保证arp报文安全性的方法
【专利摘要】本发明提出了一种保证ARP报文安全性的方法,其包括:步骤1:为交换机和/或路由器使能ARP报文验证;步骤2:选择一种ARP报文验证的方式;步骤3:根据ARP报文验证的方式,配置相应的验证手段。本发明大大增加了ARP报文的安全性,ARP报文不能被攻击者截获或伪造。本发明所用方式简便,实用性强。
【专利说明】保证ARP报文安全性的方法
【技术领域】
[0001]本发明涉及一种增强网络环境安全的方法,尤其是涉及增强ARP报文安全的方法。
【背景技术】
[0002]ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。ARP协议用于把IP地址解析成LAN硬件使用的MAC地址。IP数据包常通过以太网发送,但以太网设备并不识别32位IP地址,它们是以48位以太网地址传输以太网数据包。因此,必须把IP目的地址转换成以太网目的地址。ARP协议用于将网络中的IP地址解析为目标硬件地址(MAC地址),以保证通信的顺利进行。
[0003]OSI模式把网络工作分为七层,彼此不直接打交道,只通过接口(layerinterface)0 IP地址在第三层,MAC地址在第二层。在发送数据包时,得先封装第三层(IP地址)、第二层(MAC地址)的报头,但只知道目的节点的IP地址,不知道其MAC地址,又不能跨第二、三层,所以得用ARP协议。
[0004]ARP协议并不只在发送了 ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP cache中。因此,当局域网中 的某台机器B向A发送一个自己冒充C的ARP应答,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B冒充C的ARP应答后,就会更新本地的ARP cache,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来的了。由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,原来C的真实MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C !这就是一个简单的ARP欺骗。
[0005]ARP欺骗可以导致目标计算机与网关通信失败,更可怕的是会导致通信重定向,所有的数据都会通过攻击者的机器,因此存在极大的安全隐患。
【发明内容】
[0006]本发明需解决的技术问题是提供一种保证ARP报文安全性的方法,改善网络环境。
[0007]为解决上述的技术问题,本发明设计了一种保证ARP报文安全性的方法,其包括以下步骤:
[0008]步骤1:为交换机和/或路由器使能ARP报文验证;
[0009]步骤2:选择一种ARP报文验证的方式;
[0010]步骤3:根据ARP报文验证的方式,配置相应的验证手段。
[0011]作为本发明进一步改进,在交换机和/或路由器的用户界面命令行配置使能ARP报文验证的命令。
[0012]作为本发明进一步改进,使能ARP报文验证的命令为switch (config) #arpauthentication。
[0013]作为本发明进一步改进,步骤2中选择明文验证方式。
[0014]作为本发明进一步改进,明文验证方式的命令为switch (config) #arpauthentication-key mypassword。
[0015]作为本发明进一步改进,步骤2中选择MD5加密验证方式。
[0016]作为本发明进一步改进,MD5加密验证方式的命令为switch (config) #arp message-digest-keyl0md5mypassword。
[0017]本发明大大增加了 ARP报文的安全性,ARP报文不能被攻击者截获或伪造。本发明所用方式简便,实用性强。
【具体实施方式】
[0018]为了使本领域相关技术人员更好地理解本发明的技术方案,下面将结合本发明的实施方式,对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施方式仅仅是本发明一部分实施方式,而不是全部的实施方式。
[0019]本发明提供一种保证ARP报文安全性的方法,可用于局域网或广域网上。首先,必须为局域网内或广域网内的网关设备开启ARP报文验证开关,即为网关设备配置使能ARP报文验证,本发明网关设备即为网络环境中所有的路由器和/或交换机,但是为与PC端ARP报文兼容,连接PC的路由器或交换机arp报文不使用验证方式。当网络环境中,不需要ARP报文加密验证时,在命令行配置switch (config) #no arp authentication命令即可关掉ARP报文验证。
[0020]配置ARP报文使能验证具体的操作方法是,在交换机和路由器的用户界面命令行配置使能ARP报文验证的命令,在本发明实施例中,使能ARP报文验证的命令为switch(config)#arp authentication。
[0021]当开启了 ARP报文验证开关之后,再选择一种ARP报文验证的方式。本发明的报文验证的方式包括不限于明文验证方式和MD5加密验证方式。
[0022]选择明文验证方式,其命令为switch (config) #arp authentication-keymypassword。选择 MD5 加密验证方式,其命令为 switch (config) #arp message-digest-keyl0md5mypassword。
[0023]根据明文验证方式或MD5加密验证方式,再配置相应的验证手段,例如配置明文密码和MD5加密秘要信息。当加密之后,会在原来的ARP报文之前封装一层加密头部,加密头部包含加密和验证所需的信息,比如,用户名和密码,验证码,加密秘要。
[0024]本发明大大增加了 ARP报文的安全性,ARP报文不能被攻击者截获或伪造。本发明所用方式简便,实用性强。
[0025]以上仅表达了本发明的一种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
【权利要求】
1.一种保证ARP报文安全性的方法,其特征在于,包括以下步骤: 步骤1:为交换机和/或路由器使能ARP报文验证; 步骤2:选择一种ARP报文验证的方式; 步骤3:根据ARP报文验证的方式,配置相应的验证手段。
2.根据权利要求1所述的保证ARP报文安全性的方法,其特征在于, 在交换机和/或路由器的用户界面命令行配置使能ARP报文验证的命令。
3.根据权利要求2所述的保证ARP报文安全性的方法,其特征在于, 使能 ARP 报文验证的命令为 switch (config) #arp authentication。
4.根据权利要求1所述的保证ARP报文安全性的方法,其特征在于,步骤2中选择明文验证方式。
5.根据权利要求4所述的保证ARP报文安全性的方法,其特征在于,明文验证方式的命令为 switch (config) #arp authentication-key mypassword。
6.根据权利要求1所述的保证ARP报文安全性的方法,其特征在于,步骤2中选择MD5加密验证方式。
7.根据权利要求6所述的保证ARP报文安全性的方法,其特征在于,MD5加密验证方式的命令为 switch (config) #arp message-digest-keyl0md5mypasswordo
【文档编号】H04L29/06GK103873478SQ201410122667
【公开日】2014年6月18日 申请日期:2014年3月28日 优先权日:2014年3月28日
【发明者】刘文勇, 廖俊杰, 车任秋 申请人:上海斐讯数据通信技术有限公司