技术特征:
1.一种中间人攻击的双向请求应答检测方法,其特征在于:包括,通过报文解析工具对无线通信环境中的恶意报文进行解析;若报文的解析结果为请求报文,则通过请求报文检测模块(100)进行检测,根据检测结果处理请求包;若所述报文的解析结果为应答报文,则通过应答报文检测模块(200)进行检测,根据检测结果对arp缓冲区进行处理。2.如权利要求1所述的中间人攻击的双向请求应答检测方法,其特征在于:所述请求报文检测模块(100)包括报文请求接收单元(101)、判别单元(102)、回复请求单元(103)、调用发送请求单元(104)、添加目标ip单元(105)、发送请求单元(106)和request线性请求表(107)。3.如权利要求1所述的中间人攻击的双向请求应答检测方法,其特征在于:检测请求报文包括,通过报文请求接收单元(101)接收所述请求包,而后通过判别单元(102)比对目标ip地址与本机ip地址;通过回复请求单元(103)将比对结果告知给所述调用发送请求单元(104),所述调用发送请求单元(104)根据比对结果调用所述发送请求单元(106)进行请求发送操作;当所述请求发出时,通过所述添加目标ip单元(105)将解析的目标ip存放在所述request线性请求表(107)中。4.如权利要求1所述的中间人攻击的双向请求应答检测方法,其特征在于:所述比对包括,若所述目标ip地址与本机ip地址相同,则通过所述回复请求单元(103)对所述请求包作出回应,并调用所述发送请求单元(106)进行所述请求发送操作;否则,则判定所述请求包为伪造的报文请求,将其丢弃并报告中间人攻击已发生。5.如权利要求1所述的中间人攻击的双向请求应答检测方法,其特征在于:还包括,通过所述request线性请求表(107)存储本机接收或者发送的请求包中的ip地址和mac地址;所述request线性请求表(107)依据时间准则对线性表中长时间没有获得更新的报文进行过滤删除。6.如权利要求1所述的中间人攻击的双向请求应答检测方法,其特征在于:所述应答报文检测模块(200)包括respond线性应答表(201)、接收应答单元(202)、存放源ip单元(203)、添加ip
‑
mac映射单元(204)、判别mac地址单元(205)和arp缓冲区更新单元(206)。7.如权利要求1所述的中间人攻击的双向请求应答检测方法,其特征在于:处理所述arp缓冲区包括,所述接收应答单元(202)在接收到应答包时,通过所述存放源ip单元(203)将源ip存放于所述respond线性应答表(201)中;若所述应答包具有相同的源ip地址,则通过判别mac地址单元(205)比较源mac地址和对应项的mac地址是否相同,若不相同,则判断所述应答包为伪造的应答包,存在中间人攻击的威胁;否则,则通过所述arp缓冲区更新单元(206)对所述arp缓冲区进行更新;而后通过添加ip
‑
mac映射单元(204)将ip
‑
mac映射添加到所述respond线性应答表
(201)中,将respond线性应答表(201)中的对应项进行删除,并通过所述arp缓冲区更新单元(206)对所述arp缓冲区进行更新。8.如权利要求1所述的中间人攻击的双向请求应答检测方法,其特征在于:还包括,所述respond线性应答表(201)依据时间准则对线性表中长时间没有获得更新的报文进行自动过滤删除。
技术总结
本发明公开了一种中间人攻击的双向请求应答检测方法,包括,通过报文解析工具对无线通信环境中的恶意报文进行解析;若报文的解析结果为请求报文,则通过请求报文检测模块进行检测,根据检测结果处理请求包;若报文的解析结果为应答报文,则通过应答报文检测模块进行检测,根据检测结果对ARP缓冲区进行处理;本发明通过添加判断条件,可根据输入的Hostname进行分辨,将不满足条件的报文剔除,使网络信息传送更加安全;同时引入线性表,其可依据时间准则自动过滤删除报文,大大提高了报文的检测效率;且具有良好的安全性、兼容性和扩展性,对主机性能影响小,在交互过程中不会产生很大的网络流量,尽可能的减少了系统和网络开销。尽可能的减少了系统和网络开销。尽可能的减少了系统和网络开销。
技术研发人员:王勇 冯秀楠 王威
受保护的技术使用者:上海云剑信息技术有限公司
技术研发日:2021.06.21
技术公布日:2021/11/16