本發(fā)明涉及通信技術(shù)領(lǐng)域，具體而言，涉及一種地址解析協(xié)議攻擊的處理方法及裝置。

背景技術(shù)：

隨著信息技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)給人們的生活帶來了很大的便利，使得信息資源共享，誠(chéng)然已經(jīng)成為人們?nèi)粘Ｉ钪胁豢扇鄙俚囊徊糠?，然而，一些不法分子利用一些非法技術(shù)手段，在網(wǎng)絡(luò)中進(jìn)行欺騙攻擊他人，其中arp攻擊就是常見的網(wǎng)絡(luò)攻擊手段。

arp(addressresolutionprotocol,地址解析協(xié)議)是一個(gè)位于tcp(transmissioncontrolprotocol,傳輸控制協(xié)議)/ip(internetprotocol,網(wǎng)絡(luò)之間互聯(lián)的協(xié)議)協(xié)議棧中的網(wǎng)絡(luò)層，負(fù)責(zé)將某個(gè)ip地址解析成對(duì)應(yīng)的mac地址。arp攻擊就是通過偽造ip地址和mac地址實(shí)現(xiàn)arp欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的arp通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的arp響應(yīng)包就能更改目標(biāo)主機(jī)arp緩存中的ip-mac條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。

arp攻擊造成的影響惡劣，影響用戶網(wǎng)絡(luò)環(huán)境，造成用戶體驗(yàn)度差，現(xiàn)有技術(shù)中，在發(fā)生arp攻擊時(shí)，常常無法及時(shí)監(jiān)控到，進(jìn)而無法及時(shí)進(jìn)行處理，一旦發(fā)生arp攻擊可能會(huì)給用戶造成嚴(yán)重的后果。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本發(fā)明的目的在于提供了一種地址解析協(xié)議攻擊的處理方法及裝置，能夠在虛擬網(wǎng)絡(luò)環(huán)境中，及時(shí)監(jiān)控虛擬主機(jī)在發(fā)生arp攻擊時(shí)，確定arp攻擊類型，并根據(jù)確定的arp攻擊類型進(jìn)行處理。

第一方面，本發(fā)明實(shí)施例提供了一種地址解析協(xié)議攻擊的處理方法，包括：

監(jiān)控至少一個(gè)虛擬局域網(wǎng)中每個(gè)虛擬局域網(wǎng)對(duì)應(yīng)的網(wǎng)絡(luò)端口，每個(gè)虛擬局域網(wǎng)中包括至少一個(gè)虛擬主機(jī)；

實(shí)時(shí)獲取每個(gè)虛擬主機(jī)通過所述網(wǎng)絡(luò)端口發(fā)出的地址解析協(xié)議arp數(shù)據(jù)包，提取所述arp數(shù)據(jù)包中的數(shù)據(jù)鏈層媒體訪問控制mac地址、源mac地址以及源ip地址；

根據(jù)所述數(shù)據(jù)鏈層mac地址、所述源mac地址、所述源ip地址，以及預(yù)存的虛擬主機(jī)的數(shù)據(jù)鏈層mac地址與網(wǎng)絡(luò)層ip地址的映射關(guān)系，確定arp攻擊類型；

根據(jù)確定的所述arp攻擊類型，以及預(yù)設(shè)的arp攻擊類型與處理指令的映射關(guān)系，確定并執(zhí)行與該arp攻擊類型對(duì)應(yīng)的處理指令。

結(jié)合第一方面，本發(fā)明實(shí)施例提供了第一方面的第一種可能的實(shí)施方式，所述方法還包括：

監(jiān)控至少一個(gè)虛擬局域網(wǎng)中每個(gè)虛擬局域網(wǎng)對(duì)應(yīng)的網(wǎng)絡(luò)端口發(fā)送的arp數(shù)據(jù)包個(gè)數(shù)；

判斷所述arp數(shù)據(jù)包個(gè)數(shù)是否超過預(yù)設(shè)閾值，若是，則確定發(fā)生arp泛洪攻擊；

在發(fā)生所述arp泛洪攻擊時(shí)，向網(wǎng)絡(luò)管理員發(fā)送郵件。

結(jié)合第一方面，本發(fā)明實(shí)施例提供了第一方面的第二種可能的實(shí)施方式，監(jiān)控至少一個(gè)虛擬局域網(wǎng)中每個(gè)虛擬局域網(wǎng)對(duì)應(yīng)的網(wǎng)絡(luò)端口，包括：

當(dāng)所述虛擬局域網(wǎng)包括多個(gè)時(shí)，采用多線程技術(shù)同時(shí)監(jiān)控多個(gè)所述虛擬局域網(wǎng)各自對(duì)應(yīng)的網(wǎng)絡(luò)端口。

結(jié)合第一方面，本發(fā)明實(shí)施例提供了第一方面的第三種可能的實(shí)施方式，所述處理指令包括關(guān)機(jī)指令，根據(jù)以下過程確定所述arp攻擊類型：

按照預(yù)存的虛擬主機(jī)的數(shù)據(jù)鏈層mac地址與網(wǎng)絡(luò)層ip地址的映射關(guān)系，比較所述arp協(xié)議的源mac地址與所述源ip地址是否匹配，若否，確定發(fā)生arp欺騙；

所述執(zhí)行與該arp攻擊類型對(duì)應(yīng)的處理指令，包括：

確定發(fā)生arp欺騙時(shí)，根據(jù)所述數(shù)據(jù)鏈層mac地址、以及預(yù)存的虛擬主機(jī)的數(shù)據(jù)鏈層mac地址與網(wǎng)絡(luò)層ip地址的映射關(guān)系，確定與所述數(shù)據(jù)鏈層mac地址對(duì)應(yīng)的網(wǎng)絡(luò)層ip地址；

根據(jù)所述關(guān)機(jī)指令，關(guān)閉與所述網(wǎng)絡(luò)層ip地址對(duì)應(yīng)的虛擬主機(jī)。

結(jié)合第一方面，本發(fā)明實(shí)施例提供了第一方面的第四種可能的實(shí)施方式，所述處理指令包括發(fā)送郵件指令，根據(jù)以下過程確定所述arp攻擊類型：

若所述源mac地址與所述源ip地址匹配，但是所述數(shù)據(jù)鏈層mac地址與所述源mac地址不匹配，則確定發(fā)生arp普通攻擊；

所述執(zhí)行與該arp攻擊類型對(duì)應(yīng)的處理指令，包括：

根據(jù)所述發(fā)送郵件指令，向網(wǎng)絡(luò)管理員的郵箱發(fā)送郵件。

第二方面，本發(fā)明實(shí)施例提供了一種地址解析協(xié)議攻擊的處理裝置，包括：

監(jiān)控模塊，用于監(jiān)控至少一個(gè)虛擬局域網(wǎng)中每個(gè)虛擬局域網(wǎng)對(duì)應(yīng)的網(wǎng)絡(luò)端口，每個(gè)虛擬局域網(wǎng)中包括至少一個(gè)虛擬主機(jī)；

提取模塊，用于實(shí)時(shí)獲取每個(gè)虛擬主機(jī)通過所述網(wǎng)絡(luò)端口發(fā)出的地址解析協(xié)議arp數(shù)據(jù)包，提取所述arp數(shù)據(jù)包中的數(shù)據(jù)鏈層媒體訪問控制mac地址、源mac地址以及源ip地址；

確定模塊，用于根據(jù)所述數(shù)據(jù)鏈層mac地址、所述源mac地址、所述源ip地址，以及預(yù)存的虛擬主機(jī)的數(shù)據(jù)鏈層mac地址與網(wǎng)絡(luò)層ip地址的映射關(guān)系，確定arp攻擊類型；

執(zhí)行模塊，用于根據(jù)確定的所述arp攻擊類型，以及預(yù)設(shè)的arp攻擊類型與處理指令的映射關(guān)系，確定并執(zhí)行與該arp攻擊類型對(duì)應(yīng)的處理指令。

結(jié)合第二方面，本發(fā)明實(shí)施例提供了第二方面的第一種可能的實(shí)施方式，

所述監(jiān)控模塊，還用于監(jiān)控至少一個(gè)虛擬局域網(wǎng)中每個(gè)虛擬局域網(wǎng)對(duì)應(yīng)的網(wǎng)絡(luò)端口發(fā)送的arp數(shù)據(jù)包個(gè)數(shù)；

所述確定模塊，還用于判斷所述arp數(shù)據(jù)包個(gè)數(shù)是否超過預(yù)設(shè)閾值，若是，則確定發(fā)生arp泛洪攻擊；

所述執(zhí)行模塊，還用于在發(fā)生所述arp泛洪攻擊時(shí)，向網(wǎng)絡(luò)管理員發(fā)送郵件。

結(jié)合第二方面，本發(fā)明實(shí)施例提供了第二方面的第二種可能的實(shí)施方式，

所述監(jiān)控模塊，具體用于當(dāng)所述虛擬局域網(wǎng)包括多個(gè)時(shí)，采用多線程技術(shù)同時(shí)監(jiān)控多個(gè)所述虛擬局域網(wǎng)各自對(duì)應(yīng)的網(wǎng)絡(luò)端口。

結(jié)合第二方面，本發(fā)明實(shí)施例提供第二方面的第三種可能的實(shí)施方式，所述處理指令包括關(guān)機(jī)指令，

所述確定模塊，具體用于按照預(yù)存的每一個(gè)虛擬主機(jī)的數(shù)據(jù)鏈層mac地址與網(wǎng)絡(luò)層ip地址的映射關(guān)系庫，比較所述arp協(xié)議的源mac地址與所述源ip地址是否匹配，若否，確定發(fā)生arp欺騙；

所述執(zhí)行模塊，具體用于確定發(fā)生arp欺騙時(shí)，根據(jù)所述數(shù)據(jù)鏈層mac地址、以及預(yù)存的虛擬主機(jī)的數(shù)據(jù)鏈層mac地址與網(wǎng)絡(luò)層ip地址的映射關(guān)系，確定與所述數(shù)據(jù)鏈層mac地址對(duì)應(yīng)的網(wǎng)絡(luò)層ip地址；根據(jù)所述關(guān)機(jī)指令，關(guān)閉與所述網(wǎng)絡(luò)層ip地址對(duì)應(yīng)的虛擬主機(jī)。

結(jié)合第二方面，本發(fā)明實(shí)施例提供了第二方面的第四種可能的實(shí)施方式，所述處理指令包括發(fā)送郵件指令，

所述確定模塊，具體用于若arp協(xié)議中的源mac地址與所述源ip地址匹配，但是所述數(shù)據(jù)鏈層mac地址與所述源mac地址不匹配，則確定發(fā)生arp普通攻擊；

所述執(zhí)行模塊，具體用于根據(jù)所述發(fā)送郵件指令，向網(wǎng)絡(luò)管理員的郵箱發(fā)送郵件。

本發(fā)明實(shí)施例提供的一種地址解析協(xié)議攻擊的處理方法及裝置，與現(xiàn)有技術(shù)中相比，其通過監(jiān)控至少一個(gè)虛擬局域網(wǎng)中每個(gè)虛擬局域網(wǎng)對(duì)應(yīng)的網(wǎng)絡(luò)端口，獲取該虛擬局域網(wǎng)中每個(gè)虛擬主機(jī)發(fā)出的arp數(shù)據(jù)包，提取該arp數(shù)據(jù)包中的數(shù)據(jù)鏈層mac地址、源mac地址以及源ip地址，并根據(jù)數(shù)據(jù)鏈層mac地址、源mac地址以及源ip地址，以及預(yù)存的虛擬主機(jī)的數(shù)據(jù)鏈層mac地址與網(wǎng)絡(luò)層ip地址的映射關(guān)系確定arp攻擊類型，并能夠根據(jù)arp攻擊類型，選擇對(duì)應(yīng)的處理方法，以便在發(fā)生arp攻擊時(shí)，能夠及時(shí)發(fā)現(xiàn)并處理，而不是當(dāng)發(fā)現(xiàn)多個(gè)虛擬主機(jī)發(fā)生問題后，再去尋找問題，然后再解決，大大縮短了從發(fā)現(xiàn)arp攻擊到進(jìn)行解決的時(shí)間。

為使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能更明顯易懂，下文特舉較佳實(shí)施例，并配合所附附圖，作詳細(xì)說明如下。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例的技術(shù)方案，下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹，應(yīng)當(dāng)理解，以下附圖僅示出了本發(fā)明的某些實(shí)施例，因此不應(yīng)被看作是對(duì)范圍的限定，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他相關(guān)的附圖。

圖1示出了本發(fā)明實(shí)施例所提供的一種地址解析協(xié)議攻擊的處理方法流程圖；

圖2示出了本發(fā)明實(shí)施例所提供的另一種地址解析協(xié)議攻擊的處理方法流程圖；

圖3示出了本發(fā)明實(shí)施例所提供的一種地址解析協(xié)議攻擊的處理方法的具體實(shí)施例流程圖；

圖4示出了本發(fā)明實(shí)施例所提供的一種地址解析協(xié)議攻擊的處理裝置結(jié)構(gòu)示意圖。

圖標(biāo)：401-監(jiān)控模塊；402-提取模塊；403-確定模塊；404-執(zhí)行模塊。

具體實(shí)施方式

為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合本發(fā)明實(shí)施例中附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例。通常在此處附圖中描述和示出的本發(fā)明實(shí)施例的組件可以以各種不同的配置來布置和設(shè)計(jì)。因此，以下對(duì)在附圖中提供的本發(fā)明的實(shí)施例的詳細(xì)描述并非旨在限制要求保護(hù)的本發(fā)明的范圍，而是僅僅表示本發(fā)明的選定實(shí)施例?；诒景l(fā)明的實(shí)施例，本領(lǐng)域技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)的前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

實(shí)施例1

本發(fā)明實(shí)施例1提供了一種地址解析攻擊的處理方法，其流程如圖1所示，步驟如下所示：

s100，監(jiān)控至少一個(gè)虛擬局域網(wǎng)中每個(gè)虛擬局域網(wǎng)對(duì)應(yīng)的網(wǎng)絡(luò)端口，每個(gè)虛擬局域網(wǎng)中包括至少一個(gè)虛擬主機(jī)。

一種較佳的實(shí)施方式，在本發(fā)明實(shí)施例1提出的技術(shù)方案中，當(dāng)虛擬局域網(wǎng)包括多個(gè)時(shí)，采用多線程技術(shù)同時(shí)監(jiān)控多個(gè)虛擬局域網(wǎng)各自對(duì)應(yīng)的網(wǎng)絡(luò)端口。

其中，多線程技術(shù)是指能夠同時(shí)監(jiān)控多個(gè)待監(jiān)控的網(wǎng)絡(luò)端口，現(xiàn)有技術(shù)中，一般只有單接口的監(jiān)控，本發(fā)明采用多線程技術(shù)同時(shí)監(jiān)控多個(gè)虛擬局域網(wǎng)各自的網(wǎng)絡(luò)端口，加快了處理速度。

s110，實(shí)時(shí)獲取每個(gè)虛擬主機(jī)通過網(wǎng)絡(luò)端口發(fā)出的地址解析協(xié)議arp數(shù)據(jù)包，提取arp數(shù)據(jù)包中的數(shù)據(jù)鏈層媒體訪問控制mac地址、源mac地址以及源ip地址。

步驟s110其實(shí)就是對(duì)各個(gè)虛擬局域網(wǎng)的網(wǎng)絡(luò)端口發(fā)出的arp數(shù)據(jù)包進(jìn)行抓包處理，然后抓包后解析該arp數(shù)據(jù)包，獲得arp數(shù)據(jù)包中的數(shù)據(jù)鏈層mac地址、源mac地址以及源ip地址。其中，數(shù)據(jù)鏈層mac地址是監(jiān)控到的虛擬主機(jī)對(duì)應(yīng)的真實(shí)mac地址，源mac地址以及源ip地址則是arp協(xié)議層中的地址，且源mac地址以及源ip地址均可以造假。

s120，根據(jù)數(shù)據(jù)鏈層mac地址、源mac地址、源ip地址，以及預(yù)存的虛擬主機(jī)的數(shù)據(jù)鏈層mac地址與網(wǎng)絡(luò)層ip地址的映射關(guān)系，確定arp攻擊類型。

其中，arp攻擊類型包括arp欺騙和普通欺騙。

s130，根據(jù)確定的arp攻擊類型，以及預(yù)設(shè)的arp攻擊類型與處理指令的映射關(guān)系，確定并執(zhí)行與該arp攻擊類型對(duì)應(yīng)的處理指令。

一種較佳的實(shí)施方式，在本發(fā)明實(shí)施例1提出的技術(shù)方案中，其中，步驟s130中的處理指令包括關(guān)機(jī)指令，在步驟s120中具體可以根據(jù)以下過程確定arp攻擊類型：

按照預(yù)存的虛擬主機(jī)的數(shù)據(jù)鏈層mac地址與網(wǎng)絡(luò)層ip地址的映射關(guān)系，比較arp協(xié)議的源mac地址與源ip地址是否匹配，若否，確定發(fā)生arp欺騙。

在步驟s120中，預(yù)存的虛擬主機(jī)的數(shù)據(jù)鏈層mac地址與網(wǎng)絡(luò)層ip地址的映射關(guān)系是指預(yù)先保存的一個(gè)mac地址和ip地址的對(duì)應(yīng)關(guān)系，可以是一張對(duì)應(yīng)關(guān)系表，在該表中預(yù)存著所有虛擬主機(jī)的mac地址與ip地址，根據(jù)抓包結(jié)果和該對(duì)應(yīng)關(guān)系表就可以判斷出是否發(fā)生arp攻擊以及攻擊的類型。

比如，抓包結(jié)果顯示，虛擬主機(jī)a的源mac地址是：aa-aa-aa-aa-aa-aa，源ip地址是：192.168.10.1，但是在預(yù)存的虛擬主機(jī)的數(shù)據(jù)鏈層mac地址與網(wǎng)絡(luò)層ip地址的映射關(guān)系中，mac地址為：bb-bb-bb-bb-bb-bb與ip地址為：192.168.10.1是對(duì)應(yīng)關(guān)系，則可以確定發(fā)生了arp欺騙類型的arp攻擊。

在步驟s130中，確定發(fā)生arp欺騙時(shí)，根據(jù)數(shù)據(jù)鏈層mac地址、以及預(yù)存的虛擬主機(jī)的數(shù)據(jù)鏈層mac地址與網(wǎng)絡(luò)層ip地址的映射關(guān)系，確定與數(shù)據(jù)鏈層mac地址對(duì)應(yīng)的網(wǎng)絡(luò)層ip地址；根據(jù)關(guān)機(jī)指令，關(guān)閉與網(wǎng)絡(luò)層ip地址對(duì)應(yīng)的虛擬主機(jī)。

當(dāng)同時(shí)對(duì)多個(gè)虛擬主機(jī)的網(wǎng)絡(luò)端口發(fā)送的arp數(shù)據(jù)包進(jìn)行抓包時(shí)，且判斷出發(fā)送了arp欺騙時(shí)，首先會(huì)先確定到底是哪個(gè)虛擬主機(jī)進(jìn)行的攻擊，因?yàn)樵谧グ@得的arp數(shù)據(jù)包中，可以解析出每個(gè)虛擬主機(jī)的數(shù)據(jù)鏈層的mac地址，根據(jù)該數(shù)據(jù)鏈層mac地址和預(yù)存的虛擬主機(jī)的數(shù)據(jù)鏈層mac地址與網(wǎng)絡(luò)層ip地址的映射關(guān)系，可以找到與數(shù)據(jù)鏈層mac地址對(duì)應(yīng)的網(wǎng)絡(luò)層ip地址，則找到了進(jìn)行攻擊的虛擬主機(jī)的ip地址。

其中，預(yù)存的虛擬主機(jī)的數(shù)據(jù)鏈層mac地址與網(wǎng)絡(luò)層ip地址的映射關(guān)系可以是交換機(jī)中的arp緩存表。

當(dāng)找到進(jìn)行攻擊的虛擬主機(jī)的ip地址時(shí)，可以調(diào)用該虛擬主機(jī)的關(guān)機(jī)api(applicationprogramminginterface,應(yīng)用程序編程接口),直接關(guān)閉進(jìn)行攻擊的虛擬主機(jī)。

此外，在確定發(fā)生arp欺騙時(shí)，除了關(guān)閉掉進(jìn)行攻擊的虛擬主機(jī)外，還可以向管理員發(fā)送郵件。

一種較佳的實(shí)施方式，在本發(fā)明實(shí)施例1提出的技術(shù)方案中，其中，步驟s130中，處理指令包括發(fā)送郵件指令，在步驟s120中具體可以根據(jù)以下過程確定arp攻擊類型：

若源mac地址與源ip地址匹配，但是數(shù)據(jù)鏈層mac地址與源mac地址不匹配，則確定發(fā)生arp普通攻擊。

比如，抓包結(jié)果顯示，虛擬主機(jī)a的源mac地址是：cc-cc-cc-cc-cc-cc，源ip地址是：192.168.10.1，但是在預(yù)存的虛擬主機(jī)的數(shù)據(jù)鏈層mac地址與網(wǎng)絡(luò)層ip地址的映射關(guān)系中，mac地址為：cc-cc-cc-cc-cc-cc與ip地址為：192.168.10.1是對(duì)應(yīng)關(guān)系，但是抓取的arp數(shù)據(jù)包中的數(shù)據(jù)鏈層的mac地址為：aa-aa-aa-aa-aa-aa,該數(shù)據(jù)鏈層的mac地址與源mac地址并不匹配，則可以確定發(fā)生了arp欺騙類型的arp攻擊。

在步驟s130中，當(dāng)確認(rèn)發(fā)生arp普通攻擊時(shí)，根據(jù)發(fā)送郵件指令，向網(wǎng)絡(luò)管理員的郵箱發(fā)送郵件。

其中，arp數(shù)據(jù)包可以是arp請(qǐng)求的廣播包或者arp應(yīng)答的廣播包，與arp攻擊的主體有關(guān)，下面以幾種情況進(jìn)行詳細(xì)說明：

當(dāng)獲取到的arp數(shù)據(jù)包為某一個(gè)虛擬主機(jī)發(fā)送的arp請(qǐng)求的廣播包時(shí)，比如監(jiān)控到一個(gè)虛擬主機(jī)a正在發(fā)射arp廣播包，若其自身的網(wǎng)絡(luò)層ip地址為：192.168.10.2，自身的數(shù)據(jù)鏈層mac地址為：aa-aa-aa-aa-aa-aa，但是它發(fā)送的arp廣播包中的源ip地址為網(wǎng)關(guān)的地址：192.168.1.1，源mac地址為：dd-dd-dd-dd-dd-dd,而dd-dd-dd-dd-dd-dd其實(shí)為虛擬主機(jī)d自身的數(shù)據(jù)鏈層mac地址，可見虛擬主機(jī)a正在進(jìn)行arp欺騙，盜用網(wǎng)關(guān)的地址在發(fā)送arp廣播包，這樣其他的虛擬主機(jī)接收到該arp廣播包時(shí)，就會(huì)把網(wǎng)關(guān)的ip地址保存為：192.168.1.1，網(wǎng)關(guān)的mac地址保存為：dd-dd-dd-dd-dd-dd，之后與網(wǎng)關(guān)進(jìn)行通信時(shí)，就用該錯(cuò)誤的地址，這個(gè)錯(cuò)誤的地址根本不能連接到網(wǎng)關(guān)，造成的后果就是其他所有虛擬主機(jī)無法連接到網(wǎng)關(guān)，即掉線。

當(dāng)獲取到的arp數(shù)據(jù)包為某一個(gè)虛擬主機(jī)發(fā)送的arp應(yīng)答的廣播包時(shí)，比如監(jiān)控到一個(gè)虛擬主機(jī)a正在發(fā)射arp應(yīng)答的廣播包時(shí)，其自身的網(wǎng)絡(luò)層ip地址為：192.168.10.2，自身的數(shù)據(jù)鏈層mac地址為：aa-aa-aa-aa-aa-aa，但是它發(fā)送的廣播包中的源ip地址為網(wǎng)關(guān)的地址：192.168.1.1，數(shù)據(jù)鏈層mac地址為自己的mac：aa-aa-aa-aa-aa-aa。此時(shí)，虛擬主機(jī)b就將aa-aa-aa-aa-aa-aa保存作為網(wǎng)關(guān)的地址，之后，當(dāng)虛擬主機(jī)b和其他虛擬主機(jī)需要連接網(wǎng)關(guān)時(shí)，發(fā)現(xiàn)連不到網(wǎng)關(guān)了，即掉線了。

處理上述兩種arp攻擊類型外，還有另外一種arp攻擊類型，一種較佳的實(shí)施方式，在本發(fā)明實(shí)施例1提出的技術(shù)方案中，如圖2所示，具體步驟如下：

s200，監(jiān)控至少一個(gè)虛擬局域網(wǎng)中每個(gè)虛擬局域網(wǎng)對(duì)應(yīng)的網(wǎng)絡(luò)端口發(fā)送的arp數(shù)據(jù)包個(gè)數(shù)。

s210，判斷arp數(shù)據(jù)包個(gè)數(shù)是否超過預(yù)設(shè)閾值，若是則確定發(fā)生arp泛洪攻擊。

比如，正常情況下，一個(gè)虛擬主機(jī)是每秒發(fā)送50個(gè)arp數(shù)據(jù)包，而預(yù)設(shè)閾值是1000個(gè)，假如監(jiān)控到某個(gè)虛擬主機(jī)每秒發(fā)送了10000個(gè)arp數(shù)據(jù)包，該10000個(gè)arp數(shù)據(jù)包遠(yuǎn)遠(yuǎn)超過了預(yù)設(shè)閾值1000個(gè)，則說明發(fā)生了arp泛洪攻擊。

arp泛洪攻擊嚴(yán)重占用網(wǎng)絡(luò)資源，嚴(yán)重時(shí)會(huì)使得網(wǎng)絡(luò)堵塞，使得正常用戶無法連接網(wǎng)絡(luò)。

s220，在發(fā)生arp泛洪攻擊時(shí)，向網(wǎng)絡(luò)管理員發(fā)送郵件。

對(duì)于以上三種情況的arp攻擊類型，為了總結(jié)性表述，下面以一個(gè)具體流程圖進(jìn)行闡述，如圖3所示，從300開始：

300，抓包。抓包之后可以執(zhí)行307或者執(zhí)行301。

301，提取分析，解析各個(gè)arp數(shù)據(jù)包，獲取到每個(gè)arp數(shù)據(jù)包中的數(shù)據(jù)鏈層mac地址、源mac地址和源ip地址，之后執(zhí)行302。

302，確定類型。對(duì)各個(gè)arp數(shù)據(jù)包中的數(shù)據(jù)鏈層mac地址、源mac地址和源ip地址以及預(yù)存的虛擬主機(jī)的數(shù)據(jù)鏈層mac地址與網(wǎng)絡(luò)層ip地址的映射關(guān)系，確定arp攻擊類型，根據(jù)確定的arp攻擊類型執(zhí)行303或者304。

303，當(dāng)確定的arp攻擊類型為arp欺騙時(shí)，執(zhí)行305的處理。

304，當(dāng)確定的arp攻擊類型為arp普通欺騙時(shí)，執(zhí)行306的處理。

307，檢驗(yàn)個(gè)數(shù)。即檢驗(yàn)單位時(shí)間內(nèi)arp數(shù)據(jù)包的個(gè)數(shù)，之后執(zhí)行308。

308，是否超過閾值，即檢驗(yàn)單位時(shí)間內(nèi)arp數(shù)據(jù)包的個(gè)數(shù)超過預(yù)設(shè)閾值，若是，則為309，確認(rèn)發(fā)生了arp泛洪攻擊，之后執(zhí)行310的處理。

實(shí)施例2

本發(fā)明實(shí)施例2提供了一種地址解析協(xié)議攻擊的處理裝置，如圖4所示，包括：監(jiān)控模塊401、提取模塊402、確定模塊403和執(zhí)行模塊404。

其中，監(jiān)控模塊401，用于監(jiān)控至少一個(gè)虛擬局域網(wǎng)中每個(gè)虛擬局域網(wǎng)對(duì)應(yīng)的網(wǎng)絡(luò)端口，每個(gè)虛擬局域網(wǎng)中包括至少一個(gè)虛擬主機(jī)。

監(jiān)控模塊401，具體用于當(dāng)虛擬局域去網(wǎng)包括多個(gè)時(shí)，采用多線程技術(shù)同時(shí)監(jiān)控多個(gè)虛擬局域網(wǎng)各自對(duì)應(yīng)的網(wǎng)絡(luò)端口。

提取模塊402，用于實(shí)時(shí)獲取每個(gè)虛擬主機(jī)通過網(wǎng)絡(luò)端口發(fā)出的地址解析協(xié)議arp數(shù)據(jù)包，提取arp數(shù)據(jù)包中的數(shù)據(jù)鏈層媒體訪問控制mac地址、源mac地址以及源ip地址。

確定模塊403，用于根據(jù)數(shù)據(jù)鏈層mac地址、源mac地址、源ip地址，以及預(yù)存的虛擬主機(jī)的數(shù)據(jù)鏈層mac地址與網(wǎng)絡(luò)層ip地址的映射關(guān)系，確定arp攻擊類型。

確定模塊403，具體用于按照預(yù)存的每一個(gè)虛擬主機(jī)的數(shù)據(jù)鏈層mac地址與網(wǎng)絡(luò)層ip地址的映射關(guān)系庫，比較arp協(xié)議的源mac地址與源ip地址是否匹配，若否，確定發(fā)生arp欺騙。

確定模塊403，具體用于若arp協(xié)議中的源mac地址與所述源ip地址匹配，但是數(shù)據(jù)鏈層mac地址與所述源mac地址不匹配，則確定發(fā)生arp普通攻擊。

執(zhí)行模塊404,，用于根據(jù)確定的arp攻擊類型，以及預(yù)設(shè)的arp攻擊類型與處理指令的映射關(guān)系，確定并執(zhí)行與該arp攻擊類型對(duì)應(yīng)的處理指令。

執(zhí)行模塊404，具體用于確定發(fā)生arp欺騙時(shí)，根據(jù)數(shù)據(jù)鏈層mac地址、以及預(yù)存的虛擬主機(jī)的數(shù)據(jù)鏈層mac地址與網(wǎng)絡(luò)層ip地址的映射關(guān)系，確定與數(shù)據(jù)鏈層mac地址對(duì)應(yīng)的網(wǎng)絡(luò)層ip地址；根據(jù)關(guān)機(jī)指令，關(guān)閉與網(wǎng)絡(luò)層ip地址對(duì)應(yīng)的虛擬主機(jī)。

此外，執(zhí)行模塊404，在確定發(fā)生arp欺騙時(shí)，關(guān)閉與網(wǎng)絡(luò)層ip地址對(duì)應(yīng)的虛擬主機(jī)后，也可以向網(wǎng)絡(luò)管理員發(fā)送郵件。

執(zhí)行模塊，具體用于根據(jù)發(fā)送郵件指令，向網(wǎng)絡(luò)管理員的郵箱發(fā)送郵件。

此外，一種較佳的實(shí)施方式，在本發(fā)明實(shí)施例1提出的技術(shù)方案中，

監(jiān)控模塊401，還用于監(jiān)控至少一個(gè)虛擬局域網(wǎng)中每個(gè)虛擬局域網(wǎng)對(duì)應(yīng)的網(wǎng)絡(luò)接口發(fā)送的arp數(shù)據(jù)包個(gè)數(shù)。

確定模塊403，還用于判斷arp數(shù)據(jù)包個(gè)數(shù)是否超過預(yù)設(shè)閾值，若是，則確定發(fā)生arp泛洪攻擊。

執(zhí)行模塊404，還用于在發(fā)生arp泛洪攻擊時(shí)，向網(wǎng)絡(luò)管理員發(fā)送郵件。

本發(fā)明實(shí)施例提供的一種地址解析協(xié)議攻擊的處理方法及裝置，與現(xiàn)有技術(shù)中相比，其能夠自動(dòng)確認(rèn)發(fā)生的arp攻擊類型，并能夠根據(jù)確定出的arp攻擊類型進(jìn)行對(duì)應(yīng)的處理。

本發(fā)明實(shí)施例所提供的進(jìn)行一種地址解析協(xié)議攻擊的處理方法的計(jì)算機(jī)程序產(chǎn)品，包括存儲(chǔ)了程序代碼的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述程序代碼包括的指令可用于執(zhí)行前面方法實(shí)施例中所述的方法，具體實(shí)現(xiàn)可參見方法實(shí)施例，在此不再贅述。

本發(fā)明實(shí)施例提供的一種地址解析協(xié)議攻擊的處理方法及裝置，與現(xiàn)有技術(shù)中相比，其通過監(jiān)控至少一個(gè)虛擬局域網(wǎng)中每個(gè)虛擬局域網(wǎng)對(duì)應(yīng)的網(wǎng)絡(luò)端口，獲取該虛擬局域網(wǎng)中每個(gè)虛擬主機(jī)發(fā)出的arp數(shù)據(jù)包，提取該arp數(shù)據(jù)包中的數(shù)據(jù)鏈層mac地址、源mac地址以及源ip地址，并根據(jù)數(shù)據(jù)鏈層mac地址、源mac地址以及源ip地址，以及預(yù)存的虛擬主機(jī)的數(shù)據(jù)鏈層mac地址與網(wǎng)絡(luò)層ip地址的映射關(guān)系確定arp攻擊類型，并能夠根據(jù)arp攻擊類型，選擇對(duì)應(yīng)的處理方法，以便在發(fā)生arp攻擊時(shí)，能夠及時(shí)發(fā)現(xiàn)并處理，而不是當(dāng)發(fā)現(xiàn)多個(gè)虛擬主機(jī)發(fā)生問題后，再去尋找問題，然后再解決，大大縮短了從發(fā)現(xiàn)arp攻擊到進(jìn)行解決的時(shí)間。

在本發(fā)明所提供的實(shí)施例中，應(yīng)該理解到，所揭露裝置和方法，可以通過其它的方式實(shí)現(xiàn)。以上所描述的裝置實(shí)施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式，又例如，多個(gè)單元或組件可以結(jié)合或者可以集成到另一個(gè)系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點(diǎn)，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些通信接口，裝置或單元的間接耦合或通信連接，可以是電性，機(jī)械或其它的形式。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部單元來實(shí)現(xiàn)本實(shí)施例方案的目的。

另外，在本發(fā)明提供的實(shí)施例中的各功能單元可以集成在一個(gè)處理單元中，也可以是各個(gè)單元單獨(dú)物理存在，也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。

所述功能如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)，可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分步驟。而前述的存儲(chǔ)介質(zhì)包括：u盤、移動(dòng)硬盤、只讀存儲(chǔ)器(rom，read-onlymemory)、隨機(jī)存取存儲(chǔ)器(ram，randomaccessmemory)、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。

應(yīng)注意到：相似的標(biāo)號(hào)和字母在下面的附圖中表示類似項(xiàng)，因此，一旦某一項(xiàng)在一個(gè)附圖中被定義，則在隨后的附圖中不需要對(duì)其進(jìn)行進(jìn)一步定義和解釋，此外，術(shù)語“第一”、“第二”、“第三”等僅用于區(qū)分描述，而不能理解為指示或暗示相對(duì)重要性。

最后應(yīng)說明的是：以上所述實(shí)施例，僅為本發(fā)明的具體實(shí)施方式，用以說明本發(fā)明的技術(shù)方案，而非對(duì)其限制，本發(fā)明的保護(hù)范圍并不局限于此，盡管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解：任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，其依然可以對(duì)前述實(shí)施例所記載的技術(shù)方案進(jìn)行修改或可輕易想到變化，或者對(duì)其中部分技術(shù)特征進(jìn)行等同替換；而這些修改、變化或者替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明實(shí)施例技術(shù)方案的精神和范圍。都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此，本發(fā)明的保護(hù)范圍應(yīng)所述以權(quán)利要求的保護(hù)范圍為準(zhǔn)。