一种检测并解决局域网攻击的方法及系统技术方案

本发明专利技术公开了一种检测并解决局域网攻击的方法及系统，该方法包括步骤：服务器截取制造大量报文的客户端的MAC地址，写入通知报文并发送；客户端收到通知报文后，若MAC匹配成功则弹出警告框，提示客户端使用者停止发送垃圾报文，并组装回应报文返回给服务器；交换机收到服务器发送的通知报文后，将本交换机的信息添加后组成回溯报文，并在接收端口回发；将通知报文转发出去，并在转发端口产生一个定时器，在所述定时器超时时，如果没有收到与转发端口相连的交换机返回的回溯报文，则关闭此转发端口。该系统包括服务器模块、客户端模块和交换机模块。本发明专利技术可清除垃圾报文导致的网络阻塞。

A method and system for detecting and resolving LAN attacks

The present invention discloses a method and system for detecting and solving a LAN attack. The method includes steps: the server intercepts the MAC address of a client that makes a large number of messages, writes the notification message and sends it; after the client receives a notification message, a warning box is popped out if the MAC match is successful, prompting the client user to stop sending. A garbage message, which is returned to the server by assembling the response message; after the switch receives the notification message sent by the server, it adds the information of the switch to a backtracking message and returns it on the receiving port; sends out the notification message and generates a timing device at the forwarding port, if the timer is over time, if the timer is over. If there is no backtracking message returned by the switch connected to the forwarding port, the forwarding port is closed. The system includes server module, client module and switch module. The invention can eliminate network congestion caused by garbage message.

【技术实现步骤摘要】
一种检测并解决局域网攻击的方法及系统
本专利技术涉及网络拥塞处理领域，尤其涉及一种检测并解决局域网攻击的方法及系统。
技术介绍
随着我国网络通讯的迅猛发展，以太网交换机设备在各个中小型企业的应用也是越来越广泛，交换机成为整个公司枢纽设备，承担着局域网内所有计算机或其它以太网设备的网络通信任务。对于中小型企业来说，使用以太网交换机是必不可少的。虽然现在的以太网交换机的功能越来越多也越来越强大，但是高昂的成本也让很多中小型企业望而怯步，转而使用一些中低端的以太网交换，以此来节约成本和维护时间。节约成本与维护时间有时往往是不成正比的。当公司里的某台计算机正在发送大量的报文冲击整个局域网，而使用者本身却不知道发生了什么事情，导致公司的网络资源被大量的占用，网络堵塞使得其它计算机得不到网络资源而断网。网络管理员此时也无法通过有效的手段去判断到底是那台计算机发生了故障，只能通过一个一个的排查，既浪费时间也浪费人力。目前采用的sFlow网络监测技术，是通过数据流随机采样，可以分析二层到四层的网络流量信息，让用户实时地分析网络传输流的性能、趋势和存在的问题。但是，sFlow网络检测技术虽然能通过采样分析网络流量，但是不能定位到局域网内具体的客户端，对网络控制也没有优势。
技术实现思路
本专利技术目的在于提供一种检测并解决局域网攻击的方法及系统，以解决现有网络监测技术不能定位到局域网内具体的客户端的技术问题。为实现上述目的，本专利技术提供了一种检测并解决局域网攻击的方法，包括以下步骤：服务器通过抓包工具截取到制造大量报文的客户端的MAC地址，将客户端的MAC地址作为目的MAC，以及将本服务器的MAC地址作为源MAC写入通知报文并发送至局域网；客户端收到服务器发送的通知报文后进行解析，如果报文中的目的MAC跟本机MAC匹配成功，则弹出警告框，提示客户端使用者停止发送垃圾报文，并组装回应报文返回给服务器；交换机收到服务器发送的通知报文后，将本交换机的信息添加后组成回溯报文，并在接收端口回发；将通知报文通过MAC地址表转发出去，并在转发端口产生一个定时器，在定时器超时时，如果没有收到与转发端口相连的交换机返回的回溯报文，则关闭此转发端口。作为本专利技术的方法的进一步改进：还包括以下步骤：交换机收到客户端的回应报文后，如果在回应报文中没有发现交换机信息，则将本交换机的信息添加后重组回应报文，再根据MAC地址表转发经重组后的回应报文。交换机将通知报文通过MAC地址表转发出去，包括以下步骤：交换机识别通知报文的源MAC和目的MAC，并根据MAC地址表查找并记录通知报文的源MAC对应的接收端口和目的MAC对应的转发端口，并将通知报文的TTL值减1后，根据MAC地址表将通知报文从转发端口转发出去。方法还包括以下步骤：如果交换机在定时器超时之前，收到与转发端口相连交换机返回的回溯报文，则关闭转发端口的定时器。通知报文、回应报文和回溯报文，均包括以下信息：表示客户端的MAC地址的目的MAC、表示服务器的MAC地址的源MAC、协议类型、长度、数据、TTL以及FCS，TTL为生存时间，FCS为校验，数据包括用于区分服务器的通知报文、客户端的回应报文和交换机的回溯报文的标记。通知报文的数据还包括：服务器信息和服务器MAC地址，回溯报文的数据包括对应的通知报文的数据，并增加交换机信息以及交换机接收通知报文的端口信息。回应报文的数据还包括：客户端信息和客户端MAC地址；经重组后的回应报文的数据还包括：交换机信息以及交换机接收回应报文端口信息。作为一个总的技术构思，本专利技术还提供了一种检测并解决局域网攻击的系统，包括：服务器模块，用于通过抓包工具截取到制造大量报文的客户端的MAC地址，将客户端的MAC地址作为目的MAC，以及将本服务器的MAC地址作为源MAC写入通知报文并发送至局域网；客户端模块，用于在收到服务器发送的通知报文后进行解析，如果报文中的目的MAC跟本机MAC匹配成功，则弹出警告框，提示客户端使用者停止发送垃圾报文，并组装回应报文返回给服务器；交换机模块，用于在收到服务器发送的通知报文后，将本交换机的信息添加后组成回溯报文，并在接收端口回发；还用于将通知报文通过MAC地址表转发出去，并在转发端口产生一个定时器，在定时器超时时，如果没有收到与转发端口相连的交换机返回的回溯报文，则关闭此转发端口。作为本专利技术的系统的进一步改进：交换机模块还用于，在收到客户端的回应报文后，如果在回应报文中没有发现交换机信息，则将本交换机的信息添加后重组回应报文，再根据MAC地址表转发经重组后的回应报文。交换机模块还用于，在接收到通知报文后，识别通知报文的源MAC和目的MAC，并根据MAC地址表查找并记录通知报文的源MAC对应的接收端口和目的MAC对应的转发端口，并将通知报文的TTL值减1后，根据MAC地址表将通知报文从转发端口转发出去；交换机模块还用于，当交换机在定时器超时之前收到与转发端口相连交换机返回的回溯报文时，关闭转发端口的定时器。本专利技术具有以下有益效果：1、本专利技术的检测并解决局域网攻击的方法，基于以太网网络进行控制，能快速定位网络中产生大量垃圾报文的主机，在发现网络阻塞的时候，通过服务器发送通知报文给客户端，并利用以太网交换关闭该转发端口来控制网络，清除垃圾报文导致的网络阻塞。使用本专利技术能够快速定位垃圾报文制造者，并从网络中剔除出去，快速恢复网络通畅，避免因网络阻塞造成数据丢失或者其它经济损失。定制的网络协议减少了网络资源的占用，同时也减少了局域网内不必要的沟通成本，简化了维护操作，灵活度高。2、本专利技术的检测并解决局域网攻击的系统，利用交换机与计算机软件系统进行网络检测和控制，减少研发成本，不需要单独研发其它监控设备或复杂的管理程序。除了上面所描述的目的、特征和优点之外，本专利技术还有其它的目的、特征和优点。下面将参照附图，对本专利技术作进一步详细的说明。附图说明构成本申请的一部分的附图用来提供对本专利技术的进一步理解，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。在附图中：图1是本专利技术优选实施例的协议中三种报文发送路径示意图；图2是本专利技术优选实施例的二层报文的格式示意图；图3是本专利技术优选实施例的服务器发送的通知报文封装格式示意图；图4是本专利技术优选实施例的服务器模块工作流程图；图5是本专利技术优选实施例的客户端发送的回应报文封装格式示意图；图6是本专利技术优选实施例的客户端模块工作流程图；图7是本专利技术优选实施例的交换机处理通知报文的流程图；图8是本专利技术优选实施例的经交换机重组后的回应报文封装格式示意图；图9是本专利技术优选实施例的交换机处理回应报文的流程图；图10是本专利技术优选实施例的经交换机的回溯报文封装格式示意图；图11是本专利技术优选实施例的交换机处理回溯报文的流程图。具体实施方式以下结合附图对本专利技术的实施例进行详细说明，但是本专利技术可以由权利要求限定和覆盖的多种不同方式实施。参见图1，本专利技术优选实施例的协议报文在整个网络中有三种报文格式：通知报文、回应报文和回溯报文。其中，通知报文负责通知客户端停止发送报文。回应报文是在收到通知报文后返回给服务器的报文，负责通知服务器关于客户端的详细信息，回应报文在经过第一个交换机时会由交换机本身添加交换机的详细信息，其余的本文档来自技高网...

【技术保护点】
一种检测并解决局域网攻击的方法，其特征在于，包括以下步骤：服务器通过抓包工具截取到制造大量报文的客户端的MAC地址，将客户端的MAC地址作为目的MAC，以及将本服务器的MAC地址作为源MAC写入通知报文并发送至局域网；客户端收到服务器发送的通知报文后进行解析，如果报文中的目的MAC跟本机MAC匹配成功，则弹出警告框，提示客户端使用者停止发送垃圾报文，并组装回应报文返回给服务器；交换机收到服务器发送的通知报文后，将本交换机的信息添加后组成回溯报文，并在接收端口回发；将通知报文通过MAC地址表转发出去，并在转发端口产生一个定时器，在所述定时器超时时，如果没有收到与转发端口相连的交换机返回的回溯报文，则关闭此转发端口。

【技术特征摘要】
1.一种检测并解决局域网攻击的方法，其特征在于，包括以下步骤：服务器通过抓包工具截取到制造大量报文的客户端的MAC地址，将客户端的MAC地址作为目的MAC，以及将本服务器的MAC地址作为源MAC写入通知报文并发送至局域网；客户端收到服务器发送的通知报文后进行解析，如果报文中的目的MAC跟本机MAC匹配成功，则弹出警告框，提示客户端使用者停止发送垃圾报文，并组装回应报文返回给服务器；交换机收到服务器发送的通知报文后，将本交换机的信息添加后组成回溯报文，并在接收端口回发；将通知报文通过MAC地址表转发出去，并在转发端口产生一个定时器，在所述定时器超时时，如果没有收到与转发端口相连的交换机返回的回溯报文，则关闭此转发端口。2.根据权利要求1所述的检测并解决局域网攻击的方法，其特征在于，所述方法还包括以下步骤：交换机收到客户端的回应报文后，如果在回应报文中没有发现交换机信息，则将本交换机的信息添加后重组回应报文，再根据MAC地址表转发经重组后的回应报文。3.根据权利要求1所述的检测并解决局域网攻击的方法，其特征在于，交换机将通知报文通过MAC地址表转发出去，包括以下步骤：交换机识别通知报文的源MAC和目的MAC，并根据MAC地址表查找并记录通知报文的源MAC对应的接收端口和目的MAC对应的转发端口，并将通知报文的TTL值减1后，根据MAC地址表将通知报文从转发端口转发出去。4.根据权利要求3所述的检测并解决局域网攻击的方法，其特征在于，所述方法还包括以下步骤：如果所述交换机在所述定时器超时之前，收到与转发端口相连交换机返回的回溯报文，则关闭转发端口的定时器。5.根据权利要求1至4中任一项所述的检测并解决局域网攻击的方法，其特征在于，所述通知报文、回应报文和回溯报文，均包括以下信息：表示客户端的MAC地址的目的MAC、表示服务器的MAC地址的源MAC、协议类型、长度、数据、TTL以及FCS，所述TTL为生存时间，所述FCS为校验，所述数据包括用于区分服务器的通知报文、客户端的回应报文和交换机的回溯报文的标记...

【专利技术属性】
技术研发人员：郭敏，王斌，王建国，曹建，廖北平，蒋汉柏，
申请(专利权)人：湖南恒茂高科股份有限公司，
类型：发明
国别省市：湖南,43