[发明专利]一种arp病毒侦测定位方法及免疫方法

说明书

所属技术领域

本发明涉及一种arp病毒侦测定位方法及免疫方法。

背景技术

现有的以太网数据传输方法，它包括：

源主机向以太网发送arp请求，该arp请求包括有源主机IP0、源主机MAC0及目主机IP1；

每一个主机都接收该arp请求，其中，自身主机的IP等于IP1的则为目主机，该目主机向源主机发送arp应答，该arp应答包括目主机MAC1和IP1；

源主机接收arp应答并解析arp应答获取MAC1；

源主机将MAC1和IP1建立映射关系，并保存进arp表中；

源主机向该MAC1地址发送数据。

由上述描述可知，为了保证数据传输的准确性，就必须保证MAC1是准确的目主机的MAC地址，如果该MAC1地址错误，则传输就会出错。

针对上述的技术特点，网络恶意攻击者就会伪造arp应答，该伪造arp应答包括IP1和伪造的MAC11地址，源主机接收该伪造arp应答，并建立IP1和MAC11的错误映射关系。从而使得源主机将数据发送至MAC11上，由于该MAC11并非目主机的准确地址，数据发送错误。

针对上述的缺点，有人提出了解决方案，例如：

1、先通过比较法侦测病毒、再通过MAC地址和IP地址绑定加上人工对网络检测来定位arp病毒对应的MAC地址，从而找到对应的设备，并清除该病毒。这种方法存在有效率低下的不足，对网络的快速恢复起不到作用；

2、国家知识产权局公布的200610152148.2、200510069856.5、200710120867.0、200810223071.2等，该些方法都存在有成本高，效率低下的不足，对网络的快速恢复起不到作用。

发明内容

本发明提供一种arp病毒侦测定位方法及免疫方法，其克服了背景技术的arp病毒侦测、免疫所存在的免疫效率低下的不足。

本发明解决其技术问题所采用的技术方案之一是：

一种arp病毒侦测定位方法，它包括：

步骤10，源主机向目主机发送一个第一arp请求，该第一arp请求包括有源主机MAC0、源主机IP0和目主机IP1；

步骤20，源主机判断是否先后收到至少二个第一arp应答，如果是则执行步骤30，否则表示正常；

步骤30，该二个第一arp应答中，前一个第一arp应答包括有MAC 11，后一个第一arp应答包括有MAC12，源主机随机生成一个伪造IP2，该伪造IP2与IP1不等；

步骤40，源主机发送一个第二arp请求，该第二arp请求包括有源主机MAC0、源主机IP0和IP2；

步骤50，判断源主机是否收到一个第二arp应答，该第二arp应答包括有MAC21，如果是则执行步骤60，否则表示正常；

步骤60，源主机判断MAC12和MAC21是否相等，如果是则表示该MAC12为病毒机地址，定位该病毒机地址，否则表示正常。

一较佳实施例中，该该步骤20，它包括：

步骤21，源主机收到一个第一arp应答，解析第一arp应答获取MAC11和IP1，将该MAC11设为目主机MAC1地址，该MAC1和IP1建立映射关系并保存进arp表；

步骤22，判断源主机是否还收到另一个第一arp应答，如果是则执行步骤23，否则表示正常；

步骤23，源主机收到另一个第一arp应答，解析该另一个第一arp应答获取MAC12和IP1；及

步骤24，源主机判断MAC12和arp表中的MAC1是否相等，如果不等，则执行步骤30，否则表示正常。

一较佳实施例中，该步骤60中，源主机判断MAC12和MAC21是否相等，如果是则表示该MAC12为病毒机地址，定位该病毒机地址，并将该病毒机地址保存进arp病毒黑名单表中，否则表示正常。

本发明解决其技术问题所采用的技术方案之二是：

一种arp病毒免疫方法，它包括：

步骤A，源主机发送一个第一arp请求，该第一arp请求包括有源主机MAC0、源主机IP0和目主机IP1；

步骤B，源主机收到一个第一arp应答，解析第一arp应答获取MAC1；

步骤C，判断MAC1与源主机内保存的病毒黑名单表中的病毒性地址是否相等，如果是则丢弃该MAC1，否则表示该MAC1为目主机MAC地址，该MAC1和IP1建立映射关系；

步骤D，源主机向目主机传送数据。

本发明解决其技术问题所采用的技术方案之三是：