ARP攻击主要是指欺骗主机发出的ARP请求或应答报文中，将源IP、源MAC(Media Access Control：媒体接入控制)设为欺骗值或随机值以达到欺骗其它主机的目的，包括只修改源IP地址、只修改源MAC地址、同时修改源IP和源MAC等方法，达到阻断其它主机上网或充当其它主机的中间人的目的。
如1图所示，其中PC1为攻击主机，PC2为被冒充主机、PC4为被欺骗主机。路由器的IP地址和MAC地址分别为IP0和MAC0，PC1的IP地址和MAC地址分别为IP1和MAC1，PC2的IP地址和MAC地址分别为IP2和MAC2，PC4的IP地址和MAC地址分别为IP4和MAC4。PC1向PC4发送ARP应答的欺骗报文，该报文的源MAC为MAC1，源IP为IP2。PC4收到该ARP欺骗报文后，将自己ARP表中的PC2对应的MAC修改为MAC1。这样后续PC4想发往PC2的数据报文就都被发往PC1，导致PC4和PC2之间通讯不正常，这样PC1可以选择进行中间人攻击或阻断攻击。
针对目前ARP攻击的问题，现有技术中有两种解决方案：配置静态ARP以及在交换机上绑定端口、IP和MAC。上述解决方法中，静态ARP绑定操作很繁琐，需要在网关和所有客户端(PC)上进行配置，配置工作量很大，而且不灵活。在交换机上配置绑定端口、IP和MAC是较好的解决办法，但手工配置同样存在配置工作量大、不灵活的缺点，现有技术中，需要手工收集正确的三元素映射关系，因通常交换机和主机的台数都很多，存在收集工作量大的问题，而且如果主机换网卡或换交换机端口后还要再手工配置相应的交换机，使用上很不灵活。

本发明提供了一种联动对抗ARP攻击的方法、系统及路由器。本发明联动对抗ARP攻击的方法通过在路由器端生成三元素的映射关系(该三元素是指：交换机端口、与所述交换机口连接的所有主机的IP地址和MAC地址)，并将该映射关系发给所述交换机，从而在交换机每个端口上完成主机IP地址和MAC地址的绑定，有效地防止的了ARP攻击。
本发明一实施例的目的在于提供一种联动对抗ARP攻击的方法，所述方法包括：路由器生成第一映射关系，所述第一映射关系为所述交换机端口、与所述交换机端口连接的主机IP地址和主机MAC地址这三者的映射关系；所述路由器将所述第一映射关系发给交换机；所述交换机接收所述第一映射关系；所述交换机根据接收的所述第一映射关系在所述交换机的端口上绑定与所述端口相连接的主机的IP地址和MAC地址；所述路由器向全网的所有网络设备和主机发送所述第一映射关系中对应主机和网关的免费地址解析协议报文。
本发明另一实施例的目的在于提供一种联动对抗ARP攻击的系统，所述系统包括路由器以及与所述路由器连接的交换机，所述交换机包含多个端口，每个端口连接多个主机，所述路由器包括：与所述多个主机连接的半静态ARP单元，生成第一映射关系，所述第一映射关系为所述交换机端口、与所述交换机端口连接的主机IP地址和主机MAC地址这三者的映射关系；连接所述半静态ARP单元的路由器联动通信单元，所述路由器联动通信单元至少包含第一映射关系发送单元，将所述第一映射关系发送给所述交换机；所述交换机至少包括：交换机联动通信单元，所述交换机联动通信单元至少包括第一映射关系接收单元，接收所述第一映射关系；三元素绑定单元，根据接收的所述第一映射关系在所述交换机的端口上绑定与所述端口相连接的主机的IP地址和MAC地址。
本发明再一实施例的目的在于提供一种路由器，所述路由器至少包括：与多个主机连接的半静态ARP单元，生成第一映射关系，所述第一映射关系为交换机端口、与所述交换机端口连接的主机IP地址和主机MAC地址这三者的映射关系；连接所述半静态ARP单元的路由器联动通信单元，所述路由器联动通信单元至少包含第一映射关系发送单元，将所述第一映射关系发送给所述交换机。
本发明的路由器能够自动生成三元素映射关系，并自动地把生成的三元素映射关系通知给交换机，以在交换机上自动进行三元素绑定，解决了手工配置工作量大的问题。并且，路由器会根据ARP报文的变化自动更新三元素绑定映射关系并通告给交换机，解决了主机换网卡或换交换机端口后手工配置不灵活的问题。

图1为本发明实施例完整的网络体系架构；
图2为图1的一种逻辑网络体系架构；
图3为图1的另一种的逻辑网络体系架构；
图4为本发明实施例系统的原理结构图；
图5为本发明实施例的三元素映射表；
图6为本发明实施例系统的细化结构图；
图7为本发明实施例半静态ARP生成单元的细化结构图；
图8为本发明实施例路由器ARP处理单元的细化结构图；
图8a为本发明实施例交换机电路图；
图8b为本发明实施例路由器电路图；
图9为本发明实施例详细流程图。

以下结合附图对本发明的具体实施方式进行详细说明如下：
图1-图3为本实施例的网络体系架构，其中图1是本实施例完整的网络体系架构。本实施例中三元素绑定是配置在最接近主机(PC)的设备上，即图1中的二层交换机，图1中的三层交换机只提供透明的数据通路，此时可以用图3的逻辑网络体系架构来表示图1。当图1中的二层交换机不具备三元素绑定功能时，本实施例在图1中的三层交换机上实现三元素绑定，此时可以用图2的逻辑网络体系架构来表示图1。
图4为本实施例联动对抗ARP攻击系统的原理结构图。如图所示，本实施例的系统包括路由器40、交换机41和交换机下连的多个主机42(图4中用一台主机来说明本实施例，实际网络架构参考图1-图3)，路由器40分别连接交换机41和主机42。路由器40至少包括半静态ARP单元401和与其相连接的路由器联动通信单元402，交换机41至少包括交换机联动通信单元411和三元素绑定单元412。路由器的半静态ARP单元401和主机42相连，路由器联动通信单元402和交换机联动通信单元411相连。
半静态ARP单元401用于生成第一映射关系，该第一映射关系为交换机41的端口、与交换机41端口连接的主机42的IP地址和主机42的MAC地址这三者的映射关系，图5以交换机包含三个端口、每个端口下连三台主机为例，显示了由第一映射关系组成的三元素映射表的内容，实际映射表的规模取决于网络的容量。路由器联动通信单元402和半静态ARP单元401连接，用于获取图5所示的第一映射关系并将其发送给交换机41。交换机联动通信单元411接收该第一映射关系，并将其传给三元素绑定单元412，三元素绑定单元412根据该第一映射关系在交换机41的相应端口上绑定与该端口相连接的主机的IP地址和MAC地址。
图6为本实施例系统的细化结构图。如图所示，路由器联动通信单元402至少包括联动触发单元601，交换机联动通信单元至少包括联动准备单元611，这两个单元共同完成交换机和路由器联动的启动工作。联动触发单元601，用于向联动准备单元611发送联动触发报文，该联动触发报文为包含预设MAC地址的二层报文，该二层报文的具体格式可依实际产品需要设置，只要交换机和路由器之间能够进行协商即可。联动准备单元611，在收到联动触发报文之后，识别该特殊的二层报文，为交换机41生成和路由器40通信的三层接口和缺省的IP，该三层接口可以为SVI(Switch Virtual Interface：交换虚拟接口)。
如图6所示，在一种较佳实施方式中，交换机联动通信单元411还包括第二映射关系发送单元612，路由器联动通信单元402还包括第二映射关系接收单元602。该第二映射关系是指：交换机内预存的交换机端口以及与每个端口连接的主机的MAC地址的映射关系。该第二映射关系发送单元612将该第二映射关系发给第二映射关系接收单元602；第二映射关系接收单元602，接收该第二映射关系后，将其发给半静态ARP单元401。
如图6所示，半静态ARP单元401至少包含和主机ARP单元621连接的半静态ARP生成单元631，以及和第二映射接收单元602连接的三元素映射单元632。半静态ARP生成单元631通过和主机的ARP报文交互获取正确的主机IP地址和MAC地址的映射关系，该映射关系称为第三映射关系。三元素映射单元632，连接半静态ARP生成单元631和第二映射关系接收单元602，由于半静态ARP生成单元631中包含有第三映射关系(主机IP地址和主机MAC地址的正确映射关系)，而第二映射关系接收单元602中包含有第二映射关系(交换机端口和与该端口连接的主机MAC地址的映射关系)，三元素映射单元632就可以根据这两种映射关系生成图5的列表所示的第一映射关系。
如图6所示，路由器联动通信单元402中还包含第一映射关系发送单元，它和三元素映射单元632连接，用于获取第一映射关系，并将其发给交换机联动通信单元的第一映射关系接收单元613，然后第一映射关系接收单元613将该第一映射关系转发给三元素绑定单元412，从而在交换机端口上完成与该端口连接的主机IP地址和主机MAC地址的绑定。
图7为半静态ARP生成单元的细化结构图。如图所示，半静态ARP生成单元631至少包括：连接主机42的路由器ARP数据单元701以及和路由器ARP数据单元701连接的路由器ARP处理单元702。路由器ARP数据单元701在收到源主机的ARP请求广播报文后，回发ARP请求广播报文以获取所述源主机的MAC地址，并接收所述源主机的ARP应答报文。路由器ARP处理单元702判断如果在一预定时间内只收到唯一的ARP应答报文或ARP报文的源MAC地址不是嫌疑主机时，则将所接收ARP应答报文的源IP地址和源MAC地址的映射关系作为第三映射关系。
图8为路由器ARP处理单元702的细化结构图。如图所示，路由器ARP处理单元702至少包括嫌疑主机检测单元801，分析所接收的地址解析协议报文的特征及源主机的特征，判断所述源主机是否满足嫌疑主机的特征，并根据满足嫌疑主机特征的源主机的媒体接入控制地址生成嫌疑主机列表，所述嫌疑主机的特征包括：源MAC地址的主机进行了ARP扫描；源MAC地址对应多个IP；ARP报文头的源MAC和报文中源MAC不一致；路由器没有发出ARP请求却收到ARP应答；源主机的网卡处于混杂模式。在一较佳实施方式中，路由器ARP数据单元701还包括免费ARP单元(图中未示)，当完成三元素绑定之后，用于向全网的所有网络设备和主机发送第一映射关系中对应主机和网关的免费ARP。当有三层交换机时，网关指的是三层交换机，当只有二层交换机时，网关为路由器本身。本实施例免费ARP单元发送2种免费ARP报文：路由器自身的免费ARP和已形成三元素绑定主机的免费ARP，目的是让受欺骗的PC得到正确的网关MAC和已确认正常PC的MAC。
图8a和图8b分别为本实施例交换机和路由器的电路图。如图8a所示，其中三元素绑定结果存放在MAC模块，交换机联动通信单元以及交换机的其他单元位于CPU中。如图8b所示，其中半静态ARP单元以及路由器联动通信单元位于管理模块，其中半静态ARP表、嫌疑主机列表存储于SDRAM或FLASH中。路由器以太口(图8b中的MAC+PHY模块)口连接交换机的RJ45模块的某个端口，交换机的RJ45模块的其它端口下连接多个主机。通过图8a和图8b的电路连接，能够实现本发明采用路由器和交换机联动抗击ARP攻击的目的。
图8a中其他模块分别解释如下：光电复用口PHY：光电复用物理接口；GT端口PHY：电物理接口；SFP：小型可拔插光模块；LED：发光二极管指示灯；2*4RJ45*3个：24个以太网端口。图8b中其他模块分别解释如下：I2C：芯片间串行总线；10/100/1000MAC：10M/100M/1000M自适应媒体接入控制器；10/100MAC：10M/100M自适应媒体接入控制器；千兆PHY：千兆以太网物理接口；百兆PHY：百兆以太网物理接口；1*GE：1个千兆以太网端口；1*FE：1个百兆以太网端口。
图9为本实施例的详细流程图，该流程图的两个支路表示这两个支路的步骤是独立进行的，步骤S914需要用到步骤S903的结果。以下结合图6-图8详细说明本实施例联动抗击ARP攻击的工作原理：
步骤S901，路由器与主机进行ARP报文交互。路由器在收到源主机的ARP请求广播报文后，回发ARP请求广播报文以获取所述源主机的MAC地址，并接收所述源主机的ARP应答报文。如图7所示，该交互工作由半静态ARP生成单元631与主机ARP单元621完成。半静态ARP生成单元631至少包括路由器ARP数据单元701和路由器ARP处理单元702，路由器ARP数据单元701在收到源主机的AR
P请求广播报文后，回发ARP请求广播报文以获取所述源主机的MAC地址，并接收所述源主机的ARP应答报文。
步骤S902，路由器生成嫌疑主机列表。路由器通过分析所接收的ARP报文的特征及源主机的特征，来确定嫌疑主机，并生成嫌疑主机列表。如图8所示，该步骤由路由器ARP处理单元中的嫌疑主机检测单元801完成，具体的检测原则详见对图8的描述，此处不再重复。
步骤S903，路由器根据嫌疑主机列表生成第三映射关系。路由器判断如果在一预定时间内只收到唯一的ARP应答报文或ARP报文的源MAC地址不是嫌疑主机时，则将所接收ARP应答报文的源IP地址和源MAC地址的映射关系作为第三映射关系。如图7所示，该工作由路由器ARP处理单元702完成。
前三个步骤用于在路由器端生成第三映射关系，以下步骤用于路由器和交换机之间联动抗击ARP攻击。
步骤S911，路由器向交换机发送联动触发报文。该联动触发报文为包含预设MAC地址的二层报文，该二层报文的具体格式可依实际产品需要设置，只要交换机和路由器之间能够进行协商即可。如图6所示，路由器联动通信单元402至少包括联动触发单元601，交换机联动通信单元至少包括联动准备单元611，这两个单元共同完成交换机和路由器联动的启动工作。联动触发单元601向联动准备单元611发送联动触发报文。
步骤S912，交换机生成三层接口和缺省IP地址。交换机在收到联动触发报文之后，识别该特殊的二层报文，并生成和路由器通信的三层接口和缺省的IP，该三层接口可以为SVI接口。如图6所示，该步骤由联动准备单元611完成。
步骤S913，交换机向路由器发送第二映射关系。该第二映射关系是指：交换机内预存的交换机端口以及与每个端口连接的主机的MAC地址的映射关系。如图6所示，交换机联动通信单元411还包括第二映射关系发送单元612，路由器联动通信单元402还包括第二映射关系接收单元602。该第二映射关系发送单元612将该第二映射关系发给第二映射关系接收单元602；第二映射关系接收单元602，接收该第二映射关系后，将其发给半静态ARP单元401。
步骤S914，路由器根据第二映射关系和第三映射关系生成第一映射关系。所述第一映射关系为所述交换机端口、与所述交换机端口连接的主机IP地址和主机MAC地址这三者的映射关系。如图6所示，半静态ARP单元401至少包含和主机ARP单元621连接的半静态ARP生成单元631，以及和第二映射接收单元602连接的三元素映射单元632。三元素映射单元632，连接半静态ARP生成单元631和第二映射关系接收单元602，由于半静态ARP生成单元631中包含有第三映射关系(主机IP地址和主机MAC地址的正确映射关系)，而第二映射关系接收单元602中包含有第二映射关系(交换机端口和与该端口连接的主机MAC地址的映射关系)，三元素映射单元632就可以根据这两种映射关系生成图5的列表所示的第一映射关系。
步骤S915，路由器将该第一映射关系发给交换机。如图6所示，路由器联动通信单元402中还包含第一映射关系发送单元603，用于获取第一映射关系，并将其发给交换机联动通信单元的第一映射关系接收单元613。
步骤S916，交换机根据该第一映射关系在其端口上进行三元素绑定。如图6所示，第一映射关系接收单元613将该第一映射关系转发给三元素绑定单元412，从而在交换机端口上完成与该端口连接的主机IP地址和主机MAC地址的绑定。
步骤S917，绑定成功后，路由器向全网的所有网络设备和主机发送免费ARP报文。包括2种免费ARP报文：路由器自身的免费ARP和已形成三元素绑定主机的免费ARP，目的是让受欺骗的PC得到正确的网关MAC和已确认正常PC的MAC。
以下根据图1-3所示的网络结构给出一个详细的路由器和交换机联动抗击ARP攻击的实例。
1.攻击主机PC1为进行攻击开始扫描整个网段，即PC1向本网段所有PC发出ARP请求报文。
2.路由器收到PC1大量的ARP请求报文后将PC1列入嫌疑主机列表。
3.PC1向PC4发送ARP应答的欺骗报文，该报文的源MAC为MAC1，源IP为IP2。
4.PC4收到该ARP欺骗报文后，将自己ARP表中的PC2对应的MAC修改为MAC1。这样后续PC4想发往PC2的数据报文就都被发往PC1，导致PC4和PC2之间通讯不正常。
5.路由器收到PC1的ARP请求广播后，路由器回发ARP请求广播报文，PC1向路由器发送ARP应答，路由器的半静态ARP单元判断30秒内IP1只有唯一的ARP应答，在半静态ARP表中生成PC1对应的三元素映射关系(根据IP1、MAC1及半静态ARP表中已有的交换机端口和MAC对应信息)。生成绑定关系后路由器通知交换机进行三元素绑定，并向全网发送IP1的免费ARP广播和网关(三层交换机)的免费ARP广播。
6.路由器收到PC4的ARP请求广播后，路由器回发ARP请求广播报文，一段时间后路由器收到IP4的ARP应答(可能不唯一)，路由器的半静态ARP单元判断PC4不在嫌疑主机列表中，在30秒后在半静态ARP表中生成PC4对应的三元素映射关系。生成绑定关系后路由器通知交换机进行三元素绑定，并向全网发送IP4的免费ARP广播和网关(三层交换机)的免费ARP广播。
7.PC2的三元素绑定工作过程同PC4。
8.经过上述过程，在port1、port2、port4都自动完成了正确的三元素绑定，PC1的ARP攻击报文已被阻断，PC2、PC4的ARP表也由路由器发送的免费ARP修复，PC之间、PC和网关之间的通讯恢复正常。
以上具体实施方式仅用于说明本发明，而非用于限定本发明。