[发明专利]一种检测并解决局域网攻击的方法及系统

权利要求书

1.一种检测并解决局域网攻击的方法，其特征在于，包括以下步骤：

服务器通过抓包工具截取到制造大量报文的客户端的MAC地址，将客户端的MAC地址作为目的MAC，以及将本服务器的MAC地址作为源MAC写入通知报文并发送至局域网；

客户端收到服务器发送的通知报文后进行解析，如果报文中的目的MAC跟本机MAC匹配成功，则弹出警告框，提示客户端使用者停止发送垃圾报文，并组装回应报文返回给服务器；

交换机收到服务器发送的通知报文后，将本交换机的信息添加后组成回溯报文，并在接收端口回发；将通知报文通过MAC地址表转发出去，并在转发端口产生一个定时器，在所述定时器超时时，如果没有收到与转发端口相连的交换机返回的回溯报文，则关闭此转发端口。

2.根据权利要求1所述的检测并解决局域网攻击的方法，其特征在于，所述方法还包括以下步骤：交换机收到客户端的回应报文后，如果在回应报文中没有发现交换机信息，则将本交换机的信息添加后重组回应报文，再根据MAC地址表转发经重组后的回应报文。

3.根据权利要求1所述的检测并解决局域网攻击的方法，其特征在于，交换机将通知报文通过MAC地址表转发出去，包括以下步骤：交换机识别通知报文的源MAC和目的MAC，并根据MAC地址表查找并记录通知报文的源MAC对应的接收端口和目的MAC对应的转发端口，并将通知报文的TTL值减1后，根据MAC地址表将通知报文从转发端口转发出去。

4.根据权利要求3所述的检测并解决局域网攻击的方法，其特征在于，所述方法还包括以下步骤：如果所述交换机在所述定时器超时之前，收到与转发端口相连交换机返回的回溯报文，则关闭转发端口的定时器。

5.根据权利要求1至4中任一项所述的检测并解决局域网攻击的方法，其特征在于，所述通知报文、回应报文和回溯报文，均包括以下信息：表示客户端的MAC地址的目的MAC、表示服务器的MAC地址的源MAC、协议类型、长度、数据、TTL以及FCS，所述TTL为生存时间，所述FCS为校验，所述数据包括用于区分服务器的通知报文、客户端的回应报文和交换机的回溯报文的标记。

6.根据权利要求5所述的检测并解决局域网攻击的方法，其特征在于，所述通知报文的数据还包括：服务器信息和服务器MAC地址，所述回溯报文的数据包括对应的通知报文的数据，并增加交换机信息以及交换机接收通知报文的端口信息。

7.根据权利要求5所述的检测并解决局域网攻击的方法，其特征在于，所述回应报文的数据还包括：客户端信息和客户端MAC地址；所述经重组后的回应报文的数据还包括：交换机信息以及交换机接收回应报文端口信息。

8.一种检测并解决局域网攻击的系统，其特征在于，包括：

服务器模块，用于通过抓包工具截取到制造大量报文的客户端的MAC地址，将客户端的MAC地址作为目的MAC，以及将本服务器的MAC地址作为源MAC写入通知报文并发送至局域网；

客户端模块，用于在收到服务器发送的通知报文后进行解析，如果报文中的目的MAC跟本机MAC匹配成功，则弹出警告框，提示客户端使用者停止发送垃圾报文，并组装回应报文返回给服务器；

交换机模块，用于在收到服务器发送的通知报文后，将本交换机的信息添加后组成回溯报文，并在接收端口回发；还用于将通知报文通过MAC地址表转发出去，并在转发端口产生一个定时器，在所述定时器超时时，如果没有收到与转发端口相连的交换机返回的回溯报文，则关闭此转发端口。

9.根据权利要求8所述的检测并解决局域网攻击的系统，其特征在于，所述交换机模块还用于，在收到客户端的回应报文后，如果在回应报文中没有发现交换机信息，则将本交换机的信息添加后重组回应报文，再根据MAC地址表转发经重组后的回应报文。

10.根据权利要求8或9所述的检测并解决局域网攻击的系统，其特征在于，所述交换机模块还用于，在接收到通知报文后，识别通知报文的源MAC和目的MAC，并根据MAC地址表查找并记录通知报文的源MAC对应的接收端口和目的MAC对应的转发端口，并将通知报文的TTL值减1后，根据MAC地址表将通知报文从转发端口转发出去；所述交换机模块还用于，当所述交换机在所述定时器超时之前收到与转发端口相连交换机返回的回溯报文时，关闭转发端口的定时器。