基于Android系统的ARP攻击检测方法、装置及系统制造方法及图纸

本发明专利技术公开了一种基于安卓Android系统的ARP攻击检测方法、装置、系统以及移动终端。其中，该方法包括：发送UDP网络数据包，其中UDP网络数据包中的目标地址信息为预设的外网IP地址，且UDP网络数据包中设置TTL值为2；接收第二跳设备返回的异常ICMP数据包，其中异常ICMP数据包是由第二跳设备在接收到UDP网络数据包、且将TTL值更新为0时发送的；根据异常ICMP数据包获取路由第二跳的IP地址信息；根据该IP地址信息和预设的网关IP地址信息，检测当前局域网中是否存在ARP攻击。该方法在Android平台上实现了非ROOT环境下对第二跳路由的检测，以判断当前网络是否存在ARP攻击。

Method, device and system for detecting ARP attack based on Android system

The invention discloses a ARP attack detection method, a device, a system and a mobile terminal based on a Android Android system. Among them, the method comprises: sending UDP data packets, the destination address information UDP network data package for the default IP address of the external network, and TTL network packet set UDP value is 2; the abnormal ICMP data receiving second hop equipment return package, including the abnormal ICMP packet is jumping from second to UDP equipment the network data packet, and the TTL value is 0 in sending updates received; according to the IP address information of abnormal ICMP packets get second hops; according to the IP address information and default gateway IP address information, whether ARP attack detection in the local area network. This method implements the detection of second hop routing in the non ROOT environment on the Android platform to determine whether there is a ARP attack in the current network.

【技术实现步骤摘要】
基于Android系统的ARP攻击检测方法、装置及系统
本专利技术涉及移动安全
，尤其涉及一种基于安卓Android系统的ARP攻击检测方法、装置、系统以及移动终端。
技术介绍
ARP(AddressResolutionProtocol，地址解析协议)是一个位于TCP/IP协议栈中的网络层，负责将某个IP地址解析成对应的MAC地址。ARP攻击就是通过伪造IP地址和MAC地址以实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。例如，攻击者向终端设备A发送一个伪造的ARP响应，告诉终端设备A：终端设备B的IP地址192.168.0.2对应的MAC地址是00-aa-00-62-c6-03，终端设备A信以为真，将这个对应关系写入自己的ARP缓存表中，以后发送数据时，将本应该发往终端设备B的数据发送给了攻击者。同样的，攻击者向终端设备B也发送一个伪造的ARP响应，告诉终端设备B：终端设备A的IP地址192.168.0.1对应的MAC地址是00-aa-00-62-c6-03，终端设备B也会将数据发送给攻击者。至此攻击者就控制了终端设备A和终端设备B之间的流量，该攻击者可以选择被动地监测流量，获取密码和其他涉密信息，也可以伪造数据，改变终端设备A和终端设备B之间的通信内容。相关技术中，ARP攻击检测方法通常有以下两种方式：(1)基于全局路由表的检测方法，即获取局域网中的全局路由表，并查看该全局路由表，如果存在至少两个IP对应着同一个MAC，则判定局域网中存在ARP攻击；(2)基于ARP数据包侦听的检测方法，即利用抓包工具(如Wireshark工具等)侦听一段时间内的ARP数据包，如果发现一段时间内，有一台主集在不停地广播ARP包，占用了大量的局域网带宽，则可判定该主机很可能正在进行ARP攻击。但是目前存在的问题是，(1)上述基于全局路由表的检测方法并不能应用在安卓Android移动平台上，因为Android作为局域网的终端设备，无法直接实时监控全局的路由信息，并且，Android系统的移动终端设备不支持非ROOT(拥有系统中所有权限的用户)环境下的ping操作，以导致不能获得局域网的全网IP；(2)Android系统的移动终端设备在非ROOT环境下，无法对原始的ARP数据包进行分析，所以上述基于ARP数据包侦听的检测方法无法使用在非ROOT的Android平台中。
技术实现思路
本专利技术的目的旨在至少在一定程度上解决上述的技术问题之一。为此，本专利技术的第一个目的在于提出一种基于安卓Android系统的ARP攻击检测方法。该方法实现了在非ROOT的Android系统中实现对错误响应数据包的分析侦听，从而探测局域网中第二跳路由地址，根据该第二跳路由地址即可判断当前网络是否存在ARP攻击，提高了移动平台的安全性。本专利技术的第二个目的在于提出另一种基于安卓Android系统的ARP攻击检测方法。本专利技术的第三个目的在于提出又一种基于安卓Android系统的ARP攻击检测方法。本专利技术的第四个目的在于提出再一种基于安卓Android系统的ARP攻击检测方法。本专利技术的第五个目的在于提出一种基于安卓Android系统的ARP攻击检测装置。本专利技术的第六个目的在于提出另一种基于安卓Android系统的ARP攻击检测装置。本专利技术的第七个目的在于提出又一种基于安卓Android系统的ARP攻击检测装置。本专利技术的第八个目的在于提出再一种基于安卓Android系统的ARP攻击检测装置。本专利技术的第九个目的在于提出一种基于安卓Android系统的ARP攻击检测系统。本专利技术的第十个目的在于提出一种移动终端。本专利技术的第十一个目的在于提出另一种移动终端。为达到上述目的，本专利技术第一方面实施例提出的基于安卓Android系统的ARP攻击检测方法，包括：发送UDP网络数据包，其中，所述UDP网络数据包中的目标地址信息为预设的外网IP地址，且所述UDP网络数据包中设置TTL值为2；接收第二跳设备返回的异常ICMP数据包，其中，所述异常ICMP数据包是由所述第二跳设备在接收到所述UDP网络数据包、且将所述TTL值更新为0时发送的；根据所述异常ICMP数据包获取路由第二跳的IP地址信息；根据所述路由第二跳的IP地址信息和预设的网关IP地址信息，检测当前局域网中是否存在ARP攻击。根据本专利技术实施例的基于安卓Android系统的ARP攻击检测方法，通过发送外网UDP网络数据包，其中将该UDP网络数据包中设置TTL值为2，并通过在TTL值更新为0时返回异常ICMP数据包，可以探测到测试端到外网的最初两跳的IP信息，并通过ICMP的错误信息来获取路由第二跳的IP，实现了在非ROOT的Android系统中实现对错误响应数据包的分析侦听，从而探测局域网中第二跳路由地址，根据该第二跳路由地址即可判断当前网络是否存在ARP攻击，提高了移动平台的安全性。根据本专利技术的一个实施例，所述根据所述异常ICMP数据包获取路由第二跳的IP地址信息，包括：检测所述异常ICMP数据包的异常类型；当所述异常类型为TIMEOUT类型时，将所述异常ICMP数据包中的源地址信息作为所述路由第二跳的IP地址信息。根据本专利技术的一个实施例，所述检测所述异常ICMP数据包的异常类型，包括：通过网络数据包附加错误信息的获取方法CMSG，检测所述异常ICMP数据包的异常类型。根据本专利技术的一个实施例，所述根据所述路由第二跳的IP地址信息和预设的网关IP地址信息，检测当前局域网中是否存在ARP攻击，包括：判断所述路由第二跳的IP地址信息是否与预设的网关IP地址信息一致；如果所述路由第二跳的IP地址信息与预设的网关IP地址信息一致，则判定所述当前局域网中存在ARP攻击。为达到上述目的，本专利技术第二方面实施例提出的基于安卓Android系统的ARP攻击检测方法，包括：接收第一跳设备转发的由测试端发送的UDP网络数据包，其中，所述测试端发送的UDP网络数据包中的目标地址信息为预设的外网IP地址，且所述测试端发送的UDP网络数据包中设置TTL值为2，所述第一跳设备转发的UDP网络数据包中所述TTL值更新为1；将接收到的所述UDP网络数据包中的所述TTL值减一；当检测当前TTL值为0时，向所述测试端发送异常ICMP数据包，其中，所述测试端根据所述异常ICMP数据包获取路由第二跳的IP地址信息，并根据所述路由第二跳的IP地址信息和预设的网关IP地址信息，检测当前局域网中是否存在ARP攻击。根据本专利技术实施例的基于安卓Android系统的ARP攻击检测方法，通过测试端发送的外网UDP网络数据包，其中将该UDP网络数据包中设置TTL值为2，并通过在TTL值更新为0时向测试端返回异常ICMP数据包，使得测试端可以探测到测试端到外网的最初两跳的IP信息，并通过ICMP的错误信息来获取路由第二跳的IP，实现了在非ROOT的Android系统中实现对错误响应数据包的分析侦听，从而探测局域网中第二跳路由地址，从而判断当前网络是否存在ARP攻击，提高了移动平台的安全性。为达到上述目的，本专利技术第三方面实施例提出的基于安卓An本文档来自技高网...

【技术保护点】
一种基于安卓Android系统的ARP攻击检测方法，其特征在于，包括以下步骤：发送UDP网络数据包，其中，所述UDP网络数据包中的目标地址信息为预设的外网IP地址，且所述UDP网络数据包中设置TTL值为2；接收第二跳设备返回的异常ICMP数据包，其中，所述异常ICMP数据包是由所述第二跳设备在接收到所述UDP网络数据包、且将所述TTL值更新为0时发送的；根据所述异常ICMP数据包获取路由第二跳的IP地址信息；根据所述路由第二跳的IP地址信息和预设的网关IP地址信息，检测当前局域网中是否存在ARP攻击。

【技术特征摘要】
1.一种基于安卓Android系统的ARP攻击检测方法，其特征在于，包括以下步骤：发送UDP网络数据包，其中，所述UDP网络数据包中的目标地址信息为预设的外网IP地址，且所述UDP网络数据包中设置TTL值为2；接收第二跳设备返回的异常ICMP数据包，其中，所述异常ICMP数据包是由所述第二跳设备在接收到所述UDP网络数据包、且将所述TTL值更新为0时发送的；根据所述异常ICMP数据包获取路由第二跳的IP地址信息；根据所述路由第二跳的IP地址信息和预设的网关IP地址信息，检测当前局域网中是否存在ARP攻击。2.如权利要求1所述的方法，其特征在于，所述根据所述异常ICMP数据包获取路由第二跳的IP地址信息，包括：检测所述异常ICMP数据包的异常类型；当所述异常类型为TIMEOUT类型时，将所述异常ICMP数据包中的源地址信息作为所述路由第二跳的IP地址信息。3.如权利要求2所述的方法，其特征在于，所述检测所述异常ICMP数据包的异常类型，包括：通过网络数据包附加错误信息的获取方法CMSG，检测所述异常ICMP数据包的异常类型。4.如权利要求1至3中任一项所述的方法，其特征在于，所述根据所述路由第二跳的IP地址信息和预设的网关IP地址信息，检测当前局域网中是否存在ARP攻击，包括：判断所述路由第二跳的IP地址信息是否与预设的网关IP地址信息一致；如果所述路由第二跳的IP地址信息与预设的网关IP地址信息一致，则判定所述当前局域网中存在ARP攻击。5.一种基于安卓Android系统的ARP攻击检测方法，其特征在于，包括以下步骤：接收第一跳设备转发的由测试端发送的UDP网络数据包，其中，所述测试端发送的UDP网络数据包中的目标地址信息为预设的外网IP地址，且所述测试端发送的UDP网络数据包中设置TTL值为2，所述第一跳设备转发的UDP网络数据包中所述TTL值更新为1；将接收到的所述UDP网络数据包中的所述TTL值减一；当检测当前TTL值为0时，向所述测试端发送异常ICMP数据包，其中，所述测试端根据所述异常ICMP数据包获取路由第二跳的IP地址信息，并根据所述路由第二跳的IP地址信息和预设的网关IP地址...

【专利技术属性】
技术研发人员：江可航，杨文玉，
申请(专利权)人：北京金山安全软件有限公司，
类型：发明
国别省市：北京,11