[发明专利]一种ARP攻击的检测方法及装置

说明书

技术领域

本发明属于ARP攻击技术领域，尤其涉及一种ARP攻击的检测方法及装置。

背景技术

ARP(Address Resolution Protocol，地址解析协议)攻击发生在局域网内，通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。具体地，ARP攻击主机只要持续不断的发出伪造的ARP响应包就能更改被攻击主机内ARP缓存中的IP-MAC条目，将被攻击主机的MAC地址更改为ARP攻击主机的MAC地址，造成被攻击主机的网络中断。

为了避免局域网网络内电子设备因受到ARP攻击，导致局域网内通信故障，需要及时检测出已经受到ARP攻击的电子设备，并排除此ARP攻击。

目前检测电子设备是否受到ARP攻击的方法是：判断局域网内的每台电子设备是否网络连接异常。由于造成网络异常的原因很多，因此需要进一步确定造成电子设备发生网络异常的原因是否是受到了ARP攻击。针对网络异常的每台电子设备，分别输入ARP命令，进而获知每台电子设备连接在交换机中的网关、IP地址以及MAC地址。依据网关、IP地址以及MAC地址，判断每台电子设备是否受到了ARP攻击。

由于需要逐一检测局域网内的每台电子设备是否网络异常，并在每台网络异常的电子设备上分别输入ARP命令，进而才能检测得到每台发生网络异常的电子设备是否都受到了ARP攻击，导致判断局域网内每台电子设备是否受到ARP攻击的检测周期长。

发明内容

有鉴于此，本发明的目的在于提供一种ARP攻击的检测方法及装置，以解决现有技术中对局域网内电子设备是否受到ARP攻击的检测方法中，检测周期长的问题。

技术方案如下：

本发明提供一种ARP攻击的检测方法，包括：

判断局域网内电子设备的网络连接状态是否异常，且与所述局域网对应的交换机的ARP表中是否存在至少两个相同的MAC地址；

若所述局域网内电子设备的网络连接状态异常，且所述ARP表中存在至少两个相同的MAC地址，则查找所述ARP表中与相同的MAC地址对应的电子设备；

判断所述ARP表中与相同的MAC地址对应的电子设备是否分别是所述网络连接状态异常的电子设备；

若所述ARP表中与相同的MAC地址对应的电子设备是网络连接状态异常的电子设备，则所述网络连接状态异常的电子设备受到ARP攻击。

优选地，所述判断所述ARP表中与相同的MAC地址对应的电子设备是否分别是所述网络连接状态异常的电子设备，包括：

获取所述局域网内所述网络连接状态异常的电子设备对应的IP地址；

获取所述ARP表中相同的MAC地址对应的IP地址；

比较所述ARP表中相同的MAC地址对应的IP地址是否分别与所述网络连接状态异常的电子设备对应的IP地址相同。

优选地，所述判断所述ARP表中与相同的MAC地址对应的电子设备是否分别是所述网络连接状态异常的电子设备，包括：

获取所述局域网内所述网络连接状态异常的电子设备对应的IP地址；

在所述ARP表中获取与所述网络连接状态异常的电子设备对应的IP地址对应的MAC地址；

比较所述ARP表中相同的MAC地址是否分别与所述网络连接状态异常的电子设备对应的MAC地址相同。

优选地，所述判断局域网内电子设备的网络连接状态是否异常，包括：

向所述局域网内电子设备分别发送预定数量的数据包；

预定时间内检测接收到的电子设备返回的数据包的个数；

判断电子设备返回的数据包的个数与所述预定数量是否相同；

若电子设备返回的数据包的个数与所述预定数量相同，则电子设备的网络连接状态正常；

若电子设备返回的数据包的个数与所述预定数量不同，则电子设备的网络连接状态异常。

优选地，所述若所述ARP表中与相同的MAC地址对应的电子设备是网络连接状态异常的电子设备，则所述网络连接状态异常的电子设备受到ARP攻击后，还包括：

若所述ARP表中与相同的MAC地址对应的电子设备是网络连接状态正常的电子设备，则禁止所述网络连接状态正常的电子设备的网卡。

本发明还提供一种ARP攻击的检测装置，包括：

第一判断单元，用于判断局域网内电子设备的网络连接状态是否异常，且与所述局域网对应的交换机的ARP表中是否存在至少两个相同的MAC地址；