[发明专利]一种在交换机上实现ARP欺骗检测的方法

摘要

本发明公开了一种在交换机上实现ARP欺骗检测的方法，具体步骤如下：将交换机输入送入到报文分发模块；当检测到进入的报文为ARP报文时，报文分发模块判断是否发生了ARP风暴，若是则通过告警模块进行提示，否则将ARP报文分发给ARP欺骗检测模块；ARP欺骗检测模块通过ARP表记录的信息判断是否发生了ARP欺骗，若是则记录欺骗事件，并通过告警模块进行提示。采用本发明能够解决相关技术中安全性低、成本高等劣势，以极为经济的方式解决ARP欺骗问题。

主权项

一种在交换机上实现ARP欺骗检测的方法，其特征在于具体步骤如下：(1)在交换机中，建立报文分发模块、ARP欺骗检测模块、告警模块，以及ARP表；其中报文分发模块用于检测报文类型，判断是否ARP报文；ARP欺骗检测模块负责检测ARP报文，判断是否存在ARP欺骗；告警模块用于提示管理员；ARP表用于缓存接收到的ARP报文中的IP/MAC地址对，由若干ARP记录组成，每条ARP记录包括从ARP报文中取出的IP/MAC地址对，以及收到ARP报文的时间，交换机上电时ARP表为空表；(2)交换机上电后，报文分发模块进入工作状态，报文分发模块判断交换机输入的所有报文类型，如果不是ARP应答报文则检测下一报文；如果是ARP应答报文，则判断是否发生了ARP风暴，如果是ARP风暴，则通过告警模块提示管理员；如果不是ARP风暴，则将报文分发给ARP欺骗检测模块。(3)当ARP欺骗检测模块接收到ARP应答报文后，从中提取IP地址和MAC地址；(4)ARP欺骗检测模块查找在ARP表中是否存在与ARP应答报文的IP地址相同的记录：如果找不到，则用ARP应答报文的IP地址、MAC地址和当前时间组成一条记录，添加到ARP表中；如果能找到，则从ARP表中的记录中取出MAC地址，判断ARP表中的MAC地址与从ARP应答报文中提取的MAC地址是否相同，如果相 同，则用当前时间更新ARP表中的记录中的时间，如果不同，则表明接收的IP地址对应的ARP表中的记录中的MAC地址已经改变；继续取出ARP表中的记录中的时间，并计算当前时间与ARP表中的记录中时间的差值，当差值高于阈值时，则是正常的ARP应答报文，此时用ARP应答报文中的MAC地址和当前时间更新ARP表中的记录中的相应字段，当差值低于上述阈值时，则发生了ARP欺骗，其中，阈值设置为10‑500ms；(5)当检测到ARP欺骗后，通过告警模块提示管理员；或记录日志文件，以便管理员查阅；或切断相应端口的连接，避免造成损失。(6)ARP欺骗检测中使用的阈值，其含义为从同一IP地址接收到两次相邻ARP报文之间的合理间隔，该值可由网络管理员根据网络状况进行设置。