[发明专利]针对ARP欺骗的多级检测和防御方法

权利要求书

1.一种针对ARP欺骗的多级检测和防御方法，其特征在于，包括：

初始化步骤：初始化ARP缓存表中主机的MAC地址的可信度；并向每个所述MAC地址以冗余模式发送数据包；

检测步骤：对所述MAC地址执行至少两次基于所述MAC地址的可信度的伪造检测，以确定所述MAC地址是否为伪造的MAC地址；

防御步骤：停止向所述伪造的MAC地址发送所述数据包。

2.根据权利要求1所述的针对ARP欺骗的多级检测和防御方法，其特征在于，在所述初始化步骤包括将全部所述MAC地址的可信度设置为非零值以信任全部所述MAC地址。

3.根据权利要求2所述的针对ARP欺骗的多级检测和防御方法，其特征在于，所述伪造检测是ARP请求数据包检测、TCP数据包检测、ping请求数据包检测、已知服务端口检测或ARP广播检测。

4.根据权利要求3所述的针对ARP欺骗的多级检测和防御方法，其特征在于，所述ARP请求数据包检测包括步骤：

向所述MAC地址发送ARP请求数据包，如果没有收到所述MAC地址针对所述ARP请求数据包的回应，则设置该MAC地址的可信度为零值以确定为伪造的MAC地址；否则，所述MAC地址的可信度保持不变。

5.根据权利要求3所述的针对ARP欺骗的多级检测和防御方法，其特征在于，所述TCP数据包检测包括步骤：

判断从所述MAC地址接收的TCP数据包是否携带有回应包，如果有，则所述MAC地址的可信度递增1；否则，所述MAC地址的可信度保持不变；

将所述MAC地址的可信度与可信度阈值进行比较，如果其中一个所述MAC地址的可信度大于所述可信度阈值，则将全部所述MAC地址的可信度减半以获得新的可信度；否则继续判断从所述MAC地址接收的TCP数据包是否携带有回应包；

判断所述MAC地址的新的可信度是否为零值，如果是，则确定为伪造的MAC地址。

6.根据权利要求3所述的针对ARP欺骗的多级检测和防御方法，其特征在于，所述ping请求数据包检测包括步骤：

发送绑定MAC地址的ping请求数据包；

如果接收到所述绑定的MAC地址的回应，则所述MAC地址的可信度保持不变；否则所述MAC地址的可信度减半以获得新的可信度；

判断所述MAC地址的新的可信度是否为零值，如果是，则确定为伪造的MAC地址。

7.根据权利要求3所述的针对ARP欺骗的多级检测和防御方法，其特征在于，所述已知服务端口检测包括步骤：

发送绑定MAC地址的TCP连接握手数据包；

如果接收到所述绑定的MAC地址的回应，则所述MAC地址的可信度保持不变；否则所述MAC地址的可信度减半以获得新的可信度；

判断所述MAC地址的新的可信度是否为零值，如果是，则确定为伪造的MAC地址。

8.根据权利要求3所述的针对ARP欺骗的多级检测和防御方法，其特征在于，所述ARP广播检测包括步骤：

累计所述MAC地址发送ARP广播的次数；

将累计的次数与次数阈值进行比较，如果大于所述次数阈值，则所述MAC地址的可信度减半以获得新的可信度；否则所述MAC地址的可信度保持不变；

判断所述MAC地址的新的可信度是否为零值，如果是，则确定为伪造的MAC地址。

9.根据权利要求3所述的针对ARP欺骗的多级检测和防御方法，其特征在于，所述防御步骤包括：

判断是否有从所述伪造的MAC地址接收绑定所述伪造的MAC地址的TCP数据包，并判断所述TCP数据包是否携带有回应包；如果有，则所述伪造的MAC地址的可信度递增1；否则所述伪造的MAC地址的可信度保持不变；

间隔地向所述伪造的MAC地址发送ARP请求数据包，如果接收到针对所述ARP请求数据包的回应，则所述伪造的MAC地址的可信度递增1；否则所述伪造的MAC地址的可信度保持不变；

当所述伪造的MAC地址的可信度为零值的时间超过预设时间时，删除所述伪造的MAC地址；当所述伪造的MAC地址的可信度为非零值时，重新开始向所述MAC发送冗余数据包。

10.根据权利要求3所述的针对ARP欺骗的多级检测和防御方法，其特征在于，所述防御步骤包括：如果只有一个MAC地址的可信度为非零值，则直接向可信度为非零值的所述MAC地址发送数据包。