检测网关ARP欺骗的方法及装置与流程

本发明涉及通信技术领域，尤指一种检测网关地址解析协议(Address Resolution Protocol，ARP)欺骗的方法及装置。

背景技术：

随着电气和电子工程师协会(Institute of Electrical and Electronics Engineers，IEEE)802.11协议的无线局域网络(Wireless Local Area Networks，WLAN)大规模部署与实施，以及移动互联网的高速发展，如今在机场、高校、商场、酒店、超市等人流量密集的场所，都可以接入WLAN。考虑到WLAN易部署的特性，WLAN中均使用动态主机配置协议(Dynamic Host Configuration Protocol，DHCP)对无线终端进行地址管理。由于WLAN的覆盖广泛，无线终端可自由的接入，不法分子常利用不同的攻击手法，如：嗅探攻击、访问攻击、网关攻击等针对WLAN网络设备进行攻击，造成网络通信异常、网络瘫痪等严重影响。

网关攻击是WLAN中普遍存在的问题，网关攻击又称网关ARP欺骗。其原理为，假设无线终端A、B处于同一WLAN，与访问接入点(Access Point，AP)通信连接，无线终端A广播ARP请求报文请求网关的媒体访问控制(Medium Access Control，MAC)地址，除了AP之外，无线终端B也会收到该ARP请求报文，同时无线终端B可以发送ARP响应报文，若无线终端B已获取网关的IP地址，就将ARP响应报文的源(Internet Protocol，IP)地址填为网关的IP地址、源MAC地址填为自己的MAC地址，无线终端A收到该ARP响应报文后，会将无线终端B当做网关，无线终端A将本应发往网关的报文发往无线终端B，从而造成网关ARP欺骗。而目前，尚未存在有效的检测WLAN中网关ARP欺骗的方法。

技术实现要素：

本发明实施例提供一种检测网关ARP欺骗方法及装置，用以实现有效检测WLAN中的网关ARP欺骗。

根据本发明实施例，提供一种检测网关ARP欺骗方法，应用在AP中，包括：

接收到报文后，确定所述报文的类型；

若所述报文的类型是动态主机配置协议DHCP响应报文，则获取所述DHCP响应报文中携带的第一无线局域网WLAN标识和网关的IP地址，并根据所述第一WLAN标识和所述网关的IP地址更新防网关ARP欺骗映射表；

若所述报文的类型是ARP响应报文，则获取所述ARP响应报文的源IP地址和携带的第二WLAN标识，在所述防网关ARP欺骗映射表中查找所述第二WLAN标识，若查找到所述第二WLAN标识、且所述第二WLAN对应的网关的IP地址与所述源IP地址相同，则检测到网关ARP欺骗。

具体的，根据所述第一WLAN标识和所述网关的IP地址更新防网关ARP欺骗映射表，具体包括：

在所述防网关ARP欺骗映射表中查找包括所述第一WLAN标识和所述网关的IP地址的第一表项；

若未查找到所述第一表项，则在所述防网关ARP欺骗映射表中建立所述第一表项，并启动所述第一表项的老化时间；

若查找所述第一表项，则重新启动所述第一表项的老化时间。

可选的，根据所述第一WLAN标识和所述网关的IP地址更新防网关ARP欺骗映射表之后，还包括：

将所述防网关ARP欺骗映射表上传给所述AP所属的接入控制器AC。

可选的，还包括：

若检测到所述AP异常，则重启所述AP；

从所述AC获取所述防网关ARP欺骗映射表。

可选的，检测到网关ARP欺骗之后，还包括：

丢弃所述报文；以及，

重新启动包括所述第二WLAN标识和所述源IP地址的第三表项的老化时间。

根据本发明实施例，还提供一种检测网关ARP欺骗的装置，应用在AP中，包括：

确定模块，用于接收到报文后，确定所述报文的类型；

更新模块，用于若所述报文的类型是动态主机配置协议DHCP响应报文，则获取所述DHCP响应报文中携带的第一无线局域网WLAN标识和网关的IP地址，并根据所述第一WLAN标识和所述网关的IP地址更新防网关ARP欺骗映射表；

检测模块，用于若所述报文的类型是ARP响应报文，则获取所述ARP响应报文的源IP地址和携带的第二WLAN标识，在所述防网关ARP欺骗映射表中查找所述第二WLAN标识，若查找到所述第二WLAN标识、且所述第二WLAN对应的网关的IP地址与所述源IP地址相同，则检测到网关ARP欺骗。

具体的，所述更新模块，具体用于：

在所述防网关ARP欺骗映射表中查找包括所述第一WLAN标识和所述网关的IP地址的第一表项；

若未查找到所述第一表项，则在所述防网关ARP欺骗映射表中建立所述第一表项，并启动所述第一表项的老化时间；

若查找所述第一表项，则重新启动所述第一表项的老化时间。

可选的，所述更新模块，还用于：

将所述防网关ARP欺骗映射表上传给所述AP所属的接入控制器AC。

可选的，所述检测模块，还用于：

若检测到所述AP异常，则重启所述AP；

从所述AC获取所述防网关ARP欺骗映射表。

可选的，所述检测模块，还用于：

丢弃所述报文；以及，

重新启动包括所述第二WLAN标识和所述源IP地址的第三表项的老化时间。

本发明有益效果如下：

本发明实施例提供一种检测网关ARP欺骗方法及装置，接收到报文后，确定所述报文的类型；若所述报文的类型是DHCP响应报文，则获取所述DHCP响应报文中携带的第一WLAN标识和网关的IP地址，并根据所述第一WLAN标识和所述网关的IP地址更新防网关ARP欺骗映射表；若所述报文的类型是ARP响应报文，则获取所述ARP响应报文的源IP地址和携带的第二WLAN标识，在所述防网关ARP欺骗映射表中查找所述第二WLAN标识，若查找到所述第二WLAN标识、且所述第二WLAN对应的网关的IP地址与所述源IP地址相同，则检测到网关ARP欺骗。该方案中，通过检测ARP响应报文的源IP地址和携带的第二WLAN标识是否保存在防网关ARP欺骗映射表中，来检测是否存在网关ARP欺骗，从而能够实现自动检测网关ARP欺骗，进一步可以防止网关ARP欺骗，提升无线网络的安全性。

附图说明

图1为本发明实施例中检测网关ARP欺骗方法的流程图；

图2为本发明实施例中检测网关ARP欺骗装置的结构示意图。

具体实施方式

为了实现有效检测WLAN中的网关ARP欺骗，本发明实施例提供一种检测网关ARP欺骗方法，应用在AP中，目前，AP有本地转发和集中转发这两种转发模式，该方法在这两种转发模式中都适用。该发明方法的流程如图1所示，执行步骤如下：

S11：接收到报文后，确定报文的类型，若报文的类型是DHCP响应报文，则执行S12；若报文的类型是ARP响应报文，则执行S13。

在本发明中，需要根据DHCP响应报文更新防网关ARP欺骗映射表，根据ARP响应报文来检测网关ARP欺骗，因此，AP接收到报文后，需要首先确定报文的类型，并进一步确定报文是否是DHCP响应报文和ARP响应报文。

通常，不同类型的报文有不同的类型标识，因此，在确定报文的类型时，可以根据报文中携带的类型标识进行确定。

S12：获取DHCP响应报文中携带的第一无线局域网WLAN标识和网关的IP地址，并根据第一WLAN标识和网关的IP地址更新防网关ARP欺骗映射表。

DHCP响应报文中携带DHCP服务器为无线终端分配的网关的IP地址，因此，可以根据DHCP响应报文中携带的第一WLAN标识和网关的IP地址来更新防网关ARP欺骗映射表。

其中，防网关ARP欺骗映射表中存储的是无线终端所在的WLAN对应的第一WLAN标识和DHCP服务器为无线终端分配的网关的IP地址，这里面在存储的是每个无线终端真正的网关的IP地址。

S13：获取ARP响应报文的源IP地址和携带的第二WLAN标识，在防网关ARP欺骗映射表中查找第二WLAN标识，若查找到第二WLAN标识、且第二WLAN对应的网关的IP地址与源IP地址相同，则检测到网关ARP欺骗。

当无线终端获取到网关的IP地址后，若需要访问外网，会广播ARP请求报文以获取网关的MAC地址，ARP响应报文是针对ARP请求报文的响应。正常情况下，该ARP响应报文应该是网关响应的，但是若存在网关ARP欺骗，该ARP响应报文可能是非法无线终端响应的。因此，可以将ARP响应报文的源IP地址和携带的第二WLAN标识与防网关ARP欺骗映射表进行比对，若在放网关ARP欺骗映射表中查找到第二WLAN标识、且第二WLAN对应的网关的IP地址与源IP地址相同，则检测到网关ARP欺骗，从而可以确定存在非法无线终端。

该方案中，通过检测ARP响应报文的源IP地址和携带的第二WLAN标识是否保存在防网关ARP欺骗映射表中，来检测是否存在网关ARP欺骗，从而能够实现自动检测网关ARP欺骗，进一步可以防止网关ARP欺骗，提升无线网络的安全性。

具体的，上述S12中根据第一WLAN标识和网关的IP地址更新防网关ARP欺骗映射表的实现过程，具体包括：在防网关ARP欺骗映射表中查找包括第一WLAN标识和网关的IP地址的第一表项；若未查找到第一表项，则在防网关ARP欺骗映射表中建立第一表项，并启动第一表项的老化时间；若查找第一表项，则重新启动第一表项的老化时间。

其中，老化时间用来表征防网关ARP欺骗映射表中每个表项的存活时间，为了保证防网关ARP欺骗映射表的准确性，若监控到防网关ARP欺骗映射表中第二表项的老化时间超时，则删除第二表项。

可选的，上述S12中的根据第一WLAN标识和网关的IP地址更新防网关ARP欺骗映射表之后，上述方法还包括：将防网关ARP欺骗映射表上传给AP所属的AC。为了预防AP异常重启后防网关ARP欺骗映射表丢失，可以将防网关ARP映射表同步给AP所属的AC。

相应地，上述方法还包括：若检测到AP异常，则重启AP；从AC获取防网关ARP欺骗映射表。通过该步骤可以保证AP异常重启，AP依然可以根据防网关ARP欺骗映射表检测网关ARP欺骗。

可选的，上述S13中检测到网关ARP欺骗之后，还包括：丢弃报文；以及，重新启动包括第二WLAN标识和源IP地址的第三表项的老化时间。通过该步骤可以自动防止网关ARP欺骗。

基于同一发明构思，本发明实施例提供一种检测网关ARP欺骗装置，应用在AP中，该装置的结构如图2所示，包括：

确定模块21，用于接收到报文后，确定报文的类型；

更新模块22，用于若报文的类型是动态主机配置协议DHCP响应报文，则获取DHCP响应报文中携带的第一无线局域网WLAN标识和网关的IP地址，并根据第一WLAN标识和网关的IP地址更新防网关ARP欺骗映射表；

检测模块23，用于若报文的类型是ARP响应报文，则获取ARP响应报文的源IP地址和携带的第二WLAN标识，在防网关ARP欺骗映射表中查找第二WLAN标识，若查找到第二WLAN标识、且第二WLAN对应的网关的IP地址与源IP地址相同，则检测到网关ARP欺骗。

该方案中，通过检测ARP响应报文的源IP地址和携带的第二WLAN标识是否保存在防网关ARP欺骗映射表中，来检测是否存在网关ARP欺骗，从而能够实现自动检测网关ARP欺骗，进一步可以防止网关ARP欺骗，提升无线网络的安全性。

具体的，更新模块22，具体用于：

在防网关ARP欺骗映射表中查找包括第一WLAN标识和网关的IP地址的第一表项；

若未查找到第一表项，则在防网关ARP欺骗映射表中建立第一表项，并启动第一表项的老化时间；

若查找第一表项，则重新启动第一表项的老化时间。

可选的，更新模块22，还用于：

将防网关ARP欺骗映射表上传给AP所属的接入控制器AC。

可选的，检测模块23，还用于：

若检测到AP异常，则重启AP；

从AC获取防网关ARP欺骗映射表。

可选的，检测模块23，还用于：

丢弃报文；以及，

重新启动包括第二WLAN标识和源IP地址的第三表项的老化时间。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的可选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括可选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样，倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。