本发明专利技术提供一种ARP攻击的检测方法及装置,判断局域网内电子设备的网络连接状态是否异常,且判断局域网对应的交换机的ARP表中是否存在至少两个相同的MAC地址,若ARP表中存在至少两个相同的MAC地址,确定ARP攻击主机已经将被攻击主机的MAC地址更改为ARP攻击主机的MAC地址,再判断ARP表中与相同的MAC地址对应的电子设备是否是网络连接状态异常的电子设备;若是网络连接状态异常的电子设备,则网络连接状态异常的电子设备受到ARP攻击。实现了通过查找ARP表的方式检测电子设备是否受到ARP攻击的目的,不需要逐一在电子设备上输入ARP命令,才能判断电子设备是否受到ARP攻击,提高了检测效率,缩短了检测是否受到ARP攻击的检测周期。
【技术实现步骤摘要】
一种ARP攻击的检测方法及装置
本专利技术属于ARP攻击
,尤其涉及一种ARP攻击的检测方法及装置。
技术介绍
ARP(AddressResolutionProtocol,地址解析协议)攻击发生在局域网内,通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。具体地,ARP攻击主机只要持续不断的发出伪造的ARP响应包就能更改被攻击主机内ARP缓存中的IP-MAC条目,将被攻击主机的MAC地址更改为ARP攻击主机的MAC地址,造成被攻击主机的网络中断。为了避免局域网网络内电子设备因受到ARP攻击,导致局域网内通信故障,需要及时检测出已经受到ARP攻击的电子设备,并排除此ARP攻击。目前检测电子设备是否受到ARP攻击的方法是:判断局域网内的每台电子设备是否网络连接异常。由于造成网络异常的原因很多,因此需要进一步确定造成电子设备发生网络异常的原因是否是受到了ARP攻击。针对网络异常的每台电子设备,分别输入ARP命令,进而获知每台电子设备连接在交换机中的网关、IP地址以及MAC地址。依据网关、IP地址以及MAC地址,判断每台电子设备是否受到了ARP攻击。由于需要逐一检测局域网内的每台电子设备是否网络异常,并在每台网络异常的电子设备上分别输入ARP命令,进而才能检测得到每台发生网络异常的电子设备是否都受到了ARP攻击,导致判断局域网内每台电子设备是否受到ARP攻击的检测周期长。
技术实现思路
有鉴于此,本专利技术的目的在于提供一种ARP攻击的检测方法及装置,以解决现有技术中对局域网内电子设备是否受到ARP攻击的检测方法中,检测周期长的问题。技术方案如下:本专利技术提供一种ARP攻击的检测方法,包括:判断局域网内电子设备的网络连接状态是否异常,且与所述局域网对应的交换机的ARP表中是否存在至少两个相同的MAC地址;若所述局域网内电子设备的网络连接状态异常,且所述ARP表中存在至少两个相同的MAC地址,则查找所述ARP表中与相同的MAC地址对应的电子设备;判断所述ARP表中与相同的MAC地址对应的电子设备是否分别是所述网络连接状态异常的电子设备;若所述ARP表中与相同的MAC地址对应的电子设备是网络连接状态异常的电子设备,则所述网络连接状态异常的电子设备受到ARP攻击。优选地,所述判断所述ARP表中与相同的MAC地址对应的电子设备是否分别是所述网络连接状态异常的电子设备,包括:获取所述局域网内所述网络连接状态异常的电子设备对应的IP地址;获取所述ARP表中相同的MAC地址对应的IP地址;比较所述ARP表中相同的MAC地址对应的IP地址是否分别与所述网络连接状态异常的电子设备对应的IP地址相同。优选地,所述判断所述ARP表中与相同的MAC地址对应的电子设备是否分别是所述网络连接状态异常的电子设备,包括:获取所述局域网内所述网络连接状态异常的电子设备对应的IP地址;在所述ARP表中获取与所述网络连接状态异常的电子设备对应的IP地址对应的MAC地址;比较所述ARP表中相同的MAC地址是否分别与所述网络连接状态异常的电子设备对应的MAC地址相同。优选地,所述判断局域网内电子设备的网络连接状态是否异常,包括:向所述局域网内电子设备分别发送预定数量的数据包;预定时间内检测接收到的电子设备返回的数据包的个数;判断电子设备返回的数据包的个数与所述预定数量是否相同;若电子设备返回的数据包的个数与所述预定数量相同,则电子设备的网络连接状态正常;若电子设备返回的数据包的个数与所述预定数量不同,则电子设备的网络连接状态异常。优选地,所述若所述ARP表中与相同的MAC地址对应的电子设备是网络连接状态异常的电子设备,则所述网络连接状态异常的电子设备受到ARP攻击后,还包括:若所述ARP表中与相同的MAC地址对应的电子设备是网络连接状态正常的电子设备,则禁止所述网络连接状态正常的电子设备的网卡。本专利技术还提供一种ARP攻击的检测装置,包括:第一判断单元,用于判断局域网内电子设备的网络连接状态是否异常,且与所述局域网对应的交换机的ARP表中是否存在至少两个相同的MAC地址;查找单元,用于若所述局域网内电子设备的网络连接状态异常,且所述ARP表中存在至少两个相同的MAC地址,则查找所述ARP表中与相同的MAC地址对应的电子设备;第二判断单元,用于判断所述ARP表中与相同的MAC地址对应的电子设备是否分别是所述网络连接状态异常的电子设备;若所述ARP表中与相同的MAC地址对应的电子设备是网络连接状态异常的电子设备,则所述网络连接状态异常的电子设备受到ARP攻击。优选地,所述第二判断单元,包括:第一获取单元,用于获取所述局域网内所述网络连接状态异常的电子设备对应的IP地址;第二获取单元,用于获取所述ARP表中相同的MAC地址对应的IP地址;第一比较单元,用于比较所述ARP表中相同的MAC地址对应的IP地址是否分别与所述网络连接状态异常的电子设备对应的IP地址相同。优选地,所述第二判断单元,包括:第三获取单元,用于获取所述局域网内所述网络连接状态异常的电子设备对应的IP地址;第四获取单元,用于在所述ARP表中获取与所述网络连接状态异常的电子设备对应的IP地址对应的MAC地址;第二比较单元,用于比较所述ARP表中相同的MAC地址是否分别与所述网络连接状态异常的电子设备对应的MAC地址相同。优选地,所述第一判断单元包括:发送单元,用于向所述局域网内电子设备分别发送预定数量的数据包;接收单元,用于预定时间内检测接收到的电子设备返回的数据包的个数;第三判断单元,用于判断电子设备返回的数据包的个数与所述预定数量是否相同;若电子设备返回的数据包的个数与所述预定数量相同,则电子设备的网络连接状态正常;若电子设备返回的数据包的个数与所述预定数量不同,则电子设备的网络连接状态异常。优选地,所述检测装置还包括:禁止单元,用于若所述ARP表中与相同的MAC地址对应的电子设备是网络连接状态正常的电子设备,则禁止所述网络连接状态正常的电子设备的网卡。与现有技术相比,本专利技术中判断局域网内电子设备的网络连接状态是否异常,且判断局域网对应的交换机的ARP表中是否存在至少两个相同的MAC地址,由于ARP表中存储的是整个局域网内全部电子设备的IP地址和与IP地址对应的MAC地址,因此当ARP表中存在至少两个相同的MAC地址时,可以确定是位于局域网内的ARP攻击主机已经将被攻击主机的MAC地址更改为ARP攻击主机的MAC地址,即攻击主机对应的MAC地址与被攻击主机对应的MAC地址相同。为了定位局域网内受到ARP攻击的电子设备,判断ARP表中与相同的MAC地址一一对应的电子设备是否分别是网络连接状态异常的电子设备;若是网络连接状态异常的电子设备,则说明电子设备受到ARP攻击后,造成了电子设备的网络中断,即所述网络连接状态异常的电子设备受到ARP攻击。本申请中通过查找ARP表的方式,实现了检测局域网内网络连接状态异常的电子设备是否受到ARP攻击的功能,而不需要逐一在每台电子设备上输入ARP命令,进而判断每台电子设备是否受到ARP攻击,提高了检测效率,缩短了检测是否受到ARP攻击的检测周期。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实本文档来自技高网...
【技术保护点】
一种ARP攻击的检测方法,其特征在于,包括:判断局域网内电子设备的网络连接状态是否异常,且与所述局域网对应的交换机的ARP表中是否存在至少两个相同的MAC地址;若所述局域网内电子设备的网络连接状态异常,且所述ARP表中存在至少两个相同的MAC地址,则查找所述ARP表中与相同的MAC地址对应的电子设备;判断所述ARP表中与相同的MAC地址对应的电子设备是否分别是所述网络连接状态异常的电子设备;若所述ARP表中与相同的MAC地址对应的电子设备是网络连接状态异常的电子设备,则所述网络连接状态异常的电子设备受到ARP攻击。
【技术特征摘要】
1.一种ARP攻击的检测方法,其特征在于,包括:判断局域网内电子设备的网络连接状态是否异常,且与所述局域网对应的交换机的ARP表中是否存在至少两个相同的MAC地址;若所述局域网内电子设备的网络连接状态异常,且所述ARP表中存在至少两个相同的MAC地址,则查找所述ARP表中与相同的MAC地址对应的电子设备;判断所述ARP表中与相同的MAC地址对应的电子设备是否分别是所述网络连接状态异常的电子设备;若所述ARP表中与相同的MAC地址对应的电子设备是网络连接状态异常的电子设备,则所述网络连接状态异常的电子设备受到ARP攻击。2.根据权利要求1所述的检测方法,其特征在于,所述判断所述ARP表中与相同的MAC地址对应的电子设备是否分别是所述网络连接状态异常的电子设备,包括:获取所述局域网内所述网络连接状态异常的电子设备对应的IP地址;获取所述ARP表中相同的MAC地址对应的IP地址;比较所述ARP表中相同的MAC地址对应的IP地址是否分别与所述网络连接状态异常的电子设备对应的IP地址相同。3.根据权利要求1所述的检测方法,其特征在于,所述判断所述ARP表中与相同的MAC地址对应的电子设备是否分别是所述网络连接状态异常的电子设备,包括:获取所述局域网内所述网络连接状态异常的电子设备对应的IP地址;在所述ARP表中获取与所述网络连接状态异常的电子设备对应的IP地址对应的MAC地址;比较所述ARP表中相同的MAC地址是否分别与所述网络连接状态异常的电子设备对应的MAC地址相同。4.根据权利要求1-3任一项所述的检测方法,其特征在于,所述判断局域网内电子设备的网络连接状态是否异常,包括:向所述局域网内电子设备分别发送预定数量的数据包;预定时间内检测接收到的电子设备返回的数据包的个数;判断电子设备返回的数据包的个数与所述预定数量是否相同;若电子设备返回的数据包的个数与所述预定数量相同,则电子设备的网络连接状态正常;若电子设备返回的数据包的个数与所述预定数量不同,则电子设备的网络连接状态异常。5.根据权利要求1-3任一项所述的检测方法,其特征在于,所述若所述ARP表中与相同的MAC地址对应的电子设备是网络连接状态异常的电子设备,则所述网络连接状态异常的电子设备受到ARP攻击后,还包括:若所述ARP表中与相同的MAC地址对应的电子设备是网络连接状态正常的电子设备,...
【专利技术属性】
技术研发人员:沈文策,
申请(专利权)人:福建中金在线信息科技有限公司,
类型:发明
国别省市:福建,35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。