[发明专利]防范利用ARP进行网络攻击的方法、客户端、服务器及系统

权利要求书

1.一种防范利用ARP进行网络攻击的方法，应用于用户本地主机上，与网络中的服务器配合防范ARP攻击，其特征在于，包括以下步骤：

A1-1、向服务器发起获取网关地址列表的请求，所述网关地址列表用于记录网关IP地址和对应的MAC地址；

A1-2、收到服务器响应的网关地址列表后，对所述网关地址列表加以保存；

A1-3、使用所述网关地址列表，更新本地主机的ARP缓存。

2.根据权利要求1所述的防范利用ARP进行网络攻击的方法，其特征在于，所述更新本地主机的ARP缓存为周期性更新用户主机的ARP缓存。

3.根据权利要求1或2所述的防范利用ARP进行网络攻击的方法，其特征在于，还包括：

C1-1、获取本地主机的IP地址和MAC地址；

C1-2、将本地主机的IP地址和MAC地址发送给服务器，供服务器进行相应IP地址和MAC地址的网关固化操作。

4.根据权利要求1或2所述的防范利用ARP进行网络攻击的方法，其特征在于，还包括：

D1-1、监控本地主机的ARP流量；

D1-2、当超过预设的流量阈值时，向服务器进行报警；

D1-3、根据服务器对报警的响应，对本地主机进行相应处理。

5.根据权利要求4所述的防范利用ARP进行网络攻击的方法，其特征在于，所述对本地主机进行相应处理包括：

当监控本地主机的ARP流量超过预设的第一流量阈值时，对本地主机报警；

当监控本地主机的ARP流量超过预设的第二流量阈值时，断开本地主机的网络连接；

其中，监控本地主机的ARP流量为监控本地主机的二层广播报文数。

6.根据权利要求1或2所述的防范利用ARP进行网络攻击的方法，其特征在于，步骤A1-1中所述向服务器发起获取网关地址列表的请求包括向服务器发起网关地址列表请求或身份认证请求。

7.根据权利要求1或2所述的防范利用ARP进行网络攻击的方法，其特征在于，所述步骤A1-3包括：

A1-3-1、获取本地主机内网网关IP；

A1-3-2、检查所述网关地址列表中是否存在与所述内网网关IP匹配的列表项；

A1-3-3、是则，使用所述匹配的列表项更新本地主机的ARP缓存；否则，重新执行步骤A1-1或步骤A1-3-1或向服务器报警。

8.一种防范利用ARP进行网络攻击的方法，应用于服务器上，与网络中的用户主机配合防范ARP攻击，其特征在于，包括以下步骤：

A2-1、在服务器预设的网关地址列表中记录网关IP地址和对应的MAC地址；

A2-2、当接收到用户主机获取网关地址列表的请求时，将所述预设的网关地址列表下发给用户主机，供其进行ARP缓存的更新。

9.根据权利要求8所述的防范利用ARP进行网络攻击的方法，其特征在于，所述接收到用户主机获取网关地址列表的请求包括接收到网关地址列表请求或身份认证请求；对于接收到身份认证请求的情况，步骤A2-2包括：

A2-2-1、接收到用户主机的身份认证请求；

A2-2-2、对所述用户主机进行认证；

A2-2-3、认证通过，将预设的网关地址列表下发给用户主机，供其进行ARP缓存的更新；

A2-2-4、认证不通过，拒绝下发预设的网关地址列表。

10.根据权利要求9所述的防范利用ARP进行网络攻击的方法，其特征在于，还包括：

C2-1、接收到所述用户主机的IP地址和MAC地址；

C2-2、检查所述用户主机是否通过认证，是则执行步骤C2-3，否则丢弃所述IP地址和MAC地址；

C2-3、将所述IP地址和MAC地址同步给所述网关地址列表上的网关，指令所述网关在ARP缓存中固化所述IP地址和MAC地址。

11.根据权利要求8或9所述的防范利用ARP进行网络攻击的方法，其特征在于，还包括：

D2-1、向用户主机下发流量异常监控项，供所述用户主机进行ARP流量的监控；

D2-2、当收到所述用户主机的超过预设流量阈值的报警时，定位异常主机；

D2-3、向所述异常主机下发处理指令，供其进行相应处理。