本發明公開了一種ARP欺騙檢測方法及裝置，屬于網絡安全技術領域。所述方法包括：監聽主機的網絡層中接收到的ARP消息；檢測ARP消息中的網絡互連協議IP地址與目標網關的IP地址是否相同；目標網關為主機在局域網中連接的網關；檢測ARP消息中的媒體訪問控制MAC地址與內存中的MAC地址是否相同；內存中的MAC地址為歷史接收并保存的目標網關的IP地址所對應的MAC地址；在ARP消息中的IP地址與目標網關的IP地址相同且ARP消息中的MAC地址與內存中的MAC地址不同時，確定目標網關存在ARP欺騙。解決了相關方案中需要讀取ARP緩存表之后才能檢測是否存在ARP欺騙，對ARP欺騙的檢測不夠實時，仍然會存在網絡不安全的問題。

技術領域

本發明實施例涉及網絡安全技術領域，特別涉及一種ARP(Address ResolutionProtocol，地址解析協議)欺騙檢測方法及裝置。

背景技術

ARP是根據IP(Internet Protocol，網絡互連協議)地址獲取MAC(Media AccessControl，媒體訪問控制)地址的一種TCP(Transmission Control Protocol，傳輸控制協議)/IP協議。

由于ARP是建立在局域網中各個設備互相信任的基礎上的，在主機接收到 ARP應答之后不會檢測該ARP應答的真實性即將ARP應答中的源IP地址和源 MAC地址關聯保存在存儲器中的ARP緩存表中，因此，這就導致在攻擊者向主機發送局域網中網關所對應的偽ARP應答(也即網關存在ARP欺騙)，也即 ARP應答中攜帶有偽造的網關的MAC地址時，后續主機即通過偽造的網關與局域網中的其他主機通信，威脅通信安全。其中，在保存源IP地址和源MAC 地址至ARP緩存表時，若ARP緩存表存儲的各個關聯關系中不包括該ARP應答中的源IP地址所對應的關聯關系，則直接存儲；而若ARP緩存表存儲的各個關聯關系中已經存儲有ARP應答中的源IP地址所對應的關聯關系，則在ARP 應答中的源MAC地址與保存的關聯關系中的MAC地址不同時，使用ARP應答中的源MAC地址刷新已經存儲的關聯關系中的MAC地址。

實際實現時，為了保證網絡安全，相關技術提供了一種ARP欺騙檢測方法，該方法包括：上層應用程序讀取ARP緩存表中的內容，檢測讀取到的內容中是否存在非網關的MAC地址與目標網關的MAC地址相同；若存在，則說明ARP 緩存表中檢測到的非網關的MAC地址和目標網關的MAC地址中至少有一個是偽造的MAC地址，也即目標網關的MAC地址可能是偽造的，此時為了保證網絡安全主機可以確定檢測到目標網關存在ARP欺騙。其中，目標網關為局域網中主機連接的網關。

由于上層應用程序需要從存儲器中讀取ARP緩存表，進而根據讀取到的內容進行檢測，而公知的是讀取ARP緩存表的內容需要一定的時間，而在這段時間內，ARP緩存表中的內容可能已經被新接收到的ARP應答中的IP地址和MAC 地址的對應關系刷新，因此，上述方案中可能會存在對于已經出現的ARP欺騙不能實時檢測，也即檢測不夠實時，仍然存在網絡不安全的問題。

發明內容

為了解決相關技術中需要讀取ARP緩存表之后才能檢測是否存在ARP欺騙，對ARP欺騙的檢測不夠實時，仍然會存在網絡不安全的問題；本發明實施例提供了一種ARP欺騙檢測方法及裝置。技術方案如下：

根據本發明實施例的第一方面，提供一種ARP欺騙檢測方法，用于主機中, 該方法包括：

監聽所述主機的網絡層中接收到的ARP消息；

檢測所述ARP消息中的網絡互連協議IP地址與目標網關的IP地址是否相同；所述目標網關為所述主機在局域網中連接的網關；

檢測所述ARP消息中的媒體訪問控制MAC地址與內存中的MAC地址是否相同；所述內存中的MAC地址為歷史接收并保存的所述目標網關的IP地址所對應的MAC地址；