本發(fā)明涉及通信
技術(shù)領(lǐng)域：
，尤其涉及一種ARP(AddressResolutionProtocol，地址解析協(xié)議)攻擊報(bào)文的防御方法及裝置。
背景技術(shù)：
：隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和普及，ARP欺騙攻擊也出現(xiàn)的越來(lái)越頻繁。ARP欺騙可以使同一網(wǎng)段的大多數(shù)用戶頻繁斷網(wǎng)，導(dǎo)致整個(gè)局域網(wǎng)無(wú)法正常運(yùn)行，嚴(yán)重時(shí)，可以導(dǎo)致整個(gè)網(wǎng)絡(luò)的大面積癱瘓。為了對(duì)ARP欺騙攻擊進(jìn)行防御，相關(guān)技術(shù)采用了手動(dòng)配置靜態(tài)ARP表項(xiàng)以及在相關(guān)設(shè)備上配置ARP報(bào)文限速策略的方法。雖然相關(guān)技術(shù)可以在一定程度上降低ARP欺騙攻擊對(duì)當(dāng)前網(wǎng)絡(luò)造成的影響，但是，由于相關(guān)技術(shù)無(wú)法鎖定ARP欺騙攻擊的攻擊端口，因此不能有效地防御ARP欺騙攻擊。技術(shù)實(shí)現(xiàn)要素：有鑒于此，本發(fā)明提供一種ARP攻擊報(bào)文的防御方法及裝置，來(lái)解決相關(guān)技術(shù)因無(wú)法鎖定ARP欺騙攻擊的攻擊端口，而導(dǎo)致的無(wú)法有效地防御ARP欺騙攻擊的問(wèn)題。具體地，本發(fā)明是通過(guò)如下技術(shù)方案實(shí)現(xiàn)的：根據(jù)本發(fā)明實(shí)施例的第一方面，提供了一種地址解析協(xié)議ARP攻擊報(bào)文的防御方法，應(yīng)用于交換設(shè)備，所述交換設(shè)備預(yù)設(shè)輪詢時(shí)間，所述交換設(shè)備基于預(yù)設(shè)的輪詢時(shí)間周期性采集本地介質(zhì)訪問(wèn)控制MAC表以及ARP表，所述方法包括：判斷當(dāng)前輪詢時(shí)間周期采集到的ARP表和對(duì)應(yīng)于當(dāng)前輪詢時(shí)間周期的前一輪詢時(shí)間周期采集到的ARP表是否存在不完全相同的表項(xiàng)；若存在所述不完全相同的表項(xiàng)，基于所述不完全相同的表項(xiàng)從當(dāng)前輪詢時(shí)間周期采集到的MAC表中確定待檢測(cè)端口；將從所述待檢測(cè)端口接收到的ARP報(bào)文與當(dāng)前輪詢時(shí)間周期采集到的ARP表中的表項(xiàng)進(jìn)行匹配；若匹配成功，確定所述ARP報(bào)文為攻擊報(bào)文，并丟棄所述ARP報(bào)文?？蛇x的，所述不完全相同的表項(xiàng)包括源IP地址相同且源MAC地址不相同的表項(xiàng)，以及源IP地址不相同且源MAC地址相同的表項(xiàng)?？蛇x的，所述交換設(shè)備預(yù)設(shè)待檢測(cè)表，所述方法還包括：若當(dāng)前輪詢時(shí)間周期采集到的ARP表和對(duì)應(yīng)于當(dāng)前輪詢時(shí)間周期的前一輪詢時(shí)間周期采集到的ARP表存在不完全相同的表項(xiàng)，則將所述不完全相同的表項(xiàng)添加至所述預(yù)設(shè)的待檢測(cè)表中；所述將從所述待檢測(cè)端口接收到的ARP報(bào)文與當(dāng)前輪詢時(shí)間周期采集到的ARP表中的表項(xiàng)進(jìn)行匹配，包括：將從所述待檢測(cè)端口接收到的ARP報(bào)文與所述待檢測(cè)表中的表項(xiàng)進(jìn)行匹配?？蛇x的，所述交換設(shè)備針對(duì)每一輪詢時(shí)間周期采集到的指定信息完全相同的報(bào)文進(jìn)行數(shù)值統(tǒng)計(jì)，其中，所述指定信息包括源IP地址以及源MAC地址，所述交換設(shè)備預(yù)設(shè)第一閾值和大于所述第一閾值的第二閾值，所述方法還包括：若針對(duì)某一輪詢時(shí)間周期采集到的指定信息完全相同的ARP報(bào)文的數(shù)值統(tǒng)計(jì)結(jié)果大于第一閾值且小于第二閾值，則將對(duì)應(yīng)于所述ARP報(bào)文的ARP表項(xiàng)設(shè)置為靜態(tài)ARP表項(xiàng)；若針對(duì)某一輪詢時(shí)間周期采集到的指定信息完全相同的ARP報(bào)文的數(shù)值統(tǒng)計(jì)結(jié)果大于第二閾值，則確定所述ARP報(bào)文為攻擊報(bào)文，并丟棄所述ARP報(bào)文。根據(jù)本發(fā)明實(shí)施例的第二方面，提供一種地址解析協(xié)議ARP攻擊報(bào)文的防御裝置，應(yīng)用于交換設(shè)備，所述交換設(shè)備預(yù)設(shè)輪詢時(shí)間，所述交換設(shè)備基于預(yù)設(shè)的輪詢時(shí)間周期性采集本地介質(zhì)訪問(wèn)控制MAC表以及ARP表，所述裝置包括：判斷模塊，用于判斷當(dāng)前輪詢時(shí)間周期采集到的ARP表和對(duì)應(yīng)于當(dāng)前輪詢時(shí)間周期的前一輪詢時(shí)間周期采集到的ARP表是否存在不完全相同的表項(xiàng)；確定模塊，用于若存在所述不完全相同的表項(xiàng)，基于所述不完全相同的表項(xiàng)從當(dāng)前輪詢時(shí)間周期采集到的MAC表中確定待檢測(cè)端口；匹配模塊，用于將從所述待檢測(cè)端口接收到的ARP報(bào)文與當(dāng)前輪詢時(shí)間周期采集到的ARP表中的表項(xiàng)進(jìn)行匹配；丟棄模塊，用于若匹配成功，確定所述ARP報(bào)文為攻擊報(bào)文，并丟棄所述ARP報(bào)文?？蛇x的，所述不完全相同的表項(xiàng)包括源IP地址相同且源MAC地址不相同的表項(xiàng)，以及源IP地址不相同且源MAC地址相同的表項(xiàng)?？蛇x的，所述交換設(shè)備預(yù)設(shè)待檢測(cè)表，所述裝置還包括：添加模塊，用于若當(dāng)前輪詢時(shí)間周期采集到的ARP表和對(duì)應(yīng)于當(dāng)前輪詢時(shí)間周期的前一輪詢時(shí)間周期采集到的ARP表存在不完全相同的表項(xiàng)，則將所述不完全相同的表項(xiàng)添加至所述預(yù)設(shè)的待檢測(cè)表中；所述匹配模塊具體用于：將從所述待檢測(cè)端口接收到的ARP報(bào)文與所述待檢測(cè)表中的表項(xiàng)進(jìn)行匹配?？蛇x的，所述交換設(shè)備針對(duì)每一輪詢時(shí)間周期采集到的指定信息完全相同的報(bào)文進(jìn)行數(shù)值統(tǒng)計(jì)，其中，所述指定信息包括源IP地址以及源MAC地址，所述交換設(shè)備預(yù)設(shè)第一閾值和大于所述第一閾值的第二閾值，所述裝置還包括：設(shè)置模塊，用于若針對(duì)某一輪詢時(shí)間周期采集到的指定信息完全相同的ARP報(bào)文的數(shù)值統(tǒng)計(jì)結(jié)果大于第一閾值且小于第二閾值，則將對(duì)應(yīng)于所述ARP報(bào)文的ARP表項(xiàng)設(shè)置為靜態(tài)ARP表項(xiàng)；所述丟棄模塊進(jìn)一步用于：若針對(duì)某一輪詢時(shí)間周期采集到的指定信息完全相同的ARP報(bào)文的數(shù)值統(tǒng)計(jì)結(jié)果大于第二閾值，則確定所述ARP報(bào)文為攻擊報(bào)文，并丟棄所述ARP報(bào)文。在本發(fā)明中，交換設(shè)備可以判斷當(dāng)前輪詢時(shí)間周期采集到的ARP表和對(duì)應(yīng)于當(dāng)前輪詢時(shí)間周期的前一輪詢時(shí)間周期采集到的ARP表是否存在不完全相同的表項(xiàng)，并在存在不完全相同的表項(xiàng)時(shí)，基于不完全相同的表項(xiàng)從當(dāng)前輪詢時(shí)間周期采集到的MAC表中確定待檢測(cè)端口，然后，交換設(shè)備可以將從該待檢測(cè)端口接收到的ARP報(bào)文與當(dāng)前輪詢時(shí)間周期采集到的ARP表中的表項(xiàng)進(jìn)行匹配，若匹配成功，則可以確定該ARP報(bào)文為攻擊報(bào)文，并丟棄該ARP報(bào)文。在本發(fā)明中，交換設(shè)備可以根據(jù)兩個(gè)相鄰輪詢時(shí)間周期采集到的ARP表確定待檢測(cè)表項(xiàng)，然后根據(jù)該待檢測(cè)表項(xiàng)從MAC表中鎖定攻擊端口，并對(duì)該攻擊端口接收到的報(bào)文進(jìn)行進(jìn)一步的防御，由于本發(fā)明可以有效鎖定攻擊端口，因此，可以解決相關(guān)技術(shù)因無(wú)法鎖定ARP欺騙攻擊的攻擊端口，而導(dǎo)致的無(wú)法有效地防御ARP欺騙攻擊的問(wèn)題。附圖說(shuō)明圖1是為本發(fā)明一實(shí)施例示出的一種ARP攻擊報(bào)文的防御方法的流程圖；圖2是本發(fā)明ARP攻擊報(bào)文的防御裝置所在設(shè)備的一種硬件結(jié)構(gòu)圖；圖3是本發(fā)明ARP攻擊報(bào)文的防御裝置的一個(gè)實(shí)施例框圖。具體實(shí)施方式這里將詳細(xì)地對(duì)示例性實(shí)施例進(jìn)行說(shuō)明，其示例表示在附圖中。下面的描述涉及附圖時(shí)，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實(shí)施例中所描述的實(shí)施方式并不代表與本發(fā)明相一致的所有實(shí)施方式。相反，它們僅是與如所附權(quán)利要求書中所詳述的、本發(fā)明的一些方面相一致的裝置和方法的例子。在本發(fā)明使用的術(shù)語(yǔ)是僅僅出于描述特定實(shí)施例的目的，而非旨在限制本發(fā)明。在本發(fā)明和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其他含義。還應(yīng)當(dāng)理解，本文中使用的術(shù)語(yǔ)“和/或”是指并包含一個(gè)或多個(gè)相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合。應(yīng)當(dāng)理解，盡管在本發(fā)明可能采用術(shù)語(yǔ)第一、第二、第三等來(lái)描述各種信息，但這些信息不應(yīng)限于這些術(shù)語(yǔ)。這些術(shù)語(yǔ)僅用來(lái)將同一類型的信息彼此區(qū)分開。例如，在不脫離本發(fā)明范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語(yǔ)境，如在此所使用的詞語(yǔ)“如果”可以被解釋成為“在……時(shí)”或“當(dāng)……時(shí)”或“響應(yīng)于確定”。請(qǐng)參見圖1，為本發(fā)明一實(shí)施例示出的一種ARP攻擊報(bào)文的防御方法的流程圖。該實(shí)施例應(yīng)用于交換設(shè)備，包括以下步驟：步驟101：判斷當(dāng)前輪詢時(shí)間周期采集到的ARP表和對(duì)應(yīng)于當(dāng)前輪詢時(shí)間周期的前一輪詢時(shí)間周期采集到的ARP表是否存在不完全相同的表項(xiàng)。在本發(fā)明中，上述交換設(shè)備可以既工作在OSI(OpenSystemInterconnection，開放式系統(tǒng)互聯(lián))網(wǎng)絡(luò)標(biāo)準(zhǔn)模型的第二層，即數(shù)據(jù)鏈路層，也可以工作在OSI網(wǎng)絡(luò)標(biāo)準(zhǔn)模型的第三層，即網(wǎng)絡(luò)層。在本發(fā)明中，上述交換設(shè)備可以預(yù)設(shè)輪詢時(shí)間，其中，該預(yù)設(shè)的輪詢時(shí)間可以為設(shè)備默認(rèn)值，也可以由相關(guān)人員自定義設(shè)置，例如，可以為0.2S，本發(fā)明對(duì)此不做限制。在預(yù)設(shè)了輪詢時(shí)間后，上述交換設(shè)備可以基于該輪詢時(shí)間周期性采集本地MAC(MediaAccessControl，介質(zhì)訪問(wèn)控制)表以及ARP表，具體地，上述交換設(shè)備可以從緩存中周期性采集switch_mac文件以及switch_arp文件。在本發(fā)明中，上述交換設(shè)備可以接收到ARP報(bào)文，并基于該ARP報(bào)文的報(bào)文屬性信息在緩存的ARP表中生成對(duì)應(yīng)的表項(xiàng)，其中，該報(bào)文屬性信息可以包括源IP地址、源MAC地址、目的IP地址以及目的MAC地址等信息。在示出的一個(gè)實(shí)施例中，可以假設(shè)接收到的ARP報(bào)文的報(bào)文屬性信息如表1所示：源MAC地址源IP地址目的MAC地址目的IP地址00-23-5A-15-99-4222.22.22.2205-31-13-25-19-3633.33.33.33表1則此時(shí)上述交換設(shè)備緩存的ARP表可以如表2所示：源MAC地址源IP地址目的MAC地址目的IP地址…………00-23-5A-15-99-4222.22.22.2205-31-13-25-19-3633.33.33.33…………表2在本發(fā)明中，上述交換設(shè)備在采集到當(dāng)前輪詢時(shí)間周期的ARP表以及對(duì)應(yīng)于當(dāng)前輪詢時(shí)間周期的前一輪詢時(shí)間周期的ARP表后，可以判斷采集到的該兩個(gè)ARP表中是否存在不完全相同的表項(xiàng)。其中，該不完全相同的表項(xiàng)可以為源IP地址相同且源MAC地址不相同的表項(xiàng)，或源IP地址不相同且源MAC地址相同的表項(xiàng)。在一個(gè)實(shí)施例中，可以假設(shè)當(dāng)前輪詢時(shí)間周期采集到的ARP表如表3所示：源MAC地址源IP地址目的MAC地址目的IP地址…………00-23-5A-15-99-4233.33.33.3305-31-13-25-19-3633.33.33.33…………表3可以假設(shè)對(duì)應(yīng)于當(dāng)前輪詢時(shí)間周期的前一輪詢時(shí)間周期采集到的ARP表如表2所示，則可以確定該兩個(gè)ARP表中存在源IP地址不相同且源MAC地址相同的表項(xiàng)，即該兩個(gè)ARP表中存在不完全相同的表項(xiàng)。在一個(gè)實(shí)施例中，若當(dāng)前輪詢時(shí)間周期采集到的ARP表與對(duì)應(yīng)于當(dāng)前輪詢時(shí)間周期的前一輪詢時(shí)間周期采集到的ARP表中不存在相同的源IP地址以及源MAC地址，則可以確定該兩個(gè)ARP表中不存在不完全相同的表項(xiàng)。步驟102：若存在所述不完全相同的表項(xiàng)，基于所述不完全相同的表項(xiàng)從當(dāng)前輪詢時(shí)間周期采集到的MAC表中確定待檢測(cè)端口。在本發(fā)明中，若當(dāng)前輪詢時(shí)間周期采集到的ARP表與對(duì)應(yīng)于當(dāng)前輪詢時(shí)間周期采集到的ARP表中存在不完全相同的表項(xiàng)，則上述交換設(shè)備可以基于不完全相同的表項(xiàng)從當(dāng)前輪詢時(shí)間周期采集到的MAC表中確定待檢測(cè)端口。在一個(gè)實(shí)施例中，可以假設(shè)兩個(gè)相鄰的輪詢時(shí)間周期采集到的兩個(gè)ARP表分別如表2和表3所示，則可以得知源MAC地址為00-23-5A-15-99-42的表項(xiàng)為上述不完全相同的表項(xiàng)，此時(shí)，上述交換設(shè)備可以基于該源MAC地址從當(dāng)前輪詢時(shí)間周期采集到的MAC表中確定待檢測(cè)端口?？梢约僭O(shè)上述交換設(shè)備在當(dāng)前輪詢時(shí)間周期采集到的MAC表如表4所示：源MAC地址端口……00-23-5A-15-99-4235……表4則由表4可知，可以將35端口確定為待檢測(cè)端口。在本發(fā)明一個(gè)實(shí)施例中，上述交換設(shè)備可以預(yù)設(shè)待檢測(cè)表，若當(dāng)前輪詢時(shí)間周期采集到的ARP表和對(duì)應(yīng)于當(dāng)前輪詢時(shí)間周期的前一輪詢時(shí)間周期采集到的ARP表存在不完全相同的表項(xiàng)，則上述交換設(shè)備可以將該不完全相同的表項(xiàng)添加至預(yù)設(shè)的待檢測(cè)表中，然后，上述交換設(shè)備可以針對(duì)待檢測(cè)表中的表項(xiàng)從采集到的MAC表中確定待檢測(cè)端口。在示出的一個(gè)實(shí)施例中，可以假設(shè)源MAC地址為00-23-5A-15-99-42的表項(xiàng)為上述采集到的兩個(gè)ARP表的不完全相同的表項(xiàng)，此時(shí)，上述交換設(shè)備可以將該表項(xiàng)添加到預(yù)設(shè)的待檢測(cè)表中，可以假設(shè)添加該表項(xiàng)后的待檢測(cè)表如表5所示：表5然后，上述交換設(shè)備可以遍歷表5中的源MAC地址，并基于每一源MAC地址從采集到的MAC表中確定對(duì)應(yīng)的待檢測(cè)端口。其中，根據(jù)源MAC地址從采集到的MAC表中確定對(duì)應(yīng)的待檢測(cè)端口的具體內(nèi)容已在上述實(shí)施例中說(shuō)明，故本發(fā)明在此不再贅述。步驟103：將從所述待檢測(cè)端口接收到的ARP報(bào)文與當(dāng)前輪詢時(shí)間周期采集到的ARP表中的表項(xiàng)進(jìn)行匹配。步驟104：若匹配成功，確定所述ARP報(bào)文為攻擊報(bào)文，并丟棄所述ARP報(bào)文。在本發(fā)明中，在確定待檢測(cè)端口后，可以將從待檢測(cè)端口接收到的ARP報(bào)文與當(dāng)前輪詢時(shí)間周期采集到的ARP表中的表項(xiàng)進(jìn)行匹配。在一個(gè)實(shí)施例中，可以假設(shè)確定35端口為待檢測(cè)端口，從35端口接收到某一ARP報(bào)文的報(bào)文屬性信息可以如表6所示：源MAC地址源IP地址目的MAC地址目的IP地址00-23-5A-15-99-4244.44.44.4405-31-13-25-19-3633.33.33.33表6可以假設(shè)當(dāng)前輪詢時(shí)間周期采集到的ARP表如表2所示，則可以確定該ARP報(bào)文未成功匹配當(dāng)前輪詢時(shí)間周期采集到的ARP表。在另一個(gè)實(shí)施例中，可以同樣假設(shè)35端口為待檢測(cè)端口，從35端口接收到的某一ARP報(bào)文的報(bào)文屬性可以如表7所示：源MAC地址源IP地址目的MAC地址目的IP地址00-23-5A-15-99-4222.22.22.2205-31-13-25-19-3633.33.33.33表7可以同樣假設(shè)當(dāng)前輪詢時(shí)間周期采集到的ARP表如表2所示，則可以確定該報(bào)文可以成功匹配當(dāng)前輪詢時(shí)間周期采集到的ARP表。在本發(fā)明示出的一個(gè)實(shí)施例中，若上述交換設(shè)備預(yù)設(shè)待檢測(cè)表，則可以將從待檢測(cè)端口接收到的報(bào)文與待檢測(cè)表中的表項(xiàng)進(jìn)行匹配。其中，該匹配過(guò)程與上述實(shí)施例中的匹配過(guò)程相同，故本發(fā)明在此不再贅述。在本發(fā)明中，若從待檢測(cè)端口接收到的ARP報(bào)文可以成功匹配當(dāng)前輪詢時(shí)間周期采集到的ARP表中的表項(xiàng)，則可以確定該ARP報(bào)文為攻擊報(bào)文，此時(shí)，上述交換設(shè)備可以丟棄該ARP報(bào)文。若從待檢測(cè)端口接收到的ARP報(bào)文未成功匹配當(dāng)前輪詢時(shí)間周期采集到的ARP表中的表項(xiàng)，則可以確定該ARP報(bào)文為正常報(bào)文，此時(shí)，上述交換設(shè)備可以基于預(yù)設(shè)的處理策略對(duì)該ARP報(bào)文進(jìn)行進(jìn)一步的處理。在本發(fā)明示出的一個(gè)實(shí)施例中，上述交換設(shè)備可以針對(duì)每一輪詢時(shí)間周期采集到的指定信息完全相同的報(bào)文進(jìn)行數(shù)值統(tǒng)計(jì)，其中，該指定信息可以包括源IP地址以及源MAC地址，上述交換設(shè)備可以預(yù)設(shè)第一閾值和大于第一閾值的第二閾值，其中，第一閾值和第二閾值可以由相關(guān)人員自定義設(shè)置，例如，第一閾值可以為30，第二閾值可以為100等，本發(fā)明對(duì)此不做限制。當(dāng)針對(duì)某一輪詢時(shí)間周期采集到的指定信息完全相同的ARP報(bào)文的數(shù)值統(tǒng)計(jì)結(jié)果大于第一閾值且小于第二閾值時(shí)，上述交換設(shè)備可以將對(duì)應(yīng)于該ARP報(bào)文的ARP表項(xiàng)設(shè)置為靜態(tài)ARP表項(xiàng)；當(dāng)針對(duì)某一輪詢時(shí)間周期采集到的指定信息完全相同的ARP報(bào)文的數(shù)值統(tǒng)計(jì)結(jié)果大于第二閾值時(shí)，則上述交換設(shè)備可以確定該ARP報(bào)文為攻擊報(bào)文，并丟棄該ARP報(bào)文。在示出的一個(gè)實(shí)施例中，可以假設(shè)上述交換設(shè)備對(duì)當(dāng)前輪詢時(shí)間周期采集到的指定信息完全相同的ARP報(bào)文的數(shù)值統(tǒng)計(jì)結(jié)果為40，大于第一閾值30且小于第二閾值100，則可以將與該ARP報(bào)文對(duì)應(yīng)的ARP表項(xiàng)設(shè)置為靜態(tài)ARP表項(xiàng)，可以假設(shè)該ARP報(bào)文的報(bào)文屬性信息如表1所示，則可以將表2中對(duì)應(yīng)于該ARP報(bào)文的表項(xiàng)設(shè)置為靜態(tài)ARP表項(xiàng)，即，可以將如表8所示的表項(xiàng)設(shè)置為靜態(tài)ARP表項(xiàng)：源MAC地址源IP地址00-23-5A-15-99-4222.22.22.22表8在示出的另一個(gè)實(shí)施例中，可以假設(shè)上述交換設(shè)備對(duì)當(dāng)前輪詢時(shí)間周期采集到的指定信息完全相同的ARP報(bào)文的數(shù)值統(tǒng)計(jì)結(jié)果為120，大于第二閾值100，則上述交換設(shè)備可以將該ARP報(bào)文確定為攻擊報(bào)文，并丟棄該ARP報(bào)文。在本發(fā)明中，交換設(shè)備可以判斷當(dāng)前輪詢時(shí)間周期采集到的ARP表和對(duì)應(yīng)于當(dāng)前輪詢時(shí)間周期的前一輪詢時(shí)間周期采集到的ARP表是否存在不完全相同的表項(xiàng)，并在存在不完全相同的表項(xiàng)時(shí)，基于不完全相同的表項(xiàng)從當(dāng)前輪詢時(shí)間周期采集到的MAC表中確定待檢測(cè)端口，然后，交換設(shè)備可以將從該待檢測(cè)端口接收到的ARP報(bào)文與當(dāng)前輪詢時(shí)間周期采集到的ARP表中的表項(xiàng)進(jìn)行匹配，若匹配成功，則可以確定該ARP報(bào)文為攻擊報(bào)文，并丟棄該ARP報(bào)文。在本發(fā)明中，交換設(shè)備可以根據(jù)兩個(gè)相鄰輪詢時(shí)間周期采集到的ARP表確定待檢測(cè)表項(xiàng)，然后根據(jù)該待檢測(cè)表項(xiàng)從MAC表中鎖定攻擊端口，并對(duì)該攻擊端口接收到的報(bào)文進(jìn)行進(jìn)一步的防御，由于本發(fā)明可以有效鎖定攻擊端口，因此，可以解決相關(guān)技術(shù)因無(wú)法鎖定ARP欺騙攻擊的攻擊端口，而導(dǎo)致的無(wú)法有效地防御ARP欺騙攻擊的問(wèn)題。與前述ARP攻擊報(bào)文的防御方法的實(shí)施例相對(duì)應(yīng)，本發(fā)明還提供了ARP攻擊報(bào)文的防御裝置的實(shí)施例。本發(fā)明ARP攻擊報(bào)文的防御裝置的實(shí)施例可以應(yīng)用在交換設(shè)備。裝置實(shí)施例可以通過(guò)軟件實(shí)現(xiàn)，也可以通過(guò)硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)。以軟件實(shí)現(xiàn)為例，作為一個(gè)邏輯意義上的裝置，是通過(guò)其所在設(shè)備的處理器將非易失性存儲(chǔ)器中對(duì)應(yīng)的計(jì)算機(jī)程序指令讀取到內(nèi)存中運(yùn)行形成的。從硬件層面而言，如圖2所示，為本發(fā)明ARP攻擊報(bào)文的防御裝置所在設(shè)備的一種硬件結(jié)構(gòu)圖，除了圖2所示的處理器、內(nèi)存、網(wǎng)絡(luò)接口、以及非易失性存儲(chǔ)器之外，實(shí)施例中裝置所在的設(shè)備通常還可以包括其他硬件，如負(fù)責(zé)處理報(bào)文的轉(zhuǎn)發(fā)芯片等等。請(qǐng)參考圖3，為本發(fā)明ARP攻擊報(bào)文的防御裝置的一個(gè)實(shí)施例框圖：該裝置可以包括：判斷模塊310、確定模塊320、匹配模塊330以及丟棄模塊340。其中，判斷模塊310，用于判斷當(dāng)前輪詢時(shí)間周期采集到的ARP表和對(duì)應(yīng)于當(dāng)前輪詢時(shí)間周期的前一輪詢時(shí)間周期采集到的ARP表是否存在不完全相同的表項(xiàng)；確定模塊320，用于若存在所述不完全相同的表項(xiàng)，基于所述不完全相同的表項(xiàng)從當(dāng)前輪詢時(shí)間周期采集到的MAC表中確定待檢測(cè)端口；匹配模塊330，用于將從所述待檢測(cè)端口接收到的ARP報(bào)文與當(dāng)前輪詢時(shí)間周期采集到的ARP表中的表項(xiàng)進(jìn)行匹配；丟棄模塊340，用于若匹配成功，確定所述ARP報(bào)文為攻擊報(bào)文，并丟棄所述ARP報(bào)文。在一個(gè)可選的實(shí)現(xiàn)方式中，所述不完全相同的表項(xiàng)可以包括源IP地址相同且源MAC地址不相同的表項(xiàng)，以及源IP地址不相同且源MAC地址相同的表項(xiàng)。在一個(gè)可選的實(shí)現(xiàn)方式中，所述交換設(shè)備可以預(yù)設(shè)待檢測(cè)表，所述裝置還可以包括(圖3中未示出)：添加模塊，用于若當(dāng)前輪詢時(shí)間周期采集到的ARP表和對(duì)應(yīng)于當(dāng)前輪詢時(shí)間周期的前一輪詢時(shí)間周期采集到的ARP表存在不完全相同的表項(xiàng)，則將所述不完全相同的表項(xiàng)添加至所述預(yù)設(shè)的待檢測(cè)表中；所述匹配模塊330具體用于：將從所述待檢測(cè)端口接收到的ARP報(bào)文與所述待檢測(cè)表中的表項(xiàng)進(jìn)行匹配。在一個(gè)可選的實(shí)現(xiàn)方式中，所述交換設(shè)備針對(duì)每一輪詢時(shí)間周期采集到的指定信息完全相同的報(bào)文進(jìn)行數(shù)值統(tǒng)計(jì)，其中，所述指定信息包括源IP地址以及源MAC地址，所述交換設(shè)備預(yù)設(shè)第一閾值和大于所述第一閾值的第二閾值，所述裝置還可以包括(圖3中未示出)：設(shè)置模塊，用于若針對(duì)某一輪詢時(shí)間周期采集到的指定信息完全相同的ARP報(bào)文的數(shù)值統(tǒng)計(jì)結(jié)果大于第一閾值且小于第二閾值，則將對(duì)應(yīng)于所述ARP報(bào)文的ARP表項(xiàng)設(shè)置為靜態(tài)ARP表項(xiàng)；所述丟棄模塊340進(jìn)一步用于：若針對(duì)某一輪詢時(shí)間周期采集到的指定信息完全相同的ARP報(bào)文的數(shù)值統(tǒng)計(jì)結(jié)果大于第二閾值，則確定所述ARP報(bào)文為攻擊報(bào)文，并丟棄所述ARP報(bào)文。在本發(fā)明中，交換設(shè)備可以判斷當(dāng)前輪詢時(shí)間周期采集到的ARP表和對(duì)應(yīng)于當(dāng)前輪詢時(shí)間周期的前一輪詢時(shí)間周期采集到的ARP表是否存在不完全相同的表項(xiàng)，并在存在不完全相同的表項(xiàng)時(shí)，基于不完全相同的表項(xiàng)從當(dāng)前輪詢時(shí)間周期采集到的MAC表中確定待檢測(cè)端口，然后，交換設(shè)備可以將從該待檢測(cè)端口接收到的ARP報(bào)文與當(dāng)前輪詢時(shí)間周期采集到的ARP表中的表項(xiàng)進(jìn)行匹配，若匹配成功，則可以確定該ARP報(bào)文為攻擊報(bào)文，并丟棄該ARP報(bào)文。在本發(fā)明中，交換設(shè)備可以根據(jù)兩個(gè)相鄰輪詢時(shí)間周期采集到的ARP表確定待檢測(cè)表項(xiàng)，然后根據(jù)該待檢測(cè)表項(xiàng)從MAC表中鎖定攻擊端口，并對(duì)該攻擊端口接收到的報(bào)文進(jìn)行進(jìn)一步的防御，由于本發(fā)明可以有效鎖定攻擊端口，因此，可以解決相關(guān)技術(shù)因無(wú)法鎖定ARP欺騙攻擊的攻擊端口，而導(dǎo)致的無(wú)法有效地防御ARP欺騙攻擊的問(wèn)題。上述裝置中各個(gè)單元的功能和作用的實(shí)現(xiàn)過(guò)程具體詳見上述方法中對(duì)應(yīng)步驟的實(shí)現(xiàn)過(guò)程，在此不再贅述。對(duì)于裝置實(shí)施例而言，由于其基本對(duì)應(yīng)于方法實(shí)施例，所以相關(guān)之處參見方法實(shí)施例的部分說(shuō)明即可。以上所描述的裝置實(shí)施例僅僅是示意性的，其中所述作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來(lái)實(shí)現(xiàn)本發(fā)明方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下，即可以理解并實(shí)施。以上所述僅為本發(fā)明的較佳實(shí)施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)。當(dāng)前第1頁(yè)1 2 3