本发明专利技术实施例公开了一种自动检测假冒主机ARP欺骗的方法,包括数据采集方法和ARP欺骗检测方法,数据采集程序使用SNMP协议自动定时获取三层设备的ARP表并保存到数据库,检测方法包括初步筛选和分析确认两个阶段,初步筛选获取数据库中一个MAC地址对应的不同IP地址数大于某个阈值的记录,然后对初步筛选结果的每一个MAC地址进行分析确认,通过白名单、分析ipNetToMediaType的值、分析IP地址的分布范围和时态变化规律等技术手段,排除路由器等网络设备本身的MAC地址、一个计算机运行多个虚拟机等特殊情况之后才确认其是ARP欺骗。
【技术实现步骤摘要】
一种自动检测假冒主机ARP欺骗的方法
本专利技术涉及网络通信
,尤其涉及一种自动检测假冒主机ARP欺骗的方法。
技术介绍
ARP是AddressResolutionProtocol的简称,既地址解析协议,ARP的功能是在IP(InternetProtocol)地址和MAC(MediaAccessControl)地址之间提供动态映射。ARP协议设计的初衷假设网络中的主机和数据包都是可信的,但是事实远非如此,ARP欺骗对网络安全造成巨大安全隐患,许多局域网LAN(LocalAreaNetwork)都深受其害,有些ARP欺骗是病毒造成的,也有些是人为精心设计的非法监听和恶意假冒的网络攻击。为了对付ARP欺骗人们采取了许多方法:包括在计算机安装ARP防火墙,在计算机和网关双向绑定MAC-IP地址,网络管理员通过网络抓包检测ARP欺骗,发现ARP欺骗后操作交换机封闭其端口,在网络设备启用DHCPSnooping(DHCP监听)IPSourceGuard(IP源地址保护)和DAI(动态ARP检查DynamicARPInspection),分析路由器的ARP表检测ARP欺骗等。但是上述方法都有一些缺点:在用户计算机上安装ARP防火墙难以集中管理,ARP防火墙防己不防人,甚至有些ARP防火墙以攻击来对抗攻击以至于对整个网络带来危害;双向绑定MAC-IP的维护工作量巨大,并且不能适应越来越多的笔记本电脑以及WiFi环境;通过网络抓包只能检测到当前正在发生的ARP欺骗,在交换网络中监听不同的网段需要频繁切换端口或者配置不同的端口镜像,抓包分析工作量很大并且对网络管理员有比较高的技术要求;启用DHCPSnooping、IPSourceGuard和DAI对整个网络环境和交换机设备有比较高的要求,许多中低端的交换机(例如Cisco2960)都不支持,此外在人工设置静态IP和DHCP并存的网络环境中IPSourceGuard依然需要静态绑定MAC-IP;除了DAI之外还有许多其他的防范ARP欺骗的方法也都对现有的网络具有“侵入性”,需要改变网络协议,需要更改现有的网络设备,这些方法即使在理论上很完善在现实中仍然难以推广;现在有一些“非侵入性”的通过分析路由器的ARP表检测假冒主机ARP欺骗的方法,但是这些方法中有些没有保存路由器的ARP表到数据库,其他的方法由于没有找到MAC-IP保存到数据库的最佳策略而导致丢失历史记录或者因为保存了大量重复数据导致系统性能下降,并且现有的方法由于没有排除网关的MAC地址、运行多虚拟机的计算机、笔记本电脑移动办公等特殊情况而会导致误判。
技术实现思路
本专利技术实施例所要解决的技术问题在于,提供一种自动检测假冒主机ARP欺骗的方法。本专利技术可适应于各种网络环境和网络设备、并且不会误判。为了解决上述技术问题,本专利技术实施例提供了一种自动检测假冒主机ARP欺骗的方法,包括数据采集方法和ARP欺骗检测方法,所述数据采集方法包括对于采集到的每一个MAC-IP记录,首先查询数据库原有记录中MAC地址等于该MAC地址的最新时间戳或者查询MAC地址等于该MAC地址的最大的自增长字段编号,然后查询原有记录中MAC地址等于该MAC地址并且时间戳等于最新时间戳的记录或者查询自增长字段的值等于刚才查询到的最大自增长字段编号的记录,如果该记录存在并且其IP地址等于采集到的IP地址则更新原有记录的时间戳为当前时间,否则插入一条新记录;所述ARP欺骗检测方法包括对MAC地址对应的不同IP地址数进行检测,当其超过设定阀值时加入疑似ARP欺骗列表。进一步地,所述ARP欺骗检测方法还包括对于初步筛选的每一个疑似ARP欺骗进行分析确认,确认过程采用排除法,通过白名单、分析ipNetToMediaType的值、分析IP地址的分布规律和时态变化规律中的至少一种方式,排除路由器等网络设备本身的MAC地址、一台计算机运行多个虚拟机等情况,最终确认其是否ARP欺骗。更进一步地,所述阀值取值范围为2-10,默认值为3。实施本专利技术实施例,具有如下有益效果:本专利技术能够适应于各种网络环境和网络设备,对现有网络没有“侵入性”,能够处理各种复杂情况,且避免产生误判,在数据库中既保存MAC-IP地址的最新记录又保留历史变化,既能够满足后续的初步筛选、分析确认查询需求,并且由于没有保存大量的重复记录,系统的性能保持良好,一台普通的服务器就能支持由成千上万网络设备(交换机和路由器)、数十万台计算机组成的大型网络的假冒主机ARP欺骗的自动检测。附图说明图1是自动检测假冒主机ARP欺骗的结构图;图2是数据库的部分数据字典的示意图;图3是数据采集程序采集ARP表并保存到数据库的流程图;图4是检测假冒主机ARP欺骗算法的流程图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术作进一步地详细描述。本专利技术实施公开了一种自动检测假冒主机ARP欺骗的方法,拓扑结构图如图1所示,包括数据采集方法和ARP欺骗检测方法两部分,检测方法包括初步筛选和分析确认。1.数据采集程序数据采集程序使用SNMP协议自动定时获取三层设备(路由器、三层交换机、防火墙等工作在TCP/IP协议第三层的设备)的ARP表并保存到数据库,采集频率要小于设备ARP表的过期时间(通常默认是20分钟),否则可能会丢失数据,通常设置采样频率为10分钟。程序采集网络设备的ARP表主要有两种方式:SNMP(SimpleNetworkManagementProtocol)协议和CLI(CommandLineInterface)命令行。CLI命令行原本用于人机交互过程,用来采集ARP表有许多缺点,首先命令行方式对设备的适应能力差,不同厂家的设备指令类型完全不同,即使是同一台设备当软件配置不同时需要输入的指令序列也不尽相同,此外程序用命令行方式获取ARP表需要执行很多步骤,包括连接到交换机(TELNET/SSH)、输入账号、输入密码、进入配置模式,执行查看ARP的命令showiparp(Cisco的设备)或者disparp(华为设备)、解析返回的结果等,特别是当ARP条目比较多时候需要非常多次的翻页操作,流程复杂并且性能低。本专利技术采用SNMP的方式采集数据,目前的网络设备都支持SNMP协议,由于采集ARP表不涉及私有MIB(ManagementInformationBase),通过SNMP协议采集网络设备的ARP表和设备的厂商型号以及软件配置完全无关。SNMPv2提供了Get-Bulk原语,能够以批量的方式获取数据,大大减少了应用程序和网络设备的交互次数,提高了性能并简化了编程。根据原有标准RFC1213ARP表对应的MIB是ipNetToMediaTable而新标准RFC4293是ipNetToPhysicalTable,本专利技术以当前普遍使用的ipNetToMediaTable进行说明,一个ipNetToMediaTable可以包含多个ipNetToMediaEntry(OID:1.3.6.1.2.1.4.22.1),每一个ipNetToMediaEntry包括以下数据项:1.3.6.1.2.1.4.22.1.1-ipNetToMediaIfIndex1.3.6.1.2.1.4.22.1.2本文档来自技高网...
【技术保护点】
一种自动检测假冒主机ARP欺骗的方法,其特征在于,包括数据采集方法和ARP欺骗检测方法,所述数据采集方法包括对于采集到的每一个MAC‑IP记录,首先查询数据库原有记录中MAC地址等于该MAC地址的最新时间戳或者查询MAC地址等于该MAC地址的最大的自增长字段编号,然后查询原有记录中MAC地址等于该MAC地址并且时间戳等于最新时间戳的记录或者查询自增长字段的值等于刚才查询到的最大自增长字段编号的记录,如果该记录存在并且其IP地址等于采集到的IP地址则更新原有记录的时间戳为当前时间,否则插入一条新记录;所述ARP欺骗检测方法包括对每个MAC地址对应的不同IP地址数进行检测,当其超过设定阀值时加入疑似ARP欺骗列表。
【技术特征摘要】
1.一种自动检测假冒主机ARP欺骗的方法,其特征在于,包括数据采集方法和ARP欺骗检测方法,所述数据采集方法包括对于采集到的每一个MAC-IP记录,首先查询数据库原有记录中MAC地址等于该MAC地址的最新时间戳或者查询MAC地址等于该MAC地址的最大的自增长字段编号,然后查询原有记录中MAC地址等于该MAC地址并且时间戳等于最新时间戳的记录或者查询自增长字段的值等于刚才查询到的最大自增长字段编号的记录,如果该记录存在并且其IP地址等于采集到的IP地址则更新原有记录的时间戳为当前时间,否则插入一条新记录;所述ARP欺骗检测方法包括对每个...
【专利技术属性】
技术研发人员:吉杰,蔡伟鸿,翁楚强,姚佑川,
申请(专利权)人:汕头大学,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。