[发明专利]针对ARP欺骗的多级检测和防御方法

说明书

技术领域

本发明涉及针对ARP欺骗的检测和防御方法，尤其涉及一种针对ARP欺骗的多级检测和防御方法。

背景技术

ARP(Address Resolution Protocol)地址解析协议，是一种将IP地址转化成物理(MAC，Media Access Control)地址的协议。ARP为早期的网络协议，RFC826于1980年出版。早期的互联网采取的是信任模式，不考虑网络安全问题，因此导致了ARP欺骗问题的出现。因为ARP协议并不只在发送了ARP请求才接收ARP应答，当主机(计算机)接收到ARP应答数据包的时候，就会无条件对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存表中。具体而言，当局域网中的一个主机(例如主机B)向网关发送一个自己伪造的ARP应答，即IP地址为另一个主机(例如主机A)的IP，而MAC地址是伪造的，当网关接收到主机B伪造的ARP应答后，就会更新本地的ARP缓存表，这样在网关看来主机A的IP地址没有变，而它的MAC地址已经不是原来那个了。

目前虽然有多种网关ARP欺骗防御方法，但是都或多或少存在一些缺陷。例如，对于IP地址和MAC地址静态绑定法，其使用不方便，适应性和灵活性比较差。内网主机多或DHCP的时候，管理和维护很麻烦。还有一种防御方法，网关对免费ARP不予理睬，只处理响应自己之前发送的ARP请求的ARP应答包，这种方式误判率很高，会导致用户数据流时断时续，基本无使用价值。还有一种防御方法，网关下面的主机以一定的频率广播自己正确的ARP信息，这是目前ARP防火墙常用的方法，其缺陷是没有从根本上解决问题，仍然会导致用户数据时断时续的。

发明内容

本发明要解决的技术问题在于针对现有技术中检测ARP欺骗过程中数据通信时通时断且检测准确度不高的缺陷，提供一种针对ARP欺骗的多级检测和防御方法。

本发明解决其技术问题所采用的技术方案是：一种针对ARP欺骗的多级检测和防御方法，包括：

初始化步骤：初始化ARP缓存表中主机的MAC地址的可信度；并向每个所述MAC地址以冗余模式发送数据包；

检测步骤：对所述MAC地址执行至少两次基于所述MAC地址的可信度的伪造检测，以确定所述MAC地址是否为伪造的MAC地址；

防御步骤：停止向所述伪造的MAC地址发送所述数据包。

在依据本发明实施例的针对ARP欺骗的多级检测和防御方法中，在所述初始化步骤包括将全部所述MAC地址的可信度设置为非零值以信任全部所述MAC地址。

在依据本发明实施例的针对ARP欺骗的多级检测和防御方法中，所述伪造检测是ARP请求数据包检测、TCP数据包检测、ping请求数据包检测、已知服务端口检测或ARP广播检测。

在依据本发明实施例的针对ARP欺骗的多级检测和防御方法中，所述ARP请求数据包检测包括步骤：

向所述MAC地址发送ARP请求数据包，如果没有收到所述MAC地址针对所述ARP请求数据包的回应，则设置该MAC地址的可信度为零值以确定为伪造的MAC地址；否则，所述MAC地址的可信度保持不变。

在依据本发明实施例的针对ARP欺骗的多级检测和防御方法中，所述TCP数据包检测包括步骤：

判断从所述MAC地址接收的TCP数据包是否携带有回应包，如果有，则所述MAC地址的可信度递增1；否则，所述MAC地址的可信度保持不变；

将所述MAC地址的可信度与可信度阈值进行比较，如果其中一个所述MAC地址的可信度大于所述可信度阈值，则将全部所述MAC地址的可信度减半以获得新的可信度；否则继续判断从所述MAC地址接收的TCP数据包是否携带有回应包；

判断所述MAC地址的新的可信度是否为零值，如果是，则确定为伪造的MAC地址。

在依据本发明实施例的针对ARP欺骗的多级检测和防御方法中，所述ping请求数据包检测包括步骤：

发送绑定MAC地址的ping请求数据包；

如果接收到所述绑定的MAC地址的回应，则所述MAC地址的可信度保持不变；否则所述MAC地址的可信度减半以获得新的可信度；

判断所述MAC地址的新的可信度是否为零值，如果是，则确定为伪造的MAC地址。

在依据本发明实施例的针对ARP欺骗的多级检测和防御方法中，所述已知服务端口检测包括步骤：

发送绑定MAC地址的TCP连接握手数据包；