一种中间人攻击的双向请求应答检测方法技术

本发明专利技术公开了一种中间人攻击的双向请求应答检测方法，包括，通过报文解析工具对无线通信环境中的恶意报文进行解析；若报文的解析结果为请求报文，则通过请求报文检测模块进行检测，根据检测结果处理请求包；若报文的解析结果为应答报文，则通过应答报文检测模块进行检测，根据检测结果对ARP缓冲区进行处理；本发明专利技术通过添加判断条件，可根据输入的Hostname进行分辨，将不满足条件的报文剔除，使网络信息传送更加安全；同时引入线性表，其可依据时间准则自动过滤删除报文，大大提高了报文的检测效率；且具有良好的安全性、兼容性和扩展性，对主机性能影响小，在交互过程中不会产生很大的网络流量，尽可能的减少了系统和网络开销。尽可能的减少了系统和网络开销。尽可能的减少了系统和网络开销。

【技术实现步骤摘要】
一种中间人攻击的双向请求应答检测方法


[0001]本专利技术涉及中间人攻击检测的
，尤其涉及一种中间人攻击的双向请求应答检测方法。

技术介绍

[0002]凭借着出色的传输性能以及便捷的通信方式，基于IEEE 802.11标准的无线局域网通信方式在人们的工作和日常生活中愈加重要。但无线局域网在数据传输过程中，缺少电缆类传输介质的保护，使其易于受到多种类型的恶意攻击。由于无线局域网的广播性质，恶意攻击者往往会寻找突破口，然后发起攻击，一旦攻击成功便有可能造成难以预料的损失。
[0003]无线局域网在安全机制方面注重可靠性和保密性，要求传送的数据能够可靠并且完整的传送给目标主机，不发生丢失和篡改，在目标主机接收后，能够将信息完整解码而不发生改变。近年来，由于系统存在的漏洞没有及时解决，网络中间人攻击事件层出不穷，其中ARP欺骗攻击方式更为活跃。ARP欺骗又被称为ARP毒化，主要由于当一端发出应答消息而另一端在接收这种ARP应答时，没有检查数据是否真实可靠便将报文数据列入ARP缓存列表中。这主要由于ARP协议虽然能够提高网络运行效率，但这种优势的前提是网络中各个主机互相信任，而ARP协议作为一种数据链路层协议，并没有认证机制，具有高效性和无状态的特点，既不判断是否发送过ARP请求，也不验证应答者的身份信息，可见这种“无状态”体现在任何主机都有伪造响应包的能力，并且即使没有接收到ARP请求也可以进行响应，ARP的本地缓存随着伪造报文的发送继续更新，这无疑给了网络病毒和黑客可乘之机。
[0004]目前，国内外对ARP欺骗攻击的原理已经具有充足的研究，但对ARP欺骗的防御效果却不理想。传统的防御方式有设置ARP防火墙，虽然在一定程度上能够保护主机安全，具有主动防御的优势，但随着ARP防火墙的设置需要不断地对外输送正确数据包，从而增加网络的负担，且主动防御的速度有限，一旦被攻击者超出便会导致防御失效；利用ARP服务器也是常用手段，在所有主机中，专门指定一个主机充当ARP服务器来响应剩余主机的ARP请求，但这种关系不唯一，其他主机仍然可以接受来自其他服务器的ARP响应；交换机或主机上绑定端口和MAC地址，在各个主机上添加静态ARP缓存条目用来对比数据包的IP地址和MAC地址，根据数据包相同原则进行比对也能对抵御ARP攻击起到缓解作用；利用ARP欺骗无法跨网段进行攻击的局限，将网络划分成多个网段从而缩小范围，优点是能够缩小ARP欺骗的攻击范围，缺点是不够灵活，无法避免网关遭受黑客攻击。
[0005]可见，传统的预防手段各有优缺点，仅仅依靠其中一种无法达到彻底预防中间人攻击的效果，需要根据实际需要将几种方法相互结合，各自发挥作用，但同时也会造成技术人员负担和资源的浪费。目前，在中间人攻击检测方面也做了许多尝试，基于ARP缓存超时的攻击检测方法，单机就能实现中间人检测，但灵活性不高。广为流行的SDN保护中间人攻击的检测研究集中于分离控制界面和数据界面，但实验采样点受限的问题难以完美解决。

技术实现思路

[0006]本部分的目的在于概述本专利技术的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和专利技术名称中可能会做些简化或省略以避免使本部分、说明书摘要和专利技术名称的目的模糊，而这种简化或省略不能用于限制本专利技术的范围。
[0007]鉴于上述现有存在的问题，提出了本专利技术。
[0008]因此，本专利技术提供了一种中间人攻击的双向请求应答检测方法，能够解决中间人攻击的三种手段，达到防御目的。
[0009]为解决上述技术问题，本专利技术提供如下技术方案：包括，通过报文解析工具对无线通信环境中的恶意报文进行解析；若报文的解析结果为请求报文，则通过请求报文检测模块进行检测，根据检测结果处理请求包；若所述报文的解析结果为应答报文，则通过应答报文检测模块进行检测，根据检测结果对ARP缓冲区进行处理。
[0010]作为本专利技术所述的中间人攻击的双向请求应答检测方法的一种优选方案，其中：所述请求报文检测模块包括报文请求接收单元、判别单元、回复请求单元、调用发送请求单元、添加目标IP单元、发送请求单元和Request线性请求表。
[0011]作为本专利技术所述的中间人攻击的双向请求应答检测方法的一种优选方案，其中：检测请求报文包括，通过报文请求接收单元接收所述请求包，而后通过判别单元比对目标IP地址与本机IP地址；通过回复请求单元将比对结果告知给所述调用发送请求单元，所述调用发送请求单元根据比对结果调用所述发送请求单元进行请求发送操作；当所述请求发出时，通过所述添加目标IP单元将解析的目标IP存放在所述Request线性请求表中。
[0012]作为本专利技术所述的中间人攻击的双向请求应答检测方法的一种优选方案，其中：所述比对包括，若所述目标IP地址与本机IP地址相同，则通过所述回复请求单元对所述请求包作出回应，并调用所述发送请求单元进行所述请求发送操作；否则，则判定所述请求包为伪造的报文请求，将其丢弃并报告中间人攻击已发生。
[0013]作为本专利技术所述的中间人攻击的双向请求应答检测方法的一种优选方案，其中：还包括，通过所述Request线性请求表存储本机接收或者发送的请求包中的IP地址和MAC地址；所述Request线性请求表依据时间准则对线性表中长时间没有获得更新的报文进行过滤删除。
[0014]作为本专利技术所述的中间人攻击的双向请求应答检测方法的一种优选方案，其中：所述应答报文检测模块包括Respond线性应答表、接收应答单元、存放源IP单元、添加IP
‑
MAC映射单元、判别MAC地址单元和ARP缓冲区更新单元。
[0015]作为本专利技术所述的中间人攻击的双向请求应答检测方法的一种优选方案，其中：处理所述ARP缓冲区包括，所述接收应答单元在接收到应答包时，通过所述存放源IP单元将源IP存放于所述Respond线性应答表中；若所述应答包具有相同的源IP地址，则通过判别MAC地址单元比较源MAC地址和对应项的MAC地址是否相同，若不相同，则判断所述应答包为伪造的应答包，存在中间人攻击的威胁；否则，则通过所述ARP缓冲区更新单元对所述ARP缓冲区进行更新；而后通过添加IP
‑
MAC映射单元将IP
‑
MAC映射添加到所述Respond线性应答表中，将Respond线性应答表中的对应项进行删除，并通过所述ARP缓冲区更新单元对所述ARP缓冲区进行更新。
[0016]作为本专利技术所述的中间人攻击的双向请求应答检测方法的一种优选方案，其中：
还包括，所述Respond线性应答表依据时间准则对线性表中长时间没有获得更新的报文进行自动过滤删除。
[0017]本专利技术的有益效果：本专利技术突破了传统中间人防御的欠灵活性，即使攻击强度随时间逐步增强，也能保证数据包的真实性和完整性；通过添加判断条件，可根据输入的Hostname进行分辨，将不满足条件的报文剔除，使网络信息传送更加安全；同时引入线性表，具有实时更新的优点，可依据时间准则自动本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种中间人攻击的双向请求应答检测方法，其特征在于：包括，通过报文解析工具对无线通信环境中的恶意报文进行解析；若报文的解析结果为请求报文，则通过请求报文检测模块(100)进行检测，根据检测结果处理请求包；若所述报文的解析结果为应答报文，则通过应答报文检测模块(200)进行检测，根据检测结果对ARP缓冲区进行处理。2.如权利要求1所述的中间人攻击的双向请求应答检测方法，其特征在于：所述请求报文检测模块(100)包括报文请求接收单元(101)、判别单元(102)、回复请求单元(103)、调用发送请求单元(104)、添加目标IP单元(105)、发送请求单元(106)和Request线性请求表(107)。3.如权利要求1所述的中间人攻击的双向请求应答检测方法，其特征在于：检测请求报文包括，通过报文请求接收单元(101)接收所述请求包，而后通过判别单元(102)比对目标IP地址与本机IP地址；通过回复请求单元(103)将比对结果告知给所述调用发送请求单元(104)，所述调用发送请求单元(104)根据比对结果调用所述发送请求单元(106)进行请求发送操作；当所述请求发出时，通过所述添加目标IP单元(105)将解析的目标IP存放在所述Request线性请求表(107)中。4.如权利要求1所述的中间人攻击的双向请求应答检测方法，其特征在于：所述比对包括，若所述目标IP地址与本机IP地址相同，则通过所述回复请求单元(103)对所述请求包作出回应，并调用所述发送请求单元(106)进行所述请求发送操作；否则，则判定所述请求包为伪造的报文请求，将其丢弃并报告中间人攻击已发生。5.如权利要求1所述的中间人攻击的双向请求应答检测方法，其特征在于：还包括，通过所述Req...

【专利技术属性】
技术研发人员：王勇，冯秀楠，王威，
申请(专利权)人：上海云剑信息技术有限公司，
类型：发明
国别省市：