[发明专利]一种ARP报文攻击检测方法及装置

说明书

本发明公开了一种ARP报文攻击检测的方法及装置，客户端构造特殊ARP请求包，通过“钓鱼”的模式，即客户端明知某安全设备的IP、MAC地址却依然向网络中其余设备请求该安全设备的地址，从而让攻击者就范，以实现ARP报文攻击检测。即便攻击者的目的机器不是该客户端，但此客户端仍然可以收到ARP报文攻击包，实现准确无误的ARP报文攻击检测。本发明通用性强，可以适用于移动终端、PC端，下级路由器等各种客户端，能够快速检测到ARP报文攻击，以较小的代价得到较高的准确率，保护用户的隐私和财产安全。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种ARP报文攻击检测的方法及装置。

背景技术

ARP协议(Address Resolution Protocol,地址解析协议)，是一个在IPv4协议族中的网络层协议，其基本功能为通过目标设备的IP地址查询到目标设备的MAC地址。出于历史原因，ARP协议在制定之初考虑并不完善，缺少必须的验证机制，导致ARP协议成为了所谓的“君子协议”，网络上存在大量利用ARP协议弱点进行攻击的手段和工具，给网络环境造成了极大的威胁。

ARP报文攻击即是常见的攻击手段之一，攻击者利用ARP协议的设计漏洞，伪造ARP报文攻击目标终端(表1示出ARP报文结构)。结合图1所示，若机器A想要与客户端B通信，则机器A会向网络中发送ARP请求包，而客户端B会在收到该请求包后会回复一个ARP应答包。由于ARP应答的处理方式缺少验证机制，终端在收到任何符合协议规范的ARP应答包时都会更新自己ARP缓存表中的IP-Mac地址对应关系。若此时，网络中存在攻击者C，则攻击者C会伪装自己为客户端B，以一定频率给机器A发送源IP为客户端B、源Mac地址为攻击者C的恶意ARP应答包，覆盖机器A中网关的真实Mac地址。此时，机器A会误认为攻击者C的Mac地址为目标客户端B的Mac地址，从此机器A外发的数据包都会到达攻击者C，造成流量的误导。若攻击者C再配合中间人攻击手段冒充通信双方则可能进一步利用用户的隐私信息盗取其财物，造成严重的后果。

表1

当前，有研究人员根据网关和移动终端的特点分别部署了相应的ARP报文攻击检测方法，其具有通用性不强的特点，不能满足用户的需求。

发明内容

本发明的目的在于提供一种应用于客户端的ARP检测方法及装置，具有通用性强，能够快速检测到ARP报文攻击，以较小的代价得到较高的准确率，保护用户的隐私和财产安全。

本发明公开了一种ARP报文攻击检测方法，应用于客户端，包括以下步骤：

客户端构造特殊ARP请求包，所述特殊ARP请求包的源IP地址和源MAC地址分别为该客户端的IP地址和MAC地址，目的IP地址为已知安全机器的IP地址，目的MAC地址为广播地址，ARP操作的内容为ARP请求；

当客户端收到的应答包中的源IP地址为该安全机器的IP地址，源MAC地址为非安全机器的MAC地址时，判断网络中存在ARP报文攻击。

本发明还公开了一种ARP报文攻击检测装置，应用于客户端，该检测装置包括请求包构造模块、检测模块，其中：

请求包构造模块，用于为客户端构造特殊ARP请求包，所述特殊ARP请求包的源IP地址和源MAC地址分别为该客户端的IP地址和MAC地址，目的IP地址为已知安全机器的IP地址，目的MAC地址为广播地址，ARP操作的内容为ARP请求；

检测模块，用于当客户端收到的应答包中的源IP地址为该安全机器的IP地址，源MAC地址为非安全机器的MAC地址时，判断网络中存在ARP报文攻击。