[发明专利]针对ARP欺骗攻击的防御方法、系统、设备及存储介质

说明书

本发明提供一种针对ARP欺骗攻击的防御方法、系统、设备及存储介质。该方法包括：监听网络中返回发送的ARP报文；根据第一系统时间，创建具有第一时间信息的虚拟MAC地址；将创建的虚拟MAC地址作为源MAC地址，收到ARP请求的网卡IP地址为源IP地址，将监听到的ARP报文的源IP地址作为目的IP地址，将监听到的ARP报文的源MAC地址为目的MAC地址，发送用于校验ARP报文的ARP请求报文；在预定时间窗口监听与ARP请求报文相对应的用于验证ARP报文的ARP响应报文；执行第一验证，验证目的MAC地址是否与虚拟MAC地址一致；执行第二验证，计算ARP响应报文是否超出预定时间窗口；以及基于第一验证和第二验证的结果来确定是否将ARP响应报文中的IP地址与MAC地址的对应关系写入ARP缓存表。

技术领域

本发明涉及通信技术领域，尤其涉及一种针对ARP欺骗攻击的防御方法、系统、设备及存储介质。

背景技术

ARP协议(Address Resolution Protocol地址解析协议)是一种将IP地址映射到MAC地址(物理地址)的二层协议。在OSI七层模型中，数据链路层中实际传输的数据格式是数据帧，数据帧头部要封装有目标主机的MAC地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。目标主机的MAC地址是通过ARP协议获得的。即主机在发送数据帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的。以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，直接把目标MAC地址写入帧里面发送；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF-FF-FF-FF-FF-FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找即可。但是ARP协议本身在安全方面就存在缺陷。首先，ARP缓存表中的对应关系没有校验机制，即收到ARP报文后就会在ARP缓存表中添加或改写IP地址、MAC地址的对应关系，不验证报文是否合法。其次，在主机本没有发送ARP请求的情况下收到ARP响应报文时，同样会更新ARP缓存表。基于ARP协议的缺陷，常见的ARP攻击方式有ARP中间人攻击和拒绝服务攻击。

针对ARP中间人攻击，由于ARP报文无校验机制，且任何ARP报文都会写入ARP缓存表。因此，实施ARP中间人攻击的主机B(192.168.16.2)可以构造一个ARP响应报文，发送给被攻击的主机A(192.168.16.1)，报文的内容是主机C(192.168.16.3)的MAC地址是bb-bb-bb-bb-bb-bb(主机B的MAC地址)。主机B(192.168.16.2)再发送一个ARP响应报文给主机C(192.168.16.3)，报文内容是主机A(192.168.16.1)的MAC地址是bb-bb-bb-bb-bb-bb。主机A(192.168.16.1)和主机C(1921.68.16.3)都将错误的IP地址、MAC地址的对应关系写入ARP缓存表中。之后的主机A和主机C的通信都会发给主机B，主机B可以截获传输的数据并决定是否将报文转发。这样，主机A和主机C之间的通信会面临数据泄露、传输延迟、网络不可达等各种安全隐患。针对拒绝服务攻击，实施ARP拒绝服务攻击的主机通过构造大量的虚假ARP请求报文发送给被攻击的主机，由于ARP没有验证机制，被攻击的主机会将所有ARP报文中的IP地址、MAC地址的对应关系写入ARP缓存表，导致ARP缓存表溢出无法响应正常的请求。