[发明专利]针对局域网ARP表项欺骗攻击的预警方法及装置

说明书

针对局域网ARP表项欺骗攻击的预警方法及装置，属于网络通信技术领域，为了解决局域网ARP表项欺骗攻击的预警问题，技术要点是：S1.网络数据侦听；S2.ARP报文可信性确认；S2.1.ARP报文不可信时，进行ARP表项欺骗预警判断；S2.2.ARP报文可信时，进行ARP报文表项的分析以判断ARP表项欺骗。效果是：可以防止ARP表项欺骗攻击。

技术领域

本发明涉及网络通信技术领域，尤其涉及一种局域网内的ARP欺骗攻击的预警方法。

背景技术

地址解析协议(ARP，Address Resolution Protocol)，是根据IP地址获取物理地址的一个TCP/IP子协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。

ARP欺骗攻击是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。ARP攻击主要是存在于局域网网络中，局域网中若有一个用户感染ARP病毒，则感染该ARP病毒的用户系统可能会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其他用户网络连接故障。

ARP表项欺骗攻击通过修改ARP表项来完成的。首先，每台主机都会在自己的ARP缓冲区中建立一个ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址，如果有﹐就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、MAC地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。

发明内容

为了解决局域网ARP表项欺骗攻击的预警问题，一种针对局域网ARP表项欺骗攻击的预警方法，包括如下步骤：

S1.网络数据侦听；

S2.ARP报文可信性确认；

S2.1.ARP报文不可信时，进行ARP表项欺骗预警判断；

S2.2.ARP报文可信时，进行ARP报文表项的分析以判断ARP表项欺骗。

有益效果：本发明对网络数据进行侦听，并将获取的数据进行ARP报文可信性确认，在ARP报文不可信的基础上，进行预警判断，并分析ARP表项以判断ARP表项欺骗，从而可以防止ARP表项欺骗攻击。

附图说明

图1为本发明对局域网ARP表项欺骗攻击的预警流程图。

图2为本发明ARP表项欺骗的判断预警模块的判断方法示意图。

图3为本发明ARP表项欺骗的判断预警模块的组成示意图。

图4为ARP报文格式说明。

具体实施方式

实施例1：一种针对局域网ARP表项欺骗攻击的预警方法，包括如下步骤：

S1.网络数据侦听；

S2.ARP报文可信性确认；