一種防止ARP欺騙的方法與流程

本發明涉及計算機網絡技術領域，特別是涉及一種防止ARP欺騙的方法。

背景技術：

ARP(Address Resolution Protocol)是地址解析協議，是一種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網絡層(也就是相當于OSI的第三層)地址解析為數據鏈路層(也就是相當于OSI的第二層)的物理地址。

ARP協議工作的機制是某機器A要向主機B發送報文，會查詢本地的ARP緩存表，找到B的IP地址對應的MAC地址后，就會進行數據傳輸。如果未找到，則A廣播一個ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa)，請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，于是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址，A接收到B的應答后，就會更新本地的ARP緩存。接著使用這個MAC地址發送數據(由網卡附加MAC地址)。因此，本地高速緩存的這個ARP表是本地網絡流通的基礎，而且這個緩存是動態的。

ARP協議并不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。因此，當局域網中的某臺機器B向A發送一個自己偽造的ARP應答，而如果這個應答是B冒充C偽造來的，即IP地址為C的IP，而MAC地址是偽造的，則當A接收到B偽造的ARP應答后，就會更新本地的ARP緩存，這樣在A看來C的IP地址沒有變，而它的MAC地址已經不是原來那個了。這就是ARP欺騙。

從影響網絡連接通暢的方式來看，ARP欺騙有兩種攻擊可能，一種是對ARP表的欺騙；另一種是對內網電腦ARP表的欺騙，當然也可能兩種攻擊同時進行。不管理怎么樣，欺騙發送后，電腦和路由器之間發送的數據可能就被送到錯誤的MAC地址上，從表面上來看，就是“上不了網”，“訪問不了路由器”，“路由器死機了”，因為一重啟路由器，ARP表會重建，如果ARP攻擊不是一直存在，就會表現為網絡正常，但是危害更大。ARP攻擊的具體危害有：1.網絡異常。具體表現為：掉線、IP沖突等。2.數據竊取。具體表現為：個人隱私泄漏(如MSN聊天記錄、郵件等)、賬號被盜用(如QQ賬號、銀行賬號等)。3.數據篡改。具體表現為：訪問的網頁被添加了惡意內容，俗稱“掛馬”。4.非法控制。具體表現為：網絡速度、網絡訪問行為(例如某些網頁打不開、某些網絡應用程序用不了)受第三者非法控制。

現有的應對方法是將網管地址配置成靜態地址，不做動態更新，但是這種方案太死板，不方面網絡擴展，尤其對于大型網絡是致命的。

本發明可以動態驗證和更新arp地址列表，確保arp列表的合法性。

技術實現要素：

本發明的目的是提供一種防止ARP欺騙的方法。

本發明的目的可以通過以下技術方案實現：

一種防止ARP欺騙的方法，包括以下步驟：

步驟S101，接收報文，從網絡中接收發送至本機的ARP報文；

步驟S102，驗證報文的合法性，驗證接收到的ARP報文是否是合法報文，如果報文合法，進入步驟S104，如果報文不合法進入步驟S103；

步驟S103，丟棄不合法報文，將步驟S102中驗證不合法的ARP報文丟棄；

步驟S104，驗證報文的可信性，驗證接收的到ARP報文是否可信，如果不可信，進入步驟S105，如果是可信ARP報文，進入步驟S106；

步驟S105，丟棄不可信報文，將步驟S104中驗證不通過的ARP報文丟棄；

步驟S106，將可信報文的IP和MAC地址成對梳理出來，梳理出通過步驟S104可信驗證的ARP報文里包含的IP地址和MAC地址，并對應起來；

步驟S107，將梳理出來的可信IP和MAC地址添加到ARP列表。

進一步地，所述的ARP報文的合法性驗證根據由互聯網工程任務組在1982年11月發布的RFC 826中描述ARP的標準協議格式驗證。

進一步地，所述的ARP報文的可信性驗證，包括以下步驟：

步驟S201，驗證ARP報文格式是否符合規范，如果不符合規范，進入步驟S208，如果符合規范，進入步驟S202；

步驟S202，驗證源MAC地址和發送端MAC地址是否一致，如果不一致，進入步驟S208，如果一致，進入步驟S203；

步驟S203，驗證發送端IP地址是否在ARP列表中，如果存在，進入步驟S208，如果不存在，進入步驟S204；

步驟S204，判斷ARP報文是否為免費ARP報文，如果是免費ARP報文，進入步驟S205，如果不是免費ARP報文，進入步驟S206；

步驟S205，判斷源IP和目的IP地址是否一致，如果不一致，進入步驟S208，如果一致，進入步驟S209；

步驟S206，判斷目的IP地址和本機IP地址是否在同一網段，如果不在同一網段，進入步驟S208，如果在同一網段，進入步驟S207；

步驟S207，判斷ARP報文是否為響應報文，如果ARP報文不是響應報文，進入步驟S205，如果ARP報文是響應報文，進入步驟S209；

步驟S208，判斷該ARP報文為不可信ARP報文，并丟棄該報文；

步驟S209，判斷該ARP報文為可信ARP報文。

本發明的有益效果：

本發明所提供的一種防止ARP欺騙的方法，通過對網絡設備接收到的合法ARP報文啟用可信驗證過程進行驗證，確保學習到的ARP條目都是靜態、可信的，克服了傳統網絡設備上ARP動態學習容易受到ARP欺騙的弊端，保證了網絡的穩定運行可信的保證了網絡的穩定運行。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據提供的附圖獲得其他的附圖。

圖1是本發明的工作方法示意圖。

圖2是本發明的可信報文的判斷流程圖。

具體實施方式

本發明的核心是提供一種防止ARP欺騙的方法。

為了使本技術領域的人員更好地理解本發明方案，下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。

本發明提供了一種防止ARP欺騙的方法，該方法包括如下步驟：

步驟S101，接收報文，從網絡中接收發送至本機的ARP報文；

步驟S102，驗證報文的合法性，驗證接收到的ARP報文是否是合法報文，如果報文合法，進入步驟S104，如果報文不合法進入步驟S103；

步驟S103，丟棄不合法報文，將步驟S102中驗證不合法的ARP報文丟棄；

步驟S104，驗證報文的可信性，驗證接收的到ARP報文是否可信，如果不可信，進入步驟S105，如果是可信ARP報文，進入步驟S106；

步驟S105，丟棄不可信報文，將步驟S104中驗證不通過的ARP報文丟棄；

步驟S106，將可信報文的IP和MAC地址成對梳理出來，梳理出通過步驟S104可信驗證的ARP報文里包含的IP地址和MAC地址，并對應起來；

步驟S107，將梳理出來的可信IP和MAC地址對添加到ARP列表。

其中，需要說明的是，所述的ARP報文的合法性驗證根據由互聯網工程任務組(IETF)在1982年11月發布的RFC826中描述ARP的標準協議格式驗證。

其中，所述的ARP報文的可信性驗證，包括以下步驟：

步驟S201，驗證ARP報文格式是否符合規范，如果不符合規范，進入步驟S208，如果符合規范，進入步驟S202；

步驟S202，驗證源MAC地址和發送端MAC地址是否一致，如果不一致，進入步驟S208，如果一致，進入步驟S203；

步驟S203，驗證發送端IP地址是否在ARP列表中，如果存在，進入步驟S208，如果不存在，進入步驟S204；

步驟S204，判斷ARP報文是否為免費ARP報文，如果是免費ARP報文，進入步驟S205，如果不是免費ARP報文，進入步驟S206；

步驟S205，判斷源IP和目的IP地址是否一致，如果不一致，進入步驟S208，如果一致，進入步驟S209；

步驟S206，判斷目的IP地址和本機IP地址是否在同一網段，如果不在同一網段，進入步驟S208，如果在同一網段，進入步驟S207；

步驟S207，判斷ARP報文是否為響應報文，如果ARP報文不是響應報文，進入步驟S205，如果ARP報文是響應報文，進入步驟S209；

步驟S208，判斷該ARP報文為不可信ARP報文，并丟棄該報文；

步驟S209，判斷該ARP報文為可信ARP報文。

本發明所提供的一種防止ARP欺騙的方法，通過對網絡設備接收到的合法ARP報文啟用可信驗證過程進行驗證，確保學習到的ARP條目都是靜態、可信的，克服了傳統網絡設備上ARP動態學習容易受到ARP欺騙的弊端，保證了網絡的穩定運行可信的保證了網絡的穩定運行。

以上內容僅僅是對本發明結構所作的舉例和說明，所屬本技術領域的技術人員對所描述的具體實施例做各種各樣的修改或補充或采用類似的方式替代，只要不偏離發明的結構或者超越本權利要求書所定義的范圍，均應屬于本發明的保護范圍。