CN109951459A - 一种基于局域网的arp欺骗攻击检测方法 - Google Patents
一种基于局域网的arp欺骗攻击检测方法 Download PDFInfo
- Publication number
- CN109951459A CN109951459A CN201910167778.4A CN201910167778A CN109951459A CN 109951459 A CN109951459 A CN 109951459A CN 201910167778 A CN201910167778 A CN 201910167778A CN 109951459 A CN109951459 A CN 109951459A
- Authority
- CN
- China
- Prior art keywords
- mac
- arp
- address
- packet
- local area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明公开了一种基于局域网的ARP欺骗攻击检测方法,涉及技术领域。本发明包括如下步骤:利用抓包工具获取数据包进行分析,得出其目的和源地址的MAC和IP对;将不合理的MAC地址所对应的端口进行单独监听;对应答包中MAC和IP映射对进行检测,判断其在某一时段内回应包中源地址的映射是否合理;当包中源地址的映射不合理时,用MAC地址找到交换机对应的端口,快速找出欺诈主机。本发明抓包工具实现了对ARP检测系统,配合端口镜像技术在不改变IPV4协议的情况下利用静态IP将MAC与IP进行双向绑定,同时使用VLAN来缩小局域网,提高检索效率,提高了防御ARP欺骗的效率、不会对网络产生的负担。
Description
技术领域
本发明属于网络通信技术领域,特别是涉及一种基于局域网的ARP欺骗攻击检测方法。
背景技术
地址解析协议(ARP,Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP子协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。而地址解析协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。ARP泛洪攻击是指恶意用户利用地址解析协议的特性而发出大量的ARP请求数据包,造成网络层设备的ARP表项溢出,影响正常用户的转发。
发明内容
本发明的目的在于提供一种基于局域网的ARP欺骗攻击检测方法,通过抓包工具实现了对ARP检测系统,配合端口镜像技术在不改变IPV4协议的情况下利用静态IP将MAC与IP进行双向绑定,同时使用VLAN来缩小局域网,提高检索效率,解决了现有的防御ARP欺骗的效率不高、对网络产生的负担大的问题。
为解决上述技术问题,本发明是通过以下技术方案实现的:
本发明为一种基于局域网的ARP欺骗攻击检测方法,应用于无线局域网中的无线终端、认证服务器、管理设备和至少两个不与网关设备共用MAC地址的接入设备,其特征在于,包括如下步骤:
步骤S01:利用抓包工具获取数据包进行分析,得出其目的和源地址的MAC和IP对;
步骤S02:验证获取的MAC和IP是否合理;
若合理,则执行步骤S03;
若不合理,则执行步骤S04;
步骤S03:则将映射对存入链表;
步骤S04:则将不合理的MAC地址所对应的端口进行单独监听;
步骤S05:对应答包中MAC和IP映射对进行检测,判断其在某一时段内回应包中源地址的映射是否合理;
步骤S06:当包中源地址的映射不合理时,则发出警报,同时用MAC地址找到交换机对应的端口,快速找出欺诈主机。
优选地,所述步骤S01中,抓包工具为WinPcap数据包采集器,WinPcap数据包采集器只捕获处于设备列表中的流经该设备端口的ARP数据包,并对数据包进行循环捕获。
优选地,所述步骤S02中,验证MAC和IP时需要对ARP进行解析,设置过滤器和过滤规则使只对ARP数据包进行协议解析;解析后ARP数据包包括硬件类型、协议类型、硬件地址长度、协议长度、操作代码、源MAC地址、源IP地址、目标MAC地址和目标IP地址。
优选地,所述步骤S07中,当判断出网络中存在ARP欺骗后,系统通过欺骗者的MAC地址,应用SNMP协议找到与此相对应的交换机端口,迅速查出欺骗主机并对其进行断网、杀毒处理。
本发明具有以下有益效果:
本发明通过抓包工具实现了对ARP检测系统,配合端口镜像技术在不改变IPV4协议的情况下利用静态IP将MAC与IP进行双向绑定,同时使用VLAN来缩小局域网,提高检索效率和防御ARP欺骗的效率、不会对网络产生的负担。
当然,实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的一种基于局域网的ARP欺骗攻击检测方法步骤图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1所示,本发明为一种基于局域网的ARP欺骗攻击检测方法,应用于无线局域网中的无线终端、认证服务器、管理设备和至少两个不与网关设备共用MAC地址的接入设备,其特征在于,包括如下步骤:
步骤S01:利用抓包工具获取数据包进行分析,得出其目的和源地址的MAC和IP对;
步骤S02:验证获取的MAC和IP是否合理;
若合理,则执行步骤S03;
若不合理,则执行步骤S04;
步骤S03:则将映射对存入链表;
步骤S04:则将不合理的MAC地址所对应的端口进行单独监听;
步骤S05:对应答包中MAC和IP映射对进行检测,判断其在某一时段内回应包中源地址的映射是否合理;
步骤S06:当包中源地址的映射不合理时,则发出警报,同时用MAC地址找到交换机对应的端口,快速找出欺诈主机。
其中,步骤S01中,抓包工具为WinPcap数据包采集器,在选取用于捕捉数据包的网卡后打开该网卡并将网卡设置成混杂模式,WinPcap数据包采集器只捕获处于设备列表中的流经该设备端口的ARP数据包,并对数据包进行循环捕获。
其中,步骤S02中,验证MAC和IP时需要对ARP进行解析,设置过滤器和过滤规则使只对ARP数据包进行协议解析;解析后ARP数据包包括硬件类型、协议类型、硬件地址长度、协议长度、操作代码、源MAC地址、源IP地址、目标MAC地址和目标IP地址。
其中,步骤S07中,当判断出网络中存在ARP欺骗后,系统通过欺骗者的MAC地址,应用SNMP协议找到与此相对应的交换机端口,迅速查出欺骗主机并对其进行断网、杀毒处理。
值得注意的是,上述系统实施例中,所包括的各个单元只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
另外,本领域普通技术人员可以理解实现上述各实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,相应的程序可以存储于一计算机可读取存储介质中。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。
Claims (4)
1.一种基于局域网的ARP欺骗攻击检测方法,应用于无线局域网中的无线终端、认证服务器、管理设备和至少两个不与网关设备共用MAC地址的接入设备,其特征在于,包括如下步骤:
步骤S01:利用抓包工具获取数据包进行分析,得出其目的和源地址的MAC和IP对;
步骤S02:验证获取的MAC和IP是否合理;
若合理,则执行步骤S03;
若不合理,则执行步骤S04;
步骤S03:则将映射对存入链表;
步骤S04:则将不合理的MAC地址所对应的端口进行单独监听;
步骤S05:对应答包中MAC和IP映射对进行检测,判断其在某一时段内回应包中源地址的映射是否合理;
步骤S06:当包中源地址的映射不合理时,则发出警报,同时用MAC地址找到交换机对应的端口,快速找出欺诈主机。
2.根据权利要求1所述的一种基于局域网的ARP欺骗攻击检测方法,其特征在于,所述步骤S01中,抓包工具为WinPcap数据包采集器,WinPcap数据包采集器只捕获处于设备列表中的流经该设备端口的ARP数据包,并对数据包进行循环捕获。
3.根据权利要求1所述的一种基于局域网的ARP欺骗攻击检测方法,其特征在于,所述步骤S02中,验证MAC和IP时需要对ARP进行解析,设置过滤器和过滤规则使只对ARP数据包进行协议解析;解析后ARP数据包包括硬件类型、协议类型、硬件地址长度、协议长度、操作代码、源MAC地址、源IP地址、目标MAC地址和目标IP地址。
4.根据权利要求1所述的一种基于局域网的ARP欺骗攻击检测方法,其特征在于,所述步骤S07中,当判断出网络中存在ARP欺骗后,系统通过欺骗者的MAC地址,应用SNMP协议找到与此相对应的交换机端口,迅速查出欺骗主机并对其进行断网、杀毒处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910167778.4A CN109951459A (zh) | 2019-03-06 | 2019-03-06 | 一种基于局域网的arp欺骗攻击检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910167778.4A CN109951459A (zh) | 2019-03-06 | 2019-03-06 | 一种基于局域网的arp欺骗攻击检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109951459A true CN109951459A (zh) | 2019-06-28 |
Family
ID=67008552
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910167778.4A Pending CN109951459A (zh) | 2019-03-06 | 2019-03-06 | 一种基于局域网的arp欺骗攻击检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109951459A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110661799A (zh) * | 2019-09-24 | 2020-01-07 | 北京安信天行科技有限公司 | 一种arp欺骗行为的检测方法及系统 |
| CN111083109A (zh) * | 2019-11-14 | 2020-04-28 | 国网河南省电力公司驻马店供电公司 | 交换机联动防火墙防护提升方法 |
| CN111490977A (zh) * | 2020-03-27 | 2020-08-04 | 福建福链科技有限公司 | 一种基于dag区块链的防arp欺骗攻击方法及平台端 |
| CN112688900A (zh) * | 2019-10-18 | 2021-04-20 | 张长河 | 一种防御arp欺骗和网络扫描的局域网安全防护系统及方法 |
| CN113132385A (zh) * | 2021-04-20 | 2021-07-16 | 广州锦行网络科技有限公司 | 一种防止网关arp欺骗的方法及装置 |
| CN113132993A (zh) * | 2021-04-23 | 2021-07-16 | 杭州网银互联科技股份有限公司 | 应用在无线局域网中的数据窃取识别系统及其使用方法 |
| CN113395278A (zh) * | 2021-06-10 | 2021-09-14 | 北京顶象技术有限公司 | BurpSuite抓包工具抓取数据包检测方法和系统 |
| CN114172697A (zh) * | 2021-11-19 | 2022-03-11 | 东南大学 | 一种防御高速网络中IP地址欺骗DDoS攻击的方法 |
| CN114567614A (zh) * | 2022-03-07 | 2022-05-31 | 江苏新质信息科技有限公司 | 基于fpga实现arp协议处理的方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101635713A (zh) * | 2009-06-09 | 2010-01-27 | 北京安天电子设备有限公司 | 一种防止局域网arp欺骗攻击的方法及系统 |
| US20150188942A1 (en) * | 2011-10-28 | 2015-07-02 | Samsung Sds Co., Ltd. | System and method for detecting address resolution protocol (arp) spoofing |
| CN106209837A (zh) * | 2016-07-08 | 2016-12-07 | 珠海市魅族科技有限公司 | Arp欺骗检测方法及系统 |
| CN107222462A (zh) * | 2017-05-08 | 2017-09-29 | 汕头大学 | 一种局域网内部攻击源的自动定位、隔离方法 |
| CN107483478A (zh) * | 2017-09-08 | 2017-12-15 | 绵阳西真科技有限公司 | 一种arp攻击主动防御方法 |
-
2019
- 2019-03-06 CN CN201910167778.4A patent/CN109951459A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101635713A (zh) * | 2009-06-09 | 2010-01-27 | 北京安天电子设备有限公司 | 一种防止局域网arp欺骗攻击的方法及系统 |
| US20150188942A1 (en) * | 2011-10-28 | 2015-07-02 | Samsung Sds Co., Ltd. | System and method for detecting address resolution protocol (arp) spoofing |
| CN106209837A (zh) * | 2016-07-08 | 2016-12-07 | 珠海市魅族科技有限公司 | Arp欺骗检测方法及系统 |
| CN107222462A (zh) * | 2017-05-08 | 2017-09-29 | 汕头大学 | 一种局域网内部攻击源的自动定位、隔离方法 |
| CN107483478A (zh) * | 2017-09-08 | 2017-12-15 | 绵阳西真科技有限公司 | 一种arp攻击主动防御方法 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110661799A (zh) * | 2019-09-24 | 2020-01-07 | 北京安信天行科技有限公司 | 一种arp欺骗行为的检测方法及系统 |
| CN112688900A (zh) * | 2019-10-18 | 2021-04-20 | 张长河 | 一种防御arp欺骗和网络扫描的局域网安全防护系统及方法 |
| CN112688900B (zh) * | 2019-10-18 | 2022-10-11 | 张长河 | 一种防御arp欺骗和网络扫描的局域网安全防护系统及方法 |
| CN111083109A (zh) * | 2019-11-14 | 2020-04-28 | 国网河南省电力公司驻马店供电公司 | 交换机联动防火墙防护提升方法 |
| CN111490977A (zh) * | 2020-03-27 | 2020-08-04 | 福建福链科技有限公司 | 一种基于dag区块链的防arp欺骗攻击方法及平台端 |
| CN111490977B (zh) * | 2020-03-27 | 2022-03-08 | 福建福链科技有限公司 | 一种基于dag区块链的防arp欺骗攻击方法及平台端 |
| CN113132385B (zh) * | 2021-04-20 | 2022-06-21 | 广州锦行网络科技有限公司 | 一种防止网关arp欺骗的方法及装置 |
| CN113132385A (zh) * | 2021-04-20 | 2021-07-16 | 广州锦行网络科技有限公司 | 一种防止网关arp欺骗的方法及装置 |
| CN113132993A (zh) * | 2021-04-23 | 2021-07-16 | 杭州网银互联科技股份有限公司 | 应用在无线局域网中的数据窃取识别系统及其使用方法 |
| CN113395278A (zh) * | 2021-06-10 | 2021-09-14 | 北京顶象技术有限公司 | BurpSuite抓包工具抓取数据包检测方法和系统 |
| CN113395278B (zh) * | 2021-06-10 | 2022-10-18 | 北京顶象技术有限公司 | BurpSuite抓包工具抓取数据包检测方法和系统 |
| CN114172697A (zh) * | 2021-11-19 | 2022-03-11 | 东南大学 | 一种防御高速网络中IP地址欺骗DDoS攻击的方法 |
| CN114172697B (zh) * | 2021-11-19 | 2024-02-06 | 东南大学 | 一种防御高速网络中IP地址欺骗DDoS攻击的方法 |
| CN114567614A (zh) * | 2022-03-07 | 2022-05-31 | 江苏新质信息科技有限公司 | 基于fpga实现arp协议处理的方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951459A (zh) | 一种基于局域网的arp欺骗攻击检测方法 | |
| US20220045990A1 (en) | Methods and systems for api deception environment and api traffic control and security | |
| CN108063765B (zh) | 适于解决网络安全的sdn系统 | |
| US7623466B2 (en) | Symmetric connection detection | |
| US7562390B1 (en) | System and method for ARP anti-spoofing security | |
| US20050278779A1 (en) | System and method for identifying the source of a denial-of-service attack | |
| CN101483515B (zh) | Dhcp攻击防护方法和客户端设备 | |
| EP3905622A1 (en) | Botnet detection method and system, and storage medium | |
| Barbhuiya et al. | Detection of neighbor solicitation and advertisement spoofing in IPv6 neighbor discovery protocol | |
| CN101631026A (zh) | 一种防御拒绝服务攻击的方法及装置 | |
| KR100548154B1 (ko) | 유무선 통신망에서의 패킷 전송 제어 및 패킷 과금 데이터생성을 위한 방법 및 장치 | |
| CN101589595A (zh) | 用于潜在被污染端系统的牵制机制 | |
| KR20130014226A (ko) | 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법 | |
| CN104883360B (zh) | 一种arp欺骗的细粒度检测方法及系统 | |
| Sarica et al. | A novel sdn dataset for intrusion detection in iot networks | |
| Trabelsi et al. | Malicious sniffing systems detection platform | |
| CN107733867B (zh) | 一种发现僵尸网络及防护的方法、系统和存储介质 | |
| Lee et al. | Defending against spoofed DDoS attacks with path fingerprint | |
| CN110933111A (zh) | 一种基于DPI的DDoS攻击识别方法及装置 | |
| Harshita | Detection and prevention of ICMP flood DDOS attack | |
| CN113765849B (zh) | 一种异常网络流量检测方法和装置 | |
| US8724506B2 (en) | Detecting double attachment between a wired network and at least one wireless network | |
| Salim et al. | Preventing ARP spoofing attacks through gratuitous decision packet | |
| Al-Duwairi et al. | Distributed packet pairing for reflector based DDoS attack mitigation | |
| Khan et al. | Real-time cross-layer design for a large-scale flood detection and attack trace-back mechanism in IEEE 802.11 wireless mesh networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190628 |
|
| RJ01 | Rejection of invention patent application after publication |