本发明专利技术公开了一种地址解析协议ARP缓存条目更新方法及设备,该方法包括:源端设备确定不存在对应目的端设备的ARP缓存条目时,获取并保存目的端设备MAC地址及目的端设备构造的DSC,得到对应目的端设备的ARP缓存条目;源端设备确定存在对应目的端设备的ARP缓存条目,且目的端设备MAC地址发生改变时,获取目的端设备返回的安全标识和目的端设备新MAC地址,源端设备根据对应目的端设备的ARP缓存条目中的DSC对所述安全标识认证通过时,利用所述新MAC地址更新对应目的端设备的缓存条目。本发明专利技术通过引入动态认证技术,能有效防止攻击者随意篡改设备ARP缓存条目,提高了设备间进行ARP缓存条目更新时的网络安全性。
【技术实现步骤摘要】
一种ARP缓存条目更新方法及设备
本专利技术涉及ARP(AddressResolutionProtocol,地址解析协议)
,尤其涉及一种ARP缓存条目更新方法及设备。
技术介绍
ARP协议是用于主机在发送信息前将目标IP(InternetProtocol,因特网协议)地址转换成目标MAC(MediaAccessControl,媒体接入控制)地址的协议。每台安装有TCP\IP协议的电脑里都存在一个ARP缓存表,ARP缓存表包含多条ARP缓存条目,其中每条ARP缓存条目记录了一一对应的目标IP地址和目标MAC地址。当源端设备保存的某条ARP缓存条目因达到老化时间而被删除,或者目的端设备主动改变MAC地址时,源端设备与目的端设备之间就需要通过基于ARP协议的报文(简称ARP协议报文)进行交互,从而实现源端设备与目的端设备中相应ARP缓存条目的重新设置。ARP攻击就是通过伪造IP地址和MAC地址来实现ARP欺骗的过程。到目前为止ARP欺骗依然是一种难以控制的攻击手段,而且经常被病毒、木马程序等利用。目前有很多种ARP防攻击解决方案,其中包括利用交换机进行VLAN(VirtualLocalAreaNetwork,虚拟局域网)隔离、双向静态绑定、ARP条目加密、增加DHCP(DynamicHostConfigurationProtocol,动态主机配置协议)服务器或ARP服务器维护ARP缓存表等技术,但由于现有技术大多都基于静态认证机制,不能有效地防御相同网段及不同网段的ARP欺骗攻击,因此没能很好得解决ARP协商安全性的问题。
技术实现思路
本专利技术提供一种ARP缓存条目更新方法及设备,用以解决现有技术因基于静态认证机制而不能有效防御ARP欺骗攻击的问题。本专利技术方法包括:一种地址解析协议ARP缓存条目更新方法,包括:源端设备确定不存在对应目的端设备的缓存条目时,获取并保存所述目的端设备的MAC地址及目的端设备构造的动态安全标识DSC(DynamicSECURITYCharacteristic),得到对应目的端设备的缓存条目;源端设备确定存在对应目的端设备的缓存条目,且目的端设备的MAC地址发生改变时,获取目的端设备返回的安全标识和目的端设备的新MAC地址,源端设备根据自身存储的对应目的端设备的缓存条目中的DSC对所述安全标识认证通过时,利用所述目的端设备的新MAC地址更新对应目的端设备的缓存条目。一种源端设备,包括:缓存条目增加模块,用于确定不存在对应目的端设备的缓存条目时,获取并保存所述目的端设备的MAC地址及目的端设备构造的动态安全标识DSC,得到对应目的端设备的缓存条目;缓存条目更新模块,用于确定存在对应目的端设备的缓存条目,且目的端设备的MAC地址发生改变时,获取目的端设备返回的安全标识和目的端设备的新MAC地址,并根据自身存储的对应目的端设备的缓存条目中的DSC对所述安全标识认证通过时,利用所述目的端设备的新MAC地址更新对应目的端设备的缓存条目。一种目的端设备,包括:DSC构造模块,用于在源端设备确定不存在对应目的端设备的ARP缓存条目时,构造动态安全标识DSC;第一发送模块,用于在构造DSC之后将所述DSC及目的端设备的MAC地址发送给源端设备;第二发送模块,用于在源端设备确定存在对应目的端设备的ARP缓存条目,且目的端设备的MAC地址发生改变时,向源端设备发送安全标识和目的端设备的新MAC地址。本专利技术在源端设备中不存在包含目的端设备MAC地址的ARP缓存条目,或目的端设备的MAC地址发生改变时,通过引入动态认证,在源端设备与目的端设备进行ARP缓存条目更新时,认证通过才可更新,认证不通过则不会更新,从而有效地防止了攻击者随意篡改源端设备和目的端设备上对应的ARP缓存条目,提高了源端设备与目的端设备进行ARP缓存条目更新时的网络安全性。附图说明图1为本专利技术的一种ARP缓存条目更新方法示意图;图2为本专利技术实施例中源端设备不包含对应ARP缓存条目时的交互流程图;图3为本专利技术实施例中目的端设备MAC地址改变时的交互流程图;图4为本专利技术实施例中动态安全标识DSC的封装结构图。具体实施方式针对目前ARP缓存条目更新过程的不安全性,本专利技术提出了一种ARP缓存条目更新方法及设备,利用本专利技术的动态认证技术,可有效防御ARP欺骗,提高ARP缓存条目更新的可靠性。下面结合附图与实施例对本专利技术作进一步详细说明。本专利技术的一种ARP缓存条目更新方法实施例,如图1所示,包括以下步骤:步骤101,源端设备判定自身的ARP缓存表中是否存在包含目的端设备MAC地址的ARP缓存条目,若不存在,则执行步骤102,否则,执行步骤104。步骤102,源端设备获取目的端设备的MAC地址及目的端设备构造的动态安全标识DSC,并执行步骤103。步骤103,源端设备将获取的目的端设备的MAC地址、目的端设备的IP地址及目的端设备构造的DSC进行保存,得到对应目的端设备的ARP缓存条目。步骤104,源端设备判定目的端设备的MAC地址是否改变,若没有发生改变,则不与目的端设备使用ARP协议报文进行交互,否则,执行步骤105。步骤105,源端设备获取目的端设备返回的安全标识和目的端设备的新MAC地址,并执行步骤106。步骤106,源端设备根据自身存储的对应目的端设备的ARP缓存条目中的DSC对所述安全标识认证通过时,利用所述目的端设备的新MAC地址更新对应目的端设备的ARP缓存条目。本专利技术在ARP缓存条目更新的过程中,利用动态安全标识DSC进行动态认证,认证通过才可更新,认证不通过则不会更新,可有效地防止攻击者随意篡改源端设备和目的端设备上对应的ARP缓存条目,提高了源端设备与目的端设备进行ARP缓存条目更新时的网络安全性。由于动态安全标识DSC是指在源端设备和目的端设备交互时,由目的端设备随机构造的的安全标识,属于自动化配置,因此不需要网络管理员干预,省去了配置方面的工作量。源端设备和目的端设备交互时,动态安全标识随机产生,每两对交互设备之间的DSC互不相同,所以在这种网络环境中即使与可信任设备间进行交互,也不需要为网络中每个可信任设备配置安全标识,即本专利技术方案以单个设备为单位进行安全保护。因此,应用本专利技术方案,其他设备很难利用该类标识进行攻击,从而有效地防御各种形式的的ARP欺骗攻击。优选的,步骤106中源端设备确定所述安全标识与自身存储的对应目的端设备的ARP缓存条目中的DSC一致时,确定对所述安全标识的认证通过。优选的,步骤106中源端设备根据自身存储的对应目的端设备的ARP缓存条目中的DSC对所述安全标识认证不能通过时,重新执行步骤105,获取目的端设备发送的安全标识和目的端设备的新MAC地址。优选的,源端设备获取了所述目的端设备构造的DSC后,将其存储在对应目的端设备的ARP缓存条目中,并在之后向目的端设备发送的ARP协议报文中都携带有所述DSC。优选的,所述DSC被封装在ARP协议报文的操作字段Opcode和发送方首部字段SenderMACAddress之间。优选的,源端设备中不存在包含目的端设备MAC地址的ARP缓存条目的情况包括:首次与目的端设备建立联系,即源端设备的ARP表中从未保存过包含目的端设备MAC地址的ARP缓存本文档来自技高网...
【技术保护点】
一种地址解析协议ARP缓存条目更新方法,其特征在于,源端设备确定不存在对应目的端设备的ARP缓存条目时,获取并保存所述目的端设备的MAC地址及目的端设备构造的动态安全标识DSC,得到对应目的端设备的ARP缓存条目;源端设备确定存在对应目的端设备的ARP缓存条目,且目的端设备的MAC地址发生改变时,获取目的端设备返回的安全标识和目的端设备的新MAC地址,源端设备根据自身存储的对应目的端设备的ARP缓存条目中的DSC对所述安全标识认证通过时,利用所述目的端设备的新MAC地址更新对应目的端设备的缓存条目。
【技术特征摘要】
1.一种地址解析协议ARP缓存条目更新方法,其特征在于,源端设备确定不存在对应目的端设备的ARP缓存条目时,获取并保存所述目的端设备的MAC地址及目的端设备构造的动态安全标识DSC,得到对应目的端设备的ARP缓存条目;源端设备确定存在对应目的端设备的ARP缓存条目,且目的端设备的MAC地址发生改变时,获取目的端设备返回的安全标识和目的端设备的新MAC地址,源端设备根据自身存储的对应目的端设备的ARP缓存条目中的DSC对所述安全标识认证通过时,利用所述目的端设备的新MAC地址更新对应目的端设备的缓存条目,其中,所述安全标识为目的端设备中对应源端设备的ARP缓存条目中的DSC。2.如权利要求1所述的方法,其特征在于,所述目的端设备在构造DSC后将所述DSC保存在自身存储的对应源端设备的ARP缓存条目中;源端设备确定存在对应目的端设备的ARP缓存条目,且目的端设备的MAC地址发生改变时,向目的端设备发送请求,所述请求携带包含在对应目的端设备的ARP缓存条目中的DSC;目的端设备接收到所述请求后,根据自身存储的对应源端设备的缓存条目中的DSC对所述请求认证通过后,再向源端设备返回所述安全标识和目的端设备的新MAC地址。3.如权利要求2所述的方法,其特征在于,源端设备根据自身存储的对应目的端设备的ARP缓存条目中的DSC对所述安全标识认证通过,具体包括:源端设备确定所述安全标识与自身存储的对应目的端设备的ARP缓存条目中的DSC一致时,确定认证通过;目的端设备根据自身存储的对应源端设备的ARP缓存条目中的DSC对所述请求认证通过,具体包括:目的端设备确定所述请求中携带的DSC与自身存储的对应源端设备的ARP缓存条目中的DSC一致时,确定认证通过。4.如权利要求1所述的方法,其特征在于,所述源端设备与目的端设备之间通过ARP协议报文进行交互,且源端设备在获取目的端设备构造的DSC后,向目的端设备发送的ARP协议报文中都封装对应目的端设备的ARP缓存条目中的DSC,目的端设备在构造DSC后向源端设备发送的ARP协议报文...
【专利技术属性】
技术研发人员:邵长春,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。