针对ARP欺骗的多级检测和防御方法

摘要

本发明公开了一种针对ARP欺骗的多级检测和防御方法，包括：初始化步骤：初始化ARP缓存表中主机的MAC地址的可信度；并向每个MAC地址以冗余模式发送数据包；检测步骤：对MAC地址执行至少两次基于MAC地址的可信度的伪造检测，以确定MAC地址是否为伪造的MAC地址；防御步骤：停止向伪造的MAC地址发送所述数据包。其中，采用冗余模式发送数据包，使得在对MAC地址就行检测的过程中能确保主机数据流的通畅。另外，在判断MAC地址是否为伪造的MAC地址的过程中，对MAC地址执行两次或两次以上的伪造检测，该伪造检测的次数、种类和顺序可以任意组合，因此，相比于单次伪造检测，可以提高检测的准确度。

主权项

一种针对ARP 欺骗的多级检测和防御方法，其特征在于，包括：初始化步骤：初始化网关和/或主机的ARP 缓存表中主机的MAC 地址的可信度；并向每个所述MAC 地址以冗余模式发送数据包；检测步骤：对所述MAC 地址执行至少两次基于所述MAC 地址的可信度的伪造检测，以确定所述MAC 地址是否为伪造的MAC 地址；所述伪造检测包括TCP 数据包检测、ping 请求数据包检测、已知服务端口检测或ARP 广播检测；所述TCP数据包检测包括步骤：判断从所述MAC 地址接收的TCP 数据包是否携带有回应包，如果有，则所述MAC 地址的可信度递增1 ；否则，所述MAC 地址的可信度保持不变；将所述MAC 地址的可信度与可信度阈值进行比较，如果其中一个所述MAC 地址的可信度大于所述可信度阈值，则将全部所述MAC 地址的可信度减半以获得新的可信度；否则继续判断从所述MAC 地址接收的TCP 数据包是否携带有回应包；判断所述MAC 地址的新的可信度是否为零值，如果是，则确定为伪造的MAC 地址；所述ping 请求数据包检测包括步骤：发送绑定MAC 地址的ping 请求数据包；如果接收到所述绑定的MAC 地址的回应，则所述MAC 地址的可信度保持不变；否则所述MAC 地址的可信度减半以获得新的可信度；判断所述MAC 地址的新的可信度是否为零值，如果是，则确定为伪造的MAC 地址；所述已知服务端口检测包括步骤：发送绑定MAC 地址的TCP 连接握手数据包；如果接收到所述绑定的MAC 地址的回应，则所述MAC 地址的可信度保持不变；否则所述MAC 地址的可信度减半以获得新的可信度；判断所述MAC 地址的新的可信度是否为零值，如果是，则确定为伪造的MAC 地址；所述ARP广播检测包括步骤：累计所述MAC 地址发送ARP 广播的次数；将累计的次数与次数阈值进行比较，如果大于所述次数阈值，则所述MAC 地址的可信度减半以获得新的可信度；否则所述MAC 地址的可信度保持不变；判断所述MAC 地址的新的可信度是否为零值，如果是，则确定为伪造的MAC 地址；防御步骤：停止向所述伪造的MAC 地址发送所述数据包。2. 根据权利要求1 所述的针对ARP 欺骗的多级检测和防御方法，其特征在于，在所述初始化步骤包括将全部所述MAC 地址的可信度设置为非零值以信任全部所述MAC 地址。3. 根据权利要求1 所述的针对ARP 欺骗的多级检测和防御方法，其特征在于，所述伪造检测还包括ARP请求数据包检测，所述ARP请求数据包检测包括步骤：向所述MAC 地址发送ARP 请求数据包，如果没有收到所述MAC 地址针对所述ARP 请求数据包的回应，则设置该MAC 地址的可信度为零值以确定为伪造的MAC 地址；否则，所述MAC地址的可信度保持不变。4. 根据权利要求1～3任一项所述的针对ARP 欺骗的多级检测和防御方法，其特征在于，所述防御步骤包括：判断是否有从所述伪造的MAC 地址接收绑定所述伪造的MAC 地址的TCP 数据包，并判断所述TCP 数据包是否携带有回应包；如果有，则所述伪造的MAC 地址的可信度递增1 ；否则所述伪造的MAC 地址的可信度保持不变；间隔地向所述伪造的MAC 地址发送ARP 请求数据包，如果接收到针对所述ARP 请求数据包的回应，则所述伪造的MAC 地址的可信度递增1 ；否则所述伪造的MAC 地址的可信度保持不变；当所述伪造的MAC 地址的可信度为零值的时间超过预设时间时，删除所述伪造的MAC地址；当所述伪造的MAC 地址的可信度为非零值时，重新开始向所述MAC 发送冗余数据包。5. 根据权利要求1～3任一项所述的针对ARP 欺骗的多级检测和防御方法，其特征在于，所述防御步骤包括：如果只有一个MAC 地址的可信度为非零值，则直接向可信度为非零值的所述MAC 地址发送数据包。