本發明公開了ARP攻擊監測系統及方法，涉及ARP攻擊監測技術領域。本發明包括同網段的若干網內主機以及為若干網內主機轉發ARP報文的網關服務器；網關服務器設置攻擊監測模塊以及異常過濾模塊；所述異常過濾模塊對比惡意攻擊度與預設的次數閾值過濾出異常主機；異常過濾模塊傳遞異常主機的IP地址以及MAC地址至攻擊監測模塊；攻擊監測模塊向異常主機發送監測ARP報文并根據異常主機是否回傳ARP應答包辨別攻擊性主機。本發明通過異常過濾模塊對比惡意攻擊度與預設的次數閾值過濾出異常主機；并通過攻擊監測模塊向異常主機發送監測ARP報文并根據異常主機是否回傳ARP應答包辨別攻擊性主機，提高了ARP通信過程中安全性。

技術領域

本發明屬于ARP攻擊監測技術領域，特別是涉及一種ARP攻擊監測系統及方法。

背景技術

ARP(Address Resolution Protocol，地址解析協議)用來獲取待通信目標設備的MAC(Media Access Control，媒體訪問控制)地址。而針對ARP協議缺乏安全防護措施的不足，也存在著不同類型的ARP攻擊，威脅著用戶設備以及網絡環境的安全。

目前，ARP攻擊主要包括ARP欺騙攻擊和ARP泛洪攻擊。其中，ARP欺騙攻擊下，攻擊設備不僅可以通過偽造源MAC地址，發送虛假的ARP應答報文來欺騙請求設備；還可以通過發送虛假的ARP請求報文，來使網絡中的各個設備學習到錯誤的ARP表項，擾亂網絡的正常通信。而在ARP泛洪攻擊下，攻擊設備則可通過發送大量的虛假ARP請求報文，來占用網絡帶寬和各個設備的處理器資源，并同時使得各個設備過度學習ARP表項，導致ARP表項溢出，從而無法學習到正常的ARP表項，其中，虛假ARP請求報文中的源IP地址和/或源MAC地址為偽造地址。

本發明致力于發明一種ARP攻擊監測系統及方法，用于解決現有的ARP通信過程中安全性低且攻擊性欺騙報文不易檢測的問題。

發明內容

本發明的目的在于提供ARP攻擊監測系統及方法，通過異常過濾模塊對比惡意攻擊度與預設的次數閾值過濾出異常主機；并通過攻擊監測模塊向異常主機發送監測ARP報文并根據異常主機是否回傳ARP應答包辨別攻擊性主機，方便快捷的監測出攻擊性主機，實現了ARP報文的安全檢測，解決了現有的ARP通信過程中安全性低且攻擊性欺騙報文不易檢測的問題。

為解決上述技術問題，本發明是通過以下技術方案實現的：

本發明為ARP攻擊監測系統，包括：同網段的若干網內主機以及為若干所述網內主機轉發ARP報文的網關服務器；

所述網關服務器設置攻擊監測模塊以及異常過濾模塊；所述攻擊監測模塊從ARP報文中獲取源主機IP地址以及MAC地址；所述攻擊監測模塊通過檢索攻擊欺騙表過濾攻擊性主機；所述攻擊監測模塊傳遞經過濾后的ARP報文傳遞至異常過濾模塊；

所述異常過濾模塊通過檢索ARP緩存表統計ARP報文中源主機的惡意攻擊度；所述惡意攻擊度為ARP報文中源主機在閾值時間內重復發送ARP報文的次數；所述異常過濾模塊對比惡意攻擊度與預設的次數閾值過濾出異常主機；

所述異常過濾模塊傳遞異常主機的IP地址以及MAC地址至攻擊監測模塊；所述攻擊監測模塊向異常主機發送監測ARP報文并根據異常主機是否回傳ARP應答包辨別攻擊性主機。

優選地，所述攻擊欺騙表內存儲攻擊性主機的IP地址以及MAC地址；所述攻擊監測模塊檢索攻擊欺騙表中是否存在ARP報文中源主機IP地址以及MAC地址；若存在，則所述網關服務器不轉發ARP報文并且將ARP報文中源主機IP地址以及MAC地址存儲到攻擊欺騙表中；若存在，則所述網關服務器轉發ARP報文。

優選地，所述ARP緩存表中的主機的IP->MAC記錄超過所述閾值時間時，刪除對應的IP->MAC記錄；所述ARP緩存表中還存儲與主機的IP->MAC記錄標記對應的惡意攻擊度。