The invention discloses a ARP attack detection method, a device, a system and a mobile terminal based on a Android Android system. Among them, the method comprises: sending UDP data packets, the destination address information UDP network data package for the default IP address of the external network, and TTL network packet set UDP value is 2; the abnormal ICMP data receiving second hop equipment return package, including the abnormal ICMP packet is jumping from second to UDP equipment the network data packet, and the TTL value is 0 in sending updates received; according to the IP address information of abnormal ICMP packets get second hops; according to the IP address information and default gateway IP address information, whether ARP attack detection in the local area network. This method implements the detection of second hop routing in the non ROOT environment on the Android platform to determine whether there is a ARP attack in the current network.
【技术实现步骤摘要】
基于Android系统的ARP攻击检测方法、装置及系统
本专利技术涉及移动安全
,尤其涉及一种基于安卓Android系统的ARP攻击检测方法、装置、系统以及移动终端。
技术介绍
ARP(AddressResolutionProtocol,地址解析协议)是一个位于TCP/IP协议栈中的网络层,负责将某个IP地址解析成对应的MAC地址。ARP攻击就是通过伪造IP地址和MAC地址以实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。例如,攻击者向终端设备A发送一个伪造的ARP响应,告诉终端设备A:终端设备B的IP地址192.168.0.2对应的MAC地址是00-aa-00-62-c6-03,终端设备A信以为真,将这个对应关系写入自己的ARP缓存表中,以后发送数据时,将本应该发往终端设备B的数据发送给了攻击者。同样的,攻击者向终端设备B也发送一个伪造的ARP响应,告诉终端设备B:终端设备A的IP地址192.168.0.1对应的MAC地址是00-aa-00-62-c6-03,终端设备B也会将数据发送给攻击者。至此攻击者就控制了终端设备A和终端设备B之间的流量,该攻击者可以选择被动地监测流量,获取密码和其他涉密信息,也可以伪造数据,改变终端设备A和终端设备B之间的通信内容。相关技术中,ARP攻击检测方法通常有以下两种方式:(1)基于全局路由表的检测方法,即获取局域网中的全局路由表,并查看该全局路由表,如果存在至少两个IP对应着同一个MAC ...
【技术保护点】
一种基于安卓Android系统的ARP攻击检测方法,其特征在于,包括以下步骤:发送UDP网络数据包,其中,所述UDP网络数据包中的目标地址信息为预设的外网IP地址,且所述UDP网络数据包中设置TTL值为2;接收第二跳设备返回的异常ICMP数据包,其中,所述异常ICMP数据包是由所述第二跳设备在接收到所述UDP网络数据包、且将所述TTL值更新为0时发送的;根据所述异常ICMP数据包获取路由第二跳的IP地址信息;根据所述路由第二跳的IP地址信息和预设的网关IP地址信息,检测当前局域网中是否存在ARP攻击。
【技术特征摘要】
1.一种基于安卓Android系统的ARP攻击检测方法,其特征在于,包括以下步骤:发送UDP网络数据包,其中,所述UDP网络数据包中的目标地址信息为预设的外网IP地址,且所述UDP网络数据包中设置TTL值为2;接收第二跳设备返回的异常ICMP数据包,其中,所述异常ICMP数据包是由所述第二跳设备在接收到所述UDP网络数据包、且将所述TTL值更新为0时发送的;根据所述异常ICMP数据包获取路由第二跳的IP地址信息;根据所述路由第二跳的IP地址信息和预设的网关IP地址信息,检测当前局域网中是否存在ARP攻击。2.如权利要求1所述的方法,其特征在于,所述根据所述异常ICMP数据包获取路由第二跳的IP地址信息,包括:检测所述异常ICMP数据包的异常类型;当所述异常类型为TIMEOUT类型时,将所述异常ICMP数据包中的源地址信息作为所述路由第二跳的IP地址信息。3.如权利要求2所述的方法,其特征在于,所述检测所述异常ICMP数据包的异常类型,包括:通过网络数据包附加错误信息的获取方法CMSG,检测所述异常ICMP数据包的异常类型。4.如权利要求1至3中任一项所述的方法,其特征在于,所述根据所述路由第二跳的IP地址信息和预设的网关IP地址信息,检测当前局域网中是否存在ARP攻击,包括:判断所述路由第二跳的IP地址信息是否与预设的网关IP地址信息一致;如果所述路由第二跳的IP地址信息与预设的网关IP地址信息一致,则判定所述当前局域网中存在ARP攻击。5.一种基于安卓Android系统的ARP攻击检测方法,其特征在于,包括以下步骤:接收第一跳设备转发的由测试端发送的UDP网络数据包,其中,所述测试端发送的UDP网络数据包中的目标地址信息为预设的外网IP地址,且所述测试端发送的UDP网络数据包中设置TTL值为2,所述第一跳设备转发的UDP网络数据包中所述TTL值更新为1;将接收到的所述UDP网络数据包中的所述TTL值减一;当检测当前TTL值为0时,向所述测试端发送异常ICMP数据包,其中,所述测试端根据所述异常ICMP数据包获取路由第二跳的IP地址信息,并根据所述路由第二跳的IP地址信息和预设的网关IP地址...
【专利技术属性】
技术研发人员:江可航,杨文玉,
申请(专利权)人:北京金山安全软件有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。