CN107786499A - 针对arp网关欺骗攻击的预警方法及装置 - Google Patents
针对arp网关欺骗攻击的预警方法及装置 Download PDFInfo
- Publication number
- CN107786499A CN107786499A CN201610725735.XA CN201610725735A CN107786499A CN 107786499 A CN107786499 A CN 107786499A CN 201610725735 A CN201610725735 A CN 201610725735A CN 107786499 A CN107786499 A CN 107786499A
- Authority
- CN
- China
- Prior art keywords
- arp
- gateway
- address
- spoofing attack
- messages
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
针对ARP“网关”欺骗攻击的预警方法及装置,属于通信网络领域,用于解决ARP“网关”欺骗攻击的问题,技术要点是:步骤一.网络数据侦听;步骤二.ARP“网关”欺骗攻击分析。效果是:可以实现对于ARP网关欺骗的监视。
Description
技术领域
本发明属于通信网络领域,尤其涉及一种局域网内的ARP欺骗攻击的预警方法。
背景技术
地址解析协议(ARP,Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP子协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。
ARP欺骗攻击是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。ARP攻击主要是存在于局域网网络中,局域网中若有一个用户感染ARP病毒,则感染该ARP病毒的用户系统可能会试图通过ARP欺骗手段截获所在网络内其它计算机的通信信息,并因此造成网内其它用户网络连接故障。
ARP“网关”欺骗攻击:攻击者仿冒网关地址,发送ARP报文头的源IP地址是网关地址的ARP报文,从而使用户修改本机的网关MAC地址,需要发送给网关的报文就被发送给攻击者,导致信息被窃取。
现有的防范ARP网关欺骗攻击的方法:
(1)加快ARP表项的老化时间
加快ARP表项的老化时间,并不能避免攻击,只是快速更新正确的ARP表项,避免ARP表项被篡改,及时更正错误的ARP表项,使得ARP欺骗更加困难,带来的影响是在网络中会大量的出现ARP请求和回复,无法在繁忙的网络上实现防范ARP欺骗攻击。
(2)建立静态ARP表
这是一种很有效的方法,而且对系统影响不大。缺点是破坏了动态ARP协议。这样的ARP映射将不会过期和被新的ARP数据刷新,除非高级权限才能修改。但是一旦合法主机的网卡硬件地址改变,就必须手工更新这个ARP表项。这种方法不适合于经常变动的网络环境。
发明内容
为了解决ARP“网关”欺骗攻击的问题,本发明提出如下技术方案:
一种针对ARP“网关”欺骗攻击的预警方法,步骤包括:
步骤一.网络数据侦听;
步骤二.ARP“网关”欺骗攻击分析。
有益效果:侦听网络数据以得到数据对ARP欺骗攻击分析,可以实现对于ARP网关欺骗的监视。
附图说明
图1为本发明中ARP“网关”欺骗攻击的预警流程图。
图2为本发明ARP欺骗的判断预警模块的判断方法示意图。
图3为本发明ARP欺骗的判断预警模块的组成示意图。
图4为ARP报文格式说明。
具体实施方式
实施例1:一种针对ARP“网关”欺骗攻击的预警方法,步骤包括:
步骤一.网络数据侦听;
步骤二.ARP“网关”欺骗攻击分析。
作为一种实施例,若符合ARP“网关”欺骗的特征,则输出ARP“网关”欺骗攻击报警的状态字,再输出ARP“网关”欺骗攻击报警的日志。
作为一种实施例,所述网络数据侦听,获取DHCP Ack报文,记录到表A中;获取网络内ARP报文。
作为一种实施例,ARP欺骗攻击分析,判断是否符合ARP“网关”欺骗特征的方法是:
第一步,将ARP报文的ARP关系与表A进行对比,其中的IP地址和MAC地址是否在表A中存在,若不存在,判断为ARP“网关”欺骗攻击,输出ARP欺骗的接口状态字,若存在则执行下一步;
第二步,检查ARP报文头部的IP地址、MAC地址与Data部分的IP地址、MAC是否一致,若不一致,判断为ARP“网关”欺骗攻击,输出ARP欺骗的接口状态字,若一致则执行下一步;
第三步,ARP报文仿冒网关地址的,判断为ARP“网关”欺骗攻击。
作为一种实施例,ARP报文的源IP地址是网关IP地址,而源MAC地址不是网关设备的MAC地址,判断为ARP报文仿冒网关地址。
计算机建立tcp/ip连接后,自身有ARP缓存表,其中有一条ARP表项记录着网关设备的IP地址和MAC地址,此表项中的MAC地址,决定链路层的通信路径,一旦被篡改,则报文被窃取,本实施例表述的是此条ARP表项被修改,以此判断为ARP报文仿冒网关地址。
作为另一种实施例,提出一种与上述各方案方法对应的装置,一种针对ARP“网关”欺骗攻击的预警装置,包括:
侦听模块,网络数据侦听;
分析模块,ARP欺骗攻击分析。
作为一种实施例,分析模块分析,若符合ARP“网关”欺骗的特征,则输出ARP“网关”欺骗攻击报警的状态字,再输出ARP“网关”欺骗攻击报警的日志。
作为一种实施例,所述侦听模块,获取DHCP Ack报文,记录到表A中;获取网络内ARP报文。
作为一种实施例,分析模块对ARP欺骗攻击分析,判断是否符合ARP“网关”欺骗特征的方法是:
第一步,将ARP报文的ARP关系与表A进行对比,其中的IP地址和MAC地址是否在表A中存在,若不存在,判断为ARP“网关”欺骗攻击,输出ARP欺骗的接口状态字,若存在则执行下一步;
第二步,检查ARP报文头部的IP地址、MAC地址与Data部分的IP地址、MAC是否一致,若不一致,判断为ARP“网关”欺骗攻击,输出ARP欺骗的接口状态字,若一致则执行下一步;
第三步,ARP报文仿冒网关地址的,判断为ARP“网关”欺骗攻击。
作为一种实施例,ARP报文的源IP地址是网关IP地址,而源MAC地址不是网关设备的MAC地址,判断为ARP报文仿冒网关地址。
本实施例提供的ARP“网关”欺骗攻击预警方法及装置,使网络管理者能够掌握局域网内部的运行状况,具有以下有益作用:
(1)本方案输出ARP欺骗攻击报警的状态字,提供了程序接口,便于采取防范措施和杀毒。输出ARP欺骗攻击报警的日志,便于网络管理员追溯网络事件。
(2)相比加快ARP表项的老化时间的方法,本方案可以在繁忙的网络上实现预警ARP欺骗攻击。相比建立静态ARP表的方法,本方案可以在动态的网络环境中,高效预警ARP“网关”欺骗攻击。
实施例2:作为实施例1的补充,或一种单独的技术方案,本发明提供了一种针对ARP“网关”欺骗攻击的预警方法。首先通过网络数据侦听,获取DHCPAck报文,记录到表A中;同时获取网络内ARP报文;然后将ARP报文的ARP关系与表A进行对比,进行ARP欺骗攻击的分析,判断是否符合ARP“网关”欺骗的特征;若符合ARP“网关”欺骗的特征,则输出ARP“网关”欺骗攻击报警的状态字。然后输出ARP“网关”欺骗攻击报警的日志。程序流程图见附图1。
本方法包括8个模块:
(1)模块一,网络层数据侦听,获取DHCP Ack报文,将其中的ARP对应关系记录在表A中,作为可信的ARP列表。
(2)模块二,网络层数据侦听,获取网络内ARP报文。
(3)模块三,将ARP报文的ARP关系与表A进行对比,进行ARP欺骗攻击的分析,判断是否符合ARP“网关”欺骗的特征。ARP报文的格式参考附图4。
(4)模块四,若符合ARP“网关”欺骗的特征,则输出ARP“网关”欺骗攻击报警的状态字。
(5)模块五,然后输出ARP“网关”欺骗攻击报警的日志
其核心为模块三,ARP“网关”欺骗的判断过程为:
第一步,将ARP报文的ARP关系与表A进行对比,其中的IP地址和MAC地址是否在表A中出现过。
第二步,检查ARP报文头部的IP地址、MAC地址和Data部分的IP地址、MAC是否一致。
第三步,判断是否ARP报文仿冒网关地址,其中发送ARP报文头的源IP地址是网关地址的ARP报文,使用户修改自身的网关MAC地址。将此类报文判断为ARP攻击中的“网关欺骗”。
本发明中ARP欺骗的判断预警的流程图见附图2。
本发明中ARP欺骗的判断预警模块的组成见附图3。
实施例3:作为实施例1或2的补充,或一种单独的技术方案,一种ARP“网关”欺骗攻击的预警方法,首先通过网络数据帧听,获取DHCP Ack报文,记录到表A中;同时获取网络内ARP报文;然后将ARP报文的ARP关系与表A进行对比,进行ARP欺骗攻击的分析,判断是否符合ARP“网关”欺骗的特征;若符合ARP“网关”欺骗的特征,则输出ARP“网关”欺骗攻击报警的状态字。然后输出ARP“网关”欺骗攻击报警的日志。
本发明提供的实施方法的主要技术包括:模块一,网络数据侦听,获取DHCPAck报文生成ARP可信列表,表A;模块二,获取ARP报文;模块三,分析ARP“网关”欺骗;模块四,输出预警状态字;模块五,输出预警日志。
3、本方法的核心,ARP“网关”欺骗的判断过程为:
第一步,将ARP报文的ARP关系与表A进行对比,其中的IP地址和MAC地址是否在表A中出现过。
第二步,检查ARP报文头部的IP地址、MAC地址和Data部分的IP地址、MAC是否一致。
第三步,判断是否ARP报文仿冒网关地址,其中发送ARP报文头的源IP地址是网关地址的ARP报文,使用户修改自身的网关MAC地址。将此类报文判断为ARP攻击中的“网关”欺骗。
4、ARP“网关”欺骗攻击预警的状态字输出接口模块。其特征在于:根据ARP欺骗的判断模块的处理结果,输出ARP“网关”欺骗攻击预警的接口状态字。
5、ARP“网关”欺骗攻击报警的日志记录生成模块。其特征在于记录ARP“网关”欺骗攻击预警的接口状态字和相应的ARP报文,一并保存至ARP“网关”欺骗攻击报警的日志中。
以上所述,仅为本发明创造较佳的具体实施方式,但本发明创造的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明创造披露的技术范围内,根据本发明创造的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明创造的保护范围之内。
Claims (10)
1.一种针对ARP“网关”欺骗攻击的预警方法,其特征步骤包括:
步骤一.网络数据侦听;
步骤二.ARP“网关”欺骗攻击分析。
2.如权利要求1所述的针对ARP“网关”欺骗攻击的预警方法,其特征在于,若符合ARP“网关”欺骗的特征,则输出ARP“网关”欺骗攻击报警的状态字,再输出ARP“网关”欺骗攻击报警的日志。
3.如权利要求1所述的针对ARP“网关”欺骗攻击的预警方法,其特征在于,所述网络数据侦听,获取DHCP Ack报文,记录到表A中;获取网络内ARP报文。
4.如权利要求2所述的针对ARP“网关”欺骗攻击的预警方法,其特征在于,ARP欺骗攻击分析,判断是否符合ARP“网关”欺骗特征的方法是:
第一步,将ARP报文的ARP关系与表A进行对比,其中的IP地址和MAC地址是否在表A中存在,若不存在,判断为ARP“网关”欺骗攻击,输出ARP欺骗的接口状态字,若存在则执行下一步;
第二步,检查ARP报文头部的IP地址、MAC地址与Data部分的IP地址、MAC是否一致,若不一致,判断为ARP“网关”欺骗攻击,输出ARP欺骗的接口状态字,若一致则执行下一步;
第三步,ARP报文仿冒网关地址的,判断为ARP“网关”欺骗攻击。
5.如权利要求4所述的针对ARP“网关”欺骗攻击的预警方法,其特征在于,ARP报文的源IP地址是网关IP地址,而源MAC地址不是网关设备的MAC地址,判断为ARP报文仿冒网关地址。
6.一种针对ARP“网关”欺骗攻击的预警装置,其特征在于,包括:
侦听模块,网络数据侦听;
分析模块,ARP欺骗攻击分析。
7.如权利要求6所述的针对ARP“网关”欺骗攻击的预警装置,其特征在于,分析模块分析,若符合ARP“网关”欺骗的特征,则输出ARP“网关”欺骗攻击报警的状态字,再输出ARP“网关”欺骗攻击报警的日志。
8.如权利要求6所述的针对ARP“网关”欺骗攻击的预警装置,其特征在于,所述侦听模块,获取DHCP Ack报文,记录到表A中;获取网络内ARP报文。
9.如权利要求8所述的针对ARP“网关”欺骗攻击的预警装置,其特征在于,分析模块对ARP欺骗攻击分析,判断是否符合ARP“网关”欺骗特征的方法是:
第一步,将ARP报文的ARP关系与表A进行对比,其中的IP地址和MAC地址是否在表A中存在,若不存在,判断为ARP“网关”欺骗攻击,输出ARP欺骗的接口状态字,若存在则执行下一步;
第二步,检查ARP报文头部的IP地址、MAC地址与Data部分的IP地址、MAC是否一致,若不一致,判断为ARP“网关”欺骗攻击,输出ARP欺骗的接口状态字,若一致则执行下一步;
第三步,ARP报文仿冒网关地址的,判断为ARP“网关”欺骗攻击。
10.如权利要求9所述的针对ARP“网关”欺骗攻击的预警装置,其特征在于,ARP报文的源IP地址是网关IP地址,而源MAC地址不是网关设备的MAC地址,判断为ARP报文仿冒网关地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610725735.XA CN107786499A (zh) | 2016-08-25 | 2016-08-25 | 针对arp网关欺骗攻击的预警方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610725735.XA CN107786499A (zh) | 2016-08-25 | 2016-08-25 | 针对arp网关欺骗攻击的预警方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107786499A true CN107786499A (zh) | 2018-03-09 |
Family
ID=61439684
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610725735.XA Pending CN107786499A (zh) | 2016-08-25 | 2016-08-25 | 针对arp网关欺骗攻击的预警方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107786499A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110661799A (zh) * | 2019-09-24 | 2020-01-07 | 北京安信天行科技有限公司 | 一种arp欺骗行为的检测方法及系统 |
| CN111866005A (zh) * | 2020-07-28 | 2020-10-30 | 中国银行股份有限公司 | 基于区块链的arp欺骗攻击防御方法、系统及装置 |
| CN114244801B (zh) * | 2021-12-31 | 2023-05-05 | 四川天邑康和通信股份有限公司 | 一种基于政企网关的防arp欺骗方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101179566A (zh) * | 2007-11-24 | 2008-05-14 | 华为技术有限公司 | 一种防御arp报文攻击的方法和装置 |
| CN101635628A (zh) * | 2009-08-28 | 2010-01-27 | 杭州华三通信技术有限公司 | 一种防止arp攻击的方法及装置 |
| CN101635713A (zh) * | 2009-06-09 | 2010-01-27 | 北京安天电子设备有限公司 | 一种防止局域网arp欺骗攻击的方法及系统 |
| CN102546658A (zh) * | 2012-02-20 | 2012-07-04 | 神州数码网络(北京)有限公司 | 一种防止网关arp欺骗的方法和系统 |
| US20150188942A1 (en) * | 2011-10-28 | 2015-07-02 | Samsung Sds Co., Ltd. | System and method for detecting address resolution protocol (arp) spoofing |
| KR20160002269A (ko) * | 2014-06-30 | 2016-01-07 | 한국전자통신연구원 | Sdn 기반의 arp 스푸핑 탐지장치 및 그 방법 |
-
2016
- 2016-08-25 CN CN201610725735.XA patent/CN107786499A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101179566A (zh) * | 2007-11-24 | 2008-05-14 | 华为技术有限公司 | 一种防御arp报文攻击的方法和装置 |
| CN101635713A (zh) * | 2009-06-09 | 2010-01-27 | 北京安天电子设备有限公司 | 一种防止局域网arp欺骗攻击的方法及系统 |
| CN101635628A (zh) * | 2009-08-28 | 2010-01-27 | 杭州华三通信技术有限公司 | 一种防止arp攻击的方法及装置 |
| US20150188942A1 (en) * | 2011-10-28 | 2015-07-02 | Samsung Sds Co., Ltd. | System and method for detecting address resolution protocol (arp) spoofing |
| CN102546658A (zh) * | 2012-02-20 | 2012-07-04 | 神州数码网络(北京)有限公司 | 一种防止网关arp欺骗的方法和系统 |
| KR20160002269A (ko) * | 2014-06-30 | 2016-01-07 | 한국전자통신연구원 | Sdn 기반의 arp 스푸핑 탐지장치 및 그 방법 |
Non-Patent Citations (1)
| Title |
|---|
| 林宏刚等: ""一种主动检测和防范ARP攻击的算法研究"", 《四川大学学报(工程科学版)》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110661799A (zh) * | 2019-09-24 | 2020-01-07 | 北京安信天行科技有限公司 | 一种arp欺骗行为的检测方法及系统 |
| CN110661799B (zh) * | 2019-09-24 | 2020-11-20 | 北京安信天行科技有限公司 | 一种arp欺骗行为的检测方法及系统 |
| CN111866005A (zh) * | 2020-07-28 | 2020-10-30 | 中国银行股份有限公司 | 基于区块链的arp欺骗攻击防御方法、系统及装置 |
| CN114244801B (zh) * | 2021-12-31 | 2023-05-05 | 四川天邑康和通信股份有限公司 | 一种基于政企网关的防arp欺骗方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2021008028A1 (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| US11038906B1 (en) | Network threat validation and monitoring | |
| JP6441957B2 (ja) | 疑わしいオブジェクトにおけるエクスプロイトを自動的に実証し、当該実証済みエクスプロイトに関連付けられた表示情報を強調するシステム、装置、および方法 | |
| CN104219200B (zh) | 一种防范dns缓存攻击的装置和方法 | |
| US20160373483A1 (en) | Honeyport active network security | |
| US10805340B1 (en) | Infection vector and malware tracking with an interactive user display | |
| US20130254530A1 (en) | System and method for identifying security breach attempt of a website | |
| WO2020061153A1 (en) | Methods, systems, and media for detecting anomalous network activity | |
| US11729134B2 (en) | In-line detection of algorithmically generated domains | |
| CN113162953B (zh) | 网络威胁报文检测及溯源取证方法和装置 | |
| CN103746885A (zh) | 一种面向下一代防火墙的测试系统和测试方法 | |
| CN110351237B (zh) | 用于数控机床的蜜罐方法及装置 | |
| CN111404912A (zh) | 基于ip白名单的域名检测方法及装置 | |
| CN107786499A (zh) | 针对arp网关欺骗攻击的预警方法及装置 | |
| CN105516073A (zh) | 网络入侵防御方法 | |
| CN105827599A (zh) | 一种基于dns报文深度解析的缓存中毒检测方法及装置 | |
| US9385993B1 (en) | Media for detecting common suspicious activity occurring on a computer network using firewall data and reports from a network filter device | |
| Majumdar et al. | ARP poisoning detection and prevention using Scapy | |
| CN114584359B (zh) | 安全诱捕方法、装置和计算机设备 | |
| CN107786496A (zh) | 针对局域网arp表项欺骗攻击的预警方法及装置 | |
| Salim et al. | Preventing ARP spoofing attacks through gratuitous decision packet | |
| CN113037779B (zh) | 一种积极防御系统中的智能自学习白名单方法和系统 | |
| Song et al. | Using FDAD to prevent DAD attack in secure neighbor discovery protocol | |
| Sharma | Honeypots in Network Security | |
| KR101188308B1 (ko) | 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180309 |