-0004ARP-0002交换机192.168.0.60000-0000-0001192.168.0.40000-0000-0004ARP-0003交换机192.168.7.70000-0000-0077192.168.0.40000-0000-0004..............................................................................ARP-9999交换机192.168.0.2510000-0000-9999192.168.0.40000-0000-0004假设交换机预先设置有ARP高位表和ARP低位表，ARP高位表用于保存该交换机主动获取的地址对应关系，ARP低位表用于保存该交换机被动接收的地址对应关系，每组地址对应关系为：1个源IP地址与1个源MAC地址的对应关系；当任一组对应关系的被写入表中时，为该组对应关系设置对应于该表的老化时间，当老化时间到达时，将该组对应关系从其所在的表中删除，其中，高位表的老化时间为30分钟，低位表的老化时间为5分钟。具体防御过程如下：交换机接收到攻击者PC3发送给本机的ARP报文(如表2所示)，以及交换机主动发给PC1的ARP请求的回应报文ARP-Res01后，依次在预先设置的ARPtable中查找所接收的ARP报文以及回应报文的源IP地址与源MAC地址的对应关系、目的IP地址与目的MAC地址的对应关系，如果找到则进行后续流程；如果未找到，则依次将上述地址对应关系记录在预先设置的ARPtable中，每记录一个ARP报文的地址对应关系便立即对记录的地址对应关系进行验证。以报文ARP-1为例，具体验证过程如下:1.分别向上述源IP地址192.168.0.2与源MAC地址0000-0000-0003以及目的IP地址192.168.0.1与目的MAC地址0000-0000-0001发送ARP请求报文进行验证；2.只得到IP地址192.168.0.1、MAC地址0000-0000-0001的验证回应，判定报文ARP-1的地址的对应关系为错误，从上述ARPtable表删除该地址对应关系同时删除报文ARP-1；(在该过程中，如果得到两个验证回应，则再向上述源IP地址与源MAC地址以及目的IP地址与目的MAC地址进行ICMP请求报文验证，如果发送的ICMP请求报文都得到回应则判定报文ARP-1的源IP地址与源MAC地址的对应关系、目的IP地址与目的MAC地址的对应关系为正确。如果发送的ICMP请求报文并未都得到回应，则判定上述源IP地址与源MAC地址的对应关系、目的IP地址与目的MAC地址的对应关系为错误，并从上述ARPtable表删除该地址对应关系同时删除报文ARP-1。)经过上述验证，只有报文ARP-0001以及ARP-Res01被保留，交换机判断报文ARP-0001以及ARP-Res01目的IP地址与目的MAC地址是否为本机，判断结果为是；交换机继续判断报文ARP-0001以及ARP-Res01的源IP地址与源MAC地址的对应关系是否在上述ARP高位表中，判断结果为否；交换机继续判断报文ARP-0001以及ARP-Res01是否为该网络主机主动发出的ARP请求的回应报文，ARP-0001的判断结果为否，ARP-Res01的判断结果为是；交换机在上述ARP高位表中写入报文ARP-Res01的源IP地址与源MAC地址的对应关系，并为其设置高位表老化时间，当老化时间到达时，删除报文ARP-Res01的源IP地址与源MAC地址的对应关系交换机继续判断报文ARP-0001的源IP地址与源MAC地址的对应关系是否在上述ARP低位表中，判断结果为否；交换机在上述ARP低位表中写入报文ARP-0001的源IP地址与源MAC地址的对应关系，并为其设置低位表老化时间，当老化时间到达时，删除报文ARP-0001的源IP地址与源MAC地址的对应关系。与前述防御ARP攻击的方法的实施例相对应，本申请还提供了防御ARP攻击的装置的实施例。本申请防御ARP攻击的装置的实施例可以应用在网络主机上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图4所示，为本申请防御ARP攻击的装置所在设备的一种硬件结构图，除了图4所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的设备通常根据该设备的实际功能，还可以包括其他硬件，对此不再赘述。请参考图5，为本发明防御ARP攻击的装置的一个实施例框图，所述装置应用于网络主机，所述网络主机上预先设置有ARP高位表和ARP低位表，所述ARP高位表用于保存所述网络主机主动获取的地址对应关系，所述ARP低位表用于保存所述网络主机被动接收的地址对应关系，每组地址对应关系为：1个源IP地址与1个源MAC地址的对应关系；当任一组对应关系的被写入表中时，为该组对应关系设置对应于该表的老化时间，当老化时间到达时，将该组对应关系从其所在的表中删除，其中，对应于低位表的老化时间少于对应于高位表的老化时间，所述装置包括：接收单元510，高位表查找单元520，低位表查找单元530，写入单元540。其中，接收单元510，用于接收ARP报文，所述ARP报文包含目标对应关系，所述目标对应关系为：所述ARP报文的源IP地址与源MAC地址的对应关系；高位表查找单元520，用于在所述ARP高位表查找所述目标对应关系，其中，所述ARP高位表中的高位表老化时间的设置需要保障ARP所述网络主机的IP地址解析需求；低位表查找单元530，用于在所述高位表查找单元未在所述ARP高位表中找到所述目标对应关系的情况下，则在所述ARP低位表中查找所述目标对应关系；写入单元540，用于如果所述低位表查找单元未在所述ARP低位表中找到所述目标对应关系，则在所述ARP低位表中写入所述目标对应关系。由以上实施例可见，该实施例通过使用从ARP缓存中区分出的ARP高位表和ARP低位表，将所述网络主机主动获取的地址对应关系以及所述网络主机被动接收的地址对应关系分开保存，并设置不同的老化时间，实现了对不同等级的ARP的分开管理。当遇到ARP泛洪攻击时，可以通过ARP低位表更低的老化时间快速删除所述网络主机被动接收的地址对应关系，提高网络主机ARP缓存的利用率。因此，本发明实施例提高了网络主机防御ARP攻击的性能。在一个可选的例子中，所述装置还包括(图5中未示出)：老化时间设置单元。老化时间设置单元，用于如果所述高位表查找单元在所述ARP高位表或ARP低位表中找到所述目标对应关系，则重新为所述找到的对应关系设置对应于该表的老化时间；所述写入单元540，还用于如果所述高位表查找单元未在所述ARP高位表中找到所述目标对应关系，且所述ARP报文为所述网络主机主动发出的ARP请求的回应报文，则在所述ARP高位表中写入所述目标对应关系。在另一个可选的例子中，所述低位表老化时间与所述ARP报文的接收频率负相关。在另一个可选的例子中，所述装置还包括(图5中未示出)：ARP报文验证单元。ARP报文验证单元，用于在所述接收单元接收所述ARP报文后，验证所述ARP报文的源IP地址与源MAC地址的对应关系、目的IP地址与目的MAC地址的对应关系是否正确；如果所述验证的结果都为正确，则继续执行所述在所述ARP高位表查找所述目标对应关系的步骤；如果所述验证的结果不都为正确，则丢弃所述ARP报文。在另一个可选的例子中，所述网络主机，包括：交换机。所述装置还包括(图5中未示出)：地址判断单元，ARP报文转发单元。其中，地址判断单元，用于在所述ARP报文验证单元验证所述ARP报文的源IP地址与源MAC地址的对应关系、目的IP地址与目的MAC地址的对应关系是否正确后，判断所述ARP报文的目的IP地址与目的MAC地址是否为本机，如果所述ARP报文的目的IP地址与目的MAC地址为本机，则继续执行所述在所述ARP高位表查找所述目标对应关系的步骤；ARP报文转发单元，用于如果所述地址判断单元判断所述ARP报文的目的IP地址与目的MAC地址不为本机，则按照所述ARP报文的目的IP地址与目的MAC地址转发所述ARP报文。由以上实施例可见，一方面该实施例通过使用从ARP缓存中区分出的ARP高位表和ARP低位表，将所述网络主机主动获取的地址对应关系以及所述网络主机被动接收的地址对应关系分开保存，并设置不同的老化时间，实现了对不同等级的ARP的分开管理。当遇到ARP泛洪攻击时，可以通过ARP低位表更低的老化时间快速删除所述网络主机被动接收的地址对应关系，提高网络主机ARP缓存的利用率。因此，本发明实施例提高了网络主机防御ARP攻击的性能；另一方面，该实施例在接收ARP报文后即对所接收的ARP报文的地址对应关系的正确性进行验证，本机ARP缓存只保存通过正确性验证的地址对应关系，当遇到ARP泛洪攻击时，可以排除掉攻击者发布的虚假的地址对应关系，避免本机有限ARP缓存被虚假的地址对应关系锁占用，进一步提高了网络主机防御ARP泛洪攻击的性能；再一方面，由于该实施例在接收ARP报文后即对所接收的ARP报文的地址对应关系的正确性进行验证，交换机只转发通过正确性验证的ARP报文，当攻击者通过交换机进行ARP欺骗攻击时，该攻击者的ARP报文将被交换机丢弃，可见，本发明实施例可以使交换机具有防御ARP欺骗攻击的能力。上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。当前第1页1 2 3 当前第1页1 2 3