本發明涉及通信技術領域，尤指一種檢測網關地址解析協議(Address Resolution Protocol，ARP)欺騙的方法及裝置。

背景技術：

隨著電氣和電子工程師協會(Institute of Electrical and Electronics Engineers，IEEE)802.11協議的無線局域網絡(Wireless Local Area Networks，WLAN)大規模部署與實施，以及移動互聯網的高速發展，如今在機場、高校、商場、酒店、超市等人流量密集的場所，都可以接入WLAN。考慮到WLAN易部署的特性，WLAN中均使用動態主機配置協議(Dynamic Host Configuration Protocol，DHCP)對無線終端進行地址管理。由于WLAN的覆蓋廣泛，無線終端可自由的接入，不法分子常利用不同的攻擊手法，如：嗅探攻擊、訪問攻擊、網關攻擊等針對WLAN網絡設備進行攻擊，造成網絡通信異常、網絡癱瘓等嚴重影響。

網關攻擊是WLAN中普遍存在的問題，網關攻擊又稱網關ARP欺騙。其原理為，假設無線終端A、B處于同一WLAN，與訪問接入點(Access Point，AP)通信連接，無線終端A廣播ARP請求報文請求網關的媒體訪問控制(Medium Access Control，MAC)地址，除了AP之外，無線終端B也會收到該ARP請求報文，同時無線終端B可以發送ARP響應報文，若無線終端B已獲取網關的IP地址，就將ARP響應報文的源(Internet Protocol，IP)地址填為網關的IP地址、源MAC地址填為自己的MAC地址，無線終端A收到該ARP響應報文后，會將無線終端B當做網關，無線終端A將本應發往網關的報文發往無線終端B，從而造成網關ARP欺騙。而目前，尚未存在有效的檢測WLAN中網關ARP欺騙的方法。

技術實現要素：

本發明實施例提供一種檢測網關ARP欺騙方法及裝置，用以實現有效檢測WLAN中的網關ARP欺騙。

根據本發明實施例，提供一種檢測網關ARP欺騙方法，應用在AP中，包括：

接收到報文后，確定所述報文的類型；

若所述報文的類型是動態主機配置協議DHCP響應報文，則獲取所述DHCP響應報文中攜帶的第一無線局域網WLAN標識和網關的IP地址，并根據所述第一WLAN標識和所述網關的IP地址更新防網關ARP欺騙映射表；

若所述報文的類型是ARP響應報文，則獲取所述ARP響應報文的源IP地址和攜帶的第二WLAN標識，在所述防網關ARP欺騙映射表中查找所述第二WLAN標識，若查找到所述第二WLAN標識、且所述第二WLAN對應的網關的IP地址與所述源IP地址相同，則檢測到網關ARP欺騙。

具體的，根據所述第一WLAN標識和所述網關的IP地址更新防網關ARP欺騙映射表，具體包括：

在所述防網關ARP欺騙映射表中查找包括所述第一WLAN標識和所述網關的IP地址的第一表項；

若未查找到所述第一表項，則在所述防網關ARP欺騙映射表中建立所述第一表項，并啟動所述第一表項的老化時間；

若查找所述第一表項，則重新啟動所述第一表項的老化時間。

可選的，根據所述第一WLAN標識和所述網關的IP地址更新防網關ARP欺騙映射表之后，還包括：

將所述防網關ARP欺騙映射表上傳給所述AP所屬的接入控制器AC。

可選的，還包括：

若檢測到所述AP異常，則重啟所述AP；

從所述AC獲取所述防網關ARP欺騙映射表。

可選的，檢測到網關ARP欺騙之后，還包括：

丟棄所述報文；以及，

重新啟動包括所述第二WLAN標識和所述源IP地址的第三表項的老化時間。

根據本發明實施例，還提供一種檢測網關ARP欺騙的裝置，應用在AP中，包括：

確定模塊，用于接收到報文后，確定所述報文的類型；

更新模塊，用于若所述報文的類型是動態主機配置協議DHCP響應報文，則獲取所述DHCP響應報文中攜帶的第一無線局域網WLAN標識和網關的IP地址，并根據所述第一WLAN標識和所述網關的IP地址更新防網關ARP欺騙映射表；

檢測模塊，用于若所述報文的類型是ARP響應報文，則獲取所述ARP響應報文的源IP地址和攜帶的第二WLAN標識，在所述防網關ARP欺騙映射表中查找所述第二WLAN標識，若查找到所述第二WLAN標識、且所述第二WLAN對應的網關的IP地址與所述源IP地址相同，則檢測到網關ARP欺騙。

具體的，所述更新模塊，具體用于：

在所述防網關ARP欺騙映射表中查找包括所述第一WLAN標識和所述網關的IP地址的第一表項；

若未查找到所述第一表項，則在所述防網關ARP欺騙映射表中建立所述第一表項，并啟動所述第一表項的老化時間；

若查找所述第一表項，則重新啟動所述第一表項的老化時間。

可選的，所述更新模塊，還用于：

將所述防網關ARP欺騙映射表上傳給所述AP所屬的接入控制器AC。

可選的，所述檢測模塊，還用于：

若檢測到所述AP異常，則重啟所述AP；

從所述AC獲取所述防網關ARP欺騙映射表。

可選的，所述檢測模塊，還用于：

丟棄所述報文；以及，

重新啟動包括所述第二WLAN標識和所述源IP地址的第三表項的老化時間。

本發明有益效果如下：

本發明實施例提供一種檢測網關ARP欺騙方法及裝置，接收到報文后，確定所述報文的類型；若所述報文的類型是DHCP響應報文，則獲取所述DHCP響應報文中攜帶的第一WLAN標識和網關的IP地址，并根據所述第一WLAN標識和所述網關的IP地址更新防網關ARP欺騙映射表；若所述報文的類型是ARP響應報文，則獲取所述ARP響應報文的源IP地址和攜帶的第二WLAN標識，在所述防網關ARP欺騙映射表中查找所述第二WLAN標識，若查找到所述第二WLAN標識、且所述第二WLAN對應的網關的IP地址與所述源IP地址相同，則檢測到網關ARP欺騙。該方案中，通過檢測ARP響應報文的源IP地址和攜帶的第二WLAN標識是否保存在防網關ARP欺騙映射表中，來檢測是否存在網關ARP欺騙，從而能夠實現自動檢測網關ARP欺騙，進一步可以防止網關ARP欺騙，提升無線網絡的安全性。

附圖說明

圖1為本發明實施例中檢測網關ARP欺騙方法的流程圖；

圖2為本發明實施例中檢測網關ARP欺騙裝置的結構示意圖。

具體實施方式

為了實現有效檢測WLAN中的網關ARP欺騙，本發明實施例提供一種檢測網關ARP欺騙方法，應用在AP中，目前，AP有本地轉發和集中轉發這兩種轉發模式，該方法在這兩種轉發模式中都適用。該發明方法的流程如圖1所示，執行步驟如下：

S11：接收到報文后，確定報文的類型，若報文的類型是DHCP響應報文，則執行S12；若報文的類型是ARP響應報文，則執行S13。

在本發明中，需要根據DHCP響應報文更新防網關ARP欺騙映射表，根據ARP響應報文來檢測網關ARP欺騙，因此，AP接收到報文后，需要首先確定報文的類型，并進一步確定報文是否是DHCP響應報文和ARP響應報文。

通常，不同類型的報文有不同的類型標識，因此，在確定報文的類型時，可以根據報文中攜帶的類型標識進行確定。

S12：獲取DHCP響應報文中攜帶的第一無線局域網WLAN標識和網關的IP地址，并根據第一WLAN標識和網關的IP地址更新防網關ARP欺騙映射表。

DHCP響應報文中攜帶DHCP服務器為無線終端分配的網關的IP地址，因此，可以根據DHCP響應報文中攜帶的第一WLAN標識和網關的IP地址來更新防網關ARP欺騙映射表。

其中，防網關ARP欺騙映射表中存儲的是無線終端所在的WLAN對應的第一WLAN標識和DHCP服務器為無線終端分配的網關的IP地址，這里面在存儲的是每個無線終端真正的網關的IP地址。

S13：獲取ARP響應報文的源IP地址和攜帶的第二WLAN標識，在防網關ARP欺騙映射表中查找第二WLAN標識，若查找到第二WLAN標識、且第二WLAN對應的網關的IP地址與源IP地址相同，則檢測到網關ARP欺騙。

當無線終端獲取到網關的IP地址后，若需要訪問外網，會廣播ARP請求報文以獲取網關的MAC地址，ARP響應報文是針對ARP請求報文的響應。正常情況下，該ARP響應報文應該是網關響應的，但是若存在網關ARP欺騙，該ARP響應報文可能是非法無線終端響應的。因此，可以將ARP響應報文的源IP地址和攜帶的第二WLAN標識與防網關ARP欺騙映射表進行比對，若在放網關ARP欺騙映射表中查找到第二WLAN標識、且第二WLAN對應的網關的IP地址與源IP地址相同，則檢測到網關ARP欺騙，從而可以確定存在非法無線終端。

該方案中，通過檢測ARP響應報文的源IP地址和攜帶的第二WLAN標識是否保存在防網關ARP欺騙映射表中，來檢測是否存在網關ARP欺騙，從而能夠實現自動檢測網關ARP欺騙，進一步可以防止網關ARP欺騙，提升無線網絡的安全性。

具體的，上述S12中根據第一WLAN標識和網關的IP地址更新防網關ARP欺騙映射表的實現過程，具體包括：在防網關ARP欺騙映射表中查找包括第一WLAN標識和網關的IP地址的第一表項；若未查找到第一表項，則在防網關ARP欺騙映射表中建立第一表項，并啟動第一表項的老化時間；若查找第一表項，則重新啟動第一表項的老化時間。

其中，老化時間用來表征防網關ARP欺騙映射表中每個表項的存活時間，為了保證防網關ARP欺騙映射表的準確性，若監控到防網關ARP欺騙映射表中第二表項的老化時間超時，則刪除第二表項。

可選的，上述S12中的根據第一WLAN標識和網關的IP地址更新防網關ARP欺騙映射表之后，上述方法還包括：將防網關ARP欺騙映射表上傳給AP所屬的AC。為了預防AP異常重啟后防網關ARP欺騙映射表丟失，可以將防網關ARP映射表同步給AP所屬的AC。

相應地，上述方法還包括：若檢測到AP異常，則重啟AP；從AC獲取防網關ARP欺騙映射表。通過該步驟可以保證AP異常重啟，AP依然可以根據防網關ARP欺騙映射表檢測網關ARP欺騙。

可選的，上述S13中檢測到網關ARP欺騙之后，還包括：丟棄報文；以及，重新啟動包括第二WLAN標識和源IP地址的第三表項的老化時間。通過該步驟可以自動防止網關ARP欺騙。

基于同一發明構思，本發明實施例提供一種檢測網關ARP欺騙裝置，應用在AP中，該裝置的結構如圖2所示，包括：

確定模塊21，用于接收到報文后，確定報文的類型；

更新模塊22，用于若報文的類型是動態主機配置協議DHCP響應報文，則獲取DHCP響應報文中攜帶的第一無線局域網WLAN標識和網關的IP地址，并根據第一WLAN標識和網關的IP地址更新防網關ARP欺騙映射表；

檢測模塊23，用于若報文的類型是ARP響應報文，則獲取ARP響應報文的源IP地址和攜帶的第二WLAN標識，在防網關ARP欺騙映射表中查找第二WLAN標識，若查找到第二WLAN標識、且第二WLAN對應的網關的IP地址與源IP地址相同，則檢測到網關ARP欺騙。

該方案中，通過檢測ARP響應報文的源IP地址和攜帶的第二WLAN標識是否保存在防網關ARP欺騙映射表中，來檢測是否存在網關ARP欺騙，從而能夠實現自動檢測網關ARP欺騙，進一步可以防止網關ARP欺騙，提升無線網絡的安全性。

具體的，更新模塊22，具體用于：

在防網關ARP欺騙映射表中查找包括第一WLAN標識和網關的IP地址的第一表項；

若未查找到第一表項，則在防網關ARP欺騙映射表中建立第一表項，并啟動第一表項的老化時間；

若查找第一表項，則重新啟動第一表項的老化時間。

可選的，更新模塊22，還用于：

將防網關ARP欺騙映射表上傳給AP所屬的接入控制器AC。

可選的，檢測模塊23，還用于：

若檢測到AP異常，則重啟AP；

從AC獲取防網關ARP欺騙映射表。

可選的，檢測模塊23，還用于：

丟棄報文；以及，

重新啟動包括第二WLAN標識和源IP地址的第三表項的老化時間。

本發明是參照根據本發明實施例的方法、設備(系統)、和計算機程序產品的流程圖和/或方框圖來描述的。應理解可由計算機程序指令實現流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結合。可提供這些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數據處理設備的處理器以產生一個機器，使得通過計算機或其他可編程數據處理設備的處理器執行的指令產生用于實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。

這些計算機程序指令也可存儲在能引導計算機或其他可編程數據處理設備以特定方式工作的計算機可讀存儲器中，使得存儲在該計算機可讀存儲器中的指令產生包括指令裝置的制造品，該指令裝置實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。

這些計算機程序指令也可裝載到計算機或其他可編程數據處理設備上，使得在計算機或其他可編程設備上執行一系列操作步驟以產生計算機實現的處理，從而在計算機或其他可編程設備上執行的指令提供用于實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。

盡管已描述了本發明的可選實施例，但本領域內的技術人員一旦得知了基本創造性概念，則可對這些實施例作出另外的變更和修改。所以，所附權利要求意欲解釋為包括可選實施例以及落入本發明范圍的所有變更和修改。

顯然，本領域的技術人員可以對本發明實施例進行各種改動和變型而不脫離本發明實施例的精神和范圍。這樣，倘若本發明實施例的這些修改和變型屬于本發明權利要求及其等同技術的范圍之內，則本發明也意圖包含這些改動和變型在內。