[发明专利]一种ARP欺骗的防御方法、系统及装置

权利要求书

1.一种ARP欺骗的防御方法，其特征在于，包括：

检测到ARP欺骗报文时，从合法IPMAC信息表查找报文的源IP对应的MAC，将所述源IP与查找到的对应MAC静态绑定，并将该绑定关系加入自动绑定列表；

当超过第一规定时长未再次检测到ARP欺骗报文，遍历所述自动绑定列表中的每个IP，若该IP不是网关IP且该IP已开启自动绑定，同时该IP不存在于手动绑定列表，则将该IP从ARP缓存表中删除。

2.根据权利要求1所述ARP欺骗的防御方法，其特征在于，所述检测ARP欺骗报文，包括：根据收到的ARP应答报文的源IP，查询IPMAC记录表是否存在该源IP的信息；

若不存在，则将该应答报文的源IP与源MAC映射关系加入所述IP/MAC记录表；

若已存在，则当所述应答报文中的源MAC与所述IP/MAC记录表中的源MAC不一致的次数超过规定次数时，认为发生ARP欺骗，并且若该源IP为网关IP则认为发生网关欺骗。

3.根据权利要求1所述ARP欺骗的防御方法，其特征在于，该方法还包括检测网关欺骗：

每隔第一周期，向同一网段内的所有IP发送ARP请求，并记录请求发起时间；

收到ARP应答报文时，将应答报文中源IP与源MAC的映射关系添加到IP/MAC记录表，并记录接收时间；

每隔第二周期，若判断IP/MAC记录表中接收时间距离发起时间超过规定时长的映射关系数量超过规定阈值，则认为受到网关欺骗。

4.根据权利要求3所述ARP欺骗的防御方法，其特征在于，所述规定时长为整数倍的第一周期。

5.根据权利要求3所述ARP欺骗的防御方法，其特征在于，所述第一周期包括20s；所述第二周期包括30s；所述接收时间距离发起时间超过规定时长包括超过40s；所述接收时间距离发起时间超过规定时长的映射关系数量超过规定阈值包括，超过所述规定时长的映射关系数量在IP/MAC记录表中的占比超过30%。

6.根据权利要求1所述的ARP欺骗防御方法，其特征在于，所述合法IPMAC信息表，由受控主机每次接入网络时上报得到，或者在受控主机安装客户端后定时主动更新得到，或定时向网络内的所有可靠受控主机发送ARP请求得到。

7.一种ARP欺骗防御系统，其特征在于，包括：

报文发送模块，用于向主机发送ARP请求报文，请求报文内容包括向目标端IP获取对应的MAC；

报文接收模块，用于接收主机发送的ARP应答报文，应答报文内容包括发送端源IP、源MAC；

报文检测模块，用于对接受到的ARP应答报文进行检测，以确定是否受到ARP欺骗或网关欺骗；

报文处理模块，用于对检测到的ARP欺骗报文进行防御处理；

存储模块，用于存储合法IPMAC信息表、IP/MAC记录表、自动绑定列表、手动绑定列表、ARP缓存表。

8.根据权利要求7所述的ARP欺骗防御系统，其特征在于，所述报文处理模块，检测到ARP欺骗报文时，从合法IPMAC信息表查找报文的源IP对应的MAC，将所述源IP与查找到的对应MAC静态绑定，并将该绑定关系加入自动绑定列表；

当超过第一规定时长未再次检测到ARP欺骗报文，遍历所述自动绑定列表中的每个IP，若该IP不是网关IP且该IP已开启自动绑定，同时该IP不存在于手动绑定列表，则将该IP从ARP缓存表中删除。