本发明专利技术公开了ARP欺骗攻击检测系统及方法。根据本发明专利技术的一个实施例的ARP欺骗攻击检测系统,包括:接收模块,用于接收ARP数据包,判断所接收的所述ARP数据包是否为未经请求的ARP数据包;发送模块,用于当所述接收模块所接收的所述ARP数据包为未经请求的ARP数据包时,生成与所接收的所述未经请求的ARP数据包对应的ARP请求数据包,并散布所生成的所述ARP请求数据包;以及检测模块,用于当接收到与所述发送模块所散布的所述ARP请求数据包对应的ARP响应数据包时,判断所接收的所述ARP响应数据包的输入端口和所述未经请求的ARP数据包的输入端口是否一致,若不一致,则判断为发生了ARP欺骗攻击。
【技术实现步骤摘要】
本专利技术涉及用于检测利用ARP(Address Resolution Protocol,地址解析协议)协议的漏洞的外部攻击(ARP欺骗攻击)的技术。
技术介绍
最近,发生了多起(尤其是从外国)入侵韩国国内的网站之后插入恶意代码之类的事件。这些事件中的大部分通常是在直接入侵相关网络服务器之后插入的恶意代码。但是,最近发生了在网络服务器没有被入侵的情况下,却从网络服务器下载到恶意代码等的案例。这是攻击者在入侵与网络服务器位于相同IP段内的其他服务器之后,利用ARP欺骗(ARP spoofing)截获与网络服务器相关的网络传输而插入了恶意代码。ARP欺骗攻击是利用局域网(LAN)中使用的ARP协议的漏洞,将自己的MAC地址伪装成别的计算机的MAC地址的攻击方式。由于ARP欺骗攻击任意改变ARP缓存信息,因此也被称为ARP缓存中毒(ARP Cache Poisoning)攻击。通过这种ARP欺骗攻击,攻击者可以将自己的MAC地址伪装(ARP Spoofing)成路由器或者要嗅探(sniffing)的目标服务器的MAC地址,从而可以轻易地偷看数据包。但是,最近ARP欺骗攻击已经不限于单纯截获并偷看数据包的嗅探水平,还被用作伪造截获的数据包并重新发送出去的攻击用途,因此情况越发严重,从而需要开发出在交换机等设备中易于检测并阻断ARP欺骗攻击的技术。
技术实现思路
本专利技术的目的在于提供一种易于检测ARP欺骗攻击,并且在必要的时候可事先予以阻断的方案。为了解决上述问题,根据本专利技术的一个实施例的ARP欺骗攻击检测系统包括:接收模块,用于接收ARP数据包,并判断所接收的所述ARP数据包是否为未经请求(unsolicited or gratuitous)的ARP数据包;发送模块,用于当所述接收模块所接收的所述ARP数据包为未经请求的ARP数据包时,生成与所接收的所述未经请求的ARP数据包对应的ARP请求数据包,并散布(Broadcast)所生成的所述ARP请求数据包;以及检测模块,用于当接收到与所述发送模块所散布的所述ARP请求数据包对应的ARP响应数据包时,判断所接收的所述ARP响应数据包的输入端口和所述未经请求的ARP数据包的输入端口是否一致,若不一致,则判断为发生了 ARP欺骗攻击。另一方面,用于解决上述问题的、在根据本专利技术的一个实施例的ARP欺骗攻击检测系统中用于检测ARP欺骗攻击的方法包括:第一步骤,由所述检测系统接收ARP数据包,并判断所接收的所述ARP数据包是否为未经请求(unsolicited or gratuitous)的ARP数据包;第二步骤,当所接收的所述ARP数据包为未经请求的ARP数据包时,由所述检测系统生成与所接收的所述未经请求的ARP数据包对应的ARP请求数据包,并散布所生成的所述ARP请求数据包;第三步骤,由所述检测系统接收与所散布的所述ARP请求数据包对应的ARP响应数据包;以及第四步骤,由所述检测系统判断所接收的所述ARP响应数据包的输入端口和所述未经请求的ARP数据包的输入端口是否一致,若不一致,则判断为发生了 ARP欺骗攻击。根据本专利技术,具有可在交换机端轻易地检测利用ARP协议的漏洞的ARP欺骗攻击、并且在必要的时候可事先将其阻断的优点。附图说明图1和图2为用于说明ARP欺骗攻击的图。图3为根据本专利技术的一个实施例的ARP欺骗攻击检测系统300的框图。图4为表示根据本专利技术的一个实施例的ARP欺骗攻击检测方法400的流程图。符号说明300 =ARP欺骗攻击检测系统302:接收模块304:数据包信息存储模块306:发送模块308:检测模块具体实施例方式以下,参照附图来说明本专利技术的具体实施方式。但是,这些仅属于示例,本专利技术不受此限制。在对本专利技术的说明中,当针对与本专利技术相关的公知技术的具体说明可能会不必要地混淆本专利技术的要点时,将省略其详细说明。而且,后面所提到的术语是考虑到在本专利技术中的功能而加以定义的术语,其可能会随着使用者、运用者的意图或习惯等而变得不同。因此,其定义应当基于本说明书的整个内容加以确定。本专利技术的技术思想由权利要求书加以确定,下面的实施例只是用于向本专利技术所属
中具有一般知识的人员有效说明本专利技术技术思想的一种手段。图1和图2为用于说明一般的ARP欺骗攻击形态的图,图1表示正常状态,图2表示发生ARP欺骗攻击之后的状态。如图1 所示,假设主机-A 110 (IP 地址:192.168.1.1,MAC 地址=000102030405)和主机-B 120 (IP地址:192.168.1.2,MAC地址:000102030406)通过L2交换机(二层交换机)140相连接而相互收发数据包。此时,主机-AllO的ARP缓存表(ARP Cache Table)中存储有作为相同网络内的另一主机的主机B 120的IP地址及与之对应的MAC地址,主机-B120的ARP缓存表(ARP Cache Table)中存储有主机A 110的IP地址及与之对应的MAC地址。并且,L2交换机140的路由表中存储有主机-A 110和主机-B 120的MAC地址,以进行朝主机-A 110和主机-B 120的数据包路由选择。在这种情况下,攻击者130 (Sniffer,IP地址:192.168.1.10, MAC地址:000112233445)为了进行ARP欺骗,向主机-A 110和主机-B 120发送包含有自己的MAC地址的ARP报文。所述ARP报文是ARP响应报文,例如攻击者130在ARP响应报文的发送IP中附加主机-B 120的IP,并在发送MAC地址中附加攻击者130的MAC地址而传送到主机-A 110。同样地,攻击者130在ARP响应报文的发送IP中附加主机-A 110的IP,并在发送MAC地址中附加攻击者130的MAC地址而传送到主机-B 120。根据ARP协议的特性,网络内的各主机被构成为:即使在自己没有发送ARP请求报文的情况下仅收到ARP响应报文,也会更新自己的ARP缓存表。由此,主机-A 110和主机-B 120对应于所接收的ARP响应报文将自己的ARP缓存表更新为攻击者130的MAC地址,如图2所示。S卩,主机-A 110和主机-B 120分别将对方的MAC地址置换为攻击者130的MAC地址而存储到ARP缓存表中,此后主机-A 110和主机-B 120之间的所有流量通过L2交换机140被路由到攻击者130侧。换句话讲,攻击者130可利用ARP协议的漏洞偷看或者伪造主机-A 110和主机-B 120之间的数据包。图3为用于检测如上所述的ARP欺骗攻击的、根据本专利技术的一个实施例的ARP欺骗攻击检测系统300的框图。如图所示,根据本专利技术的一个实施例的ARP欺骗攻击检测系统300包括接收模块302、数据包信息存储模块304、发送模块306和检测模块308。这种ARP欺骗攻击检测系统300可作为组成L2交换机的一个构成要素而包含于L2交换机,或者形成为与L2交换机相连而收发数据的独立的系统。即,本专利技术的ARP欺骗攻击检测系统300位于用于中转网络内的各主机之间的数据包的L2交换机端,以监视各主机之间收发的ARP数据包,当其中存在被判断为是ARP欺骗攻击数据包的数据包时,实时检测出该数据包而进本文档来自技高网...
【技术保护点】
一种ARP欺骗攻击检测系统,包括:接收模块,用于接收ARP数据包,并判断所接收的所述ARP数据包是否为未经请求的ARP数据包;发送模块,当所接收的所述ARP数据包被判断为是未经请求的ARP数据包时,生成与所接收的所述未经请求的ARP数据包对应的ARP请求数据包,并散布所生成的所述ARP请求数据包;以及检测模块,当接收到与所散布的所述ARP请求数据包对应的ARP响应数据包时,判断所接收的所述ARP响应数据包的输入端口和所述未经请求的ARP数据包的输入端口是否一致,若不一致,则判断为发生了ARP欺骗攻击。
【技术特征摘要】
2011.10.28 KR 10-2011-01115621.种ARP欺骗攻击检测系统,包括: 接收模块,用于接收ARP数据包,并判断所接收的所述ARP数据包是否为未经请求的ARP数据包; 发送模块,当所接收的所述ARP数据包被判断为是未经请求的ARP数据包时,生成与所接收的所述未经请求的ARP数据包对应的ARP请求数据包,并散布所生成的所述ARP请求数据包;以及 检测模块,当接收到与所散布的所述ARP请求数据包对应的ARP响应数据包时,判断所接收的所述ARP响应数据包的输入端口和所述未经请求的ARP数据包的输入端口是否一致,若不一致,则判断为发生了 ARP欺骗攻击。2.根据权利要求1所述的ARP欺骗攻击检测系统,其中,所述ARP请求数据包是用于请求与所接收的所述未经请求的ARP数据包的发送IP地址对应的MAC地址的数据包。3.根据权利要求1所述的ARP欺骗攻击检测系统,其中,该ARP欺骗攻击检测系统还包括数据包信息存储模块,用于当所述接收模块所接收的所述ARP数据包被判断为是未经请求的ARP数据包时,在ARP事务表中生成对应于所述未经请求的ARP数据包的ARP等待条目,并在所生成的所述ARP等待条目中附加包含所述未经请求的ARP数据包的输入端口信息的所述未经请求的ARP数据包的信息。4.根据权利要求3所述的ARP欺骗攻击检测系统,其中,当所接收的所述ARP数据包为ARP响应报文,并且所述ARP事务表中不存在对应于所述ARP响应报文的ARP等待条目时,所述接收模块将所述ARP数据包判断为未经请求的ARP数据包。5.根据权利要求3所述的ARP欺骗攻击检测系统,其中,所述检测模块判断对应于所接收的所述ARP响应数据包的ARP事务表内的ARP等待条目中是否包含未经请求的ARP数据包的信息,且当包含未经请求的ARP数据包的信息时,判断所接收的所述ARP响应数据包的输入端口和包含在所述ARP等待条目中的所述未经请求的ARP数据包的输入端口是否一致。6.根据权利要求3所述的ARP欺骗攻击检测系统,其中,当对应于所接收的所述ARP响应数据包的ARP事务表内的ARP等待条目中不存在所述未经请求的ARP数据包的输入端口信息时,所述检测模块从所述ARP事务表中删除对应于所接收的所述ARP响应数据包的ARP等待条目,并将所述接收模块所接收的所述ARP数据包传送到目的地。7.一种用于在ARP欺骗攻击检测系统中检测ARP欺骗攻击的方法,包括: 第一步骤,由所述检测系统接收ARP数据包,并判断所接收的所述ARP数据包是否为未经请求的ARP数据包; 第二步骤,当所接收的所述ARP数据包被判断为是未经...
【专利技术属性】
技术研发人员:赵诚冕,
申请(专利权)人:三星SDS株式会社,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。