[发明专利]一种局域网内防ARP攻击的方法及系统

说明书

本申请公开了一种局域网内防ARP攻击的方法及系统，该方法包括：首先建立ARP服务器，然后根据ARP服务器中的ARP表更新网络设备的ARP表，当局域网内添加新的网络设备时，通过向ARP服务器发送ARP请求，对网络设备的ARP表进行更新。该系统包括：ARP服务器、第一更新模块和第二更新模块。通过本申请，能够在安全避免ARP攻击的前提下网络扩展，大大提高局域网内网络扩展的易用性。

技术领域

本申请涉及局域网安全技术领域，特别是涉及一种局域网内防ARP攻击的方法及系统。

背景技术

ARP(Address Resolution Protocol，地址解析协议)协议是一个位于TCP/IP协议栈中的网络层，负责将某个IP地址解析成对应的MAC地址。在局域网通信中，主机将包含目标IP地址信息的ARP请求广播到网络中的所有主机，并接收返回消息，以此确定目标IP地址的物理地址，收到消息之后每个主机都会在本地维护一个ARP缓存表。局域网中的主机可以自主发送ARP应答消息，其他主机收到应答报文时不会检测该报文的真实性并直接将其记入本机ARP缓存。而ARP的缓存表是可以被更改的，这种ARP攻击主要是通过伪造IP地址和MAC地址进行欺骗，从而导致局域网内的信息泄露。在局域网环境中，这种ARP攻击是主要的安全威胁。因此，如何在局域网中防止ARP攻击，从而确保网络安全，是个重要的技术问题。

目前在局域网中防止ARP攻击的方法，主要是采用静态绑定法。具体地，设置主机ARP表为不可更改状态，维护主机静态ARP表，避免ARP表的信息被篡改，从而避免ARP攻击。

然而，目前在局域网中防止ARP攻击的方法中，由于采用静态ARP表，虽然避免了ARP攻击，但是这种防止ARP攻击的方法同时也限制了局域网的网络扩展，不便于实现局域网的网络扩展，导致局域网的网络扩展易用性较差。

发明内容

本申请提供了一种局域网内防ARP攻击的方法及系统，以解决现有技术中防止ARP攻击的方法不便于在局域网内实现网络扩展，导致局域网内网络扩展易用性较差的问题。

为了解决上述技术问题，本申请实施例公开了如下技术方案：

一种局域网内防ARP攻击的方法，所述方法包括：

建立ARP服务器，所述APR服务器用于存储和动态维护ARP表；

根据ARP服务器中的ARP表，更新局域网内网络设备的ARP表，所述网络设备包括：主机及网关设备；

当局域网内添加新的网络设备时，通过向ARP服务器发送ARP请求，对网络设备的ARP表进行更新。

可选地，所述建立ARP服务器，包括：

搭建网络隔离环境；

建立ARP服务器中的ARP表。

可选地，所述建立网络隔离环境的方法，具体为：

在ARP服务器中接入物理隔离网关。

可选地，所述建立ARP服务器中的ARP表的方法，包括：

判断局域网内是否存在ARP攻击；

如果是，锁定ARP攻击源并去除所述ARP攻击源；

如果否，从网关设备中获取当前局域网内网络设备的IP地址与MAC地址间的映射关系；

根据所述映射关系，生成ARP服务器中的ARP表。

可选地，所述根据ARP服务器中的ARP表，更新局域网内网络设备的ARP表，具体为：

通过设定固定的时间间隔，定时根据ARP服务器中的ARP表，更新局域网内网络设备的ARP表。