【技术实现步骤摘要】
地址解析协议欺骗检测方法及装置
本专利技术实施例涉及网络安全
,特别涉及一种ARP(AddressResolutionProtocol,地址解析协议)欺骗检测方法及装置。
技术介绍
ARP是根据IP(InternetProtocol,网络互连协议)地址获取MAC(MediaAccessControl,媒体访问控制)地址的一种TCP(TransmissionControlProtocol,传输控制协议)/IP协议。由于ARP是建立在局域网中各个设备互相信任的基础上的,在主机接收到ARP应答之后不会检测该ARP应答的真实性即将ARP应答中的源IP地址和源MAC地址关联保存在存储器中的ARP缓存表中,因此,这就导致在攻击者向主机发送局域网中网关所对应的伪ARP应答(也即网关存在ARP欺骗),也即ARP应答中携带有伪造的网关的MAC地址时,后续主机即通过伪造的网关与局域网中的其他主机通信,威胁通信安全。其中,在保存源IP地址和源MAC地址至ARP缓存表时,若ARP缓存表存储的各个关联关系中不包括该ARP应答中的源IP地址所对应的关联关系,则直接存储;而若ARP缓存表存储的各个关联关系中已经存储有ARP应答中的源IP地址所对应的关联关系,则在ARP应答中的源MAC地址与保存的关联关系中的MAC地址不同时,使用ARP应答中的源MAC地址刷新已经存储的关联关系中的MAC地址。实际实现时,为了保证网络安全,相关技术提供了一种ARP欺骗检测方法,该方法包括:上层应用程序读取ARP缓存表中的内容,检测读取到的内容中是否存在非网关的MAC地址与目标网关的MAC地址相同;若 ...
【技术保护点】
1.一种地址解析协议欺骗检测方法,其特征在于,用于主机中,所述方法包括:监听所述主机的网络层中接收到的ARP消息;检测所述ARP消息中的网络互连协议IP地址与目标网关的IP地址是否相同;所述目标网关为所述主机在局域网中连接的网关;检测所述ARP消息中的媒体访问控制MAC地址与内存中的MAC地址是否相同;所述内存中的MAC地址为历史接收并保存的所述目标网关的IP地址所对应的MAC地址;在所述ARP消息中的IP地址与所述目标网关的IP地址相同且所述ARP消息中的MAC地址与所述内存中的MAC地址不同时,确定所述目标网关存在ARP欺骗。
【技术特征摘要】
1.一种地址解析协议欺骗检测方法,其特征在于,用于主机中,所述方法包括:监听所述主机的网络层中接收到的ARP消息;检测所述ARP消息中的网络互连协议IP地址与目标网关的IP地址是否相同;所述目标网关为所述主机在局域网中连接的网关;检测所述ARP消息中的媒体访问控制MAC地址与内存中的MAC地址是否相同;所述内存中的MAC地址为历史接收并保存的所述目标网关的IP地址所对应的MAC地址;在所述ARP消息中的IP地址与所述目标网关的IP地址相同且所述ARP消息中的MAC地址与所述内存中的MAC地址不同时,确定所述目标网关存在ARP欺骗。2.根据权利要求1所述的方法,其特征在于,所述监听所述主机的网络层中接收到的ARP消息,包括:发送第一ARP请求,所述第一ARP请求中携带目的设备的IP地址;监听接收到的所述目的设备反馈的ARP应答,所述ARP应答中携带有所述目的设备的IP地址和MAC地址;和/或,监听接收到的其他设备发送的第二ARP请求,所述第二ARP请求中携带有所述设备的IP地址和MAC地址。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:若所述ARP消息中的IP地址与所述目标网关的IP地址相同且所述内存中未存储有所述目标网关的IP地址所对应的MAC地址时,将监听到的所述ARP消息中的所述MAC地址作为所述目标网关的IP地址所对应的MAC地址保存至所述内存,并再次执行所述监听所述主机的网络层中接收到的ARP消息的操作。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:在所述ARP消息中的MAC地址与所述内存中的MAC地址相同时,统计首次接收到IP地址为所述目标网关的IP地址的ARP消息之后的时长;在所述时长未达到预设时长时,再次执行所述监听所述主机的网络层中接收到的ARP消息的操作;在所述时长达到所述预设时长时,结束流程。5.根据权利要求1至4任一所述的方法,其特征在于,所述方法还包括:在不具备操作系统的Root权限时,展示询问信息;所述询问信息用于询问是否授予所述Root权限;接收用于确认授予所述Root权限的确认指令;在接收到所述确认指令之后,获取所述Root权限,执行所述监听所述主机的网络层中接收到的ARP消息的操作。6.根据权利要求1至4任一所述的方法,其特征在于,在检测到所述目标网关存在ARP欺骗时,生成并展示提示信息,所述提示信息用于提示所述目标网关存在ARP欺骗。7.一种主机,其特征在于,所述主机包括处理器和存储器,所述存储器中存储有至少一条指令,所述指令由所述处理器加载并执行以实现如下操作:监听所述主机的网络层中接收到的ARP消息;检测所述ARP消息中的网络互连协议IP地址与目标网关的IP地址是否相同;所述目标网关为所述主机在局域网中连接的网关;检测所述ARP消息中的媒体访问控制MAC地址与内存中的MAC地址是否相同;所述内存中的MAC地址为历史接收并保存的所述目标网关的IP地址...
【专利技术属性】
技术研发人员:江沛合,徐雄威,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。