一种防御ARP攻击的方法及装置与流程

技术特征：

1.一种防御ARP攻击的方法，其特征在于，所述方法应用于网络主机，所述网络主机上预先设置有ARP高位表和ARP低位表，所述ARP高位表用于保存所述网络主机主动获取的地址对应关系，所述ARP低位表用于保存所述网络主机被动接收的地址对应关系，每组地址对应关系为：1个源IP地址与1个源MAC地址的对应关系；当任一组对应关系的被写入表中时，为该组对应关系设置对应于该表的老化时间，当老化时间到达时，将该组对应关系从其所在的表中删除，其中，对应于低位表的老化时间少于对应于高位表的老化时间，所述方法包括：

接收ARP报文，所述ARP报文包含目标对应关系，所述目标对应关系为：所述ARP报文的源IP地址与源MAC地址的对应关系；

在所述ARP高位表查找所述目标对应关系，其中，所述ARP高位表中的高位表老化时间的设置需要保障ARP所述网络主机的IP地址解析需求；

如果未在所述ARP高位表中找到所述目标对应关系，则在所述ARP低位表中查找所述目标对应关系；

如果未在所述ARP低位表中找到所述目标对应关系，则在所述ARP低位表中写入所述目标对应关系。

2.根据权利要求1所述的方法，其特征在于，还包括：

如果在所述ARP高位表或ARP低位表中找到所述目标对应关系，则重新为所述找到的对应关系设置对应于该表的老化时间；

如果未在所述ARP高位表中找到所述目标对应关系，且所述ARP报文为所述网络主机主动发出的ARP请求的回应报文，则在所述ARP高位表中写入所述目标对应关系。

3.根据权利要求1或2所述的方法，其特征在于，还包括：

所述低位表老化时间与所述ARP报文的接收频率负相关。

4.根据权利要求3所述的方法，其特征在于，还包括：

在接收所述ARP报文后，验证所述ARP报文的源IP地址与源MAC地址的对应关系、目的IP地址与目的MAC地址的对应关系是否正确；

如果所述验证的结果都为正确，则继续执行所述在所述ARP高位表查找所述目标对应关系的步骤；

如果所述验证的结果不都为正确，则丢弃所述ARP报文。

5.根据权利要求4所述的方法，其特征在于，

所述网络主机，包括：交换机；

所述方法还包括：

在验证所述ARP报文的源IP地址与源MAC地址的对应关系、目的IP地址与目的MAC地址的对应关系是否正确后，判断所述ARP报文的目的IP地址与目的MAC地址是否为本机；

如果所述ARP报文的目的IP地址与目的MAC地址为本机，则继续执行所述在所述ARP高位表查找所述目标对应关系的步骤；

如果所述ARP报文的目的IP地址与目的MAC地址不为本机，则按照所述ARP报文的目的IP地址与目的MAC地址转发所述ARP报文。

6.一种防御ARP攻击的装置，其特征在于，所述装置应用于网络主机，所述网络主机上预先设置有ARP高位表和ARP低位表，所述ARP高位表用于保存所述网络主机主动获取的地址对应关系，所述ARP低位表用于保存所述网络主机被动接收的地址对应关系，每组地址对应关系为：1个源IP地址与1个源MAC地址的对应关系；当任一组对应关系的被写入表中时，为该组对应关系设置对应于该表的老化时间，当老化时间到达时，将该组对应关系从其所在的表中删除，其中，对应于低位表的老化时间少于对应于高位表的老化时间，所述装置包括：

接收单元，用于接收ARP报文，所述ARP报文包含目标对应关系，所述目标对应关系为：所述ARP报文的源IP地址与源MAC地址的对应关系；

高位表查找单元，用于在所述ARP高位表查找所述目标对应关系，其中，所述ARP高位表中的高位表老化时间的设置需要保障ARP所述网络主机的IP地址解析需求；

低位表查找单元，用于在所述高位表查找单元未在所述ARP高位表中找到所述目标对应关系的情况下，在所述ARP低位表中查找所述目标对应关系；

写入单元，用于如果所述低位表查找单元未在所述ARP低位表中找到所述目标对应关系，则在所述ARP低位表中写入所述目标对应关系。

7.根据权利要求6所述的装置，其特征在于，还包括：

老化时间设置单元，用于如果所述高位表查找单元在所述ARP高位表或ARP低位表中找到所述目标对应关系，则重新为所述找到的对应关系设置对应于该表的老化时间；

所述写入单元，还用于如果所述高位表查找单元未在所述ARP高位表中找到所述目标对应关系，且所述ARP报文为所述网络主机主动发出的ARP请求的回应报文，则在所述ARP高位表中写入所述目标对应关系。

8.根据权利要求6或7所述的装置，其特征在于，还包括：

所述低位表老化时间与所述ARP报文的接收频率负相关。

9.根据权利要求8所述的装置，其特征在于，还包括：

ARP报文验证单元，用于在所述接收单元接收所述ARP报文后，验证所述ARP报文的源IP地址与源MAC地址的对应关系、目的IP地址与目的MAC地址的对应关系是否正确；如果所述验证的结果都为正确，则继续执行所述在所述ARP高位表查找所述目标对应关系的步骤；如果所述验证的结果不都为正确，则丢弃所述ARP报文。

10.根据权利要求9所述的装置，其特征在于，

所述网络主机，包括：交换机；

所述装置还包括：

地址判断单元，用于在所述ARP报文验证单元验证所述ARP报文的源IP地址与源MAC地址的对应关系、目的IP地址与目的MAC地址的对应关系是否正确后，判断所述ARP报文的目的IP地址与目的MAC地址是否为本机，如果所述ARP报文的目的IP地址与目的MAC地址为本机，则继续执行所述在所述ARP高位表查找所述目标对应关系的步骤；

ARP报文转发单元，用于如果所述地址判断单元判断所述ARP报文的目的IP地址与目的MAC地址不为本机，则按照所述ARP报文的目的IP地址与目的MAC地址转发所述ARP报文。