[发明专利]一种防止地址解析协议报文攻击的方法和系统

权利要求书

1.一种防止地址解析协议ARP报文攻击的方法，其特征在于，所述方法包括：

从三层网络设备所接收ARP报文中获取二层报文头中的源媒体访问控制地址和所述ARP报文所在的虚拟局域网号VLAN ID，以确定发送所述ARP报文的用户的地址信息，对每一用户发送的ARP报文的数量进行计数；

逐一对所述每一用户在一预定时间内发送的所述ARP报文的数量进行检测，当判断其中一用户在所述预定时间内发送的所述ARP报文的数量超过一预定门限值时，则认为所述其中一用户为攻击用户，阻断所述攻击用户；

检测所述攻击用户的被阻断时间，所述被阻断时间等于或超过一预定阻断时间时，取消对所述攻击用户的阻断。

2.如权利要求1所述的方法，其特征在于，在从三层网络设备所接收ARP报文中获取用户的地址信息之前，还包括：

检测所述三层网络设备的所有接收报文，当所述接收报文的二层报文头的以太类型为0x0806时，则确定所述接收报文为所述ARP报文。

3.如权利要求1所述的方法，其特征在于，在从三层网络设备所接收ARP报文中获取用户的地址信息后，还包括：

根据所述地址信息，逐一判断所述每一用户是否属于特定用户，若判断其中一用户属于特定用户时，则取消对所述其中一用户的ARP报文的数量计数。

4.如权利要求3所述的方法，其特征在于，判断所述每一用户是否属于特定用户的步骤包括：

将所述每一用户的地址信息与一预先保存的特定用户表中的数据进行比较，若判断所述其中一用户的地址信息与所述特定用户表中的其中一地址信息一致时，则确定所述其中一用户属于特定用户。

5.如权利要求1所述的方法，其特征在于，所述每一用户发送的所述ARP报文的数量分别在一ARP报文统计表中进行计数，检测所述每一用户在一预定时间内发送的所述ARP报文的数量的过程也即是执行对所述ARP报文统计表检测的过程。

6.如权利要求5所述的方法，其特征在于，间隔所述预定时间，即对所述ARP报文统计表中每一用户的ARP报文数量执行一次检测。

7.如权利要求6所述的方法，其特征在于，所述ARP报文统计表检测的过程包括：

以ARP报文统计表中的第一用户为当前项用户，检测所述当前项用户发送ARP报文的数量；

判断所述数量是否大于所述预定门限值，若判断结果为是，则阻断当前项用户，并将所述当前项用户的地址信息写入一阻断用户表，在所述阻断用户表中记录所述当前项用户的被阻断时间；

判断所述当前项用户是否为所述ARP报文统计表中的最后一项记录，若判断结果为是，则对所述ARP报文统计表的一次扫描检测执行完毕，清空所述ARP报文统计表；若判断结果为否，则以ARP报文统计表中的下一用户为当前项用户，返回检测所述下一用户发送的ARP报文的数量。

8.如权利要求7所述的方法，其特征在于，检测所述攻击用户的被阻断时间的过程也即是执行对所述阻断用户表进行扫描检测的过程，对所述阻断用户表的扫描检测间隔一预定扫描时间即执行一次，所述阻断用户表的扫描检测过程包括：

以所述阻断用户表中的第一用户为当前项阻断用户，检测所述当前项阻断用户的被阻断时间；

判断所述被阻断时间是否等于或大于所述预定阻断时间，若判断结果为是，则取消对所述当前项阻断用户的阻断，将所述当前项阻断用户从所述阻断用户表中移除；

判断所述当前项阻断用户是否为所述阻断用户表中的最后一项用户，若判断结果为否，则以所述阻断用户表的下一用户作为当前项用户，返回检测所述下一用户的被阻断时间；若判断结果为是，则确认对所述阻断用户表的一次扫描检测执行完毕，等待下次扫描。