針對局域網ARP表項欺騙攻擊的預警方法及裝置，屬于網絡通信技術領域，為了解決局域網ARP表項欺騙攻擊的預警問題，技術要點是：S1.網絡數據偵聽；S2.ARP報文可信性確認；S2.1.ARP報文不可信時，進行ARP表項欺騙預警判斷；S2.2.ARP報文可信時，進行ARP報文表項的分析以判斷ARP表項欺騙。效果是：可以防止ARP表項欺騙攻擊。

技術領域

本發明涉及網絡通信技術領域，尤其涉及一種局域網內的ARP欺騙攻擊的預警方法。

背景技術

地址解析協議(ARP，Address Resolution Protocol)，是根據IP地址獲取物理地址的一個TCP/IP子協議。主機發送信息時將包含目標IP地址的ARP請求廣播到網絡上的所有主機，并接收返回消息，以此確定目標的物理地址；收到返回消息后將該IP地址和物理地址存入本機ARP緩存中并保留一定時間，下次請求時直接查詢ARP緩存以節約資源。

ARP欺騙攻擊是通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞。ARP攻擊主要是存在于局域網網絡中，局域網中若有一個用戶感染ARP病毒，則感染該ARP病毒的用戶系統可能會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通信信息，并因此造成網內其他用戶網絡連接故障。

ARP表項欺騙攻擊通過修改ARP表項來完成的。首先，每臺主機都會在自己的ARP緩沖區中建立一個ARP列表，以表示IP地址和MAC地址的對應關系。當源主機需要將一個數據包要發送到目的主機時，會首先檢查自己ARP列表中是否存在該IP地址對應的MAC地址，如果有﹐就直接將數據包發送到這個MAC地址；如果沒有，就向本地網段發起一個ARP請求的廣播包，查詢此目的主機對應的MAC地址。此ARP請求數據包里包括源主機的IP地址、MAC地址、以及目的主機的IP地址。網絡中所有的主機收到這個ARP請求后，會檢查數據包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數據包；如果相同，該主機首先將發送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經存在該IP的信息，則將其覆蓋，然后給源主機發送一個ARP響應數據包，告訴對方自己是它需要查找的MAC地址；源主機收到這個ARP響應數據包后，將得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數據的傳輸。如果源主機一直沒有收到ARP響應數據包，表示ARP查詢失敗。

發明內容

為了解決局域網ARP表項欺騙攻擊的預警問題，一種針對局域網ARP表項欺騙攻擊的預警方法，包括如下步驟：

S1.網絡數據偵聽；

S2.ARP報文可信性確認；

S2.1.ARP報文不可信時，進行ARP表項欺騙預警判斷；

S2.2.ARP報文可信時，進行ARP報文表項的分析以判斷ARP表項欺騙。

有益效果：本發明對網絡數據進行偵聽，并將獲取的數據進行ARP報文可信性確認，在ARP報文不可信的基礎上，進行預警判斷，并分析ARP表項以判斷ARP表項欺騙，從而可以防止ARP表項欺騙攻擊。

附圖說明

圖1為本發明對局域網ARP表項欺騙攻擊的預警流程圖。

圖2為本發明ARP表項欺騙的判斷預警模塊的判斷方法示意圖。

圖3為本發明ARP表項欺騙的判斷預警模塊的組成示意圖。

圖4為ARP報文格式說明。

具體實施方式

實施例1：一種針對局域網ARP表項欺騙攻擊的預警方法，包括如下步驟：

S1.網絡數據偵聽；

S2.ARP報文可信性確認；