一种防御ARP攻击的方法及装置制造方法及图纸

本发明专利技术提供一种防御ARP攻击的方法，其特征在于，所述方法应用于网络主机，该网络主机上预先设置有ARP高位表和ARP低位表，该方法包括：接收ARP报文，ARP报文包含目标对应关系，所述目标对应关系为：ARP报文的源IP地址与源MAC地址的对应关系；在ARP高位表查找目标对应关系，若未找到则在ARP低位表中查找目标对应关系；若仍未找到则在ARP低位表中写入目标对应关系。本发明专利技术实施例通过使用从ARP缓存中区分出的ARP高位表和ARP低位表，实现了对主动获取的以及被动接收的地址对应关系的分开管理。当遭遇ARP泛洪攻击时，通过ARP低位表更低的老化时间快速删除被动接收的地址对应关系，以提高网络主机ARP缓存的利用率。可见，本发明专利技术实施例提高了网络主机防御ARP攻击的性能。

【技术实现步骤摘要】

本申请涉及通信
，特别涉及防御ARP攻击的方法及装置。
技术介绍
在网络通信中，IP(InternetProtocol，互联网协议)地址是IP协议在网际范围标识网络主机的一种逻辑地址。在网络层，每个网络主机在通信时都会被分配一个IP地址，以此来屏蔽物理地址的差异。但在链路层，数据帧要被准确送达需要知道的是网络主机的MAC(MediaAccessControl，媒体访问控制)地址。这就需要应用ARP(AddressResolutionProtocol，地址解析协议)，将网络主机的IP地址解析为其对应的MAC地址。ARP的建立是依靠本机接收其它网络主机的ARP报文，将其它网络主机ARP报文中的源IP地址与源MAC地址的对应关系记入本机的ARP缓存实现的。然而，随着计算机通信网技术的不断发展，ARP攻击也随之出现，ARP泛洪攻击就是一种常见的ARP攻击。攻击者利用网络主机ARP缓存有限的特点，不断向某一网络主机发送伪造的ARP报文，使网络主机ARP缓存溢出。这样，合法用户的ARP报文就不能在被攻击网络主机的ARP缓存生成有效的ARP，导致被攻击网络主机与合法用户的正常通信中断。现有的防御ARP攻击技术，通过在网络主机中对相同源IP或相同源MAC的ARP报文的接收数量以及接收速度进行限制，在一定程度上避免了网络主机的ARP缓存溢出。但攻击者仍然可以通过修改源IP或源MAC的方式，绕过网络主机对攻击者ARP报文的接收数量以及接收速度的限制，持续进行ARP攻击，导致网络主机的ARP缓存溢出。可见，现有技术防御ARP攻击的性能较差。
技术实现思路
本专利技术实施例提供防御ARP攻击的方法和装置，用于解决现有技术防御ARP攻击的性能较差的问题。根据本专利技术实施例的第一方面，提供一种防御ARP攻击的方法，其特征在于，所述方法应用于网络主机，所述网络主机上预先设置有ARP高位表和ARP低位表，所述ARP高位表用于保存所述网络主机主动获取的地址对应关系，所述ARP低位表用于保存所述网络主机被动接收的地址对应关系，每组地址对应关系为：1个源IP地址与1个源MAC地址的对应关系；当任一组对应关系的被写入表中时，为该组对应关系设置对应于该表的老化时间，当老化时间到达时，将该组对应关系从其所在的表中删除，其中，对应于低位表的老化时间少于对应于高位表的老化时间，所述方法包括：接收ARP报文，所述ARP报文包含目标对应关系，所述目标对应关系为：所述ARP报文的源IP地址与源MAC地址的对应关系；在所述ARP高位表查找所述目标对应关系，其中，所述ARP高位表中的高位表老化时间的设置需要保障ARP所述网络主机的IP地址解析需求；如果未在所述ARP高位表中找到所述目标对应关系，则在所述ARP低位表中查找所述目标对应关系；如果未在所述ARP低位表中找到所述目标对应关系，则在所述ARP低位表中写入所述目标对应关系。根据本专利技术实施例的第二方面，提供一种防御ARP攻击的装置，其特征在于，所述装置应用于网络主机，所述网络主机上预先设置有ARP高位表和ARP低位表，所述ARP高位表用于保存所述网络主机主动获取的地址对应关系，所述ARP低位表用于保存所述网络主机被动接收的地址对应关系，每组地址对应关系为：1个源IP地址与1个源MAC地址的对应关系；当任一组对应关系的被写入表中时，为该组对应关系设置对应于该表的老化时间，当老化时间到达时，将该组对应关系从其所在的表中删除，其中，对应于低位表的老化时间少于对应于高位表的老化时间，所述装置包括：接收单元，用于接收ARP报文，所述ARP报文包含目标对应关系，所述目标对应关系为：所述ARP报文的源IP地址与源MAC地址的对应关系；高位表查找单元，用于在所述ARP高位表查找所述目标对应关系，其中，所述ARP高位表中的高位表老化时间的设置需要保障ARP所述网络主机的IP地址解析需求；低位表查找单元，用于在所述高位表查找单元未在所述ARP高位表中找到所述目标对应关系的情况下，则在所述ARP低位表中查找所述目标对应关系；写入单元，用于如果所述低位表查找单元未在所述ARP低位表中找到所述目标对应关系，则在所述ARP低位表中写入所述目标对应关系。由以上技术方案可见，本专利技术实施例通过使用从ARP缓存中区分出的ARP高位表和ARP低位表，将所述网络主机主动获取的地址对应关系以及所述网络主机被动接收的地址对应关系分开保存，并设置不同的老化时间，实现了对不同等级的ARP的分开管理。当遇到ARP泛洪攻击时，可以通过ARP低位表更低的老化时间快速删除所述网络主机被动接收的地址对应关系，提高网络主机ARP缓存的利用率。因此，本专利技术实施例提高了网络主机防御ARP攻击的性能。附图说明图1为本专利技术实施例防御ARP攻击的方法的一个应用场景示意图；图2为本专利技术防御ARP攻击的方法的一个实施例流程图；图3为本专利技术防御ARP攻击的方法的另一个实施例流程图；图4为本专利技术防御ARP攻击的装置所在设备的一种硬件结构图；图5为本专利技术防御ARP攻击的装置的一个实施例框图。具体实施方式为了使本
的人员更好的理解本专利技术实施例中的技术方案，并使本专利技术实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本专利技术实施例中的技术方案作进一步详细的说明。图1为本专利技术实施例软件的测试方法的一个应用场景示意图。如图1所示，该应用场景中包括：网络主机、PC1、PC2以及PC3。其中，所示PC1与PC2为正常用户，PC3为泛洪攻击的攻击者。PC1、PC2以及PC3都与网络主机直接相连，可以与网络主机直接通信。网络主机、PC1、PC2以及PC3都具有有限的ARP缓存。当网络主机、PC1、PC2以及PC3接收到ARP报文时，会将该ARP报文中的源IP地址与源MAC地址的对应关系记入本机的ARP缓存。以对图1中所示网络主机进行ARP泛洪攻击的防御为例，现有技术通过在网络主机中对相同源IP或相同源MAC的ARP报文的接收数量以及接收速度进行限制，在一定程度上避免了攻击者PC3向网络主机发送大量的源IP或源MAC不断变化的ARP报文以使网络主机的ARP缓存溢出。但攻击者PC3仍然可以通过修改源IP或源MAC的方式，绕过网络主机对攻击者ARP报文的接收数量以及接收速度的限制，持续进行ARP攻击，导致网络主机的ARP缓存溢出。可见，现有技术防御ARP攻击的性能较差。本专利技术实施例通过使用从网络主机ARP缓存中区分出的ARP高位表和ARP低位表，将所示网络主机主动获取的地址对应关系以及所示网络主机被动接收的地址对应关系分开保存，并设置不同的老化时间，实现了对不同等级的ARP的分开管理。当攻击者PC3对网络主机进行泛洪攻击时，网络主机可以通过ARP低位表更低的老化时间快速删除其被动接收的地址对应关系，提高其ARP缓存的利用率。因此，本专利技术实施例提高了网络主机防御ARP攻击的性能。下面结合图1示出的应用场景，对本专利技术实施例进行详细说明。参见图2，图2为本专利技术防御ARP攻击的方法的一个实施例流程图，该实施例应用于网络主机，包括以下步骤：步骤201：接收ARP报文，所述ARP报文包含目标对应关系，所述目标对应关系为：所述ARP报文的源IP地址与源MAC地址的对应关系。本步骤中，网络主机在本文档来自技高网...

【技术保护点】
一种防御ARP攻击的方法，其特征在于，所述方法应用于网络主机，所述网络主机上预先设置有ARP高位表和ARP低位表，所述ARP高位表用于保存所述网络主机主动获取的地址对应关系，所述ARP低位表用于保存所述网络主机被动接收的地址对应关系，每组地址对应关系为：1个源IP地址与1个源MAC地址的对应关系；当任一组对应关系的被写入表中时，为该组对应关系设置对应于该表的老化时间，当老化时间到达时，将该组对应关系从其所在的表中删除，其中，对应于低位表的老化时间少于对应于高位表的老化时间，所述方法包括：接收ARP报文，所述ARP报文包含目标对应关系，所述目标对应关系为：所述ARP报文的源IP地址与源MAC地址的对应关系；在所述ARP高位表查找所述目标对应关系，其中，所述ARP高位表中的高位表老化时间的设置需要保障ARP所述网络主机的IP地址解析需求；如果未在所述ARP高位表中找到所述目标对应关系，则在所述ARP低位表中查找所述目标对应关系；如果未在所述ARP低位表中找到所述目标对应关系，则在所述ARP低位表中写入所述目标对应关系。

【技术特征摘要】
1.一种防御ARP攻击的方法，其特征在于，所述方法应用于网络主机，所述网络主机上预先设置有ARP高位表和ARP低位表，所述ARP高位表用于保存所述网络主机主动获取的地址对应关系，所述ARP低位表用于保存所述网络主机被动接收的地址对应关系，每组地址对应关系为：1个源IP地址与1个源MAC地址的对应关系；当任一组对应关系的被写入表中时，为该组对应关系设置对应于该表的老化时间，当老化时间到达时，将该组对应关系从其所在的表中删除，其中，对应于低位表的老化时间少于对应于高位表的老化时间，所述方法包括：接收ARP报文，所述ARP报文包含目标对应关系，所述目标对应关系为：所述ARP报文的源IP地址与源MAC地址的对应关系；在所述ARP高位表查找所述目标对应关系，其中，所述ARP高位表中的高位表老化时间的设置需要保障ARP所述网络主机的IP地址解析需求；如果未在所述ARP高位表中找到所述目标对应关系，则在所述ARP低位表中查找所述目标对应关系；如果未在所述ARP低位表中找到所述目标对应关系，则在所述ARP低位表中写入所述目标对应关系。2.根据权利要求1所述的方法，其特征在于，还包括：如果在所述ARP高位表或ARP低位表中找到所述目标对应关系，则重新为所述找到的对应关系设置对应于该表的老化时间；如果未在所述ARP高位表中找到所述目标对应关系，且所述ARP报文为所述网络主机主动发出的ARP请求的回应报文，则在所述ARP高位表中写入所述目标对应关系。3.根据权利要求1或2所述的方法，其特征在于，还包括：所述低位表老化时间与所述ARP报文的接收频率负相关。4.根据权利要求3所述的方法，其特征在于，还包括：在接收所述ARP报文后，验证所述ARP报文的源IP地址与源MAC地址的对应关系、目的IP地址与目的MAC地址的对应关系是否正确；如果所述验证的结果都为正确，则继续执行所述在所述ARP高位表查找所述目标对应关系的步骤；如果所述验证的结果不都为正确，则丢弃所述ARP报文。5.根据权利要求4所述的方法，其特征在于，所述网络主机，包括：交换机；所述方法还包括：在验证所述ARP报文的源IP地址与源MAC地址的对应关系、目的IP地址与目的MAC地址的对应关系是否正确后，判断所述ARP报文的目的IP地址与目的MAC地址是否为本机；如果所述ARP报文的目的IP地址与目的MAC地址为本机，则继续执行所述在所述ARP高位表查找所述目标对应关系的步骤；如果所述ARP报文的目的IP地址与目的MAC地址不为本机，则按照所述ARP报文的目的IP地址与目的MAC地址转发所述ARP报文。6.一种防御ARP攻击的装置，其特征在于，所述装置应用于网络主机，所述网络主机上预先设置有ARP高位表和ARP低位表，所述ARP高位表用于保存所述网络主机...

【专利技术属性】
技术研发人员：杨印州，张岩，常伟，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江;33