[发明专利]一种ARP报文攻击检测方法及装置

权利要求书

1.一种ARP报文攻击检测方法，应用于客户端，其特征在于，包括以下步骤：

客户端构造特殊ARP请求包，所述特殊ARP请求包的源IP地址和源MAC地址分别为该客户端的IP地址和MAC地址，目的IP地址为已知安全机器的IP地址，目的MAC地址为广播地址，ARP操作的内容为ARP请求；

当客户端收到的应答包中的源IP地址为该安全机器的IP地址，源MAC地址为非安全机器的MAC地址时，判断网络中存在ARP报文攻击。

2.如权利要求1所述的检测方法，其特征在于，判断存在ARP报文攻击后，保存该非安全机器的MAC地址以确定攻击者，并收集网络中各设备的信息，上传到用于取证、分析的远程服务器。

3.如权利要求2所述的检测方法，其特征在于，所述网络中各设备的信息包括各设备的IP地址、MAC地址。

4.如权利要求3所述的检测方法，其特征在于，在收集网络中攻击者的IP地址时，客户端向网络中其它设备发送广播信息以获取各设备的IP地址及MAC地址，若有设备的MAC地址与攻击者地址一致，而IP地址不是保存的已知安全机器的IP地址，则判断该IP地址为攻击者的IP地址。

5.一种ARP报文攻击检测装置，应用于客户端，其特征在于，该检测装置包括请求包构造模块、检测模块，其中：

请求包构造模块，用于为客户端构造特殊ARP请求包，所述特殊ARP请求包的源IP地址和源MAC地址分别为该客户端的IP地址和MAC地址，目的IP地址为已知安全机器的IP地址，目的MAC地址为广播地址，ARP操作的内容为ARP请求；

检测模块，用于当客户端收到的应答包中的源IP地址为该安全机器的IP地址，源MAC地址为非安全机器的MAC地址时，判断网络中存在ARP报文攻击。

6.如权利要求5所述的检测装置，其特征在于，所述检测装置还包括反馈模块，用于当判断存在ARP报文攻击后，保存该非安全机器的MAC地址以确定攻击者，并收集网络中各设备的信息，上传到用于取证、分析的远程服务器。

7.如权利要求6所述的检测装置，其特征在于，所述网络中各设备的信息包括各设备的IP地址、MAC地址。

8.如权利要求7所述的检测装置，其特征在于，在收集网络中攻击者的IP地址时，反馈模块还用于向网络中其它设备发送广播信息以获取各设备的IP地址及MAC地址，若有设备的MAC地址与攻击者地址一致，而IP地址不是保存的已知安全机器的IP地址，则确定该IP地址为攻击者的IP地址。