[发明专利]一种地址解析协议攻击的处理方法及装置

说明书

技术领域

本发明涉及通信技术领域，具体而言，涉及一种地址解析协议攻击的处理方法及装置。

背景技术

随着信息技术的发展，计算机网络给人们的生活带来了很大的便利，使得信息资源共享，诚然已经成为人们日常生活中不可缺少的一部分，然而，一些不法分子利用一些非法技术手段，在网络中进行欺骗攻击他人，其中ARP攻击就是常见的网络攻击手段。

ARP(Address Resolution Protocol,地址解析协议)是一个位于TCP(Transmission Control Protocol,传输控制协议)/IP(Internet Protocol,网络之间互联的协议)协议栈中的网络层，负责将某个IP地址解析成对应的MAC地址。ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击造成的影响恶劣，影响用户网络环境，造成用户体验度差，现有技术中，在发生ARP攻击时，常常无法及时监控到，进而无法及时进行处理，一旦发生ARP攻击可能会给用户造成严重的后果。

发明内容

有鉴于此，本发明的目的在于提供了一种地址解析协议攻击的处理方法及装置，能够在虚拟网络环境中，及时监控虚拟主机在发生ARP攻击时，确定ARP攻击类型，并根据确定的ARP攻击类型进行处理。

第一方面，本发明实施例提供了一种地址解析协议攻击的处理方法，包括：

监控至少一个虚拟局域网中每个虚拟局域网对应的网络端口，每个虚拟局域网中包括至少一个虚拟主机；

实时获取每个虚拟主机通过所述网络端口发出的地址解析协议ARP数据包，提取所述ARP数据包中的数据链层媒体访问控制MAC地址、源MAC地址以及源IP地址；

根据所述数据链层MAC地址、所述源MAC地址、所述源IP地址，以及预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系，确定ARP攻击类型；

根据确定的所述ARP攻击类型，以及预设的ARP攻击类型与处理指令的映射关系，确定并执行与该ARP攻击类型对应的处理指令。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，所述方法还包括：

监控至少一个虚拟局域网中每个虚拟局域网对应的网络端口发送的ARP数据包个数；

判断所述ARP数据包个数是否超过预设阈值，若是，则确定发生ARP泛洪攻击；

在发生所述ARP泛洪攻击时，向网络管理员发送邮件。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，监控至少一个虚拟局域网中每个虚拟局域网对应的网络端口，包括：

当所述虚拟局域网包括多个时，采用多线程技术同时监控多个所述虚拟局域网各自对应的网络端口。

结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，所述处理指令包括关机指令，根据以下过程确定所述ARP攻击类型：

按照预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系，比较所述ARP协议的源MAC地址与所述源IP地址是否匹配，若否，确定发生ARP欺骗；

所述执行与该ARP攻击类型对应的处理指令，包括：

确定发生ARP欺骗时，根据所述数据链层MAC地址、以及预存的虚拟主机的数据链层MAC地址与网络层IP地址的映射关系，确定与所述数据链层MAC地址对应的网络层IP地址；

根据所述关机指令，关闭与所述网络层IP地址对应的虚拟主机。

结合第一方面，本发明实施例提供了第一方面的第四种可能的实施方式，所述处理指令包括发送邮件指令，根据以下过程确定所述ARP攻击类型：

若所述源MAC地址与所述源IP地址匹配，但是所述数据链层MAC地址与所述源MAC地址不匹配，则确定发生ARP普通攻击；

所述执行与该ARP攻击类型对应的处理指令，包括：

根据所述发送邮件指令，向网络管理员的邮箱发送邮件。

第二方面，本发明实施例提供了一种地址解析协议攻击的处理装置，包括：

监控模块，用于监控至少一个虚拟局域网中每个虚拟局域网对应的网络端口，每个虚拟局域网中包括至少一个虚拟主机；