一种arp欺骗的细粒度检测方法及系统的利记博彩app
【技术领域】
[0001]本发明涉及通信技术领域,具体涉及一种ARP欺骗的细粒度检测方法及系统。
【背景技术】
[0002]中间人攻击(Man-1n-the-middle attack)是一种对网络中两台或多台终端之间的数据包进行攻击的方式。发动攻击时,攻击者位于合法终端的通信路径中间,通过捕获、修改、转发双方之间的数据包的手段来达到攻击的目的。
[0003]ARP协议,全称Address Resolut1n Protocol,工作在OSI七层网络模型中的第二层一数据链路层,它的作用是根据目标终端的IP来获得相应的硬件地址MAC。ARP设计时存在着一个问题,即它没有对ARP报文的来源是否合法进行验证,不会检查收到的应答报文是否合法,也不会检查本机是否发送过相应的ARP请求报文,这使得防范ARP攻击变得尤为重要。生活中常常出现以下现象时,很可能出现ARP欺骗的攻击。局域网内频繁出整体掉线,重启计算机或路由器后恢复正常。网速时快时慢,极其不稳定,但单机进行数据测试时一切正常。网上银行、游戏及QQ账号的频繁丢失。
[0004]现有的检测防御ARP欺骗的方法主要有:①终端级的被动检测:如果系统收到来自局域网内的ARP请求包,系统会检测其目的地址是否和本机的IP地址相同,如果相同说明局域网内有终端正在进行ARP欺骗。此种方法使得网关丢掉不合理的IP、MAC映射关系。主要的缺点是此方法不能保证建立的IP、MAC映射关系一定是正确的,不能保证数据库中存储的值一定是没有收到ARP欺骗的,可扩展性较差,被动性。②终端级的主动检测:在局域网内使用一台终端主动地不停地向整个网络内发送目的IP是本机的ARP请求包,如果整个局域网中有终端回应,则说明这个局域网内存在ARP欺骗攻击。这种方法的资源消耗较大,并且对于服务器的DOS攻击没有防御。③网络级的检测:局域网内的终端定期向局域网内的ARP服务器发送其ARP地址缓存表,这样,如果是局域网内哪台终端被攻击了,ARP服务器会通过它储存的其他终端的ARP混存表找出攻击源和被攻击的终端,从而进行定位。交换机或路由器分别对每个端口对应的用户终端MAC和IP地址进行绑定,同时对通过DHCP协议动态获得IP地址的终端设置一个较长的租约时间,从而使各个终端的MAC和IP的映射关系趋于稳定状态,从此来防御ARP攻击。
[0005]另外一种手动监测是指网络管理员利用命令行或wireshark等抓包工具进行抓包来查看终端的IP和MAC之间的映射关系,以此来发现是否存在可疑的用户终端,若存在则采取相应的措施。ARP欺骗攻击的监测系统能够对攻击者进行精准定位,同时断开发现ARP欺骗攻击的终端网络,从而有效缩小ARP的攻击范围,减小ARP攻击带来的威胁。但是该系统有一个前提是只能在监测到ARP欺骗之后才能做相应处理,如果系统没有监测到实际发生的ARP欺骗,那么该系统就没有任何作用。此方法对于网络管理员的要求较高,工作量大,容易产生误差。
【发明内容】
[0006]针对现有技术中的缺陷,本发明提供了一种ARP欺骗的细粒度检测方法及系统,能够实时的检测发现ARP欺骗行为,检测效率高。
[0007]第一方面,本发明提供一种ARP欺骗的细粒度检测方法,包括:
[0008]在预设时间段内监控第一终端和第二终端之间通信的请求与应答的数据包,其中所述数据包中包括第一终端的IP地址、第一终端的IP地址对应的MAC地址、第二终端IP地址和第二终端的IP地址对应的MAC地址;
[0009]根据所述数据包,判断所述数据包中是否存在待验证的异常通信数据包;
[0010]当确定所述数据包中存在待验证的异常通信数据包时,向所述第一终端发送所述待验证的异常通信数据包,以使所述第一终端对所述待验证的异常通信数据包进行验证。
[0011]可选的,所述根据所述数据包,判断所述数据包中是否存在待验证的异常通信数据包,包括:
[0012]在所述数据包中存在第一终端的IP地址相同,且第一终端的IP地址对应的MAC地址不同时,确定所述数据包中存在待验证的异常通信数据包。
[0013]可选的,所述当确定所述数据包中存在待验证的异常通信数据包时,向所述第一终端发送所述待验证的异常通信数据包,包括:
[0014]所述第一终端接收所述待验证的异常通信数据包,并提取所述待验证的异常通信数据包中的待验证MAC地址。
[0015]可选的,所述第一终端对所述待验证的异常通信数据包进行验证,包括:
[0016]所述第一终端通过将所述第一终端的IP地址对应的MAC地址与所述待验证MAC地址进行比较,对所述待验证的异常通信数据包进行验证。
[0017]可选的,所述方法还包括:
[0018]所述第一终端在所述第一终端的IP地址对应的MAC地址与所述待验证MAC地址不同时,确定所述待验证的异常通信数据包为异常通信数据包,并向所述异常通信数据包中的待验证MAC地址对应的终端发送拒绝服务的信息。
[0019]第二方面,本发明还提供了一种ARP欺骗的细粒度检测系统,包括:
[0020]监控模块,用于在预设时间段内监控第一终端和第二终端之间通信的请求与应答的数据包,其中所述数据包中包括第一终端的IP地址、第一终端的IP地址对应的MAC地址、第二终端IP地址和第二终端的IP地址对应的MAC地址;
[0021]判断模块,用于根据所述数据包,判断所述数据包中是否存在待验证的异常通信数据包;
[0022]发送模块,用于当确定所述数据包中存在待验证的异常通信数据包时,向所述第一终端发送所述待验证的异常通信数据包,以使所述第一终端对所述待验证的异常通信数据包进行验证。
[0023]可选的,所述判断模块,用于:
[0024]在所述数据包中存在第一终端的IP地址相同,且第一终端的IP地址对应的MAC地址不同时,确定所述数据包中存在待验证的异常通信数据包。
[0025]可选的,所述发送模块,用于:
[0026]所述第一终端接收所述待验证的异常通信数据包,并提取所述待验证的异常通信数据包中的待验证MAC地址。
[0027]可选的,所述发送模块,用于:
[0028]当确定所述数据包中存在待验证的异常通信数据包时,向所述第一终端发送所述待验证的异常通信数据包,以使所述第一终端通过将所述第一终端的IP地址对应的MAC地址与所述待验证MAC地址进行比较,对所述待验证的异常通信数据包进行验证。
[0029]可选的,所述发送模块,用于:
[0030]当确定所述数据包中存在待验证的异常通信数据包时,向所述第一终端发送所述待验证的异常通信数据包,以使所述第一终端在所述第一终端的IP地址对应的MAC地址与所述待验证MAC地址不同时,确定所述待验证的异常通信数据包为异常通信数据包,并向所述异常通信数据包中的待验证MAC地址对应的终端发送拒绝服务的信息。
[0031]由上述技术方案可知,本发明提供的一种ARP欺骗的细粒度检测方法及系统,监控第一终端和第二终端之间通信的请求与应答的数据包,识别是否存在待验证的异常通信数据包,并在发现待验证的异常通信数据包时,向发送该数据包对应的终端发送拒绝服务的信息,保证了验证之后的终端的IP地址与MAC地址是一一对应的,该方法在未增加网络侧的信令负担的同时,达到高效动态的检测ARP攻击和反制。
【附图说明】
[0032]图1为本发明一实施例提供的一种ARP欺骗的细粒度检测方法的流程示意图;
[0033]图2为本发明一实施例提供的一种ARP欺骗的细粒度检测系统的结构示意图。
【具体实施方式】
[0034]下面结合附图,对发明的【具体实施方式】作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
[0035]图1示出了本发明实施例提供的一种ARP欺骗的细粒度检测方法的流程示意图,如图1所示,该方法包括:
[0036]101、在预设时间段内监控第一终端和第二终端之间通信的请求与应答的数据包,其中所述数据包中包括第一终端的IP地址、第一终端的IP地址对应的MAC地址、第二终端IP地址和第二终端的IP地址对应的MAC地址;
[0037]102、根据所述数据包,判断所述数据包中是否存在待验证的异常通信数据包;
[0038]103、当确定所述数据包中存在待验证的异常通信数据包时,向所述第一终端发送所述待验证的异常通信数据包,以使所述第一终端对所述待验证的异常通信数据包进行验证。
[0039]具体的,上述步骤102包括:
[0040]在所述数据包中存在第一终端的IP地址相同,且第一终端的IP地址对应的MAC地址不同时,确定所述数据包中存在待验证的异常通信数据包。
[0041]上述步骤103包括:
[0042]所述第一终端接收所述待验证的异常通信数据包,并提取所述待验证的异常通信数据包中的待验证MAC地址。
[0043]所述第一终端通过将所述第一终端的IP地址对应的MAC地址与所述待验证MAC地址进行比较,对所述待验证的异常通信数据包进行验证。
[0044]所述第一终端在所述第一终端的IP地址对应的MAC地址与所述待验证MAC地址不同时,确定所述待验证的异常通信数据包为异常通信数据包,并向所述异常通信数据包中的待验证MAC地址对应的终端发送拒绝服务的信息。
[0045]上述方法结合基于TCP报文数据中添加网络异常行为中同一 IP对应的MAC地址,在TCP建立连接到终止的过程中对其进行验证,对比此TCP报文数据中包含的MAC与目标服务器的MAC,发现真正的ARP欺骗。通过对于网络异常行为的验证,能够保证验证之后的IP、MAC映射关系一定是正确的没有受到欺骗。检测出ARP欺骗之后能够对其进行拒绝服务等反制措施,第一时间防止ARP欺骗带来的危害。同时没有增加网络侧的信令负担,达到高效地动态地检测ARP攻击与反制。
[0046