一種arp欺騙的細(xì)粒度檢測(cè)方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域����,具體涉及一種ARP欺騙的細(xì)粒度檢測(cè)方法及系統(tǒng)。
【背景技術(shù)】
[0002]中間人攻擊(Man-1n-the-middle attack)是一種對(duì)網(wǎng)絡(luò)中兩臺(tái)或多臺(tái)終端之間的數(shù)據(jù)包進(jìn)行攻擊的方式����。發(fā)動(dòng)攻擊時(shí),攻擊者位于合法終端的通信路徑中間����,通過(guò)捕獲�、修改��、轉(zhuǎn)發(fā)雙方之間的數(shù)據(jù)包的手段來(lái)達(dá)到攻擊的目的��。
[0003]ARP協(xié)議�����,全稱Address Resolut1n Protocol,工作在OSI七層網(wǎng)絡(luò)模型中的第二層一數(shù)據(jù)鏈路層�,它的作用是根據(jù)目標(biāo)終端的IP來(lái)獲得相應(yīng)的硬件地址MAC。ARP設(shè)計(jì)時(shí)存在著一個(gè)問(wèn)題����,即它沒(méi)有對(duì)ARP報(bào)文的來(lái)源是否合法進(jìn)行驗(yàn)證,不會(huì)檢查收到的應(yīng)答報(bào)文是否合法���,也不會(huì)檢查本機(jī)是否發(fā)送過(guò)相應(yīng)的ARP請(qǐng)求報(bào)文���,這使得防范ARP攻擊變得尤為重要。生活中常常出現(xiàn)以下現(xiàn)象時(shí)�,很可能出現(xiàn)ARP欺騙的攻擊。局域網(wǎng)內(nèi)頻繁出整體掉線�,重啟計(jì)算機(jī)或路由器后恢復(fù)正常�。網(wǎng)速時(shí)快時(shí)慢�,極其不穩(wěn)定,但單機(jī)進(jìn)行數(shù)據(jù)測(cè)試時(shí)一切正常��。網(wǎng)上銀行�、游戲及QQ賬號(hào)的頻繁丟失。
[0004]現(xiàn)有的檢測(cè)防御ARP欺騙的方法主要有:①終端級(jí)的被動(dòng)檢測(cè):如果系統(tǒng)收到來(lái)自局域網(wǎng)內(nèi)的ARP請(qǐng)求包����,系統(tǒng)會(huì)檢測(cè)其目的地址是否和本機(jī)的IP地址相同,如果相同說(shuō)明局域網(wǎng)內(nèi)有終端正在進(jìn)行ARP欺騙�。此種方法使得網(wǎng)關(guān)丟掉不合理的IP、MAC映射關(guān)系����。主要的缺點(diǎn)是此方法不能保證建立的IP���、MAC映射關(guān)系一定是正確的��,不能保證數(shù)據(jù)庫(kù)中存儲(chǔ)的值一定是沒(méi)有收到ARP欺騙的����,可擴(kuò)展性較差�,被動(dòng)性。②終端級(jí)的主動(dòng)檢測(cè):在局域網(wǎng)內(nèi)使用一臺(tái)終端主動(dòng)地不停地向整個(gè)網(wǎng)絡(luò)內(nèi)發(fā)送目的IP是本機(jī)的ARP請(qǐng)求包,如果整個(gè)局域網(wǎng)中有終端回應(yīng)�����,則說(shuō)明這個(gè)局域網(wǎng)內(nèi)存在ARP欺騙攻擊��。這種方法的資源消耗較大�,并且對(duì)于服務(wù)器的DOS攻擊沒(méi)有防御。③網(wǎng)絡(luò)級(jí)的檢測(cè):局域網(wǎng)內(nèi)的終端定期向局域網(wǎng)內(nèi)的ARP服務(wù)器發(fā)送其ARP地址緩存表��,這樣�����,如果是局域網(wǎng)內(nèi)哪臺(tái)終端被攻擊了�����,ARP服務(wù)器會(huì)通過(guò)它儲(chǔ)存的其他終端的ARP混存表找出攻擊源和被攻擊的終端���,從而進(jìn)行定位��。交換機(jī)或路由器分別對(duì)每個(gè)端口對(duì)應(yīng)的用戶終端MAC和IP地址進(jìn)行綁定��,同時(shí)對(duì)通過(guò)DHCP協(xié)議動(dòng)態(tài)獲得IP地址的終端設(shè)置一個(gè)較長(zhǎng)的租約時(shí)間��,從而使各個(gè)終端的MAC和IP的映射關(guān)系趨于穩(wěn)定狀態(tài)��,從此來(lái)防御ARP攻擊�。
[0005]另外一種手動(dòng)監(jiān)測(cè)是指網(wǎng)絡(luò)管理員利用命令行或wireshark等抓包工具進(jìn)行抓包來(lái)查看終端的IP和MAC之間的映射關(guān)系,以此來(lái)發(fā)現(xiàn)是否存在可疑的用戶終端���,若存在則采取相應(yīng)的措施�。ARP欺騙攻擊的監(jiān)測(cè)系統(tǒng)能夠?qū)粽哌M(jìn)行精準(zhǔn)定位����,同時(shí)斷開(kāi)發(fā)現(xiàn)ARP欺騙攻擊的終端網(wǎng)絡(luò),從而有效縮小ARP的攻擊范圍�,減小ARP攻擊帶來(lái)的威脅。但是該系統(tǒng)有一個(gè)前提是只能在監(jiān)測(cè)到ARP欺騙之后才能做相應(yīng)處理��,如果系統(tǒng)沒(méi)有監(jiān)測(cè)到實(shí)際發(fā)生的ARP欺騙���,那么該系統(tǒng)就沒(méi)有任何作用。此方法對(duì)于網(wǎng)絡(luò)管理員的要求較高���,工作量大�����,容易產(chǎn)生誤差�。
【發(fā)明內(nèi)容】
[0006]針對(duì)現(xiàn)有技術(shù)中的缺陷,本發(fā)明提供了一種ARP欺騙的細(xì)粒度檢測(cè)方法及系統(tǒng)���,能夠?qū)崟r(shí)的檢測(cè)發(fā)現(xiàn)ARP欺騙行為��,檢測(cè)效率高��。
[0007]第一方面�,本發(fā)明提供一種ARP欺騙的細(xì)粒度檢測(cè)方法���,包括:
[0008]在預(yù)設(shè)時(shí)間段內(nèi)監(jiān)控第一終端和第二終端之間通信的請(qǐng)求與應(yīng)答的數(shù)據(jù)包��,其中所述數(shù)據(jù)包中包括第一終端的IP地址��、第一終端的IP地址對(duì)應(yīng)的MAC地址�、第二終端IP地址和第二終端的IP地址對(duì)應(yīng)的MAC地址��;
[0009]根據(jù)所述數(shù)據(jù)包����,判斷所述數(shù)據(jù)包中是否存在待驗(yàn)證的異常通信數(shù)據(jù)包;
[0010]當(dāng)確定所述數(shù)據(jù)包中存在待驗(yàn)證的異常通信數(shù)據(jù)包時(shí)��,向所述第一終端發(fā)送所述待驗(yàn)證的異常通信數(shù)據(jù)包,以使所述第一終端對(duì)所述待驗(yàn)證的異常通信數(shù)據(jù)包進(jìn)行驗(yàn)證����。
[0011]可選的,所述根據(jù)所述數(shù)據(jù)包��,判斷所述數(shù)據(jù)包中是否存在待驗(yàn)證的異常通信數(shù)據(jù)包��,包括:
[0012]在所述數(shù)據(jù)包中存在第一終端的IP地址相同��,且第一終端的IP地址對(duì)應(yīng)的MAC地址不同時(shí)���,確定所述數(shù)據(jù)包中存在待驗(yàn)證的異常通信數(shù)據(jù)包���。
[0013]可選的,所述當(dāng)確定所述數(shù)據(jù)包中存在待驗(yàn)證的異常通信數(shù)據(jù)包時(shí)�����,向所述第一終端發(fā)送所述待驗(yàn)證的異常通信數(shù)據(jù)包����,包括:
[0014]所述第一終端接收所述待驗(yàn)證的異常通信數(shù)據(jù)包��,并提取所述待驗(yàn)證的異常通信數(shù)據(jù)包中的待驗(yàn)證MAC地址。
[0015]可選的�����,所述第一終端對(duì)所述待驗(yàn)證的異常通信數(shù)據(jù)包進(jìn)行驗(yàn)證�����,包括:
[0016]所述第一終端通過(guò)將所述第一終端的IP地址對(duì)應(yīng)的MAC地址與所述待驗(yàn)證MAC地址進(jìn)行比較����,對(duì)所述待驗(yàn)證的異常通信數(shù)據(jù)包進(jìn)行驗(yàn)證。
[0017]可選的����,所述方法還包括:
[0018]所述第一終端在所述第一終端的IP地址對(duì)應(yīng)的MAC地址與所述待驗(yàn)證MAC地址不同時(shí),確定所述待驗(yàn)證的異常通信數(shù)據(jù)包為異常通信數(shù)據(jù)包����,并向所述異常通信數(shù)據(jù)包中的待驗(yàn)證MAC地址對(duì)應(yīng)的終端發(fā)送拒絕服務(wù)的信息。
[0019]第二方面�����,本發(fā)明還提供了一種ARP欺騙的細(xì)粒度檢測(cè)系統(tǒng)��,包括:
[0020]監(jiān)控模塊,用于在預(yù)設(shè)時(shí)間段內(nèi)監(jiān)控第一終端和第二終端之間通信的請(qǐng)求與應(yīng)答的數(shù)據(jù)包�����,其中所述數(shù)據(jù)包中包括第一終端的IP地址�、第一終端的IP地址對(duì)應(yīng)的MAC地址、第二終端IP地址和第二終端的IP地址對(duì)應(yīng)的MAC地址��;
[0021]判斷模塊�����,用于根據(jù)所述數(shù)據(jù)包����,判斷所述數(shù)據(jù)包中是否存在待驗(yàn)證的異常通信數(shù)據(jù)包;
[0022]發(fā)送模塊�,用于當(dāng)確定所述數(shù)據(jù)包中存在待驗(yàn)證的異常通信數(shù)據(jù)包時(shí),向所述第一終端發(fā)送所述待驗(yàn)證的異常通信數(shù)據(jù)包�,以使所述第一終端對(duì)所述待驗(yàn)證的異常通信數(shù)據(jù)包進(jìn)行驗(yàn)證。
[0023]可選的��,所述判斷模塊�����,用于:
[0024]在所述數(shù)據(jù)包中存在第一終端的IP地址相同���,且第一終端的IP地址對(duì)應(yīng)的MAC地址不同時(shí)�����,確定所述數(shù)據(jù)包中存在待驗(yàn)證的異常通信數(shù)據(jù)包���。
[0025]可選的,所述發(fā)送模塊���,用于:
[0026]所述第一終端接收所述待驗(yàn)證的異常通信數(shù)據(jù)包�,并提取所述待驗(yàn)證的異常通信數(shù)據(jù)包中的待驗(yàn)證MAC地址��。
[0027]可選的���,所述發(fā)送模塊�,用于:
[0028]當(dāng)確定所述數(shù)據(jù)包中存在待驗(yàn)證的異常通信數(shù)據(jù)包時(shí)����,向所述第一終端發(fā)送所述待驗(yàn)證的異常通信數(shù)據(jù)包,以使所述第一終端通過(guò)將所述第一終端的IP地址對(duì)應(yīng)的MAC地址與所述待驗(yàn)證MAC地址進(jìn)行比較,對(duì)所述待驗(yàn)證的異常通信數(shù)據(jù)包進(jìn)行驗(yàn)證�����。
[0029]可選的�,所述發(fā)送模塊,用于:
[0030]當(dāng)確定所述數(shù)據(jù)包中存在待驗(yàn)證的異常通信數(shù)據(jù)包時(shí)���,向所述第一終端發(fā)送所述待驗(yàn)證的異常通信數(shù)據(jù)包�����,以使所述第一終端在所述第一終端的IP地址對(duì)應(yīng)的MAC地址與所述待驗(yàn)證MAC地址不同時(shí)���,確定所述待驗(yàn)證的異常通信數(shù)據(jù)包為異常通信數(shù)據(jù)包,并向所述異常通信數(shù)據(jù)包中的待驗(yàn)證MAC地址對(duì)應(yīng)的終端發(fā)送拒絕服務(wù)的信息���。
[0031]由上述技術(shù)方案可知��,本發(fā)明提供的一種ARP欺騙的細(xì)粒度檢測(cè)方法及系統(tǒng)��,監(jiān)控第一終端和第二終端之間通信的請(qǐng)求與應(yīng)答的數(shù)據(jù)包��,識(shí)別是否存在待驗(yàn)證的異常通信數(shù)據(jù)包���,并在發(fā)現(xiàn)待驗(yàn)證的異常通信數(shù)據(jù)包時(shí)����,向發(fā)送該數(shù)據(jù)包對(duì)應(yīng)的終端發(fā)送拒絕服務(wù)的信息���,保證了驗(yàn)證之后的終端的IP地址與MAC地址是一一對(duì)應(yīng)的,該方法在未增加網(wǎng)絡(luò)側(cè)的信令負(fù)擔(dān)的同時(shí)�����,達(dá)到高效動(dòng)態(tài)的檢測(cè)ARP攻擊和反制��。
【附圖說(shuō)明】
[0032]圖1為本發(fā)明一實(shí)施例提供的一種ARP欺騙的細(xì)粒度檢測(cè)方法的流程示意圖�;
[0033]圖2為本發(fā)明一實(shí)施例提供的一種ARP欺騙的細(xì)粒度檢測(cè)系統(tǒng)的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0034]下面結(jié)合附圖��,對(duì)發(fā)明的【具體實(shí)施方式】作進(jìn)一步描述����。以下實(shí)施例僅用于更加清楚地說(shuō)明本發(fā)明的技術(shù)方案,而不能以此來(lái)限制本發(fā)明的保護(hù)范圍��。
[0035]圖1示出了本發(fā)明實(shí)施例提供的一種ARP欺騙的細(xì)粒度檢測(cè)方法的流程示意圖�,如圖1所示�����,該方法包括:
[0036]101��、在預(yù)設(shè)時(shí)間段內(nèi)監(jiān)控第一終端和第二終端之間通信的請(qǐng)求與應(yīng)答的數(shù)據(jù)包�����,其中所述數(shù)據(jù)包中包括第一終端的IP地址�、第一終端的IP地址對(duì)應(yīng)的MAC地址�����、第二終端IP地址和第二終端的IP地址對(duì)應(yīng)的MAC地址�����;
[0037]102���、根據(jù)所述數(shù)據(jù)包��,判斷所述數(shù)據(jù)包中是否存在待驗(yàn)證的異常通信數(shù)據(jù)包�;
[0038]103���、當(dāng)確定所述數(shù)據(jù)包中存在待驗(yàn)證的異常通信數(shù)據(jù)包時(shí)���,向所述第一終端發(fā)送所述待驗(yàn)證的異常通信數(shù)據(jù)包���,以使所述第一終端對(duì)所述待驗(yàn)證的異常通信數(shù)據(jù)包進(jìn)行驗(yàn)證。
[0039]具體的����,上述步驟102包括:
[0040]在所述數(shù)據(jù)包中存在第一終端的IP地址相同,且第一終端的IP地址對(duì)應(yīng)的MAC地址不同時(shí)����,確定所述數(shù)據(jù)包中存在待驗(yàn)證的異常通信數(shù)據(jù)包����。
[0041]上述步驟103包括:
[0042]所述第一終端接收所述待驗(yàn)證的異常通信數(shù)據(jù)包,并提取所述待驗(yàn)證的異常通信數(shù)據(jù)包中的待驗(yàn)證MAC地址�����。
[0043]所述第一終端通過(guò)將所述第一終端的IP地址對(duì)應(yīng)的MAC地址與所述待驗(yàn)證MAC地址進(jìn)行比較�����,對(duì)所述待驗(yàn)證的異常通信數(shù)據(jù)包進(jìn)行驗(yàn)證。
[0044]所述第一終端在所述第一終端的IP地址對(duì)應(yīng)的MAC地址與所述待驗(yàn)證MAC地址不同時(shí)���,確定所述待驗(yàn)證的異常通信數(shù)據(jù)包為異常通信數(shù)據(jù)包�����,并向所述異常通信數(shù)據(jù)包中的待驗(yàn)證MAC地址對(duì)應(yīng)的終端發(fā)送拒絕服務(wù)的信息���。
[0045]上述方法結(jié)合基于TCP報(bào)文數(shù)據(jù)中添加網(wǎng)絡(luò)異常行為中同一 IP對(duì)應(yīng)的MAC地址,在TCP建立連接到終止的過(guò)程中對(duì)其進(jìn)行驗(yàn)證�,對(duì)比此TCP報(bào)文數(shù)據(jù)中包含的MAC與目標(biāo)服務(wù)器的MAC,發(fā)現(xiàn)真正的ARP欺騙���。通過(guò)對(duì)于網(wǎng)絡(luò)異常行為的驗(yàn)證���,能夠保證驗(yàn)證之后的IP、MAC映射關(guān)系一定是正確的沒(méi)有受到欺騙�����。檢測(cè)出ARP欺騙之后能夠?qū)ζ溥M(jìn)行拒絕服務(wù)等反制措施�,第一時(shí)間防止ARP欺騙帶來(lái)的危害。同時(shí)沒(méi)有增加網(wǎng)絡(luò)側(cè)的信令負(fù)擔(dān)�,達(dá)到高效地動(dòng)態(tài)地檢測(cè)ARP攻擊與反制����。
[0046