本发明专利技术公开了一种应用于网关的ARP报文攻击检测方法及装置,本发明专利技术中,网关构造特殊ARP请求包,通过“钓鱼”的模式,即网关明知自己的IP、MAC地址却依然向网络中其余设备请求自己的地址,从而让攻击者就范,以实现ARP报文攻击检测。即便攻击者的目的机器不是网关,但网关仍然可以收到ARP报文攻击包,实现准确无误的ARP报文攻击检测。另外,本发明专利技术ARP报文攻击检测依然部署于网关设备中,因此只需对现有网关做一定改进即可,实现方便,成本低廉。
【技术实现步骤摘要】
应用于网关的ARP报文攻击检测方法及装置
本专利技术涉及信息安全
,尤其涉及ARP报文攻击检测方法及装置。
技术介绍
ARP协议(AddressResolutionProtocol,地址解析协议),是一个在IPv4协议族中的网络层协议,其基本功能为通过目的设备的IP地址查询到目的设备的MAC地址。出于历史原因,ARP协议在制定之初考虑并不完善,缺少必须的验证机制,导致ARP协议成为了所谓的“君子协议”,网络上存在大量利用ARP协议弱点进行攻击的手段和工具,给网络环境造成了极大的威胁。ARP报文攻击即是常见的攻击手段之一,即是攻击者利用ARP协议的设计漏洞,伪造ARP报文攻击目的终端。ARP包一般分为请求包和响应包两种,请求包为广播包,响应包为单播包。结合图1所示,若机器A需要将发送的数据包通过网关B来是实现外网通信,而数据包在链路层传输时需要使用网关B的Mac地址,但对于机器A来说,一开始仅知道网关B的IP地址,因此还需要获得网关B的MAC地址。此时,机器A会发送ARP广播以请求网关B的MAC地址,若网络中存在攻击者C,则攻击者C会伪装自己为网关B从而把自己的MAC地址发送给机器A。ARP应答的处理方式是先到先得,若攻击者C的恶意ARP应答包先于网关B的应答包到达机器A,则机器A即会认为攻击者C为目的网关B,从此机器A外发的数据包都会到达攻击者C,造成流量的误导。若攻击者C再配合中间人攻击手段冒充通信双方则可能进一步利用用户的隐私信息盗取其财物,造成严重的后果。目前针对上述ARP报文攻击的检测,主要是通过抓取广播的ARP请求包并记录其中的请求方的MAC和IP的对应关系,若该对应关系变动,则认为发生了ARP报文攻击,但由于可能存在正常的变动,即该方法会导致一定的误报。尤其对于网关来说,其进行ARP报文攻击检测时相对于普通客户机拥有“自己是网关”这个前提,即它自身若能检测到任一ARP响应包说明该包内容是网关的ARP响应包且该包中的MAC地址与自身不同,则可直接认为发生了ARP报文攻击,该场景下是没有误报情况的。但由于ARP响应包大多情况下为单播包,即若攻击的目的机器不是网关则网关很有可能无法收到该包,因此网关会无法有效检测该种情况的ARP报文攻击。
技术实现思路
本专利技术的目的在于提供一种应用于网关的ARP报文攻击检测方法及装置,即便攻击者的目的机器不是网关,但网关仍然可以收到ARP报文攻击包,实现准确无误的ARP报文攻击检测。本专利技术公开了一种应用于网关的ARP报文攻击检测方法,包括以下步骤:网关构造特殊ARP请求包,所述特殊ARP请求包的源IP地址和源MAC地址分别为该网关的IP地址和MAC地址,目的IP地址为网关IP地址,目的MAC地址为广播地址,ARP操作的内容为ARP请求;当网关收到的应答包中的源IP地址为网关IP地址,源MAC地址为非网关MAC地址时,判断网络中存在ARP报文攻击。相应的,本专利技术公开了一种应用于网关的ARP报文攻击检测该装置包括请求包构造模块、检测模块,其中:请求包构造模块用于为网关构造特殊ARP请求包,所述特殊ARP请求包的源IP地址和源MAC地址分别为该网关的IP地址和MAC地址,目的IP地址为网关IP地址,目的MAC地址为广播地址,ARP操作的内容为ARP请求。检测模块用于当网关收到的应答包中的源IP地址为网关IP地址,源MAC地址为非网关MAC地址时,判断网络中存在ARP报文攻击。本专利技术还公开了一种应用于网关的ARP报文攻击检测方法,包括以下步骤:网关构造特殊ARP请求包,所述特殊ARP请求包的源IP地址和源MAC地址均为广播地址,目的IP地址为网关真实IP,目的MAC地址为广播地址,ARP操作的内容为ARP请求;当网关收到的应答包中的源IP地址为网关IP地址,源MAC地址为非网关MAC地址时,判断网络中存在ARP报文攻击。相应的,本专利技术还公开了应用于网关的ARP报文攻击检测装置,该装置包括请求包构造模块、检测模块,其中:请求包构造模块用于为网关构造特殊ARP请求包,所述特殊ARP请求包的源IP地址和源MAC地址均为广播地址,目的IP地址为网关IP,目的MAC地址为广播地址,ARP操作的内容为ARP请求;检测模块用于当网关收到的应答包中的源IP地址为网关IP地址,源MAC地址为非网关MAC地址时,判断网络中存在ARP报文攻击。本专利技术还公开了第三种应用于网关的ARP报文攻击检测方法,包括以下步骤:网关构造特殊ARP请求包,所述特殊ARP请求包的源IP地址和源MAC地址分别为该网关的IP地址和MAC地址,目的IP地址为已知安全机器的IP地址,目的MAC地址为广播地址,ARP操作的内容为ARP请求;当网关收到的应答包中的源IP地址为机器A的IP地址,源MAC地址为非机器A的MAC地址时,判断网络中存在ARP报文攻击。相应的,应用于网关的ARP报文攻击检测装置,包括请求包构造模块、检测模块,其中:请求包构造模块,用于为网关构造特殊ARP请求包,所述特殊ARP请求包的源IP地址和源MAC地址分别为该网关的IP地址和MAC地址,目的IP地址为已知安全机器的IP地址,目的MAC地址为广播地址,ARP操作的内容为ARP请求;检测模块,用于当网关收到的应答包中的源IP地址为已知安全机器的IP地址,源MAC地址为非已知安全机器的MAC地址时,判断网络中存在ARP报文攻击。本专利技术与现有技术相比的有益效果:在本专利技术中,网关构造特殊ARP请求包,通过“钓鱼”的模式,即网关明知自己的IP、MAC地址却依然向网络中其余设备请求自己的地址,从而让攻击者就范,以实现ARP报文攻击检测。即便攻击者的目的机器不是网关,但网关仍然可以收到ARP报文攻击包,实现准确无误的ARP报文攻击检测。另外,本专利技术ARP报文攻击检测依然部署于网关设备中,因此只需对现有网关做一定改进即可,实现方便,成本低廉。附图说明图1为ARP报文攻击的原理示意图。图2为本专利技术一种应用于网关的ARP报文攻击检测方法的流程图。图3为图2所示检测方法的实施例示意图。图4为本专利技术一种应用于网关的ARP报文攻击检测装置的结构示意图。图5为本专利技术另一种应用于网关的ARP报文攻击检测方法的流程图。图6为图5所示检测方法的实施例示意图。图7为本专利技术另一种应用于网关的ARP报文攻击检测装置的结构示意图。图8为本专利技术第三种应用于网关的ARP报文攻击检测方法的流程图。图9为图8所示检测方法的实施例示意图。具体实施方式为了使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术作进一步地详细描述。本领域技术人员可以理解的,如表1所示,ARP数据包包含ARP操作、源MAC地址、源IP地址、目的IP地址、目的MAC地址和ARP操作等几部分数据。表1ARP操作源MAC地址源IP地址目的MAC地址目的IP地址对于ARP请求包来说,其源IP地址和源MAC地址为发起方的IP地址和MAC地址,目的IP为请求方想请求的目的IP地址,目的MAC地址用0xFF填充,表示未知。对于ARP响应包来说,其源IP地址和源MAC地址为响应方IP地址和MAC地址,目的IP地址和目的MAC地址是响应的请求方的IP地址和MAC地址。通常情况下,发送ARP请求为广播,因为此时不知道目的本文档来自技高网...
【技术保护点】
1.应用于网关的ARP报文攻击检测方法,其特征在于,包括以下步骤:网关构造特殊ARP请求包,所述特殊ARP请求包的源IP地址和源MAC地址分别为该网关的IP地址和MAC地址,目的IP地址为网关IP地址,目的MAC地址为广播地址,ARP操作的内容为ARP请求;当网关收到的应答包中的源IP地址为网关IP地址,源MAC地址为非网关MAC地址时,判断网络中存在ARP报文攻击。
【技术特征摘要】
1.应用于网关的ARP报文攻击检测方法,其特征在于,包括以下步骤:网关构造特殊ARP请求包,所述特殊ARP请求包的源IP地址和源MAC地址分别为该网关的IP地址和MAC地址,目的IP地址为网关IP地址,目的MAC地址为广播地址,ARP操作的内容为ARP请求;当网关收到的应答包中的源IP地址为网关IP地址,源MAC地址为非网关MAC地址时,判断网络中存在ARP报文攻击。2.应用于网关的ARP报文攻击检测该装置,其特征在于,该装置包括请求包构造模块、检测模块,其中:所述请求包构造模块,用于为网关构造特殊ARP请求包,所述特殊ARP请求包的源IP地址和源MAC地址分别为该网关的IP地址和MAC地址,目的IP地址为网关IP地址,目的MAC地址为广播地址,ARP操作的内容为ARP请求;所述检测模块,用于当网关收到的应答包中的源IP地址为网关IP地址,源MAC地址为非网关MAC地址时,判断网络中存在ARP报文攻击。3.应用于网关的ARP报文攻击检测方法,其特征在于,包括以下步骤:网关构造特殊ARP请求包,所述特殊ARP请求包的源IP地址和源MAC地址均为广播地址,目的IP地址为网关真实IP,目的MAC地址为广播地址,ARP操作的内容为ARP请求;当网关收到的应答包中的源IP地址为网关IP地址,源MAC地址为非网关MAC地址时,判断网络中存在ARP报文攻击。4.应用于网关的ARP报文攻击检测装置,其特征在于,该装置包括请求包构造模块、检测模块,其中:所述请求包构造模块,用于为网关构造特殊ARP请求包,所述特殊ARP请求包的源IP地址和源MAC地址均为广播地址,目的IP地址...
【专利技术属性】
技术研发人员:徐浩,董超,钟翔,马志远,
申请(专利权)人:武汉安天信息技术有限责任公司,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。