[发明专利]一种防止地址解析协议报文攻击的方法和系统

说明书

技术领域

本发明涉及通信技术领域，尤其是指一种用于维护网络安全，防止三层网络设备受地址解析协议(ARP)报文攻击的方法和系统。

背景技术

在当前网络技术中，ARP协议可以实现目标终端设备的IP地址(InternetProtocol，因特网地址)与MAC(MediaAccess Control，媒体访问控制)地址之间的转换，保证通信的顺利进行。然而由于ARP协议的当初设计没有考虑安全机制问题，ARP协议非常容易受到攻击。目前基于ARP欺骗的病毒十分猖獗，当三层网络设备下挂的用户中毒后，就会向外发送大量的精心构造的ARP报文，造成设备、其他用户或甚至整个局域网瘫痪。而对于三层网络设备来说，大量恶意构造的虚假ARP报文会导致设备ARP表被虚假信息填满，不仅造成报文转发异常，还会造成设备CPU占用率过高，直接影响网络设备的正常运行。

ARP报文的结构如图1所示，包括目的MAC地址、源MAC地址、以太类型(Ether Type)、ARP PDU(Protocol Data Unit协议数据单元)。ARP攻击行为通常是依靠发送包含不正确的IP地址和MAC地址对应关系的ARP PDU来实现的，因此常见的ARP攻击检测方法是预先将正确的IP地址和MAC地址映射关系保存在设备中，并将每个收到的ARP PDU内容与之对比，如果发现了不一致的情况，则认为存在ARP攻击。此外，也有一些其他的检测方法，在实现上都比较复杂或有一定的条件限制如禁用动态ARP等，且需要耗费较多的存储和计算资源。

发明内容

本发明技术方案的目的在于提供一种防止ARP报文攻击的方法和系统，所述方法和系统可以简单地检测到ARP攻击行为，并对检测到的ARP报文攻击作出处理，以避免危害网络和设备。

为达到上述发明方法，本发明一方面提供了一种防止ARP报文攻击的方法，所述方法包括：从三层网络设备所接收ARP报文中获取用户的地址信息，对每一用户发送的ARP报文的数量进行计数；逐一对所述每一用户在一预定时间内发送的所述ARP报文的数量进行检测，当判断其中一用户在所述预定时间内发送的所述ARP报文的数量超过一预定门限值时，则认为所述其中一用户为攻击用户，阻断所述攻击用户；检测所述攻击用户的被阻断时间，所述被阻断时间等于或超过一预定阻断时间时，取消对所述攻击用户的阻断。

优选地，上述所述的方法，在从三层网络设备所接收ARP报文中获取用户的地址信息之前，还包括：检测所述三层网络设备的所有接收报文，当所述接收报文的二层报文头的以太类型为0x0806时，则确定所述接收报文为所述ARP报文。

优选地，上述所述的方法，所述获取用户地址信息的步骤包括获取所述ARP报文的源媒体访问控制地址和所述ARP报文所在的虚拟局域网号VLANID。

优选地，上述所述的方法，在从三层网络设备所接收ARP报文中获取用户的地址信息后，还包括：根据所述地址信息，逐一判断所述每一用户是否属于特定用户，若判断其中一用户属于特定用户时，则取消对所述其中一用户的ARP报文的数量计数。

优选地，上述所述的方法，判断所述每一用户是否属于特定用户的步骤包括：将所述每一用户的地址信息与一预先保存的特定用户表中的数据进行比较，若判断所述其中一用户的地址信息与所述特定用户表中的其中一地址信息一致时，则确定所述其中一用户属于特定用户。

优选地，上述所述的方法，所述每一用户发送的所述ARP报文的数量分别在一ARP报文统计表中进行计数，检测所述每一用户在一预定时间内发送的所述ARP报文的数量的过程也即是执行对所述ARP报文统计表检测的过程。

优选地，上述所述的方法，间隔所述预定时间，即对所述ARP报文统计表中每一用户的ARP报文数量执行一次检测。

优选地，上述所述的方法，所述ARP报文统计表检测的过程包括：以ARP报文统计表中的第一用户为当前项用户，检测所述当前项用户发送ARP报文的数量；判断所述数量是否大于所述预定门限值，若判断结果为是，则阻断当前项用户，并将所述当前项用户的地址信息写入一阻断用户表，在所述阻断用户表中记录所述当前项用户的被阻断时间；判断所述当前项用户是否为所述ARP报文统计表中的最后一项记录，若判断结果为是，则对所述ARP报文统计表的一次扫描检测执行完毕，清空所述ARP报文统计表；若判断结果为否，则以ARP报文统计表中的下一用户为当前项用户，返回检测所述下一用户发送的ARP报文的数量。