一种局域网内的ARP泛洪攻击的预警方法及装置,属于通信网络技术领域,用于解决恶意用户进行ARP泛洪攻击,影响正常用户网络通信的情况。技术要点是:局域网ARP泛洪攻击预警模块包括:网络层数据包侦听模块、ARP报文提取模块、ARP报文分析模块、ARP泛洪攻击报警的状态字输出接口模块和ARP泛洪攻击报警的日志记录生成模块,用于对局域网内ARP连接的实时情况和ARP报文占用资源情况进行监控,并输出ARP泛洪攻击报警的状态字和ARP泛洪攻击报警的日志。来达到预警恶意用户利用地址解析协议的特性而发出大量的ARP报文,进行ARP泛洪攻击,从而解决ARP攻击影响正常用户网络通信的情况。
【技术实现步骤摘要】
本专利技术属于通信网络
,具体说是一种局域网内的ARP泛洪攻击的预警方法。
技术介绍
地址解析协议(ARP,Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。而地址解析协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。ARP泛洪攻击是指恶意用户利用地址解析协议的特性而发出大量的ARP请求数据包,造成网络层设备的ARP表项溢出,影响正常用户的转发。
技术实现思路
为了解决上述问题,本专利技术提供了一种局域网内的ARP泛洪攻击的预警方法,该方法可对局域网内ARP连接的实时情况进行监测并监控ARP报文占用资源情况输出且能ARP泛洪攻击报警的状态字和ARP泛洪攻击报警的日志,帮助企业的网络管理者了解自己网络内部的运行状况。为了实现上述目的,本专利技术采用如下技术方案:一种局域网内的ARP泛洪攻击的预警方法,对于网络层数据包侦听,从中获取ARP数据包,对获取的ARP数据包,进行分类,再使用分析方法判断,同一主机发出的ARP请求数据的特征是否符合泛洪攻击的特征,输出响应状态字,将输出响应状态字保存,同时将抓取的泛洪攻击报文进行保存,两者对应关系保存生成ARP泛洪攻击报警的日志。进一步的,所述的网络层数据包侦听,作为一个单独的工作进程,以一种透明的工作状态进行网络层侦听。进一步的,所述获取ARP报文,作为一个单独的工作进程,分析ARP数据包
的报文,对ARP数据提取。进一步的,所述的分析方法,作为一个单独的工作进程,读取高速缓存表的表项数组,将ARP数据分组,对同一源地址发出的连续几个ARP请求进行判断,判断发出ARP请求的动作目的,是否符合ARP泛洪攻击的特征,同时判断是否执行预警,且对发出相同请求操作而不同地址和类型的连续几个数据包进行判断,是否符合ARP泛洪攻击的特征,同时判断是否执行预警。进一步的,所述输出相应状态字作为一个单独的工作进程,根据发出ARP的请求的动作目的,将其对应报警的状态字输出。进一步的,将生成的符合预警特征的ARP报文分组信息和报警状态字一并对应的写入ARP泛洪攻击报警的日志。一种局域网内的ARP泛洪攻击的预警装置,包括:网络层数据包侦听模块、ARP报文提取模块、ARP报文分析模块、ARP泛洪攻击报警的状态字输出接口模块和ARP泛洪攻击报警的日志记录生成模块;所述网络层数据包侦听模块:在网络层设备和用户主机之间侦听网络数据包,在数据链路上以一种透明的工作状态存在;ARP报文提取模块:从所述网络层数据包侦听模块侦听的网络数据包中获取ARP报文,将ARP报文写入高速缓存表;ARP报文分析模块:读取高速缓存表,剥离目的IP地址、源IP地址、源MAC地址和ARP请求或回答分组信息;对取得的数据进行分组,对同一源地址发出的连续几个ARP请求进行判断,判断发出ARP的请求的动作目的,是否符合ARP泛洪攻击的特征,同时判断是否执行预警;对发出相同请求操作不同地址和类型的连续几个数据包进行判断,是否符合ARP泛洪攻击的特征,同时判断是否执行预警;ARP泛洪攻击报警的状态字输出接口模块:读取缓存表内的分组信息,判断每个源MAC的主机的目的,生成报警状态字输出;ARP泛洪攻击报警的日志记录生成模块:将生成的ARP报文分组信息和报警状态字一并对应的写入ARP泛洪攻击报警的日志。进一步的,所述ARP报文提取模块,包括高速缓存表、队列、输出模块、输入模块以及高速缓存控制模块;高速缓存表是一个表项数组,由ARP报文使用和
更新,在一个队列中包含的要发送到相同终点去的数据分组,输出模块从IP层得到分组,然后或者把IP分组发送到数据链路层,或者发送到队列中,输入模块使用ARP分组来更新高速缓存表,输入模块还用于发送ARP回答,高速缓存控制模块通过更新表项字段来维护高速缓存表。进一步的,高速缓存表以表项数组的形式实现,每个表项包括以下字段:状态、硬件类型、协议类型、硬件地址的长度、协议长度、端口号、队列号、ARP请求次数、超时、硬件地址、IP地址;其中:状态这一列显示的是表项的状态,表示以下三种状态:FREE、PENDING或RESOLVED。本专利技术的有益效果在于:通过对局域网内ARP连接的实时情况进行监测并监控ARP报文占用资源情况输出且能ARP泛洪攻击报警的状态字和ARP泛洪攻击报警的日志,帮助企业的网络管理着了解自己网络内部的运行状况。预警恶意用户利用地址解析协议的特性而发出大量的ARP报文,进行ARP泛洪攻击,影响正常用户的转发的情况。附图说明图1为本专利技术对局域网ARP泛洪攻击的预警流程图;图2为本专利技术ARP构件的组成示意图;图3为本专利技术ARP数据包的组成示意图。具体实施方式实施例1:一种针对局域网ARP泛洪攻击的预警方法,本方案提供了局域网ARP泛洪攻击预警方法。帮助企业的网络管理者了解局域网内部的运行状况,该方法包括:步骤一.实时监控ARP表,即MAC地址表和IP地址的映射表。作为在一个单独的工作进程,读取高速缓存表的表项数组,准确将ARP数据包分组。对同一源地址发出的连续几个ARP请求进行判断,判断发出ARP的请求的动作目的,是否符合ARP泛洪攻击的特征,同时是否执行预警。也对发出相同请求操作不同地址和类型的连续几个数据包进行判断。是否符合ARP泛洪攻击的特征,同时判断是否执行预警,对局域网内ARP连接的实时情况进行监控;步骤二.监控ARP报文占用资源情况。监控网络内的ARP报文通信情况。因为ARP是一种动态映射的方法,它给定的逻辑地址找出物理地址。ARP请求用广
播的方式发送给网络上的所有设备。ARP应答用单播方式发送给请求映射的主机。过程中会占用大量的资源和时钟周期,甚至造成网络拥塞。本方法可以使网络管理员更加直观的观察局域网络的状态;步骤三.输出ARP泛洪攻击报警的状态字和ARP泛洪攻击报警的日志。ARP泛洪攻击报警的状态字输出接口模块的作用在于其作为在一个单独的工作进程,根据发出ARP的请求的动作目的。将其对应报警的状态字输出。同时ARP泛洪攻击报警的日志记录生成模块将前者生成的符合预警特征的ARP报文分组信息和报警状态字一并对应的写入报警日志。方便用户更加直接的了解网络状态,以及判断ARP泛洪攻击源。本实施例涉及一种局域网ARP泛洪攻击预警模块,包括:网络层数据包侦听模块、ARP报文提取模块、ARP报文分析模块、ARP泛洪攻击报警的状态字输出接口模块和ARP泛洪攻击报警的日志记录生成模块,共5部分。网络层数据包侦听模块:在网络层设备和用户主机之间侦听网络数据包,同时不干扰正常的网络传输速度,在数据链路上以一种透明的工作状态存在,即不影响链路上数据帧的发送和接收。ARP报文提取模块由5个构件本文档来自技高网...
【技术保护点】
一种局域网内的ARP泛洪攻击的预警方法,其特征在于:对于网络层数据包侦听,从中获取ARP数据包,对获取的ARP数据包,进行分类,再使用分析方法判断,同一主机发出的ARP请求数据的特征是否符合泛洪攻击的特征,输出响应状态字,将输出响应状态字保存,同时将抓取的泛洪攻击报文进行保存,两者对应关系保存生成ARP泛洪攻击报警的日志。
【技术特征摘要】
1.一种局域网内的ARP泛洪攻击的预警方法,其特征在于:对于网络层数据包侦听,从中获取ARP数据包,对获取的ARP数据包,进行分类,再使用分析方法判断,同一主机发出的ARP请求数据的特征是否符合泛洪攻击的特征,输出响应状态字,将输出响应状态字保存,同时将抓取的泛洪攻击报文进行保存,两者对应关系保存生成ARP泛洪攻击报警的日志。2.如权利要求1所述的局域网内的ARP泛洪攻击的预警方法,其特征在于:所述的网络层数据包侦听,作为一个单独的工作进程,以一种透明的工作状态进行网络层侦听。3.如权利要求1所述的局域网内的ARP泛洪攻击的预警方法,其特征在于:所述获取ARP报文,作为一个单独的工作进程,分析ARP数据包的报文,对ARP数据提取。4.如权利要求1所述的局域网内的ARP泛洪攻击的预警方法,其特征在于:所述的分析方法,作为一个单独的工作进程,读取高速缓存表的表项数组,将ARP数据分组,对同一源地址发出的连续几个ARP请求进行判断,判断发出ARP的请求的动作目的,是否符合ARP泛洪攻击的特征,同时判断是否执行预警,且对发出相同请求操作不同地址和类型的连续几个数据包进行判断,是否符合ARP泛洪攻击的特征,同时判断是否执行预警。5.如权利要求1所述的局域网内的ARP泛洪攻击的预警方法,其特征在于:所述输出相应状态字作为一个单独的工作进程,根据发出ARP的请求的动作目的,将其对应报警的状态字输出。6.如权利要求1所述的局域网内的ARP泛洪攻击的预警方法,其特征在于:将生成的符合预警特征的ARP报文分组信息和报警状态字一并对应的写入ARP泛洪攻击报警的日志。7.一种局域网内的ARP泛洪攻击的预警装置,其特征在于,包括:网络层数据包侦听模块、ARP报文提取模块、ARP报文分析模块、ARP泛洪攻击报警的状态字输出接口模块和ARP泛洪攻击报警的日志记录生成模块;所述网络层数据包侦听模块...
【专利技术属性】
技术研发人员:田雨农,张东辉,付政国,
申请(专利权)人:大连楼兰科技股份有限公司,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。