[發明專利]ARP攻擊監測系統及方法在審
| 申請號: | 201910171966.4 | 申請日: | 2019-03-07 |
| 公開(公告)號: | CN109981603A | 公開(公告)日: | 2019-07-05 |
| 發明(設計)人: | 杜小芳 | 申請(專利權)人: | 北京華安普特網絡科技有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 上海精晟知識產權代理有限公司 31253 | 代理人: | 馮子玲 |
| 地址: | 100000 北京市豐臺*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 主機 攻擊監測 過濾模塊 網關服務器 惡意攻擊 監測系統 主機發送 閾值過濾 回傳 預設 監測 辨別 通信過程 網段 轉發 傳遞 | ||
1.ARP攻擊監測系統,其特征在于,包括:同網段的若干網內主機以及為若干所述網內主機轉發ARP報文的網關服務器;
所述網關服務器設置攻擊監測模塊以及異常過濾模塊;所述攻擊監測模塊從ARP報文中獲取源主機IP地址以及MAC地址;所述攻擊監測模塊通過檢索攻擊欺騙表過濾攻擊性主機;所述攻擊監測模塊傳遞經過濾后的ARP報文傳遞至異常過濾模塊;
所述異常過濾模塊通過檢索ARP緩存表統計ARP報文中源主機的惡意攻擊度;所述惡意攻擊度為ARP報文中源主機在閾值時間內重復發送ARP報文的次數;所述異常過濾模塊對比惡意攻擊度與預設的次數閾值過濾出異常主機;
所述異常過濾模塊傳遞異常主機的IP地址以及MAC地址至攻擊監測模塊;所述攻擊監測模塊向異常主機發送監測ARP報文并根據異常主機是否回傳ARP應答包辨別攻擊性主機。
2.根據權利要求1所述的ARP攻擊監測系統,其特征在于,所述攻擊欺騙表內存儲攻擊性主機的IP地址以及MAC地址;所述攻擊監測模塊檢索攻擊欺騙表中是否存在ARP報文中源主機IP地址以及MAC地址;若存在,則所述網關服務器不轉發ARP報文并且將ARP報文中源主機IP地址以及MAC地址存儲到攻擊欺騙表中;若存在,則所述網關服務器轉發ARP報文。
3.根據權利要求1所述的ARP攻擊監測系統,其特征在于,所述ARP緩存表中的主機的IP->MAC記錄超過所述閾值時間時,刪除對應的IP->MAC記錄;所述ARP緩存表中還存儲與主機的IP->MAC記錄標記對應的惡意攻擊度。
4.根據權利要求1所述的ARP攻擊監測系統,其特征在于,所述監測ARP報文為ARP請求包;所述ARP請求包內的源主機IP地址以及MAC地址為異常主機ARP報文內的目的主機IP地址以及MAC地址;所述ARP請求包的內的目的主機IP地址以及MAC地址為異常主機ARP報文內的源主機IP地址以及MAC地址;
若異常主機回傳與所述ARP請求包對應的ARP應答包,則所述網關服務器轉發異常主機的ARP請求報文;
若異常主機沒有回傳所述ARP請求包對應的ARP應答包,則攻擊監測模塊將異常主機的IP地址以及MAC地址存儲到攻擊欺騙表內。
5.如權利要求1-4任意一所述的ARP攻擊監測方法,其特征在于,包括如下過程:
步驟一:所述攻擊監測模塊檢索攻擊欺騙表判斷是否為攻擊性主機;若是,則執行步驟六;若否,則執行步驟二;
步驟二:所述異常過濾模塊通過檢索ARP緩存表中ARP報文的惡意攻擊度;
步驟三:所述異常過濾模塊對比惡意攻擊度對比次數閾值并判斷是否為異常主機;若是,則執行步驟四;若否,則執行步驟七;
步驟四:所述攻擊監測模塊向異常主機發送監測ARP報文并執行步驟五;
步驟五:所述攻擊監測模塊根據異常主機是否回傳ARP應答包辨別攻擊性主機判斷是否為攻擊性主機;若是,則執行步驟六;若否,則執行七;
步驟六:所述攻擊監測模塊將ARP報文內源主機IP地址以及MAC地址存儲到攻擊欺騙表內;
步驟七:網關服務器轉發ARP報文。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京華安普特網絡科技有限公司,未經北京華安普特網絡科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201910171966.4/1.html,轉載請聲明來源鉆瓜專利網。
