[發明專利]針對局域網ARP表項欺騙攻擊的預警方法及裝置有效
| 申請號: | 201610723545.4 | 申請日: | 2016-08-25 |
| 公開(公告)號: | CN107786496B | 公開(公告)日: | 2020-06-19 |
| 發明(設計)人: | 田雨農;張東輝;付政國 | 申請(專利權)人: | 大連樓蘭科技股份有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 大連智高專利事務所(特殊普通合伙) 21235 | 代理人: | 劉斌 |
| 地址: | 116023 遼寧省大連*** | 國省代碼: | 遼寧;21 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 針對 局域網 arp 欺騙 攻擊 預警 方法 裝置 | ||
1.一種針對局域網ARP表項欺騙攻擊的預警方法,其特征在于,包括如下步驟:
S1.網絡數據偵聽:獲取網絡內的DHCP Discover請求報文,記錄到表A中;獲取網絡內的DHCPACK報文,記錄到表B中;獲取網絡內ARP廣播報文,記錄到表C中;
S2.ARP報文可信性確認:分析用戶發出的ARP請求包的IP地址,判斷其是否在表A和表C中出現,且同時判斷其是否存于靜態IP地址的表項中,出現且存于的,則ARP報文可信,否則ARP報文不可信;
S2.1.ARP報文不可信時,進行ARP表項欺騙預警判斷:判斷是否有用戶主動請求多個目標IP用戶的MAC信息,或者被動記錄多條ARP信息,滿足其中之一即判斷為ARP表項欺騙預警;
S2.2.ARP報文可信時,進行ARP報文表項的分析以判斷ARP表項欺騙:檢驗ARP幀首部的源MAC和ARP報文中源MAC是否一致,若不一致,則判斷為ARP表項欺騙;若一致,則判斷ARP表項是否更新,更新的,則判斷為ARP表項欺騙。
2.一種針對局域網ARP表項欺騙攻擊的預警裝置,其特征在于,包括:
偵聽模塊,用于網絡數據偵聽,獲取網絡內的DHCP Discover請求報文,記錄到表A中;獲取網絡內的DHCPACK報文,記錄到表B中;獲取網絡內ARP廣播報文,記錄到表C中;
可信性確認模塊,用于ARP報文可信性確認,分析用戶發出的ARP請求包的IP地址,判斷其是否在表A和表C中出現,且同時判斷其是否存于靜態IP地址的表項中,出現且存于的,則ARP報文可信,否則ARP報文不可信;
預警模塊,ARP報文不可信時,進行ARP表項欺騙預警判斷,判斷是否有用戶主動請求多個目標IP用戶的MAC信息,或者被動記錄多條ARP信息,滿足其中之一即判斷為ARP表項欺騙預警;
表項欺騙模塊,ARP報文可信時,進行ARP報文表項的分析以判斷ARP表項欺騙,檢驗ARP幀首部的源MAC和ARP報文中源MAC是否一致,若不一致,則判斷為ARP表項欺騙;若一致,則判斷ARP表項是否更新,更新的,則判斷為ARP表項欺騙。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于大連樓蘭科技股份有限公司,未經大連樓蘭科技股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201610723545.4/1.html,轉載請聲明來源鉆瓜專利網。
