技術(shù)領(lǐng)域

本發(fā)明涉及用于檢測(cè)利用ARP(Address?Resolution?Protocol，地址解析協(xié)議)協(xié)議的漏洞的外部攻擊(ARP欺騙攻擊)的技術(shù)。

背景技術(shù)

最近，發(fā)生了多起(尤其是從外國(guó))入侵韓國(guó)國(guó)內(nèi)的網(wǎng)站之后插入惡意代碼之類(lèi)的事件。這些事件中的大部分通常是在直接入侵相關(guān)網(wǎng)絡(luò)服務(wù)器之后插入的惡意代碼。但是，最近發(fā)生了在網(wǎng)絡(luò)服務(wù)器沒(méi)有被入侵的情況下，卻從網(wǎng)絡(luò)服務(wù)器下載到惡意代碼等的案例。這是攻擊者在入侵與網(wǎng)絡(luò)服務(wù)器位于相同IP段內(nèi)的其他服務(wù)器之后，利用ARP欺騙(ARP?spoofing)截獲與網(wǎng)絡(luò)服務(wù)器相關(guān)的網(wǎng)絡(luò)傳輸而插入了惡意代碼。

ARP欺騙攻擊是利用局域網(wǎng)(LAN)中使用的ARP協(xié)議的漏洞，將自己的MAC地址偽裝成別的計(jì)算機(jī)的MAC地址的攻擊方式。由于ARP欺騙攻擊任意改變ARP緩存信息，因此也被稱(chēng)為ARP緩存中毒(ARP?Cache?Poisoning)攻擊。

通過(guò)這種ARP欺騙攻擊，攻擊者可以將自己的MAC地址偽裝(ARP?Spoofing)成路由器或者要嗅探(sniffing)的目標(biāo)服務(wù)器的MAC地址，從而可以輕易地偷看數(shù)據(jù)包。但是，最近ARP欺騙攻擊已經(jīng)不限于單純截獲并偷看數(shù)據(jù)包的嗅探水平，還被用作偽造截獲的數(shù)據(jù)包并重新發(fā)送出去的攻擊用途，因此情況越發(fā)嚴(yán)重，從而需要開(kāi)發(fā)出在交換機(jī)等設(shè)備中易于檢測(cè)并阻斷ARP欺騙攻擊的技術(shù)。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種易于檢測(cè)ARP欺騙攻擊，并且在必要的時(shí)候可事先予以阻斷的方案。

為了解決上述問(wèn)題，根據(jù)本發(fā)明的一個(gè)實(shí)施例的ARP欺騙攻擊檢測(cè)系統(tǒng)包括：接收模塊，用于接收ARP數(shù)據(jù)包，并判斷所接收的所述ARP數(shù)據(jù)包是否為未經(jīng)請(qǐng)求(unsolicited?or?gratuitous)的ARP數(shù)據(jù)包；發(fā)送模塊，用于當(dāng)所述接收模塊所接收的所述ARP數(shù)據(jù)包為未經(jīng)請(qǐng)求的ARP數(shù)據(jù)包時(shí)，生成與所接收的所述未經(jīng)請(qǐng)求的ARP數(shù)據(jù)包對(duì)應(yīng)的ARP請(qǐng)求數(shù)據(jù)包，并散布(Broadcast)所生成的所述ARP請(qǐng)求數(shù)據(jù)包；以及檢測(cè)模塊，用于當(dāng)接收到與所述發(fā)送模塊所散布的所述ARP請(qǐng)求數(shù)據(jù)包對(duì)應(yīng)的ARP響應(yīng)數(shù)據(jù)包時(shí)，判斷所接收的所述ARP響應(yīng)數(shù)據(jù)包的輸入端口和所述未經(jīng)請(qǐng)求的ARP數(shù)據(jù)包的輸入端口是否一致，若不一致，則判斷為發(fā)生了ARP欺騙攻擊。

另一方面，用于解決上述問(wèn)題的、在根據(jù)本發(fā)明的一個(gè)實(shí)施例的ARP欺騙攻擊檢測(cè)系統(tǒng)中用于檢測(cè)ARP欺騙攻擊的方法包括：第一步驟，由所述檢測(cè)系統(tǒng)接收ARP數(shù)據(jù)包，并判斷所接收的所述ARP數(shù)據(jù)包是否為未經(jīng)請(qǐng)求(unsolicited?or?gratuitous)的ARP數(shù)據(jù)包；第二步驟，當(dāng)所接收的所述ARP數(shù)據(jù)包為未經(jīng)請(qǐng)求的ARP數(shù)據(jù)包時(shí)，由所述檢測(cè)系統(tǒng)生成與所接收的所述未經(jīng)請(qǐng)求的ARP數(shù)據(jù)包對(duì)應(yīng)的ARP請(qǐng)求數(shù)據(jù)包，并散布所生成的所述ARP請(qǐng)求數(shù)據(jù)包；第三步驟，由所述檢測(cè)系統(tǒng)接收與所散布的所述ARP請(qǐng)求數(shù)據(jù)包對(duì)應(yīng)的ARP響應(yīng)數(shù)據(jù)包；以及第四步驟，由所述檢測(cè)系統(tǒng)判斷所接收的所述ARP響應(yīng)數(shù)據(jù)包的輸入端口和所述未經(jīng)請(qǐng)求的ARP數(shù)據(jù)包的輸入端口是否一致，若不一致，則判斷為發(fā)生了ARP欺騙攻擊。

根據(jù)本發(fā)明，具有可在交換機(jī)端輕易地檢測(cè)利用ARP協(xié)議的漏洞的ARP欺騙攻擊、并且在必要的時(shí)候可事先將其阻斷的優(yōu)點(diǎn)。

附圖說(shuō)明

圖1和圖2為用于說(shuō)明ARP欺騙攻擊的圖。

圖3為根據(jù)本發(fā)明的一個(gè)實(shí)施例的ARP欺騙攻擊檢測(cè)系統(tǒng)300的框圖。

圖4為表示根據(jù)本發(fā)明的一個(gè)實(shí)施例的ARP欺騙攻擊檢測(cè)方法400的流程圖。

符號(hào)說(shuō)明

300：ARP欺騙攻擊檢測(cè)系統(tǒng)

302：接收模塊

304：數(shù)據(jù)包信息存儲(chǔ)模塊

306：發(fā)送模塊

308：檢測(cè)模塊

具體實(shí)施方式

以下，參照附圖來(lái)說(shuō)明本發(fā)明的具體實(shí)施方式。但是，這些僅屬于示例，本發(fā)明不受此限制。

在對(duì)本發(fā)明的說(shuō)明中，當(dāng)針對(duì)與本發(fā)明相關(guān)的公知技術(shù)的具體說(shuō)明可能會(huì)不必要地混淆本發(fā)明的要點(diǎn)時(shí)，將省略其詳細(xì)說(shuō)明。而且，后面所提到的術(shù)語(yǔ)是考慮到在本發(fā)明中的功能而加以定義的術(shù)語(yǔ)，其可能會(huì)隨著使用者、運(yùn)用者的意圖或習(xí)慣等而變得不同。因此，其定義應(yīng)當(dāng)基于本說(shuō)明書(shū)的整個(gè)內(nèi)容加以確定。

本發(fā)明的技術(shù)思想由權(quán)利要求書(shū)加以確定，下面的實(shí)施例只是用于向本發(fā)明所屬技術(shù)領(lǐng)域中具有一般知識(shí)的人員有效說(shuō)明本發(fā)明技術(shù)思想的一種手段。