[发明专利]应用于移动终端的ARP攻击感知的方法及装置在审
| 申请号: | 201710142637.8 | 申请日: | 2017-03-10 |
| 公开(公告)号: | CN108574672A | 公开(公告)日: | 2018-09-25 |
| 发明(设计)人: | 关杰文;宋正义;张丽红;马志远 | 申请(专利权)人: | 武汉安天信息技术有限责任公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/12 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 430000 湖北省武汉市东湖新技术开*** | 国省代码: | 湖北;42 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 发送源 感知 移动终端 数据包 攻击 接收数据包 抓取 移动终端接入 移动终端设备 网关IP地址 正常运作 准确率 旁路 抓包 应用 转发 保存 | ||
1.一种应用于移动终端的ARP攻击感知方法,其特征在于,包括以下步骤:
移动终端接入网后抓取收到的数据包并判断其是否为ARP数据包;
若该数据包为ARP数据包,则提取ARP数据包的发送源IP地址和发送源MAC地址;若发送源IP地址为网关IP地址,则保存该发送源MAC地址作为疑似攻击者MAC地址;当保存的疑似攻击者MAC地址存在不同时,则判断存在ARP报文攻击。
2.如权利要求1所述的ARP攻击感知方法,其特征在于,当判断存在ARP报文攻击后,移动终端向网络中其它设备发送广播信息以获取各设备的IP地址及MAC地址,若有设备的MAC地址与移动终端保存的任一疑似攻击者MAC地址一致,而IP地址不是网关IP地址,则判断该设备为攻击者。
3.如权利要求2所述的ARP攻击感知方法,其特征在于,当判断出攻击者后,移动终端将收集的当前网关设备的基本信息及攻击者的IP地址和Mac地址一起上传到用于取证、分析的远程服务器。
4.如权利要求1所述的ARP攻击感知方法,其特征在于,当保存的疑似攻击者MAC地址存在不同且至少有一个MAC地址对应的ARP数据包的频率超过阈值时,则判断存在ARP报文攻击。
5.一种应用于移动终端的ARP攻击感知装置,其特征在于,包括捕获模块、分析模块,其中:
所述捕获模块用于当移动终端接入网后抓取收到的数据包并判断其是否为ARP数据包;
所述分析模块用于接收捕获模块发送而来的ARP数据包,提取ARP数据包的发送源IP地址和发送源MAC地址;若发送源IP地址为网关IP地址,则保存该发送源MAC地址作为疑似攻击者MAC地址;当保存的疑似攻击者MAC地址存在不同时,则判断存在ARP报文攻击。
6.如权利要求5所述的ARP攻击感知装置,其特征在于,所述ARP攻击感知装置还包括溯源模块,所述溯源模块用于当判断存在ARP报文攻击后,向网络中其它设备发送广播信息以获取各设备的IP地址及MAC地址,若有设备的MAC地址与移动终端保存的任一疑似攻击者MAC地址一致,而IP地址不是网关IP,则判断该设备为攻击者。
7.如权利要求6所述的ARP攻击感知装置,其特征在于,所述ARP攻击感知装置还包括反馈模块,所述反馈模块用于当判断出攻击者后,将收集的当前网关设备的基本信息及攻击者的IP地址和Mac地址一起上传到用于取证、分析的远程服务器。
8.如权利要求5所述的ARP攻击感知装置,其特征在于,所述分析模块用于当疑似攻击者MAC地址存在不同且至少有一个MAC地址对应的ARP数据包的频率超过阈值时,判断存在ARP报文攻击。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于武汉安天信息技术有限责任公司,未经武汉安天信息技术有限责任公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710142637.8/1.html,转载请声明来源钻瓜专利网。
