一種針對ARP攻擊的管控方法及系統技術方案

本發明專利技術提供一種針對ARP攻擊的管控方法及系統，其中，所述方法包括：接收預設網絡節點發來的ARP報文，所述ARP報文包括MAC地址、IP地址以及端口號之間的當前映射關系；讀取本地存儲的映射關系表，所述映射關系表中記錄有MAC地址、IP地址以及端口號之間的標準映射關系；判斷所述ARP報文的當前映射關系是否與所述映射關系表的標準映射關系相匹配；若不匹配，對所述預設網絡節點發送的ARP報文流量進行監控，當所述ARP報文流量異常時，限制所述預設網絡節點發送報文的流量或者隔離所述預設網絡節點的端口。本發明專利技術提供的針對ARP攻擊的管控方法及系統，能夠有效地解決ARP攻擊的問題。

Method and system for managing and controlling ARP attack

The present invention provides a control method and system for ARP attacks, the method comprises: receiving the message sent to the default ARP network node, the ARP message includes the mapping between the MAC address, IP address and port number mapping; read local storage relation table, the mapping table recorded in the standard mapping between MAC address and IP address and port number; judging whether the current mapping relation of the ARP message is matched with the standard mapping relation of the mapping table; if not, by monitoring the ARP message flow to the preset transmitting network node, when the flow rate of ARP message when abnormal, limit the preset network node sends message flow or isolating the default network node port. The invention provides a control method and a system for ARP attack, which can effectively solve the problem of ARP attack.

【技術實現步驟摘要】
一種針對ARP攻擊的管控方法及系統
本專利技術實施方式涉及網絡安全
，尤其涉及一種針對ARP攻擊的管控方法及系統。
技術介紹
地址解析協議，即ARP(AddressResolutionProtocol)，是根據IP地址獲取物理地址的一個TCP/IP協議。主機發送信息時將包含目標IP地址的ARP請求廣播報文到網絡上的所有主機，并接收返回消息，以此確定目標的物理地址；收到返回消息后將該IP地址和物理地址存入本機ARP緩存中并保留一定時間，下次請求時直接查詢ARP緩存以節約資源。在實施本專利技術的過程中，專利技術人發現現有技術至少存在如下問題：地址解析協議是建立在網絡中各個主機互相信任的基礎上的，網絡上的主機可以自主發送ARP應答消息，其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存。因此，攻擊者就可以發送大量的ARP報文在網絡內廣播，這些廣播報文極大的消耗了網絡的帶寬甚至可能通過偽造的ARP報文而在網絡內實施大流量攻擊，即由此攻擊者向某一主機發送偽ARP應答報文，使其發送的信息無法到達預期的主機或到達錯誤的主機，構成了ARP欺騙，使網絡帶寬耗盡。應該注意，上面對技術背景的介紹只是為了方便對本專利技術的技術方案進行清楚、完整的說明，并方便本領域技術人員的理解而闡述的。不能僅僅因為這些方案在本專利技術的
技術介紹
部分進行了闡述而認為上述技術方案為本領域技術人員所公知。
技術實現思路
針對上述問題，本專利技術實施方式的目的在于提供一種針對ARP攻擊的管控方法及系統，能夠有效地解決ARP攻擊的問題。為實現上述目的，本專利技術實施方式提供一種針對ARP攻擊的管控方法，所述方法包括：接收預設網絡節點發來的ARP報文，所述ARP報文包括MAC地址、IP地址以及端口號之間的當前映射關系；讀取本地存儲的映射關系表，所述映射關系表中記錄有MAC地址、IP地址以及端口號之間的標準映射關系；判斷所述ARP報文的當前映射關系是否與所述映射關系表的標準映射關系相匹配；若不匹配，對所述預設網絡節點發送的ARP報文流量進行監控，當所述ARP報文流量異常時，限制所述預設網絡節點發送報文的流量或者隔離所述預設網絡節點的端口。進一步地，所述當前映射關系和所述標準映射關系均包括三對映射關系，所述三對映射關系包括：MAC地址與IP地址之間的映射關系；MAC地址與端口號之間的映射關系；以及IP地址與端口號之間的映射關系。進一步地，所述ARP報文的當前映射關系與所述映射關系表的標準映射關系不匹配包括：所述當前映射關系與所述標準映射關系中至少有一對映射關系不同。進一步地，對所述預設網絡節點發送的ARP報文流量進行監控包括：對所述預設網絡節點發送的報文進行識別，以從中獲取ARP報文；在預設時長內統計獲取的ARP報文的流量，并將統計的流量分別與第一流量閾值以及第二流量閾值進行比對；其中，所述第一流量閾值小于所述第二流量閾值；根據比對結果，判斷所述預設網絡節點發送的ARP報文流量是否異常。進一步地，判斷所述預設網絡節點發送的ARP報文流量是否異常包括：當所述統計的流量大于所述第一流量閾值和所述第二流量閾值中的任意一個時，判定所述預設網絡節點發送的ARP報文流量存在異常；當所述統計的流量小于或者等于所述第一流量閾值時，判定所述預設網絡節點發送的ARP報文流量正常。進一步地，所述方法還包括：當所述統計的流量大于所述第一流量閾值并且小于所述第二流量閾值時，將超出所述第一流量閾值的ARP報文丟棄。進一步地，所述方法還包括：當所述統計的流量大于或者等于所述第二流量閾值時，將所述預設網絡節點的端口隔離。為實現上述目的，本專利技術還提供一種針對ARP攻擊的管控系統，所述系統包括：ARP報文接收單元，用于接收預設網絡節點發來的ARP報文，所述ARP報文包括MAC地址、IP地址以及端口號之間的當前映射關系；本地映射關系表讀取單元，用于讀取本地存儲的映射關系表，所述映射關系表中記錄有MAC地址、IP地址以及端口號之間的標準映射關系；映射關系判斷單元，用于判斷所述ARP報文的當前映射關系是否與所述映射關系表的標準映射關系相匹配；流量監控單元，用于若不匹配，對所述預設網絡節點發送的ARP報文流量進行監控，當所述ARP報文流量異常時，限制所述預設網絡節點發送報文的流量或者隔離所述預設網絡節點的端口。進一步地，所述流量監控單元包括：報文識別模塊，用于對所述預設網絡節點發送的報文進行識別，以從中獲取ARP報文；流量比對模塊，用于在預設時長內統計獲取的ARP報文的流量，并將統計的流量分別與第一流量閾值以及第二流量閾值進行比對；其中，所述第一流量閾值小于所述第二流量閾值；判斷模塊，用于根據比對結果，判斷所述預設網絡節點發送的ARP報文流量是否異常。進一步地，所述判斷模塊包括：第一判定模塊，用于當所述統計的流量大于所述第一流量閾值和所述第二流量閾值中的任意一個時，判定所述預設網絡節點發送的ARP報文流量存在異常；第二判定模塊，用于當所述統計的流量小于或者等于所述第一流量閾值時，判定所述預設網絡節點發送的ARP報文流量正常。本專利技術實施方式提供的一種針對ARP攻擊的管控方法及系統，通過將ARP報文中的當前映射關系與本地存儲的標準映射關系進行比對，從而可以識別出ARP報文中的當前映射關系是否正確。如果有不正確的映射關系，可以對發送該ARP報文的網絡節點進行流量監控，監測其是否存在攻擊行為，并可以根據監控結果進行限流或者隔離端口的處理，從而能夠解決ARP攻擊的問題附圖說明為了更清楚地說明本專利技術實施方式或現有技術中的技術方案，下面將對實施方式或現有技術描述中所需要使用的附圖逐一簡單地介紹，顯而易見地，下面描述中的附圖是本專利技術的一些實施方式，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。圖1為本專利技術實施方式中針對ARP攻擊的管控方法流程圖；圖2為本專利技術實施方式中針對ARP攻擊的管控系統結構示意圖。具體實施方式為使本專利技術實施方式的目的、技術方案和優點更加清楚，下面將結合本專利技術實施方式中的附圖，對本專利技術實施方式中的技術方案進行清楚、完整地描述，顯然，所描述的實施方式是本專利技術一部分實施方式，而不是全部的實施方式。基于本專利技術中的實施方式，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施方式，都屬于本專利技術保護的范圍。ARP欺騙是一種常見的網絡攻擊方式。ARP欺騙主機為了探測網段內的所有活動主機，會發送大量的ARP報文在網絡內廣播，這些廣播報文極大的消耗了網絡的帶寬甚至可能通過偽造的ARP報文而在網絡內實施大流量攻擊，使網絡帶寬耗盡，并且ARP欺騙通常是其他更加嚴重的攻擊方式的前奏。由于ARP欺騙給網絡的安全和穩定帶來了極大的威脅，所以避免ARP欺騙有極大意義。本專利技術針對ARP欺騙等攻擊行為，提供解決方案。本專利技術針對ARP欺騙報文流量大小提供的處理方式基于限速閾值和隔離閾值。當ARP流量超過限速閥值，將對上送CPU報文進行限速丟棄操作并產生告警。當ARP流量超過隔離閥值，將對ARP欺騙主機所連的端口進行隔離操作產生告警。具體地，請參閱圖1，本專利技術提供一種針對ARP攻擊的管控方法，所述方法包括：S1：接收預設網絡節點發來的ARP報文，所述ARP報文包括MA本文檔來自技高網...

【技術保護點】
一種針對ARP攻擊的管控方法，其特征在于，包括：接收預設網絡節點發來的ARP報文，所述ARP報文包括MAC地址、IP地址以及端口號之間的當前映射關系；讀取本地存儲的映射關系表，所述映射關系表中記錄有MAC地址、IP地址以及端口號之間的標準映射關系；如果所述ARP報文的當前映射關系與所述映射關系表的標準映射關系不匹配，對所述預設網絡節點發送的ARP報文流量進行監控，當所述ARP報文流量異常時，限制所述預設網絡節點發送報文的流量或者隔離所述預設網絡節點的端口。

【技術特征摘要】
1.一種針對ARP攻擊的管控方法，其特征在于，包括：接收預設網絡節點發來的ARP報文，所述ARP報文包括MAC地址、IP地址以及端口號之間的當前映射關系；讀取本地存儲的映射關系表，所述映射關系表中記錄有MAC地址、IP地址以及端口號之間的標準映射關系；如果所述ARP報文的當前映射關系與所述映射關系表的標準映射關系不匹配，對所述預設網絡節點發送的ARP報文流量進行監控，當所述ARP報文流量異常時，限制所述預設網絡節點發送報文的流量或者隔離所述預設網絡節點的端口。2.根據權利要求1所述的針對ARP攻擊的管控方法，其特征在于，所述當前映射關系和所述標準映射關系均包括：MAC地址與IP地址之間的映射關系；MAC地址與端口號之間的映射關系；以及IP地址與端口號之間的映射關系。3.根據權利要求2所述的針對ARP攻擊的管控方法，其特征在于，所述ARP報文的當前映射關系與所述映射關系表的標準映射關系不匹配，包括：所述當前映射關系與所述標準映射關系中至少有一對映射關系不同。4.根據權利要求1所述的針對ARP攻擊的管控方法，其特征在于，對所述預設網絡節點發送的ARP報文流量進行監控，包括：對所述預設網絡節點發送的報文進行識別，以從中獲取ARP報文；在預設時長內統計獲取的ARP報文的流量，并將統計的流量分別與第一流量閾值以及第二流量閾值進行比對；其中，所述第一流量閾值小于所述第二流量閾值；根據比對結果，判斷所述預設網絡節點發送的ARP報文流量是否異常。5.根據權利要求4所述的針對ARP攻擊的管控方法，其特征在于，判斷所述預設網絡節點發送的ARP報文流量是否異常，包括：當所述統計的流量大于所述第一流量閾值和所述第二流量閾值中的任意一個時，判定所述預設網絡節點發送的ARP報文流量存在異常；當所述統計的流量小于或者等于所述第一流量閾值時，判定所述預設網絡節點發送的ARP報文流量正常。6.根據權利要求5所述的針對AR...

【專利技術屬性】
技術研發人員：程如亮，
申請(專利權)人：上海斐訊數據通信技術有限公司，
類型：發明
國別省市：上海,31