技術領域

本發明涉及通信技術領域，具體涉及一種ARP欺騙的分布式檢測方法及系統。

背景技術

中間人攻擊(Man-in-the-middle attack)是一種對網絡中兩臺或多臺終端之間的數據包進行攻擊的方式。發動攻擊時，攻擊者位于合法終端的通信路徑中間，通過捕獲、修改、轉發雙方之間的數據包的手段來達到攻擊的目的。

ARP協議，全稱Address Resolution Protocol,工作在OSI七層網絡模型中的第二層—數據鏈路層，它的作用是根據目標終端的IP來獲得相應的硬件地址MAC。ARP設計時存在著一個問題，即它沒有對ARP報文的來源是否合法進行驗證，不會檢查收到的應答報文是否合法，也不會檢查本機是否發送過相應的ARP請求報文，這使得防范ARP攻擊變得尤為重要。生活中常常出現以下現象時，很可能出現ARP欺騙的攻擊。局域網內頻繁出整體掉線，重啟計算機或路由器后恢復正常。網速時快時慢，極其不穩定，但單機進行數據測試時一切正常。網上銀行、游戲及QQ賬號的頻繁丟失。

現有的檢測防御ARP欺騙的方法主要有：①終端級的被動檢測：如果系統收到來自局域網內的ARP請求包，系統會檢測其目的地址是否和本機的IP地址相同，如果相同說明局域網內有終端正在進行ARP欺騙。此種方法使得網關丟掉不合理的IP、MAC映射關系。主要的缺點是此方法不能保證建立的IP、MAC映射關系一定是正確的，不能保證數據庫中存儲的值一定是沒有收到ARP欺騙的，可擴展性較差，被動性。②終端級的主動檢測：在局域網內使用一臺終端主動地不停地向整個網絡內發送目的IP是本機的ARP請求包，如果整個局域網中有終端回應，則說明這個局域網內存在ARP欺騙攻擊。這種方法的資源消耗較大，并且對于服務器的DOS攻擊沒有防御。③網絡級的檢測：局域網內的終端定期向局域網內的ARP服務器發送其ARP地址緩存表，這樣，如果是局域網內哪臺終端被攻擊了，ARP服務器會通過它儲存的其他終端的ARP混存表找出攻擊源和被攻擊的終端，從而進行定位。交換機或路由器分別對每個端口對應的用戶終端MAC和IP地址進行綁定，同時對通過DHCP協議動態獲得IP地址的終端設置一個較長的租約時間，從而使各個終端的MAC和IP的映射關系趨于穩定狀態，從此來防御ARP攻擊。

另外一種手動監測是指網絡管理員利用命令行或wireshark等抓包工具進行抓包來查看終端的IP和MAC之間的映射關系，以此來發現是否存在可疑的用戶終端，若存在則采取相應的措施。ARP欺騙攻擊的監測系統能夠對攻擊者進行精準定位，同時斷開發現ARP欺騙攻擊的終端網絡，從而有效縮小ARP的攻擊范圍，減小ARP攻擊帶來的威脅。但是該系統有一個前提是只能在監測到ARP欺騙之后才能做相應處理，如果系統沒有監測到實際發生的ARP欺騙，那么該系統就沒有任何作用。此方法對于網絡管理員的要求較高，工作量大，容易產生誤差。

發明內容

針對現有技術中的缺陷，本發明提供了一種ARP欺騙的分布式檢測方法及系統，能夠實時的檢測發現ARP欺騙行為，檢測效率高。

第一方面，本發明提供一種ARP欺騙的分布式檢測方法，包括：

在預設時間段內監控第一終端和第二終端之間通信的請求與應答的包含所述第一終端和所述第二終端IP地址的第一數據包的數量，以及所述第一終端對應的第一MAC地址和所述第二終端對應的第二MAC地址之間通信的第二數據包的數量；

根據所述請求與應答的第一數據包的數量以及所述第一終端對應的第一MAC地址和所述第二終端對應的第二MAC地址之間通信的第二數據包的數量，判斷所述第一終端和第二終端之間的通信的第一數據包中是否存在待驗證的異常通信數據包；

當確定所述第一數據包中存在待驗證的異常通信數據包時，向所述第一MAC地址對應的第一終端發送所述待驗證的異常通信數據包，以使所述第一終端對所述待驗證的異常通信數據包進行驗證。

可選的，所述根據所述請求與應答的第一數據包的數量以及所述第一終端對應的第一MAC地址和所述第二終端對應的第二MAC地址之間通信的第二數據包的數量，判斷所述第一終端和第二終端之間的通信的第一數據包中是否存在待驗證的異常通信數據包，包括：

在所述第一數據包的數量大于所述第二數據包的數量時，確定所述第一數據包中存在待驗證的異常通信數據包。

可選的，所述當確定所述第一數據包中存在待驗證的異常通信數據包時，向所述第一MAC地址對應的第一終端發送所述待驗證的異常通信數據包，包括：