本发明专利技术公开了一种ARP缓存表防攻击方法,该方法通过把ARP缓存表表项生成和更新的信息来源由具有更高可鉴别性的ARP响应报文提供,从而降低了报文被假冒、进而被假冒信息欺骗的可能性,从而减少了被污染攻击的可能性;同时本发明专利技术能与现有其它设备中的现有ARP机制保持兼容对接。
【技术实现步骤摘要】
ARP缓存表防攻击方法
本专利技术涉及一种网络通信处理方法,尤其涉及一种网络设备的ARP缓存表防攻击方法。
技术介绍
数据链路上的设备需要一种方法来发现邻居的数据链路标识(即MAC地址),以便将数据传送到正确的目的地。因特网的ARP即地址解析协议根据指定的IP地址(即网络层地址)来获取对应的MAC地址(媒体访问控制地址)。根据因特网标准RFC826,ARP(地址解析协议)的机制是:当一台网络设备需要获取同一链路上的另一台网络设备的MAC地址时,它将组装ARP请求报文,在这个报文中包括:请求设备的MAC地址和IP地址,即发送者MAC地址和发送者IP地址;目标设备的IP地址。然后,ARP请求报文被在数据链路上被广播,即数据链路上的所有设备都将收到该帧,并且必须检查帧内封装的报文。IP地址与ARP请求报文中的目标IP地址相同的目标机将向ARP请求报文的发送者地址发送ARP响应报文,以提供自己的MAC地址,而其他设备则不会发送答复报文。于是,地址解析操作的结果就是发送者获得了目标机的MAC地址,并且在本地的ARP缓存表中记录目标机的MAC地址和IP地址的映射关系。由于ARP缓存的大小总是有限的,如果ARP表项无限制地增加,那么肯定会充满整个ARP高速缓存的空间。在高速缓存表资源有限的情况下,如果-->ARP表项都对应着正常的网络设备,那么这是可以接受的;但是,在ARP高速缓存中,如果周期性地存在着一些(甚至大量)无效的ARP表项,那么这就构成了对ARP高速缓存的“污染”。产生“ARP污染”问题的主要来源之一就是ARP攻击,ARP攻击可直接导致网络设备不能正常发送报文。目前ARP表项的生成或更新是在接收到ARP请求报文、ARP响应报文时,简单地检查目标地址、发送者IP地址、MAC地址的有效性,如果有效,那么读取发送者MAC地址、发送者IP地址值来生成或刷新一条ARP表项。这样,攻击者很容易利用数值上有效的IP地址和MAC地址来发起ARP攻击。目前还没有防止ARP攻击的一般性方法。对于ARP攻击的预防,协议没有具体的规定,仅仅提供了ARP缓存表的老化机制,以此来保证高速缓存不能被无效的表项所占用,能够及时地删除这些表项。ARP协议没有规定防ARP攻击的标准,其主要原因是基于如下假设:在同一链路下的网络设备一般是在同一楼层或同一单位内部,发生ARP攻击的可能性比较低,即同一链路下的网络设备之间是可信任的,所以不需要关注ARP攻击的问题。但是,随着网络服务的大众化普及,同一链路下的网络设备可能分布于同一社区的不同楼栋之间、不同小区之间、在不同街区之间等等。这样,同一链路下的网络设备之间不再是可信任的,因此必须关注ARP攻击的问题,特别是对ARP老化机制容易遭受的恶意的、周期性的ARP攻击要有相应的应对办法。
技术实现思路
鉴于上述现有技术所存在的问题,本专利技术的目的是提供一种能有效防止恶意的周期性攻击、又能与现有的ARP机制保持兼容对接的ARP缓存表的防攻击方法。本专利技术的目的是通过以下技术方案实现的:-->本专利技术提供了一种ARP缓存表防攻击方法,包括:该ARP缓存表只根据ARP响应报文的发送者地址信息进行表项的生成和更新,并且所述ARP响应报文应当包括对应的ARP请求报文在发送时随机生成的一个标识。所述随机生成的标识作为ARP操作码取代发送者IP地址信息填入ARP请求报文的发送者IP地址字段。所述ARP操作码采用与IP地址一致的格式,由所在子网号与一个随机的主机号构成。所述ARP操作码的随机选择范围应当是本子网中网络设备还没有使用、为本网络设备保留的那些IP地址。所述ARP操作码在发送免费ARP请求报文时采用发送者自身的真实IP地址,且还要填入免费ARP请求报文的目标IP地址字段。所述免费ARP请求报文的接收者在该免费ARP请求报文的目标IP地址不在缓存表中时发送单播的ARP请求报文。所述ARP响应报文应当在ARP请求报文发出后的一段时间内收到。由上述本专利技术提供的技术方案可以看出,本专利技术通过把ARP缓存表表项生成和更新的信息来源由ARP响应报文提供,并且要求所收到的ARP响应报文应当包括在ARP请求报文发送时随机生成的一个标识,从而大大减少了被污染、攻击的可能性;同时通过使随机生成的标识采用与IP地址一致的格式并作为ARP操作码取代发送者IP地址信息填入ARP请求报文的发送者IP地址字段等相关措施,本专利技术还能与其它设备现有的ARP机制兼容对接。附图说明图1为本专利技术的ARP操作码工作机制示意图;图2为本专利技术的ARP请求报文发送处理流程示意图;图3为本专利技术的ARP报文接收处理流程示意图;-->具体实施方式本专利技术的核心思想是通过鉴别和限制ARP缓存表的信息来源以达到防攻击污染的效果,这种限制和鉴别的措施包括不从ARP请求报文中而只从ARP响应报文中获取IP地址和MAC地址的对应关系、为报文设置随机生成的ARP操作码作为标识来降低ARP响应报文被冒充的可能性。下面结合附图对本专利技术作进一步的说明。现有ARP既能从ARP响应报文中又能从ARP请求报文中获取地址对应关系,但由于ARP响应报文需要以发送ARP请求报文为基础,并以单播方式传送,而且对ARP响应报文的响应时间有定时限制,而ARP请求报文可以随时用广播方式发送,所以攻击者的一个主要手段就是通过发送大量的ARP请求报文来达到攻击污染ARP缓存表的目的。因此,防范方法中首先要采取的措施就是把ARP缓存表表项生成和更新的信息来源由具有可高鉴别性的ARP响应报文来提供,而不能从ARP请求报文中的发送者地址信息中获取IP地址与MAC地址的对应关系。具有更高可鉴别性的ARP报文是指在发送对应的ARP请求报文时带有一个随机生成标识,并要求相应的ARP响应报文也应当包括一个同样的标识。为了能更好地与现有的ARP机制兼容,这个标识作为ARP操作码取代发送者IP地址信息填入ARP请求报文的发送者IP地址字段,并且采用与IP地址一致的格式,由所在子网号与一个随机的主机号构成。这样,即便被查询的网络设备采用的是现有的ARP机制,也会通过ARP响应报文的目标IP地址字段把ARP操作码传送回来,从而实现了兼容性。把ARP操作码方式与定时限制的机制相结合,则可以更好地鉴别和确定ARP响应报文是否是与本机先前一段时间内所发送的ARP请求报文相对应的。如图1所示,网络设备11的IP地址为188.1.1.4,MAC地址为-->0003.10a1.f024;而网络设备12的IP地址为188.1.1.21,MAC地址为000e.2a11.fc88。网络设备11不知道、但需要知道网络设备12的MAC地址,比如网络设备11是一个网关,从外网中收到一个报文发送给IP地址为188.1.1.21的网络设备12,由于网络设备12与网络设备11同属于一个子网,所以网络设备11需要知道网络设备12的MAC地址,以便把报文直接以单播的方式发送给网络设备12。在本专利技术中,网络设备11查询网络设备12时,不是简单地把自己的地址信息(包括IP地址和MAC地址)以及网络设备12的IP地址放入ARP请求报文13中然后以广播的方式(即目标MAC地址为0000.0000.0000)在本地子网中发送;而是用子网号(188.1.1.0)加上本文档来自技高网...
【技术保护点】
一种ARP缓存表防攻击方法,其特征在于,包括:该ARP缓存表只根据ARP响应报文的发送者地址信息进行表项的生成和更新,并且所述ARP响应报文应当包括对应的ARP请求报文在发送时随机生成的一个标识。
【技术特征摘要】
1、一种ARP缓存表防攻击方法,其特征在于,包括:该ARP缓存表只根据ARP响应报文的发送者地址信息进行表项的生成和更新,并且所述ARP响应报文应当包括对应的ARP请求报文在发送时随机生成的一个标识。2、根据权利要求1所述的ARP缓存表防攻击方法,其特征在于,所述随机生成的标识作为ARP操作码取代发送者IP地址信息填入ARP请求报文的发送者IP地址字段。3、根据权利要求2所述的ARP缓存表防攻击方法,其特征在于,所述ARP操作码采用与IP地址一致的格式,由所在子网号与一个随机的主机号构成。4、根据权利要求3所述的ARP缓存表防攻击方法,其特征在于,所述ARP...
【专利技术属性】
技术研发人员:李强,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。