CN1604575A - 一种防范假冒网际协议以太网网关的方法 - Google Patents

Abstract

本发明公开了一种防范通过广播地址解析协议(ARP)报文假冒网际协议(IP)网关的方法，该方法包括：IP网关接收以太网中的广播ARP报文，判断该报文中的IP地址是否与该网关的IP地址一致，如果是，则IP网关生成具有该网关IP地址和该网关硬件地址的ARP报文，将该报文发送到以太网的所有主机上，主机以接收到报文中的网关硬件地址作为IP网关的硬件地址；否则，IP网关正常处理该ARP报文。该方法能够有效防范恶意用户通过假冒IP网关而对IP以太网所进行的攻击，从而确保网络的可靠性，保证网络通讯的正常进行。

Description

一种防范假冒网际协议以太网网关的方法

技术领域

本发明涉及网络安全领域，尤其涉及一种防范通过广播ARP协议假冒网际协议(IP)以太网网关的方法。

背景技术

当前，网络病毒的破坏性越来越多样化，出现了许多新的破坏手段。对于网络可靠性的攻击就是这些新的破坏手段的一种。此种攻击不以盗取信息为目的，而是针对网络中的漏洞，对网络设备进行攻击，破坏网络的正常通讯，从而造成网络瘫痪，对以太网的攻击是该种攻击的一种常见方式。以太网易受该种攻击的原因在于：

1、在以前的网络中，以太网多出现在内网之中，而传统的网络管理认为内网是非常安全的，因此只对于内网的出口设置了网络安全防范策略，而在内网中并未设置防范措施；

2、由于内网中客户的不同，导致网络管理部门无法实现对内网中的每个用户的网络使用进行监控；而与此同时，随着计算机病毒不断出现新的破坏手段，以及很多容易被攻击的中低端网络产品的更多使用，造成更加容易实现对该以太网的攻击；

3、随着宽带的兴起和新型业务的普及，以太网越来越多地应用于相对于网络管理部门的外网中，以太网接入的宽带小区就是其中的一例，在此种情况下，以太网更易受到攻击。

而对于采用该以太网实现通讯的用户来说，一旦该以太网受到攻击，造成网络瘫痪，即使没有丢失任何有价值的资料，也会造成与网络瘫痪时间成正比的非常大的损失，而对于通过以太网开展工作业务的公司来说，这种损失往往比丢失资料更为严重。

下面，介绍针对网际协议(IP)的以太网的上述攻击方法。

在IP协议的以太网中，通过IP地址来标识网络中的节点，按照网络中节点的硬件地址实现数据传输，因此，在数据传输过程中，必然存在根据IP地址解析得到硬件地址的过程。以太网中的各个节点多采用IEEE802协议簇定位的以太网的地址(MAC)作为硬件地址，当一台主机与另一台主机通讯时，通讯双方首先需要得到对方的IP地址，然后利用地址解析协议(ARP)进行地址解析，得到与该IP地址相对应的硬件地址MAC，通讯双方按照得到的MAC地址在以太网上进行数据报文的传输。在上述的ARP协议中，存在两种报文实现该协议的通讯，分别是ARP请求报文和ARP应答报文，下面对ARP协议使用这两种报文进行对IP地址的MAC解析的工作原理：

在以太网中的主机需要向一个IP地址发送报文时，使用ARP请求报文，该ARP请求报文在以太网中采用广播方式发送，以太网中包括网关在内的所有主机都能够收到该ARP请求报文，在该ARP请求报文中包括以下信息：发送者的IP地址、发送者的MAC地址、请求的IP地址、以及请求的MAC地址，由于所请求的MAC地址当前未知，因此此项为空；接收到该ARP请求的主机会将请求报文中的发送者的IP地址和发送者的MAC地址作为一个表项保存在该主机的ARP表中；

在以太网中的主机收到ARP请求报文后，会取出该请求报文中的请求的IP地址与自己的IP地址进行比较，如果相同，则使用ARP应答报文将该主机的MAC地址发送给发送该ARP请求报文的主机，具体包括：该主机将自己的MAC地址放入ARP请求报文的“请求的MAC地址”项中，然后将当前的ARP请求报文作为ARP应答报文发送到发出ARP请求报文的主机，接收到该ARP应答报文的主机将该ARP应答报文中的“请求的IP地址”和“请求的MAC地址”表项保存在其ARP表中，从而得到与所请求的IP地址相对应的MAC地址；

以上述方式完成对IP地址的MAC解析后，以太网中的主机会在其自身的ARP表中保存相应的IP地址和MAC地址，这样，在以太网中的主机向一个IP地址发送数据时，可以从其自身的ARP表中得到与该IP地址相对应的MAC地址，并将该MAC地址填写到数据的报文头中，该数据就可以依照该MAC地址实现在以太网上的传输；由于以太网中主机的IP地址可能由于人工配制的原因或随机分配的原因而发生变化，因此，IP以太网中主机的IP地址和MAC地址的对应关系据此就会不同，根据此种情况，以太网中的主机的ARP表中的内容被设定为可以更新，以满足IP地址变化所造成的IP地址和MAC地址对应关系发生变化的需要。

以太网中的恶意用户通常根据上述利用ARP协议进行IP地址的MAC解析过程对以太网进行攻击，下面结合具体例子对其攻击方式加以说明。

参见图1，以一个接入互联网的IP协议以太网为例，个人计算机(PC)利用该IP协议以太网的正常访问过程如下：

以PC1为例，当PC1需要访问外部网络时，首先需要知道网关1的IP地址IP1，该IP地址通常静态配置获得，也可以通过其它协议获得；PC1利用ARP向该以太网中包括网关1在内的所有主机发送一个ARP请求，其中，该ARP请求中的“请求的IP地址”项内容为IP1；各个主机收到该ARP请求后，分别判断该请求中的IP地址IP1是否与自身的IP地址相一致，如果是，表明该主机就是网关1，则网关1向发送该请求的PC1返回一个ARP应答报文，根据上述地址解析过程，该ARP应答报文中的“请求的IP地址”和“请求的MAC地址”分别为网关1的IP地址IP1和网关1的硬件地址MAC1；PC1得到该报文后，根据上述地址解析过程，将该报文中的IP1和MAC1保存到PC1上的ARP表中；PC1以后以网关1的IP地址IP1所发送的数据报文，就可以依据ARP表中的IP1所对应的硬件地址MAC1，发送到网关1上，从而实现报文在以太网上的传送。

参见图2，假定在该以太网中存在一个攻击网络的恶意用户PC2，PC2将利用如下方法实现对IP以太网的攻击：

PC2伪造出一个网关1的ARP报文，该报文可能是以广播形式发送的ARP请求报文，也可以是ARP应答报文，如果是ARP请求报文，则该报文中的“发送者的IP地址”和“发送者的MAC地址”两项内容被分别伪造成“IP1”和“MAC2”；如果是以ARP应答报文作为攻击手段，则该ARP应答报文被设置为广播方式发送，并且该报文中的“请求的IP地址”和“请求的MAC地址”两项被分别伪造成“IP1”和“MAC2”；根据上述的ARP协议工作原理，各个主机收到该报文后，根据该报文中的IP地址IP1，分别将各自的ARP表项中的内容进行更新，将原来对应于IP1的MAC1更新为MAC2。进行这种更新之后，以太网中的各个主机在向网关1发送报文时，会根据自身上的ARP表项确定该报文所发送的硬件地址为PC2的硬件地址MAC2，而不再是MAC1，这样，恶意攻击用户PC2就达到了假冒IP网关的目的，而网络中的用户由于遭到该种恶意攻击，无法将报文发送到应该发送到的网关1之上，从而造成了网关无法正常接收数据，网络中的用户与网关的通讯中断，进而可造成整个以太网的瘫痪。

如上所述的那样，针对上述利用广播ARP报文对于IP以太网的攻击，当前还没有行之有效的防范方法，而随着网络的日益普及，防范此种针对网络自身的攻击必将成为网络安全领域所面临的一个十分重要的问题。

发明内容

有鉴于此，本发明的主要目的在于提供一种防范通过广播ARP报文假冒IP以太网网关的方法，该方法可以防止恶意用户通过假冒IP网关而对网络所进行的攻击，从而确保网络的可靠性和安全性。

本发明公开了一种防范通过广播地址解析协议ARP报文假冒网际协议IP网关的方法，其特征在于该方法包括：

IP网关接收以太网中的广播ARP报文，判断该报文中的IP地址是否与该网关的IP地址一致，如果是，则IP网关生成具有该网关IP地址和该网关硬件地址的ARP报文，将该报文发送到以太网的所有主机上，主机以接收到报文中的网关硬件地址作为IP网关的硬件地址；否则，IP网关正常处理该ARP报文。

其中，如果IP网关收到的广播ARP报文中的IP地址与该网关的IP地址一致，该方法进一步包括：

该网关记录所收到的报文中的硬件地址。

其中，如果IP网关收到的广播ARP报文中的IP地址与该网关的IP地址一致，该方法进一步包括：

该网关向网络管理员发出出现假冒IP网关的攻击的信号。

其中，所述IP网关发送报文到以太网的所有主机上为免费发送。

其中，所述主机以接收到报文中的网关硬件地址作为IP网关的硬件地址包括：

所述主机根据该报文中的IP地址和硬件地址更新自身的ARP表项中的内容。

可见，在本发明中，网关在接收到以太网中的各个主机所发送的广播ARP报文之后，判断该报文中的相应IP地址是否为网关自身的IP地址，如果是，则表明该报文为假冒网关的攻击报文，IP网关生成一个包含自身IP地址和硬件地址的正确报文发送给以太网中的所有用户，以此方式，实现防范假冒网关的攻击。本发明能够有效地防范恶意用户对于IP网关的假冒，从而防范恶意用户通过假冒IP网关而进行的攻击。使用该方法，不会中断网络中其他用户的正常流量，并且，还可以在受到攻击时及时通知网络管理员，以便网络管理员做出处理。该方法可以使得网络设备的可用性得到最大程度的保证，进而最大程度地确保网络通讯的可靠性。另外，该方法也可以防止由于用户配置不当而造成的与网关IP地址相冲突的情况。

附图说明

图1为IP协议以太网中正常访问过程示意图。

图2为IP协议以太网中的攻击过程示意图。

图3为本发明实现防范假冒IP网关的流程图。

具体实施方式

本发明为一种防范通过广播ARP报文假冒IP网关的方法，在该方法中，IP网关每当收到ARP报文时，均判断该报文中的IP地址是否与自身的IP地址相同，如果相同，则向以太网中的所有用户发送包含正确网关地址的ARP报文，从而防范恶意用户假冒IP网关。

下面结合附图对本发明进行详细描述。

参见图3，本发明实现防范假冒IP网关具体包括以下步骤：

步骤301：IP网关接收以太网中的任何主机所发送的广播ARP报文，其中，该广播报文可以是ARP请求报文，也可以是ARP应答报文；

步骤302：IP网关取出所接收的ARP报文中的IP地址；其中，如果接收到的ARP报文为ARP请求报文，则取出该报文中的“发送者的IP地址”；如果接收到的ARP报文为ARP应答报文，则取出该报文中的“请求的IP地址”；

步骤303：IP网关判断步骤302中所取出的IP地址是否和网关自身的IP地址相同，如果相同，表明该ARP报文为恶意用户为假冒IP网关所发送的攻击报文，则执行步骤304，否则，表明该ARP报文并非恶意攻击的报文，IP网关按照对于该ARP报文的正常处理方式处理该报文；

步骤304：IP网关生成一个ARP请求报文，该请求报文中的“发送者的IP地址”和“发送者的MAC地址”分别为该IP网关的IP地址和硬件地址MAC，然后，网关设备将该报文以免费方式发送到以太网的所有主机上；在发送该免费报文的同时，以太网并不中断正常的通讯，并且，在本发明实施例中，网关设备进一步将所接收到的攻击报文中的恶意用户的硬件地址记录在内存中，并且向网络管理员发出信号，该信号可以是电信号、光信号或其它类型的信号，通知网络管理员发生假冒IP网关的攻击，以便网络管理员及时进行相应处理，网络管理员可以采用例如在以太网中进行抓包的方法获得IP网关的硬件地址，并做出相应处理，此技术为本领域技术人员公知技术。

其中，在本发明中，恶意用户有可能采用在一定时间内多次发送攻击报文的方式来假冒网关，IP网关每次收到该攻击报文后都会按照上述的防范方法进行处理，可以认为IP网关在收到攻击报文之后就会被该攻击报文驱动发送包含网关正确地址的报文，利用此方式可以实现对于多次攻击的防范。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (5)

1、一种防范通过广播地址解析协议ARP报文假冒网际协议IP网关的方法，其特征在于该方法包括：

IP网关接收以太网中的广播ARP报文，判断该报文中的IP地址是否与该网关的IP地址一致，如果是，则IP网关生成具有该网关IP地址和该网关硬件地址的ARP报文，将该报文发送到以太网的所有主机上，主机以接收到报文中的网关硬件地址作为IP网关的硬件地址；否则，IP网关正常处理该ARP报文。

2、根据权利要求1所述的方法，其特征在于，如果IP网关收到的广播ARP报文中的IP地址与该网关的IP地址一致，该方法进一步包括：

该网关记录所收到的报文中的硬件地址。

3、根据权利要求1或2所述的方法，其特征在于，如果IP网关收到的广播ARP报文中的IP地址与该网关的IP地址一致，该方法进一步包括：

该网关向网络管理员发出出现假冒IP网关的攻击的信号。

4、根据权利要求1所述的方法，其特征在于所述IP网关发送报文到以太网的所有主机上为免费发送。

5、根据权利要求1所述的方法，其特征在于，所述主机以接收到报文中的网关硬件地址作为IP网关的硬件地址包括：

所述主机根据该报文中的IP地址和硬件地址更新自身的ARP表项中的内容。

Images