本发明专利技术提供了一种路由器防ARP攻击的方法,其包括步骤:接收ARP报文;解析接收的所述ARP报文中的发送者的MAC地址和IP地址;将所述解析得到的MAC地址和IP地址同预先存储的名单链表比对,并判断所述解析得到的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则丢弃所述ARP报文;如果不是攻击地址,则放行所述ARP报文。本发明专利技术还提供了一种路由器,其包含可执行指令的模块,以执行上述方法。通过本发明专利技术能够有效防止ARP的攻击。
【技术实现步骤摘要】
本专利技术涉及网络安全领域,尤指一种路由器及其防ARP攻击的方法。
技术介绍
随着互联网技术的高速发展,网络安全已经变得越来越重要,有很多敏感信息,难免会吸引某些人的攻击,像网吧这种场所,总有一些不法分子常常窃取正常上网用户的个人信息,如网上银行密码、论坛账号密码等。局域网ARP攻击就是常见的一种方式,为了保证用户的合法利益,需要首先从局域网就阻止这些非法操作。ARP攻击就是局域网攻击者通过伪造IP地址和MAC地址(物理地址)实现ARP欺骗,攻击主机只要持续不断的发出伪造的ARP响应包就能使目标主机更改自己ARP缓存中的MAC-1P条目,造成目标主机误认为攻击者的MAC地址和IP地址就是信任的网络地址,从而将数据发往攻击者伪造的地址,这样攻击主机就能窃取目标主机的机密信息(通过第三方工具解析)。ARP攻击通常发生在大型局域网内,比如校园网、网吧等场所。当前预防ARP攻击的方案主要是在路由模式下进行的。一种方式是利用路由器在路由模式下DHCP server分配给接入路由器的终端设备IP地址,另一种方式是路由器管理人员静态配置MAC地址和IP地址,这种方式需要终端用户在计算机上静态配置IP地址及其网关等信息,然后利用linux自带的arp命令或是arptables命令实施终端设备的MAC地址和IP地址绑定。但是,arp命令、arptables命令及其附属命令只能在linux用户空间使用。尤其是当路由器工作在桥模式下的时候,路由器本身没有设置DHCP server来分配IP地址,而是需要从上一级路由器或是第三方DHCP server分配IP地址,不能由路由器直接获得IP地址,进而也就无法通过路由器有效防止ARP的攻击。
技术实现思路
本专利技术的目的是提供一种路由器及其防ARP攻击的方法,能够有效防止ARP的攻击。本专利技术提供的技术方案如下:本专利技术提供了一种路由器防ARP攻击的方法,其包括步骤:接收ARP报文;解析接收的所述ARP报文中的MAC地址和IP地址;将所述解析得到的MAC地址和IP地址同预先存储的名单链表比对,并判断所述解析得到的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则丢弃所述ARP报文;如果不是攻击地址,则放行所述ARP报文。优选地,所述预先存储的名单链表为白名单链表;所述判断所述解析得到的MAC地址和IP地址是否为攻击地址进一步包括:判断所述解析得到的MAC地址和IP地址是否与所述白名单链表中的一对MAC地址和IP地址一致,当一致时,判断所述解析得到的MAC地址和IP地址不是攻击地址,并放行所述ARP报文;当不一致时,判断所述解析得到的MAC地址和IP地址是攻击地址,并丢弃所述ARP报文。优选地,所述预先存储的名单链表为黑名单链表;所述判断所述解析得到的MAC地址和IP地址是否为攻击地址进一步包括:判断所述解析得到的MAC地址和IP地址是否与所述黑名单链表中的一对MAC地址和IP地址一致,当一致时,判断所述解析得到的MAC地址和IP地址是攻击地址,并丢弃所述ARP报文;当不一致时,判断所述解析得到的MAC地址和IP地址不是攻击地址,并放行所述ARP报文。优选地,当监测到任一终端在预设时间内并未作出响应后,从所述预先存储的名单链表中删除该终端所对应的MAC地址和IP地址。优选地,在所述接收ARP报文的步骤之前,还包括步骤:创建并存储所述名单链表。优选地,在所述创建并存储所述名单链表的步骤之后,还包括步骤:接收DHCP报文;解析所述DHCP报文中的MAC地址和IP地址;将所述解析得到的DHCP报文中的MAC地址和IP地址同预先存储的所述名单链表比对,并判断所述解析得到的DHCP报文中的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则丢弃所述DHCP报文;如果不是攻击地址,则放行所述DHCP报文。优选地,在所述创建并存储所述名单链表的步骤之后,还包括步骤:接收DHCP报文;人工配置DHCP报文中的MAC地址和IP地址;将所述DHCP报文中的MAC地址和IP地址同预先存储的所述名单链表比对,并判断所述DHCP报文中的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则丢弃所述DHCP报文;如果不是攻击地址,则放行所述DHCP报文。进一步优选地,创建的所述名单链表为白名单链表;所述判断所述DHCP报文中的MAC地址和IP地址是否为攻击地址进一步包括:判断所述DHCP报文中的MAC地址和IP地址是否与所述白名单链表中的一对MAC地址和IP地址一致,当一致时,判断所述DHCP报文中的MAC地址和IP地址是攻击地址,并丢弃所述DHCP报文;当不一致时,判断所述DHCP报文中的MAC地址和IP地址不是攻击地址,将该MAC地址和IP地址存入所述白名单链表中,并放行所述DHCP报文。进一步优选地,所述路由器防ARP攻击的方法应用于路由器桥模式下的内核netfilter。进一步优选地,在所述创建并存储所述名单链表步骤之前,还包括步骤:注册内核钩子函数。本专利技术还提供了一种路由器,其应用如前述的路由器防ARP攻击的方法,所述路由器包括:第一获取模块,其用于接收ARP报文;第一解析模块,其用于解析ARP报文中的MAC地址和IP地址;存储模块,其用于预先存储名单链表;第一比对模块,其用于将所述解析得到的MAC地址和IP地址同预先存储的所述名单链表比对;控制模块,其用于判断所述解析得到的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则控制丢弃所述ARP报文;如果不是攻击地址,则控制放行所述ARP报文。优选地,所述的路由器还包括: 创建模块,其用于创建所述名单链表。进一步优选地,所述的路由器还包括:第二获取模块,其用于接收DHCP报文;第二解析模块,其用于解析DHCP报文中的MAC地址和IP地址;第二比对模块,其用于将所述解析得到的DHCP报文中的MAC地址和IP地址同预先存储的所述名单链表比对;所述控制模块进一步用于判断所述解析得到的DHCP报文中的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则控制丢弃所述DHCP报文;如果不是攻击地址,则控制放行所述DHCP报文。进一步优选地,所述的路由器还包括:第三获取模块,其用于接收DHCP报文;第三比对模块,其用于将人工配置的DHCP报文中的MAC地址和IP地址同预先存储的所述名单链表比对;所述控制模块进一步用于判断所述人工配置的DHCP报文中的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则控制丢弃所述DHCP报文;如果不是攻击地址,则控制放行所述DHCP报文。进一步优选地,所述的路由器还包括:注册模块,其用于注册内核钩子函数。通过本专利技术提供的路由器及其防ARP攻击的方法,能够带来以下至少一种有益效果:1、本专利技术能够对接收的ARP报文解析其所包含的MAC地址和IP地址,并同预先存储的名单链表(地址名单链表)比对,以判断所述的MAC地址和IP地址是否为攻击地址。当为攻击地址时,丢弃所述ARP报文;如果不是攻击地址,则放行所述ARP报文。这样,就通过对地址的判断实现对ARP报文是否为欺骗报文的判断。2、前述的预先存储的名单链表是通过对DHCP报文的不断处理所创建的名单链表。可以在判断DHCP报文中的MAC地址和IP地址为新地址时,将本文档来自技高网...
【技术保护点】
一种路由器防ARP攻击的方法,其特征在于,包括步骤:接收ARP报文;解析接收的所述ARP报文中的MAC地址和IP地址;将所述解析得到的MAC地址和IP地址同预先存储的名单链表比对,并判断所述解析得到的MAC地址和IP地址是否为攻击地址;如果为攻击地址,则丢弃所述ARP报文;如果不是攻击地址,则放行所述ARP报文。
【技术特征摘要】
【专利技术属性】
技术研发人员:张德黎,
申请(专利权)人:上海斐讯数据通信技术有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。