一種arp欺騙的分布式檢測方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域�����,具體涉及一種ARP欺騙的分布式檢測方法及系統(tǒng)�。
【背景技術(shù)】
[0002]中間人攻擊(Man-1n-the-middle attack)是一種對網(wǎng)絡(luò)中兩臺或多臺終端之間的數(shù)據(jù)包進(jìn)行攻擊的方式。發(fā)動攻擊時�,攻擊者位于合法終端的通信路徑中間,通過捕獲���、修改���、轉(zhuǎn)發(fā)雙方之間的數(shù)據(jù)包的手段來達(dá)到攻擊的目的。
[0003]ARP協(xié)議�,全稱Address Resolut1n Protocol,工作在OSI七層網(wǎng)絡(luò)模型中的第二層一數(shù)據(jù)鏈路層,它的作用是根據(jù)目標(biāo)終端的IP來獲得相應(yīng)的硬件地址MAC�����。ARP設(shè)計時存在著一個問題,即它沒有對ARP報文的來源是否合法進(jìn)行驗證��,不會檢查收到的應(yīng)答報文是否合法���,也不會檢查本機(jī)是否發(fā)送過相應(yīng)的ARP請求報文�����,這使得防范ARP攻擊變得尤為重要。生活中常常出現(xiàn)以下現(xiàn)象時���,很可能出現(xiàn)ARP欺騙的攻擊��。局域網(wǎng)內(nèi)頻繁出整體掉線��,重啟計算機(jī)或路由器后恢復(fù)正常�。網(wǎng)速時快時慢�,極其不穩(wěn)定,但單機(jī)進(jìn)行數(shù)據(jù)測試時一切正常����。網(wǎng)上銀行、游戲及QQ賬號的頻繁丟失����。
[0004]現(xiàn)有的檢測防御ARP欺騙的方法主要有:①終端級的被動檢測:如果系統(tǒng)收到來自局域網(wǎng)內(nèi)的ARP請求包����,系統(tǒng)會檢測其目的地址是否和本機(jī)的IP地址相同���,如果相同說明局域網(wǎng)內(nèi)有終端正在進(jìn)行ARP欺騙���。此種方法使得網(wǎng)關(guān)丟掉不合理的IP、MAC映射關(guān)系����。主要的缺點(diǎn)是此方法不能保證建立的IP、MAC映射關(guān)系一定是正確的���,不能保證數(shù)據(jù)庫中存儲的值一定是沒有收到ARP欺騙的��,可擴(kuò)展性較差�����,被動性����。②終端級的主動檢測:在局域網(wǎng)內(nèi)使用一臺終端主動地不停地向整個網(wǎng)絡(luò)內(nèi)發(fā)送目的IP是本機(jī)的ARP請求包,如果整個局域網(wǎng)中有終端回應(yīng)��,則說明這個局域網(wǎng)內(nèi)存在ARP欺騙攻擊��。這種方法的資源消耗較大��,并且對于服務(wù)器的DOS攻擊沒有防御����。③網(wǎng)絡(luò)級的檢測:局域網(wǎng)內(nèi)的終端定期向局域網(wǎng)內(nèi)的ARP服務(wù)器發(fā)送其ARP地址緩存表,這樣��,如果是局域網(wǎng)內(nèi)哪臺終端被攻擊了�����,ARP服務(wù)器會通過它儲存的其他終端的ARP混存表找出攻擊源和被攻擊的終端����,從而進(jìn)行定位����。交換機(jī)或路由器分別對每個端口對應(yīng)的用戶終端MAC和IP地址進(jìn)行綁定,同時對通過DHCP協(xié)議動態(tài)獲得IP地址的終端設(shè)置一個較長的租約時間�����,從而使各個終端的MAC和IP的映射關(guān)系趨于穩(wěn)定狀態(tài),從此來防御ARP攻擊�����。
[0005]另外一種手動監(jiān)測是指網(wǎng)絡(luò)管理員利用命令行或wireshark等抓包工具進(jìn)行抓包來查看終端的IP和MAC之間的映射關(guān)系�,以此來發(fā)現(xiàn)是否存在可疑的用戶終端,若存在則采取相應(yīng)的措施���。ARP欺騙攻擊的監(jiān)測系統(tǒng)能夠?qū)粽哌M(jìn)行精準(zhǔn)定位���,同時斷開發(fā)現(xiàn)ARP欺騙攻擊的終端網(wǎng)絡(luò),從而有效縮小ARP的攻擊范圍�,減小ARP攻擊帶來的威脅。但是該系統(tǒng)有一個前提是只能在監(jiān)測到ARP欺騙之后才能做相應(yīng)處理�,如果系統(tǒng)沒有監(jiān)測到實際發(fā)生的ARP欺騙,那么該系統(tǒng)就沒有任何作用�����。此方法對于網(wǎng)絡(luò)管理員的要求較高�����,工作量大,容易產(chǎn)生誤差����。
【發(fā)明內(nèi)容】
[0006]針對現(xiàn)有技術(shù)中的缺陷,本發(fā)明提供了一種ARP欺騙的分布式檢測方法及系統(tǒng)��,能夠?qū)崟r的檢測發(fā)現(xiàn)ARP欺騙行為�����,檢測效率高����。
[0007]第一方面,本發(fā)明提供一種ARP欺騙的分布式檢測方法��,包括:
[0008]在預(yù)設(shè)時間段內(nèi)監(jiān)控第一終端和第二終端之間通信的請求與應(yīng)答的包含所述第一終端和所述第二終端IP地址的第一數(shù)據(jù)包的數(shù)量�����,以及所述第一終端對應(yīng)的第一 MAC地址和所述第二終端對應(yīng)的第二 MAC地址之間通信的第二數(shù)據(jù)包的數(shù)量����;
[0009]根據(jù)所述請求與應(yīng)答的第一數(shù)據(jù)包的數(shù)量以及所述第一終端對應(yīng)的第一 MAC地址和所述第二終端對應(yīng)的第二 MAC地址之間通信的第二數(shù)據(jù)包的數(shù)量���,判斷所述第一終端和第二終端之間的通信的第一數(shù)據(jù)包中是否存在待驗證的異常通信數(shù)據(jù)包�����;
[0010]當(dāng)確定所述第一數(shù)據(jù)包中存在待驗證的異常通信數(shù)據(jù)包時��,向所述第一 MAC地址對應(yīng)的第一終端發(fā)送所述待驗證的異常通信數(shù)據(jù)包���,以使所述第一終端對所述待驗證的異常通信數(shù)據(jù)包進(jìn)行驗證���。
[0011]可選的,所述根據(jù)所述請求與應(yīng)答的第一數(shù)據(jù)包的數(shù)量以及所述第一終端對應(yīng)的第一 MAC地址和所述第二終端對應(yīng)的第二 MAC地址之間通信的第二數(shù)據(jù)包的數(shù)量��,判斷所述第一終端和第二終端之間的通信的第一數(shù)據(jù)包中是否存在待驗證的異常通信數(shù)據(jù)包���,包括:
[0012]在所述第一數(shù)據(jù)包的數(shù)量大于所述第二數(shù)據(jù)包的數(shù)量時���,確定所述第一數(shù)據(jù)包中存在待驗證的異常通信數(shù)據(jù)包。
[0013]可選的��,所述當(dāng)確定所述第一數(shù)據(jù)包中存在待驗證的異常通信數(shù)據(jù)包時�����,向所述第一 MAC地址對應(yīng)的第一終端發(fā)送所述待驗證的異常通信數(shù)據(jù)包,包括:
[0014]所述第一終端接收所述待驗證的異常通信數(shù)據(jù)包�����,并提取所述待驗證的異常通信數(shù)據(jù)包中的待驗證MAC地址�。
[0015]可選的,所述第一終端對所述待驗證的異常通信數(shù)據(jù)包進(jìn)行驗證��,包括:
[0016]所述第一終端通過將所述第一 MAC地址與所述待驗證MAC地址進(jìn)行比較�����,對所述待驗證的異常通信數(shù)據(jù)包進(jìn)行驗證����。
[0017]可選的,所述方法還包括:
[0018]所述第一終端在所述第一 MAC地址與所述待驗證MAC地址不同時���,確定所述待驗證的異常通信數(shù)據(jù)包為異常通信數(shù)據(jù)包�����,并向所述異常通信數(shù)據(jù)包中的待驗證MAC地址對應(yīng)的終端發(fā)送拒絕服務(wù)的信息。
[0019]第二方面,本發(fā)明還提供了一種ARP欺騙的分布式檢測系統(tǒng)��,包括:
[0020]監(jiān)控模塊�,用于在預(yù)設(shè)時間段內(nèi)監(jiān)控第一終端和第二終端之間通信的請求與應(yīng)答的包含所述第一終端和所述第二終端IP地址的第一數(shù)據(jù)包的數(shù)量,以及所述第一終端對應(yīng)的第一 MAC地址和所述第二終端對應(yīng)的第二 MAC地址之間通信的第二數(shù)據(jù)包的數(shù)量�;
[0021]判斷模塊,用于根據(jù)所述請求與應(yīng)答的第一數(shù)據(jù)包的數(shù)量以及所述第一終端對應(yīng)的第一 MAC地址和所述第二終端對應(yīng)的第二 MAC地址之間通信的第二數(shù)據(jù)包的數(shù)量���,判斷所述第一終端和第二終端之間的通信的第一數(shù)據(jù)包中是否存在待驗證的異常通信數(shù)據(jù)包����;
[0022]發(fā)送模塊�����,用于當(dāng)確定所述第一數(shù)據(jù)包中存在待驗證的異常通信數(shù)據(jù)包時��,向所述第一 MAC地址對應(yīng)的第一終端發(fā)送所述待驗證的異常通信數(shù)據(jù)包����,以使所述第一終端對所述待驗證的異常通信數(shù)據(jù)包進(jìn)行驗證。
[0023]可選的����,所述監(jiān)控模塊�,用于:
[0024]在所述第一數(shù)據(jù)包的數(shù)量大于所述第二數(shù)據(jù)包的數(shù)量時����,確定所述第一數(shù)據(jù)包中存在待驗證的異常通信數(shù)據(jù)包。
[0025]可選的�,所述發(fā)送模塊,用于:
[0026]向所述第一 MAC地址對應(yīng)的第一終端發(fā)送所述待驗證的異常通信數(shù)據(jù)包��,以使所述第一終端接收所述待驗證的異常通信數(shù)據(jù)包�����,并提取所述待驗證的異常通信數(shù)據(jù)包中的待驗證MAC地址����。
[0027]可選的,所述發(fā)送模塊�����,還用于:
[0028]向所述第一 MAC地址對應(yīng)的第一終端發(fā)送所述待驗證的異常通信數(shù)據(jù)包���,以使所述第一終端通過將所述第一 MAC地址與所述待驗證MAC地址進(jìn)行比較�,對所述待驗證的異常通信數(shù)據(jù)包進(jìn)行驗證�。
[0029]可選的����,所述發(fā)送模塊���,還用于:
[0030]向所述第一 MAC地址對應(yīng)的第一終端發(fā)送所述待驗證的異常通信數(shù)據(jù)包,以使所述第一終端在所述第一 MAC地址與所述待驗證MAC地址不同時����,確定所述待驗證的異常通信數(shù)據(jù)