本发明专利技术公开了一种ARP报文攻击检测的方法及装置,客户端构造特殊ARP请求包,通过“钓鱼”的模式,即客户端明知某安全设备的IP、MAC地址却依然向网络中其余设备请求该安全设备的地址,从而让攻击者就范,以实现ARP报文攻击检测。即便攻击者的目的机器不是该客户端,但此客户端仍然可以收到ARP报文攻击包,实现准确无误的ARP报文攻击检测。本发明专利技术通用性强,可以适用于移动终端、PC端,下级路由器等各种客户端,能够快速检测到ARP报文攻击,以较小的代价得到较高的准确率,保护用户的隐私和财产安全。
【技术实现步骤摘要】
一种ARP报文攻击检测方法及装置
本专利技术涉及信息安全
,尤其涉及一种ARP报文攻击检测的方法及装置。
技术介绍
ARP协议(AddressResolutionProtocol,地址解析协议),是一个在IPv4协议族中的网络层协议,其基本功能为通过目标设备的IP地址查询到目标设备的MAC地址。出于历史原因,ARP协议在制定之初考虑并不完善,缺少必须的验证机制,导致ARP协议成为了所谓的“君子协议”,网络上存在大量利用ARP协议弱点进行攻击的手段和工具,给网络环境造成了极大的威胁。ARP报文攻击即是常见的攻击手段之一,攻击者利用ARP协议的设计漏洞,伪造ARP报文攻击目标终端(表1示出ARP报文结构)。结合图1所示,若机器A想要与客户端B通信,则机器A会向网络中发送ARP请求包,而客户端B会在收到该请求包后会回复一个ARP应答包。由于ARP应答的处理方式缺少验证机制,终端在收到任何符合协议规范的ARP应答包时都会更新自己ARP缓存表中的IP-Mac地址对应关系。若此时,网络中存在攻击者C,则攻击者C会伪装自己为客户端B,以一定频率给机器A发送源IP为客户端B、源Mac地址为攻击者C的恶意ARP应答包,覆盖机器A中网关的真实Mac地址。此时,机器A会误认为攻击者C的Mac地址为目标客户端B的Mac地址,从此机器A外发的数据包都会到达攻击者C,造成流量的误导。若攻击者C再配合中间人攻击手段冒充通信双方则可能进一步利用用户的隐私信息盗取其财物,造成严重的后果。表1当前,有研究人员根据网关和移动终端的特点分别部署了相应的ARP报文攻击检测方法,其具有通用性不强的特点,不能满足用户的需求。
技术实现思路
本专利技术的目的在于提供一种应用于客户端的ARP检测方法及装置,具有通用性强,能够快速检测到ARP报文攻击,以较小的代价得到较高的准确率,保护用户的隐私和财产安全。本专利技术公开了一种ARP报文攻击检测方法,应用于客户端,包括以下步骤:客户端构造特殊ARP请求包,所述特殊ARP请求包的源IP地址和源MAC地址分别为该客户端的IP地址和MAC地址,目的IP地址为已知安全机器的IP地址,目的MAC地址为广播地址,ARP操作的内容为ARP请求;当客户端收到的应答包中的源IP地址为该安全机器的IP地址,源MAC地址为非安全机器的MAC地址时,判断网络中存在ARP报文攻击。本专利技术还公开了一种ARP报文攻击检测装置,应用于客户端,该检测装置包括请求包构造模块、检测模块,其中:请求包构造模块,用于为客户端构造特殊ARP请求包,所述特殊ARP请求包的源IP地址和源MAC地址分别为该客户端的IP地址和MAC地址,目的IP地址为已知安全机器的IP地址,目的MAC地址为广播地址,ARP操作的内容为ARP请求;检测模块,用于当客户端收到的应答包中的源IP地址为该安全机器的IP地址,源MAC地址为非安全机器的MAC地址时,判断网络中存在ARP报文攻击。本专利技术与现有技术相比的有益效果:本专利技术为检测ARP报文攻击提出了一种新的思路,客户端构造特殊ARP请求包,通过“钓鱼”的模式,即客户端明知某安全设备的IP、MAC地址却依然向网络中其余设备请求该安全设备的地址,从而让攻击者就范,以实现ARP报文攻击检测。即便攻击者的目的机器不是该客户端,但此客户端仍然可以收到ARP报文攻击包,实现准确无误的ARP报文攻击检测。本专利技术通用性强,可以适用于移动终端、PC端,下级路由器等各种客户端,能够快速检测到ARP报文攻击,以较小的代价得到较高的准确率,保护用户的隐私和财产安全。附图说明图1为ARP报文攻击原理示意图。图2为本专利技术一种应用于客户端的ARP检测方法的流程示意图。图3为本专利技术一种应用于客户端的ARP检测装置的结构示意图。图4为本专利技术一种应用于客户端的ARP检测装置的结构示意图。具体实施方式为了使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术作进一步地详细描述。本领域技术人员可以理解的,如表1所示,ARP数据包包含ARP操作、源MAC地址、源IP地址、目的IP地址、目的MAC地址和ARP操作等几部分数据。表1对于ARP请求包来说,其源IP地址和源MAC地址为发起方的IP地址和MAC地址,目的IP为请求方想请求的目的IP地址,目的MAC地址用0xFF填充,表示未知。对于ARP响应包来说,其源IP地址和源MAC地址为响应方IP地址和MAC地址,目的IP地址和目的MAC地址是响应的请求方的IP地址和MAC地址。通常情况下,发送ARP请求为广播,因为此时不知道目的IP的MAC地址,只能通过广播形式发送。ARP应答则一般为单播。通常情况下,ARP应答只会发生在某台机器收到了请求自己IP的MAC的ARP请求包时做出应答。非针对自身的请求一般会做丢弃处理。ARP请求方接收到应答后,将其中的IP地址和MAC地址记录在系统内,后续所有针对该IP地址的数据,将直接查询系统中记录的ARP记录,然后进行发送。在一些实施例中,如果客户端内保存有经确认的安全机器的IP地址和MAC地址,则客户端可以利用该安全设备的地址进行“钓鱼”,以检测网络中的ARP报文攻击。可以理解的,客户端一般可以包括移动终端、PC端,下级路由器等等。具体的,如图2所示,应用于客户端的ARP报文攻击检测方法,包括以下步骤:S101,客户端构造特殊ARP请求包,所述特殊ARP请求包的源IP地址和源MAC地址分别为该客户端的IP地址和MAC地址,目的IP地址为已知安全机器的IP地址,目的MAC地址为广播地址,ARP操作的内容为ARP请求。如图3所示,客户端B内保存有已知的安全机器A的IP地址和MAC地址,客户端B以广播的形式将该特殊ARP请求包发送给网络中的其它设备(包括机器A和攻击者C),以请求得到机器A的IP地址和MAC地址。S102,当客户端收到的应答包中的源IP地址为该安全机器的IP地址,源MAC地址为非安全机器的MAC地址时,判断网络中存在ARP报文攻击。对于攻击者C,主要分为监听ARP请求、解析ARP请求和伪造ARP应答三步。当攻击者C抓到客户端B发来的请求包后通过解析发现请求包请求安全机器A的地址,则攻击者C伪造应答包,将自己伪装为安全机器A而把自己的MAC地址发送给客户端B。因此当客户端B收到的应答包中的源IP地址为安全机器A的IP地址,源MAC地址为不是安全机器A的MAC地址时,则可以发现网络中存在伪造应答包的情况,判断网络中存在ARP报文攻击。在本实施例中,客户端收到的应答包中源IP为安全机器A的IP地址,源MAC地址为攻击者C的MAC地址。在本专利技术中,客户端构造特殊ARP请求包,通过“钓鱼”的模式,即客户端明知某安全设备的IP、MAC地址却依然向网络中其余设备请求该安全设备的地址,从而让攻击者就范,以实现ARP报文攻击检测本专利技术通用性强,可以适用于移动终端、PC端、下级路由器等各种客户端,能够快速检测到ARP报文攻击,以较小的代价得到较高的准确率,保护用户的隐私和财产安全。可以理解的,当判断存在ARP报文攻击后,通过该非安全机器的MAC地址即可以确定攻击者。还可收集网络中各设备的信息(MAC地址、IP地址、网关信息等),上传到用于取证、分析的远程服务器,以备后续的取证或本文档来自技高网...
【技术保护点】
1.一种ARP报文攻击检测方法,应用于客户端,其特征在于,包括以下步骤:客户端构造特殊ARP请求包,所述特殊ARP请求包的源IP地址和源MAC地址分别为该客户端的IP地址和MAC地址,目的IP地址为已知安全机器的IP地址,目的MAC地址为广播地址,ARP操作的内容为ARP请求;当客户端收到的应答包中的源IP地址为该安全机器的IP地址,源MAC地址为非安全机器的MAC地址时,判断网络中存在ARP报文攻击。
【技术特征摘要】
1.一种ARP报文攻击检测方法,应用于客户端,其特征在于,包括以下步骤:客户端构造特殊ARP请求包,所述特殊ARP请求包的源IP地址和源MAC地址分别为该客户端的IP地址和MAC地址,目的IP地址为已知安全机器的IP地址,目的MAC地址为广播地址,ARP操作的内容为ARP请求;当客户端收到的应答包中的源IP地址为该安全机器的IP地址,源MAC地址为非安全机器的MAC地址时,判断网络中存在ARP报文攻击。2.如权利要求1所述的检测方法,其特征在于,判断存在ARP报文攻击后,保存该非安全机器的MAC地址以确定攻击者,并收集网络中各设备的信息,上传到用于取证、分析的远程服务器。3.如权利要求2所述的检测方法,其特征在于,所述网络中各设备的信息包括各设备的IP地址、MAC地址。4.如权利要求3所述的检测方法,其特征在于,在收集网络中攻击者的IP地址时,客户端向网络中其它设备发送广播信息以获取各设备的IP地址及MAC地址,若有设备的MAC地址与攻击者地址一致,而IP地址不是保存的已知安全机器的IP地址,则判断该IP地址为攻击者的IP地址。5.一种ARP报文攻击检测装置,应用于客户端,其特征在...
【专利技术属性】
技术研发人员:徐浩,马志远,
申请(专利权)人:武汉安天信息技术有限责任公司,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。