[发明专利]针对局域网ARP表项欺骗攻击的预警方法及装置

权利要求书

1.一种针对局域网ARP表项欺骗攻击的预警方法，其特征在于，包括如下步骤：

S1.网络数据侦听：获取网络内的DHCP Discover请求报文，记录到表A中；获取网络内的DHCPACK报文，记录到表B中；获取网络内ARP广播报文，记录到表C中；

S2.ARP报文可信性确认：分析用户发出的ARP请求包的IP地址，判断其是否在表A和表C中出现，且同时判断其是否存于静态IP地址的表项中，出现且存于的，则ARP报文可信，否则ARP报文不可信；

S2.1.ARP报文不可信时，进行ARP表项欺骗预警判断：判断是否有用户主动请求多个目标IP用户的MAC信息，或者被动记录多条ARP信息，满足其中之一即判断为ARP表项欺骗预警；

S2.2.ARP报文可信时，进行ARP报文表项的分析以判断ARP表项欺骗：检验ARP帧首部的源MAC和ARP报文中源MAC是否一致,若不一致，则判断为ARP表项欺骗；若一致，则判断ARP表项是否更新，更新的，则判断为ARP表项欺骗。

2.一种针对局域网ARP表项欺骗攻击的预警装置，其特征在于，包括：

侦听模块，用于网络数据侦听，获取网络内的DHCP Discover请求报文，记录到表A中；获取网络内的DHCPACK报文，记录到表B中；获取网络内ARP广播报文，记录到表C中；

可信性确认模块，用于ARP报文可信性确认，分析用户发出的ARP请求包的IP地址，判断其是否在表A和表C中出现，且同时判断其是否存于静态IP地址的表项中，出现且存于的，则ARP报文可信，否则ARP报文不可信；

预警模块，ARP报文不可信时，进行ARP表项欺骗预警判断，判断是否有用户主动请求多个目标IP用户的MAC信息，或者被动记录多条ARP信息，满足其中之一即判断为ARP表项欺骗预警；

表项欺骗模块，ARP报文可信时，进行ARP报文表项的分析以判断ARP表项欺骗，检验ARP帧首部的源MAC和ARP报文中源MAC是否一致,若不一致，则判断为ARP表项欺骗；若一致，则判断ARP表项是否更新，更新的，则判断为ARP表项欺骗。