CN107786496B - 针对局域网arp表项欺骗攻击的预警方法及装置 - Google Patents
针对局域网arp表项欺骗攻击的预警方法及装置 Download PDFInfo
- Publication number
- CN107786496B CN107786496B CN201610723545.4A CN201610723545A CN107786496B CN 107786496 B CN107786496 B CN 107786496B CN 201610723545 A CN201610723545 A CN 201610723545A CN 107786496 B CN107786496 B CN 107786496B
- Authority
- CN
- China
- Prior art keywords
- arp
- message
- table entry
- address
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
针对局域网ARP表项欺骗攻击的预警方法及装置,属于网络通信技术领域,为了解决局域网ARP表项欺骗攻击的预警问题,技术要点是:S1.网络数据侦听;S2.ARP报文可信性确认;S2.1.ARP报文不可信时,进行ARP表项欺骗预警判断;S2.2.ARP报文可信时,进行ARP报文表项的分析以判断ARP表项欺骗。效果是:可以防止ARP表项欺骗攻击。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种局域网内的ARP欺骗攻击的预警方法。
背景技术
地址解析协议(ARP,Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP子协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。
ARP欺骗攻击是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。ARP攻击主要是存在于局域网网络中,局域网中若有一个用户感染ARP病毒,则感染该ARP病毒的用户系统可能会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其他用户网络连接故障。
ARP表项欺骗攻击通过修改ARP表项来完成的。首先,每台主机都会在自己的ARP缓冲区中建立一个ARP列表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有﹐就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、MAC地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。
发明内容
为了解决局域网ARP表项欺骗攻击的预警问题,一种针对局域网ARP表项欺骗攻击的预警方法,包括如下步骤:
S1.网络数据侦听;
S2.ARP报文可信性确认;
S2.1.ARP报文不可信时,进行ARP表项欺骗预警判断;
S2.2.ARP报文可信时,进行ARP报文表项的分析以判断ARP表项欺骗。
有益效果:本发明对网络数据进行侦听,并将获取的数据进行ARP报文可信性确认,在ARP报文不可信的基础上,进行预警判断,并分析ARP表项以判断ARP表项欺骗,从而可以防止ARP表项欺骗攻击。
附图说明
图1为本发明对局域网ARP表项欺骗攻击的预警流程图。
图2为本发明ARP表项欺骗的判断预警模块的判断方法示意图。
图3为本发明ARP表项欺骗的判断预警模块的组成示意图。
图4为ARP报文格式说明。
具体实施方式
实施例1:一种针对局域网ARP表项欺骗攻击的预警方法,包括如下步骤:
S1.网络数据侦听;
S2.ARP报文可信性确认;
S2.1.ARP报文不可信时,进行ARP表项欺骗预警判断;
S2.2.ARP报文可信时,进行ARP报文表项的分析以判断ARP表项欺骗。
作为一种实施例,其所述步骤S1中,网络数据侦听为:获取网络内的DHCPDiscover请求报文,记录到表A中;获取网络内的DHCP ACK报文,记录到表B中;获取网络内ARP广播报文,记录到表C中。
作为一种实施例,其所述步骤S2的具体步骤是:分析用户发出的ARP请求包的IP地址,判断其是否在表A和表C中出现,且同时判断其是否存于静态IP地址的表项中,出现且存于的,则ARP报文可信,否则ARP报文不可信。
作为一种实施例,其所述步骤S2.1的ARP表项欺骗预警判断的方法:判断是否有用户主动请求多个目标IP用户的MAC信息,或者被动记录多条ARP信息,满足其中之一即判断为ARP表项欺骗预警。
作为一种实施例,其所述步骤S2.2的ARP报文表项的分析的方法:检验ARP帧首部的源MAC和ARP报文中源MAC是否一致,若不一致,则判断为ARP表项欺骗;若一致,则判断ARP表项是否更新。在第一次学习到ARP之后,仅允许更新ARP表项的老化时间,若用户再次请求修改此ARP表项,则传递给ARP欺骗攻击报警的状态字接口,判断为ARP表项欺骗。
作为一种实施例,其所述的ARP报文不可信时,不可信信息传递给ARP欺骗攻击报警的状态字接口;ARP帧首部的源MAC和报文中源MAC不一致信息传递给ARP欺骗攻击报警的状态字接口,更新信息传递给ARP欺骗攻击报警的状态字接口。
作为另一种实施例,一种针对局域网ARP表项欺骗攻击的预警装置,包括:
侦听模块,用于网络数据侦听;
可信性确认模块,用于ARP报文可信性确认;
预警模块,ARP报文不可信时,进行ARP表项欺骗预警判断;
表项欺骗模块,ARP报文可信时,进行ARP报文表项的分析以判断ARP表项欺骗。
作为一种实施例,其所述侦听模块中,网络数据侦听为:获取网络内的DHCPDiscover请求报文,记录到表A中;获取网络内的DHCPACK报文,记录到表B中;获取网络内ARP广播报文,记录到表C中。
作为一种实施例,其所述可信性确认模块:分析用户发出的ARP请求包的IP地址,判断其是否在表A和表C中出现,且同时判断其是否存于静态IP地址的表项中,出现且存于的,则ARP报文可信,否则ARP报文不可信。
作为一种实施例,其所述预警模块的ARP表项欺骗预警判断的方法:判断是否有用户主动请求多个目标IP用户的MAC信息,或者被动记录多条ARP信息,满足其中之一即判断为ARP表项欺骗预警。
作为一种实施例,其所述步骤S2.2的ARP报文表项的分析的方法:检验ARP帧首部的源MAC和ARP报文中源MAC是否一致,若不一致,则判断为ARP表项欺骗;若一致,则判断ARP表项是否更新。在第一次学习到ARP之后,仅允许更新ARP表项的老化时间,若用户再次请求修改此ARP表项,则传递给ARP欺骗攻击报警的状态字接口,判断为ARP表项欺骗。
作为一种实施例,其所述的ARP报文不可信时,不可信信息传递给ARP欺骗攻击报警的状态字接口;ARP帧首部的源MAC和报文中源MAC不一致信息传递给ARP欺骗攻击报警的状态字接口,更新信息传递给ARP欺骗攻击报警的状态字接口。
本实施例提供了局域网ARP欺骗攻击预警方法和装置。使网络管理者能够掌握局域网内部的运行状况。本发明具有以下有益作用。
(1)确认可信的ARP报文。因为在ARP欺骗之前,恶意用户必须通过发送ARP广播报文,来扫描局域网内的主机,以便恶意用户获得网络内的目标MAC。此时需要确认ARP广播报文中的目的MAC地址是否在表A和表C中出现过。本方法可以过滤掉不可信的ARP报文,同时避免局域网络内用户的物理地址和ARP表项信息被恶意用户获取,进而预警潜在的恶意用户。
(2)相比建立静态ARP表的方法和加快ARP表项的老化时间的方法,本发明可以有针对性的预警“ARP表项欺骗”的网络攻击,同时可以监控网络用户的ARP表项修改。
(3)本方案输出ARP欺骗攻击报警的状态字,提供了程序接口,便于采取防范措施和杀毒。输出ARP欺骗攻击报警的日志,便于网络管理员追溯网络事件。
(4)相比加快ARP表项的老化时间的方法,本方案可以在繁忙的网络上实现预警ARP欺骗攻击。相比建立静态ARP表的方法,本方案可以在动态的网络环境中,高效预警ARP欺骗攻击。
实施例2:作为实施例1的技术方案补充或一种单独的实施例,本实施例提供了一种针对局域网ARP表项欺骗攻击的预警方法。首先通过网络数据帧听。获得网络内的DHCPDiscover请求报文,记录到表A中;同时获取DHCPACK报文,记录到表B中;同时获取网络内ARP广播报文,记录到表C中。然后对比上述记录表的数据,确认ARP报文可信性,进行ARP报文表项的的分析,分析ARP帧首部的源MAC和报文中源MAC,两者是否一致。是否更新ARP表项,是否符合ARP欺骗的特征。若符合ARP欺骗的特征,则输出ARP欺骗攻击报警的状态字。然后输出ARP欺骗攻击报警的日志。程序流程图见附图1。
本实施例针对局域网ARP表项欺骗攻击的预警包括8个模块:
模块一,网络数据侦听模块。在网络层侦听网络数据,同时不干扰正常的网络传输,以一种透明的工作状态存在。
模块二,记录表A,局域网内的DHCP Discover请求报文的数据表。在网络数据侦听模块获取的数据中,提取DHCP Discover请求报文,记录在表A中。
模块三,记录表B,局域网内的DHCP ACK报文的数据表。在网络数据侦听模块获取的数据中,提取DHCP ACK报文,记录在表B中。
模块四,记录表C,即局域网内的ARP广播报文的数据表。在ARP报文提取模块获取的数据中,提取ARP广播报文,记录在表C中。
模块五,ARP欺骗的判断模块。首先确认收到的ARP报文的可信性,其源MAC用户是否出现过局域网扫描的行为,进一步判断是否为ARP表项欺骗。
模块六,ARP欺骗攻击预警的状态字输出接口模块。根据模块六的处理结果,输出ARP欺骗攻击预警的状态字。
模块七,ARP欺骗攻击报警的日志记录生成模块。记录模块七的预警的状态字,同时对应报文,一并保存至ARP欺骗攻击报警的日志中。
其核心ARP欺骗的判断模块的判断过程为:
第一步,确认ARP报文可信性。因为在ARP欺骗攻击之前,恶意用户需要获得网络内的目标MAC,必须通过发送广播报文来扫描局域网内的主机。此时恶意用户或者发送主动ARP扫描报文、或者发送主动ICMP扫描报文、或者被动侦听。所以,分析恶意用户发出的ARP请求包的目的IP地址,是否在表A和表C中出现过,同时判断是否存于静态IP地址的表项中,若不符合二者中的任何一项,则认为报文不可信,然后传递给ARP欺骗攻击报警的状态字接口。
然后判断是否有恶意用户主动请求多个目标IP用户的MAC信息,或者被动记录多条ARP信息。此时判断为ARP表项欺骗预警。
第二步,判断是否为“ARP表项欺骗”,检验ARP帧首部的源MAC和报文中源MAC,两者是否一致,若不一致,则传递给ARP欺骗攻击报警的状态字接口,判断为ARP表项欺骗。
第三步,若一致,则判断ARP表项是否更新。在第一次学习到ARP之后,仅允许更新ARP表项的老化时间,若用户再次请求修改此ARP表项,则传递给ARP欺骗攻击报警的状态字接口,判断为ARP表项欺骗。
本实施例中ARP欺骗的判断预警的流程图见附图2。
本实施例中ARP欺骗的判断预警模块的组成见附图3。
ARP报文格式说明见附图4。
以上所述,仅为本发明创造较佳的具体实施方式,但本发明创造的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明创造披露的技术范围内,根据本发明创造的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明创造的保护范围之内。
Claims (2)
1.一种针对局域网ARP表项欺骗攻击的预警方法,其特征在于,包括如下步骤:
S1.网络数据侦听:获取网络内的DHCP Discover请求报文,记录到表A中;获取网络内的DHCPACK报文,记录到表B中;获取网络内ARP广播报文,记录到表C中;
S2.ARP报文可信性确认:分析用户发出的ARP请求包的IP地址,判断其是否在表A和表C中出现,且同时判断其是否存于静态IP地址的表项中,出现且存于的,则ARP报文可信,否则ARP报文不可信;
S2.1.ARP报文不可信时,进行ARP表项欺骗预警判断:判断是否有用户主动请求多个目标IP用户的MAC信息,或者被动记录多条ARP信息,满足其中之一即判断为ARP表项欺骗预警;
S2.2.ARP报文可信时,进行ARP报文表项的分析以判断ARP表项欺骗:检验ARP帧首部的源MAC和ARP报文中源MAC是否一致,若不一致,则判断为ARP表项欺骗;若一致,则判断ARP表项是否更新,更新的,则判断为ARP表项欺骗。
2.一种针对局域网ARP表项欺骗攻击的预警装置,其特征在于,包括:
侦听模块,用于网络数据侦听,获取网络内的DHCP Discover请求报文,记录到表A中;获取网络内的DHCPACK报文,记录到表B中;获取网络内ARP广播报文,记录到表C中;
可信性确认模块,用于ARP报文可信性确认,分析用户发出的ARP请求包的IP地址,判断其是否在表A和表C中出现,且同时判断其是否存于静态IP地址的表项中,出现且存于的,则ARP报文可信,否则ARP报文不可信;
预警模块,ARP报文不可信时,进行ARP表项欺骗预警判断,判断是否有用户主动请求多个目标IP用户的MAC信息,或者被动记录多条ARP信息,满足其中之一即判断为ARP表项欺骗预警;
表项欺骗模块,ARP报文可信时,进行ARP报文表项的分析以判断ARP表项欺骗,检验ARP帧首部的源MAC和ARP报文中源MAC是否一致,若不一致,则判断为ARP表项欺骗;若一致,则判断ARP表项是否更新,更新的,则判断为ARP表项欺骗。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610723545.4A CN107786496B (zh) | 2016-08-25 | 2016-08-25 | 针对局域网arp表项欺骗攻击的预警方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610723545.4A CN107786496B (zh) | 2016-08-25 | 2016-08-25 | 针对局域网arp表项欺骗攻击的预警方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107786496A CN107786496A (zh) | 2018-03-09 |
| CN107786496B true CN107786496B (zh) | 2020-06-19 |
Family
ID=61438941
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610723545.4A Active CN107786496B (zh) | 2016-08-25 | 2016-08-25 | 针对局域网arp表项欺骗攻击的预警方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107786496B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112688900B (zh) * | 2019-10-18 | 2022-10-11 | 张长河 | 一种防御arp欺骗和网络扫描的局域网安全防护系统及方法 |
| CN111490977B (zh) * | 2020-03-27 | 2022-03-08 | 福建福链科技有限公司 | 一种基于dag区块链的防arp欺骗攻击方法及平台端 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20040109985A (ko) * | 2003-06-19 | 2004-12-29 | 주식회사 인티게이트 | Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법 |
| CN1612537A (zh) * | 2003-10-29 | 2005-05-04 | 华为技术有限公司 | 防范网际协议以太网中假冒主机的方法 |
| CN104009999A (zh) * | 2014-06-10 | 2014-08-27 | 北京星网锐捷网络技术有限公司 | 防止arp欺骗的方法、装置及网络接入服务器 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090290492A1 (en) * | 2008-05-23 | 2009-11-26 | Matthew Scott Wood | Method and apparatus to index network traffic meta-data |
-
2016
- 2016-08-25 CN CN201610723545.4A patent/CN107786496B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20040109985A (ko) * | 2003-06-19 | 2004-12-29 | 주식회사 인티게이트 | Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법 |
| CN1612537A (zh) * | 2003-10-29 | 2005-05-04 | 华为技术有限公司 | 防范网际协议以太网中假冒主机的方法 |
| CN104009999A (zh) * | 2014-06-10 | 2014-08-27 | 北京星网锐捷网络技术有限公司 | 防止arp欺骗的方法、装置及网络接入服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107786496A (zh) | 2018-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11722509B2 (en) | Malware detection for proxy server networks | |
| WO2021008028A1 (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| US20180013788A1 (en) | Detecting man-in-the-middle attacks | |
| US10375110B2 (en) | Luring attackers towards deception servers | |
| US8972571B2 (en) | System and method for correlating network identities and addresses | |
| CN111756712B (zh) | 一种基于虚拟网络设备伪造ip地址防攻击的方法 | |
| US9578040B2 (en) | Packet receiving method, deep packet inspection device and system | |
| CN111314281A (zh) | 一种攻击流量转发至蜜罐的方法 | |
| CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
| US20200374087A1 (en) | Deceiving Attackers in Endpoint Systems | |
| US20190058731A1 (en) | User-side detection and containment of arp spoofing attacks | |
| CN107241313B (zh) | 一种防mac泛洪攻击的方法及装置 | |
| CN111683106B (zh) | 主动防护系统及方法 | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| CN111683162B (zh) | 一种基于流量识别的ip地址管理方法 | |
| CN107690004B (zh) | 地址解析协议报文的处理方法及装置 | |
| US20210112093A1 (en) | Measuring address resolution protocol spoofing success | |
| WO2023193513A1 (zh) | 蜜罐网络运行方法、装置、设备及存储介质 | |
| CN107786496B (zh) | 针对局域网arp表项欺骗攻击的预警方法及装置 | |
| US10547638B1 (en) | Detecting name resolution spoofing | |
| CN110061998B (zh) | 一种攻击防御方法及装置 | |
| CN112383559B (zh) | 地址解析协议攻击的防护方法及装置 | |
| CN112165537B (zh) | 一种用于ping回复的虚拟IP的方法 | |
| CN107786499A (zh) | 针对arp网关欺骗攻击的预警方法及装置 | |
| JPWO2020229707A5 (zh) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |