ARP攻击监测系统及方法技术方案

本发明专利技术公开了ARP攻击监测系统及方法，涉及ARP攻击监测技术领域。本发明专利技术包括同网段的若干网内主机以及为若干网内主机转发ARP报文的网关服务器；网关服务器设置攻击监测模块以及异常过滤模块；所述异常过滤模块对比恶意攻击度与预设的次数阈值过滤出异常主机；异常过滤模块传递异常主机的IP地址以及MAC地址至攻击监测模块；攻击监测模块向异常主机发送监测ARP报文并根据异常主机是否回传ARP应答包辨别攻击性主机。本发明专利技术通过异常过滤模块对比恶意攻击度与预设的次数阈值过滤出异常主机；并通过攻击监测模块向异常主机发送监测ARP报文并根据异常主机是否回传ARP应答包辨别攻击性主机，提高了ARP通信过程中安全性。

ARP Attack Monitoring System and Method

【技术实现步骤摘要】
ARP攻击监测系统及方法
本专利技术属于ARP攻击监测
，特别是涉及一种ARP攻击监测系统及方法。
技术介绍
ARP(AddressResolutionProtocol，地址解析协议)用来获取待通信目标设备的MAC(MediaAccessControl，媒体访问控制)地址。而针对ARP协议缺乏安全防护措施的不足，也存在着不同类型的ARP攻击，威胁着用户设备以及网络环境的安全。目前，ARP攻击主要包括ARP欺骗攻击和ARP泛洪攻击。其中，ARP欺骗攻击下，攻击设备不仅可以通过伪造源MAC地址，发送虚假的ARP应答报文来欺骗请求设备；还可以通过发送虚假的ARP请求报文，来使网络中的各个设备学习到错误的ARP表项，扰乱网络的正常通信。而在ARP泛洪攻击下，攻击设备则可通过发送大量的虚假ARP请求报文，来占用网络带宽和各个设备的处理器资源，并同时使得各个设备过度学习ARP表项，导致ARP表项溢出，从而无法学习到正常的ARP表项，其中，虚假ARP请求报文中的源IP地址和/或源MAC地址为伪造地址。本专利技术致力于专利技术一种ARP攻击监测系统及方法，用于解决现有的ARP通信过程中安全性低且攻击性欺骗报文不易检测的问题。
技术实现思路
本专利技术的目的在于提供ARP攻击监测系统及方法，通过异常过滤模块对比恶意攻击度与预设的次数阈值过滤出异常主机；并通过攻击监测模块向异常主机发送监测ARP报文并根据异常主机是否回传ARP应答包辨别攻击性主机，方便快捷的监测出攻击性主机，实现了ARP报文的安全检测，解决了现有的ARP通信过程中安全性低且攻击性欺骗报文不易检测的问题。为解决上述技术问题，本专利技术是通过以下技术方案实现的：本专利技术为ARP攻击监测系统，包括：同网段的若干网内主机以及为若干所述网内主机转发ARP报文的网关服务器；所述网关服务器设置攻击监测模块以及异常过滤模块；所述攻击监测模块从ARP报文中获取源主机IP地址以及MAC地址；所述攻击监测模块通过检索攻击欺骗表过滤攻击性主机；所述攻击监测模块传递经过滤后的ARP报文传递至异常过滤模块；所述异常过滤模块通过检索ARP缓存表统计ARP报文中源主机的恶意攻击度；所述恶意攻击度为ARP报文中源主机在阈值时间内重复发送ARP报文的次数；所述异常过滤模块对比恶意攻击度与预设的次数阈值过滤出异常主机；所述异常过滤模块传递异常主机的IP地址以及MAC地址至攻击监测模块；所述攻击监测模块向异常主机发送监测ARP报文并根据异常主机是否回传ARP应答包辨别攻击性主机。优选地，所述攻击欺骗表内存储攻击性主机的IP地址以及MAC地址；所述攻击监测模块检索攻击欺骗表中是否存在ARP报文中源主机IP地址以及MAC地址；若存在，则所述网关服务器不转发ARP报文并且将ARP报文中源主机IP地址以及MAC地址存储到攻击欺骗表中；若存在，则所述网关服务器转发ARP报文。优选地，所述ARP缓存表中的主机的IP->MAC记录超过所述阈值时间时，删除对应的IP->MAC记录；所述ARP缓存表中还存储与主机的IP->MAC记录标记对应的恶意攻击度。优选地，所述监测ARP报文为ARP请求包；所述ARP请求包内的源主机IP地址以及MAC地址为异常主机ARP报文内的目的主机IP地址以及MAC地址；所述ARP请求包的内的目的主机IP地址以及MAC地址为异常主机ARP报文内的源主机IP地址以及MAC地址；若异常主机回传与所述ARP请求包对应的ARP应答包，则所述网关服务器转发异常主机的ARP请求报文；若异常主机没有回传所述ARP请求包对应的ARP应答包，则攻击监测模块将异常主机的IP地址以及MAC地址存储到攻击欺骗表内。ARP攻击监测方法，包括如下过程：步骤一：所述攻击监测模块检索攻击欺骗表判断是否为攻击性主机；若是，则执行步骤六；若否，则执行步骤二；步骤二：所述异常过滤模块通过检索ARP缓存表中ARP报文的恶意攻击度；步骤三：所述异常过滤模块对比恶意攻击度对比次数阈值并判断是否为异常主机；若是，则执行步骤四；若否，则执行步骤七；步骤四：所述攻击监测模块向异常主机发送监测ARP报文并执行步骤五；步骤五：所述攻击监测模块根据异常主机是否回传ARP应答包辨别攻击性主机判断是否为攻击性主机；若是，则执行步骤六；若否，则执行七；步骤六：所述攻击监测模块将ARP报文内源主机IP地址以及MAC地址存储到攻击欺骗表内；步骤七：网关服务器转发ARP报文。本专利技术具有以下有益效果：本专利技术通过异常过滤模块对比恶意攻击度与预设的次数阈值过滤出异常主机；并通过攻击监测模块向异常主机发送监测ARP报文并根据异常主机是否回传ARP应答包辨别攻击性主机，方便快捷的监测出攻击性主机，实现了ARP报文的安全检测，提高了ARP通信过程中安全性，降低了ARP报文交互的风险性。当然，实施本专利技术的任一产品并不一定需要同时达到以上所述的所有优点。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术的ARP攻击监测系统的示意图；图2为本专利技术的ARP攻击监测方法的流程图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本专利技术保护的范围。具体实施例一：请参阅图1所示，本专利技术为ARP攻击监测系统，包括：同网段的若干网内主机以及为若干网内主机转发ARP报文的网关服务器；网关服务器设置攻击监测模块以及异常过滤模块；攻击监测模块从ARP报文中获取源主机IP地址以及MAC地址；攻击监测模块通过检索攻击欺骗表过滤攻击性主机；攻击监测模块传递经过滤后的ARP报文传递至异常过滤模块；异常过滤模块通过检索ARP缓存表统计ARP报文中源主机的恶意攻击度；恶意攻击度为ARP报文中源主机在阈值时间内重复发送ARP报文的次数；异常过滤模块对比恶意攻击度与预设的次数阈值过滤出异常主机；异常过滤模块传递异常主机的IP地址以及MAC地址至攻击监测模块；攻击监测模块向异常主机发送监测ARP报文并根据异常主机是否回传ARP应答包辨别攻击性主机。其中，攻击欺骗表内存储攻击性主机的IP地址以及MAC地址；攻击监测模块检索攻击欺骗表中是否存在ARP报文中源主机IP地址以及MAC地址；若存在，则网关服务器不转发ARP报文并且将ARP报文中源主机IP地址以及MAC地址存储到攻击欺骗表中；若存在，则网关服务器转发ARP报文。其中，ARP缓存表中的主机的IP->MAC记录超过阈值时间时，删除对应的IP->MAC记录；ARP缓存表中还存储与主机的IP->MAC记录标记对应的恶意攻击度。其中，监测ARP报文为ARP请求包；ARP请求包内的源主机IP地址以及MAC地址为异常主机ARP报文内的目的主机IP地址以及MAC地址；ARP请求包的内的目的主机IP地址以及MAC地址为异常主机ARP报文内的本文档来自技高网...

【技术保护点】
1.ARP攻击监测系统，其特征在于，包括：同网段的若干网内主机以及为若干所述网内主机转发ARP报文的网关服务器；所述网关服务器设置攻击监测模块以及异常过滤模块；所述攻击监测模块从ARP报文中获取源主机IP地址以及MAC地址；所述攻击监测模块通过检索攻击欺骗表过滤攻击性主机；所述攻击监测模块传递经过滤后的ARP报文传递至异常过滤模块；所述异常过滤模块通过检索ARP缓存表统计ARP报文中源主机的恶意攻击度；所述恶意攻击度为ARP报文中源主机在阈值时间内重复发送ARP报文的次数；所述异常过滤模块对比恶意攻击度与预设的次数阈值过滤出异常主机；所述异常过滤模块传递异常主机的IP地址以及MAC地址至攻击监测模块；所述攻击监测模块向异常主机发送监测ARP报文并根据异常主机是否回传ARP应答包辨别攻击性主机。

【技术特征摘要】
1.ARP攻击监测系统，其特征在于，包括：同网段的若干网内主机以及为若干所述网内主机转发ARP报文的网关服务器；所述网关服务器设置攻击监测模块以及异常过滤模块；所述攻击监测模块从ARP报文中获取源主机IP地址以及MAC地址；所述攻击监测模块通过检索攻击欺骗表过滤攻击性主机；所述攻击监测模块传递经过滤后的ARP报文传递至异常过滤模块；所述异常过滤模块通过检索ARP缓存表统计ARP报文中源主机的恶意攻击度；所述恶意攻击度为ARP报文中源主机在阈值时间内重复发送ARP报文的次数；所述异常过滤模块对比恶意攻击度与预设的次数阈值过滤出异常主机；所述异常过滤模块传递异常主机的IP地址以及MAC地址至攻击监测模块；所述攻击监测模块向异常主机发送监测ARP报文并根据异常主机是否回传ARP应答包辨别攻击性主机。2.根据权利要求1所述的ARP攻击监测系统，其特征在于，所述攻击欺骗表内存储攻击性主机的IP地址以及MAC地址；所述攻击监测模块检索攻击欺骗表中是否存在ARP报文中源主机IP地址以及MAC地址；若存在，则所述网关服务器不转发ARP报文并且将ARP报文中源主机IP地址以及MAC地址存储到攻击欺骗表中；若存在，则所述网关服务器转发ARP报文。3.根据权利要求1所述的ARP攻击监测系统，其特征在于，所述ARP缓存表中的主机的IP->MAC记录超过所述阈值时间时，删除对应的IP->MAC记录；所述ARP缓存表中还存储与主机的I...

【专利技术属性】
技术研发人员：杜小芳，
申请(专利权)人：北京华安普特网络科技有限公司，
类型：发明
国别省市：北京,11