[发明专利]带宽限制的检测方法、装置及存储介质

说明书

本发明公开一种带宽限制检测方法、装置及存储介质，先建立可信的IP‑MAC列表，向网络内所有主机发送ARP请求并统计规定时间内收到的ARP应答报文数，当所述报文数超过预设策略规定的阈值，即网络中的应答报文数量超过了规定的合理范围，说明存在大量的虚假应答报文，因此判断受到带宽限制；并且进一步的，提出识别攻击源IP的方式。该技术方案能够高效检测出基于ARP欺骗的带宽限制，并准确识别攻击源IP、MAC。

技术领域

本发明属于网络与主机安全技术领域，尤其是涉及主机遭受带宽限制的检测方法、装置及计算机可读存储介质。

背景技术

ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的网络层，负责将某个IP地址解析成对应的MAC地址。

ARP欺骗是黑客常用的攻击手段之一，通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。例如先发送大量的ARP请求报文，然后又发送大量虚假的ARP响应报文，从而造成网关或主机的CPU利用率上升难以响应正常服务请求，而且通常虚假的ARP响应报文会比正常的ARP响应报文延迟一段时间或者多发几个，网关或主机的ARP缓存表就会被错误的ARP项充满，导致无法更新维护正常的表项，消耗网络带宽资源，从而导致网络带宽被限制甚至断网。目前，尚缺乏有效的检测方式，能够准确识别出带宽限制攻击及攻击源。

发明内容

基于上述背景，本发明针对利用ARP欺骗实现带宽限制的检测方法、装置以及计算机可读存储介质，能够提高检测与识别的准确性与效率。

带宽限制的检测方法，包括：

每隔第一周期，向网络中所有IP发送PING包，记录收到的ICMP包中的IP和以太网源MAC，生成IP-MAC列表；

向网络中所有IP发送ARP请求，并且统计规定时长内收到的ARP应答报文数量；

每隔第二周期，将已经收到的ARP报文数清零，每次清零前，若所述ARP应答报文数量大于预设阈值则判断受到带宽限制。

上述的带宽限制检测方法还包括识别攻击源，当判断受到带宽限制时，根据新收到的报文中的以太网源MAC，从记录的IP-MAC列表中查找对应的源IP确定为攻击源IP。

所述识别攻击源，还可以是：

对于收到每一个ARP应答报文，根据报文的源IP，查找报文数信息列表中是否存在记录；

若存在记录，则累加该IP报文数量；若不存在记录，则将此报文的源IP与源MAC加入所述报文数信息列表，并将其报文数置为1；

当检测到带宽限制时，查找报文数信息列表中报文数最多的一项，根据该项中的源IP从所述IP-MAC列表中查找对应的IP-MAC。

上述的每隔第二周期将已经收到的ARP报文数清零，还包括将所述报文数信息列表清空。

较佳的，所述统计规定时长内收到的ARP应答报文数量，包括统计策略生效后且ARP请求发出5s内收到的ARP应答报文数。

进一步的，所述IP-MAC列表，还包括通过网络中的主机定时上报IP与MAC信息得到。

一种带宽限制检测装置，包括：

报文发送模块，用于向网络中的IP发送PING包与ARP请求；

报文接收模块，接收并解析返回的ICMP包与ARP应答包；

IP-MAC信息处理模块，记录IP-MAC信息生成IP-MAC列表，统计ARP应答报文数量；

带宽限制判断模块，周期的将ARP应答报文数清零，并且每次清零前，若所述ARP应答报文数量大于预设阈值则判断受到带宽限制。