技術領域

本發(fā)明實施方式涉及網(wǎng)絡安全技術領域，尤其涉及一種針對ARP攻擊的管控方法及系統(tǒng)。

背景技術

地址解析協(xié)議，即ARP(Address Resolution Protocol)，是根據(jù)IP地址獲取物理地址的一個TCP/IP協(xié)議。主機發(fā)送信息時將包含目標IP地址的ARP請求廣播報文到網(wǎng)絡上的所有主機，并接收返回消息，以此確定目標的物理地址；收到返回消息后將該IP地址和物理地址存入本機ARP緩存中并保留一定時間，下次請求時直接查詢ARP緩存以節(jié)約資源。

在實施本發(fā)明的過程中，發(fā)明人發(fā)現(xiàn)現(xiàn)有技術至少存在如下問題：

地址解析協(xié)議是建立在網(wǎng)絡中各個主機互相信任的基礎上的，網(wǎng)絡上的主機可以自主發(fā)送ARP應答消息，其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存。因此，攻擊者就可以發(fā)送大量的ARP報文在網(wǎng)絡內(nèi)廣播，這些廣播報文極大的消耗了網(wǎng)絡的帶寬甚至可能通過偽造的ARP報文而在網(wǎng)絡內(nèi)實施大流量攻擊，即由此攻擊者向某一主機發(fā)送偽ARP應答報文，使其發(fā)送的信息無法到達預期的主機或到達錯誤的主機，構(gòu)成了ARP欺騙，使網(wǎng)絡帶寬耗盡。

應該注意，上面對技術背景的介紹只是為了方便對本發(fā)明的技術方案進行清楚、完整的說明，并方便本領域技術人員的理解而闡述的。不能僅僅因為這些方案在本發(fā)明的背景技術部分進行了闡述而認為上述技術方案為本領域技術人員所公知。

發(fā)明內(nèi)容

針對上述問題，本發(fā)明實施方式的目的在于提供一種針對ARP攻擊的管控方法及系統(tǒng)，能夠有效地解決ARP攻擊的問題。

為實現(xiàn)上述目的，本發(fā)明實施方式提供一種針對ARP攻擊的管控方法，所述方法包括：接收預設網(wǎng)絡節(jié)點發(fā)來的ARP報文，所述ARP報文包括MAC地址、IP地址以及端口號之間的當前映射關系；讀取本地存儲的映射關系表，所述映射關系表中記錄有MAC地址、IP地址以及端口號之間的標準映射關系；判斷所述ARP報文的當前映射關系是否與所述映射關系表的標準映射關系相匹配；若不匹配，對所述預設網(wǎng)絡節(jié)點發(fā)送的ARP報文流量進行監(jiān)控，當所述ARP報文流量異常時，限制所述預設網(wǎng)絡節(jié)點發(fā)送報文的流量或者隔離所述預設網(wǎng)絡節(jié)點的端口。

進一步地，所述當前映射關系和所述標準映射關系均包括三對映射關系，所述三對映射關系包括：MAC地址與IP地址之間的映射關系；MAC地址與端口號之間的映射關系；以及IP地址與端口號之間的映射關系。

進一步地，所述ARP報文的當前映射關系與所述映射關系表的標準映射關系不匹配包括：所述當前映射關系與所述標準映射關系中至少有一對映射關系不同。

進一步地，對所述預設網(wǎng)絡節(jié)點發(fā)送的ARP報文流量進行監(jiān)控包括：對所述預設網(wǎng)絡節(jié)點發(fā)送的報文進行識別，以從中獲取ARP報文；在預設時長內(nèi)統(tǒng)計獲取的ARP報文的流量，并將統(tǒng)計的流量分別與第一流量閾值以及第二流量閾值進行比對；其中，所述第一流量閾值小于所述第二流量閾值；根據(jù)比對結(jié)果，判斷所述預設網(wǎng)絡節(jié)點發(fā)送的ARP報文流量是否異常。

進一步地，判斷所述預設網(wǎng)絡節(jié)點發(fā)送的ARP報文流量是否異常包括：當所述統(tǒng)計的流量大于所述第一流量閾值和所述第二流量閾值中的任意一個時，判定所述預設網(wǎng)絡節(jié)點發(fā)送的ARP報文流量存在異常；當所述統(tǒng)計的流量小于或者等于所述第一流量閾值時，判定所述預設網(wǎng)絡節(jié)點發(fā)送的ARP報文流量正常。

進一步地，所述方法還包括：當所述統(tǒng)計的流量大于所述第一流量閾值并且小于所述第二流量閾值時，將超出所述第一流量閾值的ARP報文丟棄。

進一步地，所述方法還包括：當所述統(tǒng)計的流量大于或者等于所述第二流量閾值時，將所述預設網(wǎng)絡節(jié)點的端口隔離。

為實現(xiàn)上述目的，本發(fā)明還提供一種針對ARP攻擊的管控系統(tǒng)，所述系統(tǒng)包括：ARP報文接收單元，用于接收預設網(wǎng)絡節(jié)點發(fā)來的ARP報文，所述ARP報文包括MAC地址、IP地址以及端口號之間的當前映射關系；本地映射關系表讀取單元，用于讀取本地存儲的映射關系表，所述映射關系表中記錄有MAC地址、IP地址以及端口號之間的標準映射關系；映射關系判斷單元，用于判斷所述ARP報文的當前映射關系是否與所述映射關系表的標準映射關系相匹配；流量監(jiān)控單元，用于若不匹配，對所述預設網(wǎng)絡節(jié)點發(fā)送的ARP報文流量進行監(jiān)控，當所述ARP報文流量異常時，限制所述預設網(wǎng)絡節(jié)點發(fā)送報文的流量或者隔離所述預設網(wǎng)絡節(jié)點的端口。