技術領域

本發明屬于ARP攻擊技術領域，尤其涉及一種ARP攻擊的檢測方法及裝置。

背景技術

ARP(Address Resolution Protocol，地址解析協議)攻擊發生在局域網內，通過偽造IP地址和MAC地址實現ARP欺騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞。具體地，ARP攻擊主機只要持續不斷的發出偽造的ARP響應包就能更改被攻擊主機內ARP緩存中的IP-MAC條目，將被攻擊主機的MAC地址更改為ARP攻擊主機的MAC地址，造成被攻擊主機的網絡中斷。

為了避免局域網網絡內電子設備因受到ARP攻擊，導致局域網內通信故障，需要及時檢測出已經受到ARP攻擊的電子設備，并排除此ARP攻擊。

目前檢測電子設備是否受到ARP攻擊的方法是：判斷局域網內的每臺電子設備是否網絡連接異常。由于造成網絡異常的原因很多，因此需要進一步確定造成電子設備發生網絡異常的原因是否是受到了ARP攻擊。針對網絡異常的每臺電子設備，分別輸入ARP命令，進而獲知每臺電子設備連接在交換機中的網關、IP地址以及MAC地址。依據網關、IP地址以及MAC地址，判斷每臺電子設備是否受到了ARP攻擊。

由于需要逐一檢測局域網內的每臺電子設備是否網絡異常，并在每臺網絡異常的電子設備上分別輸入ARP命令，進而才能檢測得到每臺發生網絡異常的電子設備是否都受到了ARP攻擊，導致判斷局域網內每臺電子設備是否受到ARP攻擊的檢測周期長。

發明內容

有鑒于此，本發明的目的在于提供一種ARP攻擊的檢測方法及裝置，以解決現有技術中對局域網內電子設備是否受到ARP攻擊的檢測方法中，檢測周期長的問題。

技術方案如下：

本發明提供一種ARP攻擊的檢測方法，包括：

判斷局域網內電子設備的網絡連接狀態是否異常，且與所述局域網對應的交換機的ARP表中是否存在至少兩個相同的MAC地址；

若所述局域網內電子設備的網絡連接狀態異常，且所述ARP表中存在至少兩個相同的MAC地址，則查找所述ARP表中與相同的MAC地址對應的電子設備；

判斷所述ARP表中與相同的MAC地址對應的電子設備是否分別是所述網絡連接狀態異常的電子設備；

若所述ARP表中與相同的MAC地址對應的電子設備是網絡連接狀態異常的電子設備，則所述網絡連接狀態異常的電子設備受到ARP攻擊。

優選地，所述判斷所述ARP表中與相同的MAC地址對應的電子設備是否分別是所述網絡連接狀態異常的電子設備，包括：

獲取所述局域網內所述網絡連接狀態異常的電子設備對應的IP地址；

獲取所述ARP表中相同的MAC地址對應的IP地址；

比較所述ARP表中相同的MAC地址對應的IP地址是否分別與所述網絡連接狀態異常的電子設備對應的IP地址相同。

優選地，所述判斷所述ARP表中與相同的MAC地址對應的電子設備是否分別是所述網絡連接狀態異常的電子設備，包括：

獲取所述局域網內所述網絡連接狀態異常的電子設備對應的IP地址；

在所述ARP表中獲取與所述網絡連接狀態異常的電子設備對應的IP地址對應的MAC地址；

比較所述ARP表中相同的MAC地址是否分別與所述網絡連接狀態異常的電子設備對應的MAC地址相同。

優選地，所述判斷局域網內電子設備的網絡連接狀態是否異常，包括：

向所述局域網內電子設備分別發送預定數量的數據包；

預定時間內檢測接收到的電子設備返回的數據包的個數；

判斷電子設備返回的數據包的個數與所述預定數量是否相同；

若電子設備返回的數據包的個數與所述預定數量相同，則電子設備的網絡連接狀態正常；

若電子設備返回的數據包的個數與所述預定數量不同，則電子設備的網絡連接狀態異常。

優選地，所述若所述ARP表中與相同的MAC地址對應的電子設備是網絡連接狀態異常的電子設備，則所述網絡連接狀態異常的電子設備受到ARP攻擊后，還包括：

若所述ARP表中與相同的MAC地址對應的電子設備是網絡連接狀態正常的電子設備，則禁止所述網絡連接狀態正常的電子設備的網卡。

本發明還提供一種ARP攻擊的檢測裝置，包括：

第一判斷單元，用于判斷局域網內電子設備的網絡連接狀態是否異常，且與所述局域網對應的交換機的ARP表中是否存在至少兩個相同的MAC地址；