地址解析协议欺骗检测方法及装置制造方法及图纸

本发明专利技术公开了一种ARP欺骗检测方法及装置，属于网络安全技术领域。所述方法包括：监听主机的网络层中接收到的ARP消息；检测ARP消息中的网络互连协议IP地址与目标网关的IP地址是否相同；目标网关为主机在局域网中连接的网关；检测ARP消息中的媒体访问控制MAC地址与内存中的MAC地址是否相同；内存中的MAC地址为历史接收并保存的目标网关的IP地址所对应的MAC地址；在ARP消息中的IP地址与目标网关的IP地址相同且ARP消息中的MAC地址与内存中的MAC地址不同时，确定目标网关存在ARP欺骗。解决了相关方案中需要读取ARP缓存表之后才能检测是否存在ARP欺骗，对ARP欺骗的检测不够实时，仍然会存在网络不安全的问题。

【技术实现步骤摘要】
地址解析协议欺骗检测方法及装置
本专利技术实施例涉及网络安全
，特别涉及一种ARP(AddressResolutionProtocol，地址解析协议)欺骗检测方法及装置。
技术介绍
ARP是根据IP(InternetProtocol，网络互连协议)地址获取MAC(MediaAccessControl，媒体访问控制)地址的一种TCP(TransmissionControlProtocol，传输控制协议)/IP协议。由于ARP是建立在局域网中各个设备互相信任的基础上的，在主机接收到ARP应答之后不会检测该ARP应答的真实性即将ARP应答中的源IP地址和源MAC地址关联保存在存储器中的ARP缓存表中，因此，这就导致在攻击者向主机发送局域网中网关所对应的伪ARP应答(也即网关存在ARP欺骗)，也即ARP应答中携带有伪造的网关的MAC地址时，后续主机即通过伪造的网关与局域网中的其他主机通信，威胁通信安全。其中，在保存源IP地址和源MAC地址至ARP缓存表时，若ARP缓存表存储的各个关联关系中不包括该ARP应答中的源IP地址所对应的关联关系，则直接存储；而若ARP缓存表存储的各个关联关系中已经存储有ARP应答中的源IP地址所对应的关联关系，则在ARP应答中的源MAC地址与保存的关联关系中的MAC地址不同时，使用ARP应答中的源MAC地址刷新已经存储的关联关系中的MAC地址。实际实现时，为了保证网络安全，相关技术提供了一种ARP欺骗检测方法，该方法包括：上层应用程序读取ARP缓存表中的内容，检测读取到的内容中是否存在非网关的MAC地址与目标网关的MAC地址相同；若存在，则说明ARP缓存表中检测到的非网关的MAC地址和目标网关的MAC地址中至少有一个是伪造的MAC地址，也即目标网关的MAC地址可能是伪造的，此时为了保证网络安全主机可以确定检测到目标网关存在ARP欺骗。其中，目标网关为局域网中主机连接的网关。由于上层应用程序需要从存储器中读取ARP缓存表，进而根据读取到的内容进行检测，而公知的是读取ARP缓存表的内容需要一定的时间，而在这段时间内，ARP缓存表中的内容可能已经被新接收到的ARP应答中的IP地址和MAC地址的对应关系刷新，因此，上述方案中可能会存在对于已经出现的ARP欺骗不能实时检测，也即检测不够实时，仍然存在网络不安全的问题。
技术实现思路
为了解决相关技术中需要读取ARP缓存表之后才能检测是否存在ARP欺骗，对ARP欺骗的检测不够实时，仍然会存在网络不安全的问题；本专利技术实施例提供了一种ARP欺骗检测方法及装置。技术方案如下：根据本专利技术实施例的第一方面，提供一种ARP欺骗检测方法，用于主机中,该方法包括：监听所述主机的网络层中接收到的ARP消息；检测所述ARP消息中的网络互连协议IP地址与目标网关的IP地址是否相同；所述目标网关为所述主机在局域网中连接的网关；检测所述ARP消息中的媒体访问控制MAC地址与内存中的MAC地址是否相同；所述内存中的MAC地址为历史接收并保存的所述目标网关的IP地址所对应的MAC地址；在所述ARP消息中的IP地址与所述目标网关的IP地址相同且所述ARP消息中的MAC地址与所述内存中的MAC地址不同时，确定所述目标网关存在ARP欺骗。根据本专利技术实施例的第二方面，提供一种主机，该主机包括处理器和存储器，所述存储器中存储有至少一条指令，所述指令由所述处理器加载并执行以实现如下操作：监听所述主机的网络层中接收到的ARP消息；检测所述ARP消息中的网络互连协议IP地址与目标网关的IP地址是否相同；所述目标网关为所述主机在局域网中连接的网关；检测所述ARP消息中的媒体访问控制MAC地址与内存中的MAC地址是否相同；所述内存中的MAC地址为历史接收并保存的所述目标网关的IP地址所对应的MAC地址；在所述ARP消息中的IP地址与所述目标网关的IP地址相同且所述ARP消息中的MAC地址与所述内存中的MAC地址不同时，确定所述目标网关存在ARP欺骗。根据本专利技术实施例的第三方面，提供一种计算机可读存储介质，所述存储介质中存储有至少一条指令，所述指令由处理器加载并执行以实现如下操作：监听所述主机的网络层中接收到的ARP消息；检测所述ARP消息中的网络互连协议IP地址与目标网关的IP地址是否相同；所述目标网关为所述主机在局域网中连接的网关；检测所述ARP消息中的媒体访问控制MAC地址与内存中的MAC地址是否相同；所述内存中的MAC地址为历史接收并保存的所述目标网关的IP地址所对应的MAC地址；在所述ARP消息中的IP地址与所述目标网关的IP地址相同且所述ARP消息中的MAC地址与所述内存中的MAC地址不同时，确定所述目标网关存在ARP欺骗。本专利技术实施例提供的技术方案带来的有益效果是：通过直接监听网络层中接收到的ARP消息，进而在监听到的ARP消息中的IP地址与目标网关的IP地址相同但是ARP消息中的MAC地址与内存中保存的该IP地址所对应的MAC地址不同时，检测到存在ARP欺骗；其中，目标网关为主机在局域网中连接的网关，内存中的MAC地址为历史接收并保存的目标网关的IP地址所对应的MAC地址；达到了可以直接监听的网络层中收到的各个ARP消息，进而根据IP地址为目标网关的IP地址的ARP消息中携带的MAC地址以及内存中保存的目标网关的IP地址所对应的MAC地址直接检测是否存在ARP欺骗，而无需浪费大量的时间来读取ARP缓存表中的内容进而进行检测，达到了可以实时检测ARP欺骗，保证网络安全的效果。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术各个实施例提供的ARP欺骗检测方法所涉及的实施环境的示意图；图2是本专利技术一个实施例提供的ARP欺骗检测方法的流程图；图3是本专利技术一个实施例提供的获取操作系统的Root权限的流程图；图4是本专利技术一个实施例提供的主机展示的询问信息的示意图；图5是本专利技术一个实施例提供的主机展示的提示信息的示意图；图6是本专利技术一个实施例提供的ARP欺骗检测装置的示意图；图7是本专利技术一个实施例提供的主机的示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚，下面将结合附图对本专利技术实施方式作进一步地详细描述。请参考图1，其示出了本专利技术各个实施例提供的ARP欺骗检测方法所涉及的实施环境的示意图，如图1所示，该实施环境包括n个主机110和目标网关120，n为大于等于2的整数。其中，目标网关120提供一个局域网，n个主机110可以通过局域网进行通信。主机110是指诸如台式电脑、平板电脑或者电子阅读器之类的终端，主机110可以通过有线或者无线网络与目标网关120连接。图中以主机110包括4个来举例说明。目标网关120是指为各个主机110提供局域网服务的设备。可选的，该目标网关120可以为路由器等等。在下述各个实施例中，主机在采用相关方案中的存储方式存储ARP缓存表的同时，监听网络层中接收到的ARP消息，检测ARP消息中的IP地址与目标网关的IP地址是否相同；目标网关为主机在局域本文档来自技高网...

【技术保护点】
1.一种地址解析协议欺骗检测方法，其特征在于，用于主机中，所述方法包括：监听所述主机的网络层中接收到的ARP消息；检测所述ARP消息中的网络互连协议IP地址与目标网关的IP地址是否相同；所述目标网关为所述主机在局域网中连接的网关；检测所述ARP消息中的媒体访问控制MAC地址与内存中的MAC地址是否相同；所述内存中的MAC地址为历史接收并保存的所述目标网关的IP地址所对应的MAC地址；在所述ARP消息中的IP地址与所述目标网关的IP地址相同且所述ARP消息中的MAC地址与所述内存中的MAC地址不同时，确定所述目标网关存在ARP欺骗。

【技术特征摘要】
1.一种地址解析协议欺骗检测方法，其特征在于，用于主机中，所述方法包括：监听所述主机的网络层中接收到的ARP消息；检测所述ARP消息中的网络互连协议IP地址与目标网关的IP地址是否相同；所述目标网关为所述主机在局域网中连接的网关；检测所述ARP消息中的媒体访问控制MAC地址与内存中的MAC地址是否相同；所述内存中的MAC地址为历史接收并保存的所述目标网关的IP地址所对应的MAC地址；在所述ARP消息中的IP地址与所述目标网关的IP地址相同且所述ARP消息中的MAC地址与所述内存中的MAC地址不同时，确定所述目标网关存在ARP欺骗。2.根据权利要求1所述的方法，其特征在于，所述监听所述主机的网络层中接收到的ARP消息，包括：发送第一ARP请求，所述第一ARP请求中携带目的设备的IP地址；监听接收到的所述目的设备反馈的ARP应答，所述ARP应答中携带有所述目的设备的IP地址和MAC地址；和/或，监听接收到的其他设备发送的第二ARP请求，所述第二ARP请求中携带有所述设备的IP地址和MAC地址。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：若所述ARP消息中的IP地址与所述目标网关的IP地址相同且所述内存中未存储有所述目标网关的IP地址所对应的MAC地址时，将监听到的所述ARP消息中的所述MAC地址作为所述目标网关的IP地址所对应的MAC地址保存至所述内存，并再次执行所述监听所述主机的网络层中接收到的ARP消息的操作。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：在所述ARP消息中的MAC地址与所述内存中的MAC地址相同时，统计首次接收到IP地址为所述目标网关的IP地址的ARP消息之后的时长；在所述时长未达到预设时长时，再次执行所述监听所述主机的网络层中接收到的ARP消息的操作；在所述时长达到所述预设时长时，结束流程。5.根据权利要求1至4任一所述的方法，其特征在于，所述方法还包括：在不具备操作系统的Root权限时，展示询问信息；所述询问信息用于询问是否授予所述Root权限；接收用于确认授予所述Root权限的确认指令；在接收到所述确认指令之后，获取所述Root权限，执行所述监听所述主机的网络层中接收到的ARP消息的操作。6.根据权利要求1至4任一所述的方法，其特征在于，在检测到所述目标网关存在ARP欺骗时，生成并展示提示信息，所述提示信息用于提示所述目标网关存在ARP欺骗。7.一种主机，其特征在于，所述主机包括处理器和存储器，所述存储器中存储有至少一条指令，所述指令由所述处理器加载并执行以实现如下操作：监听所述主机的网络层中接收到的ARP消息；检测所述ARP消息中的网络互连协议IP地址与目标网关的IP地址是否相同；所述目标网关为所述主机在局域网中连接的网关；检测所述ARP消息中的媒体访问控制MAC地址与内存中的MAC地址是否相同；所述内存中的MAC地址为历史接收并保存的所述目标网关的IP地址...

【专利技术属性】
技术研发人员：江沛合，徐雄威，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东,44