[发明专利]利用“新型NAT”实现路由网关设备防范ARP病毒攻击的方法

说明书

技术领域

本发明属于网络安全领域，具体涉及一种利用“新型NAT”实现路由器等网关设备自动防范ARP病毒攻击、从而实现对ARP病毒攻击先天免疫的方法。

背景技术

ARP是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一台主机要和另一台主机进行直接通信，必须要知道目标主机的MAC地址。目标MAC地址正是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

MAC地址是网卡的物理地址，它由48位二进制数表示，前24位表示网络厂商的标示符，后24位表示序号。每个不同的网络厂商会有不同的厂商标识符，而每个厂商所生产出来的24位序号也是不一样的，这样每一个网络设备接口的MAC地址都是唯一的。MAC地址工作于局域网，用于局域网的数据传输，局域网之间的互连一般经由路由器等网关设备通过现有的公用网络实现。

以太网中的传输，目标地址是通过MAC进行确定的，所以必须确定子网中IP的MAC地址，仅知道目的IP是不行的。路由器等网关设备会时时维护一张ARP表，这张表里记录了局域网设备的IP和MAC地址的对应，这样路由器就可以通过查这张ARP表确定某个IP的MAC地址。正常情况下，路由器的ARP表的对应关系是正确的，如附图1所示的ARP表的涵义为IP为192.168.1.1的设备的MAC为00-0f-7a-00-00-01；IP为192.168.1.2的设备的MAC为00-0f-7a-00-00-02；以此类推。

例如192.168.1.1的PC发起对因特网的访问，经路由器NAT转换后，发送到外网，路由器收到外网的响应数据后，进行NAT转换，通过查找NAT表路由器便可确定数据是192.168.1.1的返回数据，要将返回数据发送给192.168.1.1。但是，数据要发送到192.168.1.1的MAC，这时路由器开始查找图1的ARP表，发现192.168.1.1的MAC为00-0f-7a-00-00-01，这样返回数据就被正确的送到发送方的PC上了。

由于ARP表示动态维护的，所以当网络中出现新的IP或是已有IP的MAC地址发生改变，路由器都会收到这些设备的ARP数据包，路由器会跟据数据包提供的IP和MAC的对应修改自己的ARP表，保证ARP表的实时更新。

正是因为ARP表的实时更新，导致ARP病毒对网络正常工作带来巨大威胁，ARP病毒攻击是通过对网关发起错误的ARP信息修改ARP表，达到攻击网关的目标。同样是192.168.1.1的PC发起网络访问，经路由器NAT转换后，发送到外网，路由器收到返回数据后，进行NAT转换，NAT转化后路由器知道该数据是192.168.1.1的返回数据。如果在路由器收到192.168.1.1的请求数据后，将返回数据发送给192.168.1.1之前，路由器收到192.168.1.2发出伪造192.168.1.1的ARP攻击，攻击的内容为192.168.1.1的MAC是00-0f-7a-00-00-02，路由器收到这样的数据后就会修改自己的ARP表，为如附图2所示。当192.168.1.1的数据返回后，路由器还要查自己的ARP表找出192.168.1.1的MAC。这样路由器再查192.168.1.1的MAC时，查到192.168.1.1的MAC就是00-0f-7a-00-00-02，于是就会把192.168.1.1的返回数据发给了00-0f-7a-00-00-02，也就是发给了192.168.1.2，这样192.168.1.1的网络访问没有得到响应。

整个数据转发的过程如附图3：①终端设备发起请求→②路由器NAT转换→③转发访问请求→④数据返回→⑤路由器NAT转换→⑥路由器查ARP表→⑦返回数据给请求终端。ARP攻击正是在这个过程中通过发送错误的ARP信息攻击路由器，使路由器不能将返回数据正确的送达。