本发明专利技术公开了一种应用于移动终端的ARP报文感知方法及装置,移动终端接入网后抓取收到的数据包;若该数据包为ARP数据包,则提取ARP数据包的发送源IP地址和发送源MAC地址;若发送源IP地址为网关IP地址,则保存该发送源MAC地址作为疑似攻击者MAC地址;当疑似攻击者MAC地址存在不同时,则判断存在ARP报文攻击。由于移动终端设备仅接收数据包,无需转发数据包,抓包流程在接收数据包的旁路进行,这样可以在不影响移动终端正常运作的情况下进行ARP攻击感知,能够快速感知到ARP报文攻击,以较小的代价得到较高的准确率。
【技术实现步骤摘要】
应用于移动终端的ARP攻击感知的方法及装置
本专利技术涉及信息安全
,尤其涉及一种应用于移动终端的ARP攻击感知的方法及装置。
技术介绍
ARP协议(AddressResolutionProtocol,地址解析协议),是一个在IPv4协议族中的网络层协议,其基本功能为通过目标设备的IP地址查询到目标设备的MAC地址。出于历史原因,ARP协议在制定之初考虑并不完善,缺少必须的验证机制,导致ARP协议成为了所谓的“君子协议”,网络上存在大量利用ARP协议弱点进行攻击的手段和工具,给网络环境造成了极大的威胁。ARP报文攻击即是常见的攻击手段之一,攻击者利用ARP协议的设计漏洞,伪造ARP报文攻击目标终端(表1示出ARP报文结构)。结合图1所示,若机器A想要进行外网通信,则需要先将发送的数据包传递给网关B,通过它来转发到外网的目标地址。而数据包在链路层传输时需要使用网关B的Mac地址,机器A会根据自己ARP缓存表中记录的网关Mac地址来发送该数据包。由于ARP应答的处理方式缺少验证机制,终端在收到任何符合协议规范的ARP应答包时都会更新自己ARP缓存表中的IP-Mac地址对应关系。若此时,网络中存在攻击者C,则攻击者C会伪装自己为网关B,以一定频率给机器A发送源IP为网关B、源Mac地址为攻击者C的恶意ARP应答包,覆盖机器A中网关的真实Mac地址。此时,机器A会误认为攻击者C的Mac地址为目标网关B的Mac地址,从此机器A外发的数据包都会到达攻击者C,造成流量的误导。若攻击者C再配合中间人攻击手段冒充通信双方则可能进一步利用用户的隐私信息盗取其财物,造成严重的后果。表1虽然ARP报文攻击能造成严重的后果,但是在大众常接触到的WiFi环境中大多未部署ARP攻击感知机制。此外,即使现有设计中在交换机、路由器或网关等网络设备部署ARP攻击感知也存在诸多缺点。比如,由于网关设备的主要任务是转发数据包,在不影响其正常转发任务的情况下势必会降低ARP攻击感知逻辑的探测效率,感知速度慢。另外,即便网关发现了其局域网内存在ARP攻击也无法以较低的代价将该攻击事件反馈到被攻击终端处完成整个上报和处置的流程。
技术实现思路
本专利技术的目的在于提供一种应用于移动终端的ARP攻击感知方法及装置,能够快速感知到ARP报文攻击,以较小的代价得到较高的准确率,保护用户的隐私和财产安全。本专利技术公开了一种应用于移动终端的ARP攻击感知方法,包括以下步骤:移动终端接入网后抓取收到的数据包并判断其是否为ARP数据包;若该数据包为ARP数据包,则提取ARP数据包的发送源IP地址和发送源MAC地址;若发送源IP地址为网关IP地址,则保存该发送源MAC地址作为疑似攻击者MAC地址;当保存的疑似攻击者MAC地址存在不同时,则判断存在ARP报文攻击。进一步的,当保存的疑似攻击者MAC地址存在不同且至少有一个MAC地址对应的ARP数据包的频率超过阈值时,则判断存在ARP报文攻击。进一步的,当判断存在ARP报文攻击后,移动终端向网络中其它设备发送广播信息以获取各设备的IP地址及MAC地址,若有设备的MAC地址与移动终端保存的任一疑似攻击者MAC地址一致,而该设备的IP地址不是网关IP,则判断该设备为攻击者。进一步的,当判断出攻击者后,移动终端将收集的当前网关设备的基本信息及攻击者的IP地址和Mac地址一起上传到用于取证、分析的远程服务器。本专利技术还公开了一种应用于移动终端的ARP攻击感知装置,包括捕获模块、分析模块,其中:所述捕获模块用于当移动终端接入网后抓取收到的数据包并判断其是否为ARP数据包;所述分析模块用于接收捕获模块发送而来的ARP数据包,提取ARP数据包的发送源IP地址和发送源MAC地址;若发送源IP地址为网关IP地址,则保存该发送源MAC地址作为疑似攻击者MAC地址;当保存的疑似攻击者MAC地址存在不同时,则判断存在ARP报文攻击。进一步的,所述分析模块用于当疑似攻击者MAC地址存在不同且至少有一个MAC地址对应的ARP数据包的频率超过阈值时,则判断存在ARP报文攻击。进一步的,所述ARP攻击感知装置还包括溯源模块,所述溯源模块用于当判断存在ARP报文攻击后,向网络中其它设备发送广播信息以获取各设备的IP地址及MAC地址,若有设备的MAC地址与移动终端保存的任一疑似攻击者MAC地址一致,而该设备的IP地址不是网关IP,则判断该设备为攻击者。进一步的,所述ARP攻击感知装置还包括反馈模块,所述反馈模块用于当判断出攻击者后,将收集的当前网关设备的基本信息及攻击者的IP地址和Mac地址一起上传到用于取证、分析的远程服务器。本专利技术与现有技术相比的有益效果:本专利技术在移动终端部署ARP攻击感知,移动终端接入网后抓取收到的数据包;若该数据包为ARP数据包,则提取ARP数据包的发送源IP地址和发送源MAC地址;若发送源IP地址为网关IP地址,则保存该发送源MAC地址作为疑似攻击者MAC地址;当疑似攻击者MAC地址存在不同时,则判断存在ARP报文攻击。由于移动终端设备仅接收数据包,无需转发数据包,抓包流程在接收数据包的旁路进行,这样可以在不影响移动终端正常运作的情况下进行ARP攻击感知,能够快速感知到ARP报文攻击,以较小的代价得到较高的准确率。另外,在移动终端中部署ARP攻击感知逻辑可以在发现ARP攻击事件后立即进行相关的处置流程,以更好地保护用户的隐私和财产安全。附图说明图1为ARP报文攻击原理示意图。图2为本专利技术一种应用于移动终端的ARP攻击感知方法的流程示意图。图3为本专利技术一种应用于移动终端的ARP攻击感知装置的结构示意图。具体实施方式为了使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术作进一步地详细描述。在一些实施例中,结合图2所示,本专利技术公开的应用于移动终端的ARP攻击感知方法包括以下步骤:S100,移动终端接入网后抓取收到的数据包,并判断其是否为ARP数据包。可以理解的,移动终端可以接入WiFi无线局域网、蓝牙对等无线局域网或红外线对等无线局域网等,在本实施例中以WiFi无线局域网为例进行描述。当移动终端连接上WiFi后,通过Pcap或Tcpdump等抓包工具捕获移动终端收到的网络数据包。如果该数据包的类型为ARP,则进行步骤S20,否则重新抓取数据包。S200,包括以下步骤:S201,若该数据包为ARP数据包,则提取ARP数据包的发送源IP地址和发送源MAC地址。S202,若发送源IP地址为网关IP地址,则保存该发送源MAC地址作为疑似攻击者MAC地址。判断该数据包的发送源IP地址是否为已保存的真实的网关IP地址,若是,则保存与该IP地址对应的发送源MAC地址,以作为疑似攻击者MAC地址。否则,抓取下一个ARP数据包。S203,当保存的疑似攻击者MAC地址存在不同时,则判断存在ARP报文攻击。例如,假设网关真实的IP地址为192.168.1.1,MAC地址为AA:BB:CC:DD:EE:FF,移动终端收到了两个发送源IP地址为网关真实IP地址的数据包,当疑似攻击者MAC地址存在不同时,则说明至少有一个是攻击者,因此可以确定网络中存在ARP报文攻击。如表2所示,数据包1和数据包2具有相同的发送源IP地址,而在网络中网关的IP地本文档来自技高网...
【技术保护点】
1.一种应用于移动终端的ARP攻击感知方法,其特征在于,包括以下步骤:移动终端接入网后抓取收到的数据包并判断其是否为ARP数据包;若该数据包为ARP数据包,则提取ARP数据包的发送源IP地址和发送源MAC地址;若发送源IP地址为网关IP地址,则保存该发送源MAC地址作为疑似攻击者MAC地址;当保存的疑似攻击者MAC地址存在不同时,则判断存在ARP报文攻击。
【技术特征摘要】
1.一种应用于移动终端的ARP攻击感知方法,其特征在于,包括以下步骤:移动终端接入网后抓取收到的数据包并判断其是否为ARP数据包;若该数据包为ARP数据包,则提取ARP数据包的发送源IP地址和发送源MAC地址;若发送源IP地址为网关IP地址,则保存该发送源MAC地址作为疑似攻击者MAC地址;当保存的疑似攻击者MAC地址存在不同时,则判断存在ARP报文攻击。2.如权利要求1所述的ARP攻击感知方法,其特征在于,当判断存在ARP报文攻击后,移动终端向网络中其它设备发送广播信息以获取各设备的IP地址及MAC地址,若有设备的MAC地址与移动终端保存的任一疑似攻击者MAC地址一致,而IP地址不是网关IP地址,则判断该设备为攻击者。3.如权利要求2所述的ARP攻击感知方法,其特征在于,当判断出攻击者后,移动终端将收集的当前网关设备的基本信息及攻击者的IP地址和Mac地址一起上传到用于取证、分析的远程服务器。4.如权利要求1所述的ARP攻击感知方法,其特征在于,当保存的疑似攻击者MAC地址存在不同且至少有一个MAC地址对应的ARP数据包的频率超过阈值时,则判断存在ARP报文攻击。5.一种应用于移动终端的ARP攻击感知装置,其特征在于,包括捕获模块、分析模...
【专利技术属性】
技术研发人员:关杰文,宋正义,张丽红,马志远,
申请(专利权)人:武汉安天信息技术有限责任公司,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。