一种针对ARP攻击的管控方法及系统技术方案

本发明专利技术提供一种针对ARP攻击的管控方法及系统，其中，所述方法包括：接收预设网络节点发来的ARP报文，所述ARP报文包括MAC地址、IP地址以及端口号之间的当前映射关系；读取本地存储的映射关系表，所述映射关系表中记录有MAC地址、IP地址以及端口号之间的标准映射关系；判断所述ARP报文的当前映射关系是否与所述映射关系表的标准映射关系相匹配；若不匹配，对所述预设网络节点发送的ARP报文流量进行监控，当所述ARP报文流量异常时，限制所述预设网络节点发送报文的流量或者隔离所述预设网络节点的端口。本发明专利技术提供的针对ARP攻击的管控方法及系统，能够有效地解决ARP攻击的问题。

Method and system for managing and controlling ARP attack

The present invention provides a control method and system for ARP attacks, the method comprises: receiving the message sent to the default ARP network node, the ARP message includes the mapping between the MAC address, IP address and port number mapping; read local storage relation table, the mapping table recorded in the standard mapping between MAC address and IP address and port number; judging whether the current mapping relation of the ARP message is matched with the standard mapping relation of the mapping table; if not, by monitoring the ARP message flow to the preset transmitting network node, when the flow rate of ARP message when abnormal, limit the preset network node sends message flow or isolating the default network node port. The invention provides a control method and a system for ARP attack, which can effectively solve the problem of ARP attack.

【技术实现步骤摘要】
一种针对ARP攻击的管控方法及系统
本专利技术实施方式涉及网络安全
，尤其涉及一种针对ARP攻击的管控方法及系统。
技术介绍
地址解析协议，即ARP(AddressResolutionProtocol)，是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播报文到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。在实施本专利技术的过程中，专利技术人发现现有技术至少存在如下问题：地址解析协议是建立在网络中各个主机互相信任的基础上的，网络上的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存。因此，攻击者就可以发送大量的ARP报文在网络内广播，这些广播报文极大的消耗了网络的带宽甚至可能通过伪造的ARP报文而在网络内实施大流量攻击，即由此攻击者向某一主机发送伪ARP应答报文，使其发送的信息无法到达预期的主机或到达错误的主机，构成了ARP欺骗，使网络带宽耗尽。应该注意，上面对技术背景的介绍只是为了方便对本专利技术的技术方案进行清楚、完整的说明，并方便本领域技术人员的理解而阐述的。不能仅仅因为这些方案在本专利技术的
技术介绍
部分进行了阐述而认为上述技术方案为本领域技术人员所公知。
技术实现思路
针对上述问题，本专利技术实施方式的目的在于提供一种针对ARP攻击的管控方法及系统，能够有效地解决ARP攻击的问题。为实现上述目的，本专利技术实施方式提供一种针对ARP攻击的管控方法，所述方法包括：接收预设网络节点发来的ARP报文，所述ARP报文包括MAC地址、IP地址以及端口号之间的当前映射关系；读取本地存储的映射关系表，所述映射关系表中记录有MAC地址、IP地址以及端口号之间的标准映射关系；判断所述ARP报文的当前映射关系是否与所述映射关系表的标准映射关系相匹配；若不匹配，对所述预设网络节点发送的ARP报文流量进行监控，当所述ARP报文流量异常时，限制所述预设网络节点发送报文的流量或者隔离所述预设网络节点的端口。进一步地，所述当前映射关系和所述标准映射关系均包括三对映射关系，所述三对映射关系包括：MAC地址与IP地址之间的映射关系；MAC地址与端口号之间的映射关系；以及IP地址与端口号之间的映射关系。进一步地，所述ARP报文的当前映射关系与所述映射关系表的标准映射关系不匹配包括：所述当前映射关系与所述标准映射关系中至少有一对映射关系不同。进一步地，对所述预设网络节点发送的ARP报文流量进行监控包括：对所述预设网络节点发送的报文进行识别，以从中获取ARP报文；在预设时长内统计获取的ARP报文的流量，并将统计的流量分别与第一流量阈值以及第二流量阈值进行比对；其中，所述第一流量阈值小于所述第二流量阈值；根据比对结果，判断所述预设网络节点发送的ARP报文流量是否异常。进一步地，判断所述预设网络节点发送的ARP报文流量是否异常包括：当所述统计的流量大于所述第一流量阈值和所述第二流量阈值中的任意一个时，判定所述预设网络节点发送的ARP报文流量存在异常；当所述统计的流量小于或者等于所述第一流量阈值时，判定所述预设网络节点发送的ARP报文流量正常。进一步地，所述方法还包括：当所述统计的流量大于所述第一流量阈值并且小于所述第二流量阈值时，将超出所述第一流量阈值的ARP报文丢弃。进一步地，所述方法还包括：当所述统计的流量大于或者等于所述第二流量阈值时，将所述预设网络节点的端口隔离。为实现上述目的，本专利技术还提供一种针对ARP攻击的管控系统，所述系统包括：ARP报文接收单元，用于接收预设网络节点发来的ARP报文，所述ARP报文包括MAC地址、IP地址以及端口号之间的当前映射关系；本地映射关系表读取单元，用于读取本地存储的映射关系表，所述映射关系表中记录有MAC地址、IP地址以及端口号之间的标准映射关系；映射关系判断单元，用于判断所述ARP报文的当前映射关系是否与所述映射关系表的标准映射关系相匹配；流量监控单元，用于若不匹配，对所述预设网络节点发送的ARP报文流量进行监控，当所述ARP报文流量异常时，限制所述预设网络节点发送报文的流量或者隔离所述预设网络节点的端口。进一步地，所述流量监控单元包括：报文识别模块，用于对所述预设网络节点发送的报文进行识别，以从中获取ARP报文；流量比对模块，用于在预设时长内统计获取的ARP报文的流量，并将统计的流量分别与第一流量阈值以及第二流量阈值进行比对；其中，所述第一流量阈值小于所述第二流量阈值；判断模块，用于根据比对结果，判断所述预设网络节点发送的ARP报文流量是否异常。进一步地，所述判断模块包括：第一判定模块，用于当所述统计的流量大于所述第一流量阈值和所述第二流量阈值中的任意一个时，判定所述预设网络节点发送的ARP报文流量存在异常；第二判定模块，用于当所述统计的流量小于或者等于所述第一流量阈值时，判定所述预设网络节点发送的ARP报文流量正常。本专利技术实施方式提供的一种针对ARP攻击的管控方法及系统，通过将ARP报文中的当前映射关系与本地存储的标准映射关系进行比对，从而可以识别出ARP报文中的当前映射关系是否正确。如果有不正确的映射关系，可以对发送该ARP报文的网络节点进行流量监控，监测其是否存在攻击行为，并可以根据监控结果进行限流或者隔离端口的处理，从而能够解决ARP攻击的问题附图说明为了更清楚地说明本专利技术实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图逐一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施方式中针对ARP攻击的管控方法流程图；图2为本专利技术实施方式中针对ARP攻击的管控系统结构示意图。具体实施方式为使本专利技术实施方式的目的、技术方案和优点更加清楚，下面将结合本专利技术实施方式中的附图，对本专利技术实施方式中的技术方案进行清楚、完整地描述，显然，所描述的实施方式是本专利技术一部分实施方式，而不是全部的实施方式。基于本专利技术中的实施方式，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式，都属于本专利技术保护的范围。ARP欺骗是一种常见的网络攻击方式。ARP欺骗主机为了探测网段内的所有活动主机，会发送大量的ARP报文在网络内广播，这些广播报文极大的消耗了网络的带宽甚至可能通过伪造的ARP报文而在网络内实施大流量攻击，使网络带宽耗尽，并且ARP欺骗通常是其他更加严重的攻击方式的前奏。由于ARP欺骗给网络的安全和稳定带来了极大的威胁，所以避免ARP欺骗有极大意义。本专利技术针对ARP欺骗等攻击行为，提供解决方案。本专利技术针对ARP欺骗报文流量大小提供的处理方式基于限速阈值和隔离阈值。当ARP流量超过限速阀值，将对上送CPU报文进行限速丢弃操作并产生告警。当ARP流量超过隔离阀值，将对ARP欺骗主机所连的端口进行隔离操作产生告警。具体地，请参阅图1，本专利技术提供一种针对ARP攻击的管控方法，所述方法包括：S1：接收预设网络节点发来的ARP报文，所述ARP报文包括MA本文档来自技高网...

【技术保护点】
一种针对ARP攻击的管控方法，其特征在于，包括：接收预设网络节点发来的ARP报文，所述ARP报文包括MAC地址、IP地址以及端口号之间的当前映射关系；读取本地存储的映射关系表，所述映射关系表中记录有MAC地址、IP地址以及端口号之间的标准映射关系；如果所述ARP报文的当前映射关系与所述映射关系表的标准映射关系不匹配，对所述预设网络节点发送的ARP报文流量进行监控，当所述ARP报文流量异常时，限制所述预设网络节点发送报文的流量或者隔离所述预设网络节点的端口。

【技术特征摘要】
1.一种针对ARP攻击的管控方法，其特征在于，包括：接收预设网络节点发来的ARP报文，所述ARP报文包括MAC地址、IP地址以及端口号之间的当前映射关系；读取本地存储的映射关系表，所述映射关系表中记录有MAC地址、IP地址以及端口号之间的标准映射关系；如果所述ARP报文的当前映射关系与所述映射关系表的标准映射关系不匹配，对所述预设网络节点发送的ARP报文流量进行监控，当所述ARP报文流量异常时，限制所述预设网络节点发送报文的流量或者隔离所述预设网络节点的端口。2.根据权利要求1所述的针对ARP攻击的管控方法，其特征在于，所述当前映射关系和所述标准映射关系均包括：MAC地址与IP地址之间的映射关系；MAC地址与端口号之间的映射关系；以及IP地址与端口号之间的映射关系。3.根据权利要求2所述的针对ARP攻击的管控方法，其特征在于，所述ARP报文的当前映射关系与所述映射关系表的标准映射关系不匹配，包括：所述当前映射关系与所述标准映射关系中至少有一对映射关系不同。4.根据权利要求1所述的针对ARP攻击的管控方法，其特征在于，对所述预设网络节点发送的ARP报文流量进行监控，包括：对所述预设网络节点发送的报文进行识别，以从中获取ARP报文；在预设时长内统计获取的ARP报文的流量，并将统计的流量分别与第一流量阈值以及第二流量阈值进行比对；其中，所述第一流量阈值小于所述第二流量阈值；根据比对结果，判断所述预设网络节点发送的ARP报文流量是否异常。5.根据权利要求4所述的针对ARP攻击的管控方法，其特征在于，判断所述预设网络节点发送的ARP报文流量是否异常，包括：当所述统计的流量大于所述第一流量阈值和所述第二流量阈值中的任意一个时，判定所述预设网络节点发送的ARP报文流量存在异常；当所述统计的流量小于或者等于所述第一流量阈值时，判定所述预设网络节点发送的ARP报文流量正常。6.根据权利要求5所述的针对AR...

【专利技术属性】
技术研发人员：程如亮，
申请(专利权)人：上海斐讯数据通信技术有限公司，
类型：发明
国别省市：上海,31