地址解析协议ARP报文处理的方法、网络设备及系统技术方案

本发明专利技术公开了一种地址解析协议ARP报文处理方法，网络设备及系统，用以提高基于ARP协议网络的安全性。该方法包括：第一网络设备接收第二网络设备发送的ARP报文，其中，所述第一网络设备和第二网络设备都支持在ARP协议的报文中扩展身份标识ID；所述第一网络设备在由网络地址、物理地址以及身份标识ID组成的本地记录中查找包括所述ARP报文中网络地址、物理地址以及身份标识ID的记录，并根据查找结果，更新所述本地记录和处理所述ARP报文。

【技术实现步骤摘要】

本专利技术涉及网络通讯
，特别涉及一种地址解析协议ARP报文处理的方法，网络设备以及系统。
技术介绍
地址解析协议(Address Resolution Protocol, ARP)用于将计算机的网络地址转化为物理地址，即将32位的IP地址转换为48位的MAC地址。ARP协议是属于链路层的协议，而在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的MAC地址来确定接口的，而不是根据32位的IP地址。因此，主机的内核(如驱动)必须知道目的端的MAC地址才能发送数据。ARP地址解析协议在应用之初确实很大程度上的推动了网络的进程，但也正是因为随着网络的拓展和ARP地址解析协议的普及，以及用户对于网络安全的关注，ARP协议在安全缺陷越来越受关注。下面是几种典型的威胁ARP协议的安全性的网络ARP攻击方式:方式一为交换网络的嗅探ARP攻击方式，由于ARP协议并不只在发送了 ARP请求才接收ARP应答。这样，当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，在上面的网络中，假设网络设备B向网络设备A发送一个自己伪造的ARP应答，而这个伪造的ARP应答中的数据为发送方 IP 地址是 192.168.10.3，MAC 地址是 DD-DD-DD-DD-DD-DD，其中，192.168.10.3 为网络设备C的IP地址，而网络设备C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造为DD-DD-DD-DD-DD-DD。当网络设备A接收到网络设备B伪造的ARP应答，就会更新本地的ARP缓存，将本地的IP-MAC对应表更换为接收到的数据格式，即网络设备A的ARP缓存中记录对应表中包括:192.168.10.3的IP地址与DD-DD-DD-DD-DD-DD的MAC地址对应，由于这一切都是网络设备A的系统内核自动完成的，网络设备A可不知道ARP应答被伪造了。方式二为IP地址冲突的ARP攻击方式，如果网络中存在相同IP地址的主机的时候，就会报告出IP地址冲突的警告。比如某主机B规定IP地址为192.168.0.1，如果它处于开机状态，那么其他机器A更改IP地址为192.168.0.1就会造成IP地址冲突。其原理就是:主机A在连接网络(或更改IP地址)时，就会向网络发送ARP包广播自己的IP地址，也就是freearp。如果网络中存在相同IP地址的主机B，那么B就会通过ARP包来r印Iy该地址，当A接收到这个reply后，A就会跳出IP地址冲突的警告，当然B也会有警告。因此可用ARP欺骗可以来伪造这个ARPr印ly，从而使目标一直遭受IP地址冲突警告的困扰。方式三为阻止目标的数据包通过网关的ARP攻击方式。当在一个局域网内通过网关上网，那么连接外部的计算机上的ARP缓存中就存在网关IP-MAC对应记录。如果，该记录被更改，那么该计算机向外发送的数据包总是发送到了错误的MAC地址上，这样，该计算机就不能够上网了。从以上几种攻击方式中，可以看出攻击之所以能够成功，主要是因为当前的ARP协议存在如下缺陷:I)当计算机和网络设备接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。也就是不对ARP应答包进行合法性校验。2) ARP请求报文和ARP应答报文无法——对应，从而很容易被人窃取其中一个报文从而模拟出ARP应答或者请求报文来达到ARP攻击的目的。针对上述缺陷，目前也有些方法可来弥补或减轻这些缺陷所造成的网络安全隐患，其中包括:专利号:200910059669中公开，通过交换机开启ARP代理功能，代替网关和网络设备处理网络中的ARP请求和应答报文，并且加入了一定的合法性校验。但是由于此方法是通过设定网络设备ARP记录上限和认为先到的ARP报文为合法来实现防护功能的，只能说在限制ARP报文数量上起到了一定的作用，在ARP报文的合法性校验上没有太大的说服力；专利200710121472.2中同样是先到的ARP报文认为是合法报文，如与原来保存的ARP缓存有冲突则启用ARP验证，发送一定的ARP查询报文来验证其MAC的合法性，此方法的合法性校验方式依然使用的是存在缺陷的ARP报文来验证，那么根本上还是存在被攻击的隐患。综上所述，现有ARP报文处理过程中，仍然存在由ARP协议的本身缺陷引起的安全隐患问题。
技术实现思路
本专利技术实施例提供一种ARP报文处理方法，网络设备及系统，用以提高基于ARP协议网络的安全性。本专利技术实施例提供一种地址解析协议ARP报文处理的方法，包括:第一网络设备接收第二网络设备发送的ARP报文，其中，所述第一网络设备和第二网络设备都支持在ARP协议的报文中扩展身份标识ID ；所述第一网络设备在由网络地址、物理地址以及身份标识ID组成的本地记录中查找包括所述ARP报文中网络地址、物理地址以及身份标识ID的记录，并根据查找结果，更新所述本地记录和处理所述ARP报文。本专利技术实施例提供一种地址解析协议ARP报文处理的网络设备，该网络设备支持在ARP协议的报文中扩展身份标识ID，包括:接收单元，用于接收由支持在ARP协议的报文中扩展身份标识ID的网络设备发送的ARP报文；查找单元，用于在由网络地址、物理地址以及身份标识ID组成的本地记录中查找包括所述ARP报文中网络地址、物理地址以及身份标识ID的记录；处理单元，用于根据查找结果，更新所述本地记录和处理所述ARP报文。本专利技术实施例提供一种地址解析协议ARP报文处理的系统，包括:支持在ARP协议的报文中扩展身份标识ID的第一网络设备和第二网络设备，其中，所述第一网络设备，用于接收第二网络设备发送的ARP报文，并在由网络地址、物理地址以及身份标识ID组成的本地记录中查找包括所述ARP报文中网络地址、物理地址以及身份标识ID的记录，并根据查找结果，更新所述本地记录和处理所述ARP报文；所述第二网络设备，用于发送所述ARP报文给所述第一网络设备。本专利技术实施例提供一种地址解析协议ARP报文处理的系统，包括:支持在ARP协议的报文中扩展身份标识ID的第一网络设备，以及不支持在ARP协议的报文中扩展身份标识ID的第二网络设备，其中，所述第一网络设备，用于接收第二网络设备发送的ARP请求报文，在由网络地址、物理地址以及身份标识ID组成的本地记录中查找包括所述ARP报文中网络地址、物理地址的记录，并根据查找结果，更新所述本地记录和处理所述ARP报文；所述第二网络设备，用于发送所述ARP报文给所述第一网络设备。本专利技术实施例中，当网络设备都支持ARP协议的扩展时，第一网络设备接收到第二网络设备发送的ARP报文后，在由网络地址、物理地址以及身份标识ID组成的本地记录中查找包括该ARP报文中网络地址、物理地址以及身份标识ID的记录，并根据查找结果，更新本地记录和处理ARP报文。这样，第一网络设备在处理ARP报文时，使用<MAC，IP，ID>来实现ARP报文与合法ARP报文的一一对应，从而有效抵抗了目前网络环境中存在的ARP攻击，并且提高了网络的安全性。附图说明此处所说明的附图用来提供对本专利技术的进一步理解，构成本专利技术的一部分，本专利技术的示意性本文档来自技高网...

【技术保护点】
一种地址解析协议ARP报文处理的方法，其特征在于，包括：第一网络设备接收第二网络设备发送的ARP报文，其中，所述第一网络设备和第二网络设备都支持在ARP协议的报文中扩展身份标识ID；所述第一网络设备在由网络地址、物理地址以及身份标识ID组成的本地记录中查找包括所述ARP报文中网络地址、物理地址以及身份标识ID的记录，并根据查找结果，更新所述本地记录和处理所述ARP报文。

【技术特征摘要】
1.一种地址解析协议ARP报文处理的方法，其特征在于，包括: 第一网络设备接收第二网络设备发送的ARP报文，其中，所述第一网络设备和第二网络设备都支持在ARP协议的报文中扩展身份标识ID ； 所述第一网络设备在由网络地址、物理地址以及身份标识ID组成的本地记录中查找包括所述ARP报文中网络地址、物理地址以及身份标识ID的记录，并根据查找结果，更新所述本地记录和处理所述ARP报文。2.按权利要求1所述的方法，其特征在于，当所述ARP报文为ARP请求报文时，所述根据查找结果，更新所述本地记录和处理所述ARP报文包括: 在所述本地记录中未查找到包括所述ARP请求报文中的源网络地址、源物理地址以及身份标识ID的第一记录时，所述第一网络设备将由所述ARP请求报文中的源网络地址、源物理地址以及身份标识ID组成的第一记录增加到所述本地记录中，并转发所述ARP请求报文。3.按权利要求1所述的方法，其特征在于，当所述ARP报文为ARP应答报文时，所述根据查找结果，更新所述本地记录和处理所述ARP报文包括: 在所述本地记录中查找到包括所述ARP应答报文中源网络地址和源物理地址的第二记录时，所述第一网络设备利用所述ARP应答报文中源网络地址、源物理地址和身份标识ID刷新所述第二记录，并转发所述ARP应答报文；或， 在所述本地记录未查找到所述第二记录，但在所述本地记录中查找到包括所述ARP应答报文中目的网络地址、目的物理地址以及身份标识ID的第三记录时，所述第一网络设备利用所述ARP应答报文中源网络地址、源物理地址以及身份标识ID组成所述第二记录加入本地记录中，并转发所述ARP应答报文。4.按权利要求1所述的方法，其特征在于，该方法还包括: 第一网络设备接收第二网络设备发送的ARP报文，其中，所述第一网络设备支持在ARP协议的报文中扩展身份标识ID，所述第二网络设备不支持在ARP协议的报文中扩展身份标识ID ； 所述第一网络设备在由网络地址、物理地址以及身份标识ID组成的本地记录中查找包括所述ARP报文中网络地址、物理地址的记录，并根据查找结果，更新所述本地记录和处理所述ARP报文。5.按权利要求4所述的方法，其特征在于，当所述ARP报文为ARP请求报文，所述根据查找结果，更新所述本地记录和处理所述ARP报文包括: 当在所述本地记录中查找到包括所述ARP请求报文中源网络地址和源物理地址的第四记录，且未查到包括所述ARP请求报文中目标网络地址和目的物理地址的第五记录时，所述第一网络设备构造包括唯一的身份标识ID的第一 ARP扩展请求报文，并根据所述ARP请求报文中的目的物理地址发送所述第一 ARP扩展请求报文，以及将所述ARP请求报文中目标网络地址和目的物理地址与身份标识ID组成第六记录加入所述本地记录中； 当在所述本地记录中查找到包括所述ARP请求报文中源网络地址和源物理地址的第四记录，且查到包括所述ARP请求报文中目标网络地址和目的物理地址的第五记录时，所述第一网络设备构造包括唯一的身份标识ID的ARP扩展应答报文，并返回给所述第二网络设备；当在所述本地记录中查找到未查到包括所述ARP请求报文中源网络地址和源物理地址的第四记录时，所述第一网络设备构造包括唯一的身份标识ID的第二 ARP扩展请求报文，并返回给所述第二网络设备，以及将所述ARP请求报文中源网络地址和源物理地址与身份标识ID组成第七记录加入所述本地记录中。6.按权利要求4所 述的方法，其特征在于，当所述ARP报文为ARP应答报文，所述根据查找结果，更新所述本地记录和处理所述ARP报文包括: 当在所述本地记录查找到包括所述ARP应答报文中目标网络地址、目的物理地址以及身份标识ID的第八记录时，所述第一网络设备将所述ARP应答报文中的源网络地址和源物理地址与身份标识ID组成第九记录加入所述本地记录中，并处理所述ARP应答报文。7.一种地址解析协议ARP报文处理的网络设备，其特征在于，包括: 接收单元，用于接收由支持在ARP协议的报文中扩展身份标识ID的网络设备发送的ARP报文； 查找单元，用于在由网络地址、物理地址以及身份标识ID组成的本地记录中查找包括所述ARP报文中网络地址、物理地址以及身份标识ID的记录； 处理单元，用于根据查找结果，更新所述本地记录和处理所述ARP报文。8.按权利要求7所述的网络设备，其特征在于，当所述ARP报文为ARP请求报文时，所述处理单元，具体用于在所述本地记录中没有查找到包括所述ARP请求报文中的源网络地址、源物理地址以及身份标识ID的第一记录时，将由所述ARP请求报文中的源网络地址、源物理地址以及身份标识ID组成的第一记录增加到所述本地记录中，并转发所述ARP请求报文。9.按权利要求7所述的网络设备，其特征在于，当所述ARP报文为ARP应答报文时，所述处理单元，具体用于当在所述本地记录中查找到包括所述ARP应答报文中源网络地址和源物理地址的第二记录时，利用所述ARP应答报文中源网络地址、源物理地址和身份标识ID刷新所述第二记录，并转发所述ARP应答报文；或， 在所述本地记录未查找到所述第二记录，且在所述本地记录中查找到包括所述ARP应答报文中目的网络地址、目的物理地址以及身份标识ID的第三记录时，利用所述ARP应答报文中源网络地址、源物理地址以及身份标识ID组成所述第二记录加入本地记录中，并转发所述ARP应答报文。10.按权利要求7所述的网络设备，其特征在于， 所述接收单元，还用于接收不支持在ARP协议的报文中...

【专利技术属性】
技术研发人员：吴红海，罗小妮，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：