[发明专利]一种防网关欺骗的方法及装置

说明书

技术领域

本发明涉及数据通信技术领域，尤其是涉及一种防网关欺骗的方法及装置。

背景技术

地址解析协议(英文：Address Resolution Protocol，缩写：ARP)是根据IP地址获取物理地址的一个TCP/IP协议。网络中的主机通过网关连接外网，在网络中，通常情况下会设置一个默认的网关，网络中的主机发送到局域网外的全部报文会发送到默认网关，因此，网络中的主机连接外网之前都会先发送ARP请求报文申请默认网关的介质访问控制(英文：Medium Access Control，缩写：MAC)地址。

当网络中存在网关ARP欺骗的病毒时，网关ARP病毒进行欺骗的过程如下述：当局域网中的某一台主机向局域网外发送数据时，该主机会给全网络发送广播ARP请求报文，来申请网关的MAC地址。当网关收到ARP请求报文时，会回复一个ARP响应报文给请求主机。此时携带ARP网关欺骗病毒的主机也会回复一个虚假的ARP响应报文给请求主机，通常该虚假ARP报文的目的硬件地址被填成一个虚假的MAC地址或者其自身的MAC地址，而且通常虚假的ARP响应报文会比网关的ARP响应报文延迟一段时间或者多发几个。这样，主机就会学到错误的网关的MAC地址，后续发送的报文不是到达网关的MAC，而是到达一个错误的MAC地址，或者病毒主机。从而网关ARP欺骗病毒达到了使局域网络内主机断网或者流量导入病毒主机的目的。

综上所述，网关ARP欺骗病毒的存在会导致网络中的主机学习到错误的网关的MAC地址，从而造成网络中的主机无法向局域网外发送数据或者发送的数据被错误的导入到病毒主机，使得网络安全性较差。

发明内容

本发明提供了一种防网关欺骗的方法及装置，用于解决网络中存在ARP欺骗病毒时网络的安全性。

一种防网关欺骗的方法，包括：发送包含设定的互联网协议IP地址的用于探测是否存在网关欺骗病毒的探测报文；并接收探测响应报文；获得接收到的探测响应报文中的源IP地址；判断所述源IP地址是否和设定的网关IP地址一致；在确定出所述源IP地址和设定的网关IP地址一致时，向网络中各主机广播包含正确网关IP地址的网关报文，其中，所述包含正确网关IP地址的网关报文使网络中已被篡改的主机获取正确的IP地址，恢复与网关正常通信。

通过上述技术方案，可以使得网络中已被篡改的主机获取正确的IP地址，恢复与网关正常通信。

在确定出所述源IP地址和设定的网关IP地址一致之后，还包括：根据接收到的欺骗源发送的探测响应报文，获得发送所述探测响应报文的主机介质访问控制MAC地址作为欺骗源MAC地址；将所述欺骗源MAC地址加入到用于标识网关欺骗病毒源的黑名单中。

通过上述技术方案，可以定位到欺骗源，并进一步阻断了欺骗源对于网关的欺骗。

在接收网关ARP回应报文之前，还包括：通过设定端口广播探测报文，所述探测报文中包含设定的网关IP地址、设定的发送IP地址、设定的发送MAC地址以及所述设定端口归属的虚拟局域网VLAN标识。

通过指定发送者IP地址字段、发送者硬件地址字段，不使用网关的IP与MAC，可以防止某些智能病毒识别出网关的探测意图。

通过设定端口广播探测报文，包括：以设定时长为间隔，周期性通过设定端口广播探测报文。

通过上述技术方案，可以使得已经被欺骗的网络中的设备，恢复与网关的正常通信。

一种防网关欺骗的装置，包括：发送模块，用于发送包含设定的互联网协议IP地址的用于探测是否存在网关欺骗病毒的探测报文；接收模块，用于接收探测响应报文；获得模块，用于获得接收到的探测响应报文中的源IP地址；执行模块，用于判断所述源IP地址是否和设定的网关IP地址一致；在确定出所述源IP地址和设定的网关IP地址一致时，向网络中各主机广播包含正确网关IP地址的网关报文，其中，所述包含正确网关IP地址的网关报文使网络中已被篡改的主机获取正确的IP地址，恢复与网关正常通信。

通过上述技术方案，可以使得网络中已被篡改的主机获取正确的IP地址，恢复与网关正常通信。

所述获得模块，还用于根据接收到的欺骗源发送的探测响应报文，获得发送所述探测响应报文的主机介质访问控制MAC地址作为欺骗源MAC地址；所述执行模块，还用于将所述欺骗源MAC地址加入到用于标识网关欺骗病毒源的黑名单中。

通过上述技术方案，可以定位到欺骗源，并进一步阻断了欺骗源对于网关的欺骗。