[发明专利]ARP攻击监测系统及方法

说明书

本发明公开了ARP攻击监测系统及方法，涉及ARP攻击监测技术领域。本发明包括同网段的若干网内主机以及为若干网内主机转发ARP报文的网关服务器；网关服务器设置攻击监测模块以及异常过滤模块；所述异常过滤模块对比恶意攻击度与预设的次数阈值过滤出异常主机；异常过滤模块传递异常主机的IP地址以及MAC地址至攻击监测模块；攻击监测模块向异常主机发送监测ARP报文并根据异常主机是否回传ARP应答包辨别攻击性主机。本发明通过异常过滤模块对比恶意攻击度与预设的次数阈值过滤出异常主机；并通过攻击监测模块向异常主机发送监测ARP报文并根据异常主机是否回传ARP应答包辨别攻击性主机，提高了ARP通信过程中安全性。

技术领域

本发明属于ARP攻击监测技术领域，特别是涉及一种ARP攻击监测系统及方法。

背景技术

ARP(Address Resolution Protocol，地址解析协议)用来获取待通信目标设备的MAC(Media Access Control，媒体访问控制)地址。而针对ARP协议缺乏安全防护措施的不足，也存在着不同类型的ARP攻击，威胁着用户设备以及网络环境的安全。

目前，ARP攻击主要包括ARP欺骗攻击和ARP泛洪攻击。其中，ARP欺骗攻击下，攻击设备不仅可以通过伪造源MAC地址，发送虚假的ARP应答报文来欺骗请求设备；还可以通过发送虚假的ARP请求报文，来使网络中的各个设备学习到错误的ARP表项，扰乱网络的正常通信。而在ARP泛洪攻击下，攻击设备则可通过发送大量的虚假ARP请求报文，来占用网络带宽和各个设备的处理器资源，并同时使得各个设备过度学习ARP表项，导致ARP表项溢出，从而无法学习到正常的ARP表项，其中，虚假ARP请求报文中的源IP地址和/或源MAC地址为伪造地址。

本发明致力于发明一种ARP攻击监测系统及方法，用于解决现有的ARP通信过程中安全性低且攻击性欺骗报文不易检测的问题。

发明内容

本发明的目的在于提供ARP攻击监测系统及方法，通过异常过滤模块对比恶意攻击度与预设的次数阈值过滤出异常主机；并通过攻击监测模块向异常主机发送监测ARP报文并根据异常主机是否回传ARP应答包辨别攻击性主机，方便快捷的监测出攻击性主机，实现了ARP报文的安全检测，解决了现有的ARP通信过程中安全性低且攻击性欺骗报文不易检测的问题。

为解决上述技术问题，本发明是通过以下技术方案实现的：

本发明为ARP攻击监测系统，包括：同网段的若干网内主机以及为若干所述网内主机转发ARP报文的网关服务器；

所述网关服务器设置攻击监测模块以及异常过滤模块；所述攻击监测模块从ARP报文中获取源主机IP地址以及MAC地址；所述攻击监测模块通过检索攻击欺骗表过滤攻击性主机；所述攻击监测模块传递经过滤后的ARP报文传递至异常过滤模块；

所述异常过滤模块通过检索ARP缓存表统计ARP报文中源主机的恶意攻击度；所述恶意攻击度为ARP报文中源主机在阈值时间内重复发送ARP报文的次数；所述异常过滤模块对比恶意攻击度与预设的次数阈值过滤出异常主机；

所述异常过滤模块传递异常主机的IP地址以及MAC地址至攻击监测模块；所述攻击监测模块向异常主机发送监测ARP报文并根据异常主机是否回传ARP应答包辨别攻击性主机。

优选地，所述攻击欺骗表内存储攻击性主机的IP地址以及MAC地址；所述攻击监测模块检索攻击欺骗表中是否存在ARP报文中源主机IP地址以及MAC地址；若存在，则所述网关服务器不转发ARP报文并且将ARP报文中源主机IP地址以及MAC地址存储到攻击欺骗表中；若存在，则所述网关服务器转发ARP报文。

优选地，所述ARP缓存表中的主机的IP->MAC记录超过所述阈值时间时，删除对应的IP->MAC记录；所述ARP缓存表中还存储与主机的IP->MAC记录标记对应的恶意攻击度。