基于Linux的ARP攻击检测与防护软件设计与Python实现

本文介绍一款基于Linux的ARP攻击检测防护软件，使用Python实现。该软件能够独立检测ICMP Flood、TCP攻击和ARP欺骗攻击，并提供局域网活动主机扫描和记录功能，所有操作均可通过可视化界面完成。

软件功能

ICMP Flood攻击检测: 实时监控网络流量，识别并告警ICMP Flood攻击，输出攻击类型及攻击源IP地址和MAC地址。
TCP攻击检测: 实时监控网络流量，识别并告警SYN Flood等TCP攻击，输出攻击类型及攻击源IP地址和MAC地址。
ARP欺骗攻击检测: 实时监控ARP数据包，识别并告警ARP欺骗攻击，输出攻击类型及攻击源IP地址和MAC地址。
局域网扫描和记录: 扫描局域网内活动主机，记录其IP地址和MAC地址。
可视化界面: 提供用户友好的中文界面，方便用户进行操作和查看记录。

模块设计

1. ICMP Flood攻击检测模块

该模块使用原始套接字发送ICMP Echo请求报文，并分析响应时间和数量，判断是否遭受ICMP Flood攻击。

2. TCP攻击检测模块

该模块使用原始套接字监听TCP连接请求，并分析连接请求的频率和数量，判断是否遭受SYN Flood等TCP攻击。

3. ARP欺骗攻击检测模块

该模块使用原始套接字发送ARP请求报文，并分析响应报文中的MAC地址，判断是否遭受ARP欺骗攻击。

4. 局域网扫描和记录模块

该模块使用ICMP Echo请求报文扫描局域网内活动主机，并记录其IP地址和MAC地址。

5. 可视化界面模块

该模块使用Tkinter库创建用户界面，并调用其他模块的功能，实现攻击检测、扫描记录和数据保存等操作。

代码实现

以下代码示例展示了部分模块的核心功能实现，完整代码请参考GitHub仓库：https://github.com/your-username/arp-attack-detector

import os
import socket
import struct
import fcntl

# ...其他模块代码...

def get_mac_address(ifname):
    # 获取网卡的MAC地址
    s = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
    info = fcntl.ioctl(s.fileno(), 0x8927, struct.pack('256s', ifname[:15].encode()))
    return ':'.join(['%02x' % b for b in info[18:24]])

def arp_spoof_detect(target_ip):
    # 创建原始套接字
    s = socket.socket(socket.AF_PACKET, socket.SOCK_RAW, socket.htons(0x0800))

    # 获取本机的MAC地址和IP地址
    iface = 'eth0'
    mac = get_mac_address(iface)
    ip = socket.inet_ntoa(fcntl.ioctl(s.fileno(), 0x8915, struct.pack('256s', iface[:15].encode()))[20:24])

    # 构造ARP请求报文
    packet = struct.pack('!6s6s2s2s1s1s2s6s4s6s4s', b'ÿÿÿÿÿÿ', mac.encode(), b'', b'�', b'�', b'', b'�', mac.encode(), socket.inet_aton(ip), b'������', socket.inet_aton(target_ip))

    # 发送ARP请求报文
    s.send(packet)

    # 接收ARP响应报文
    while True:
        packet = s.recvfrom(2048)[0]
        eth_header = struct.unpack('!6s6s2s', packet[:14])
        if eth_header[2] == b'':
            arp_header = struct.unpack('2s2s1s1s2s6s4s6s4s', packet[14:42])
            if arp_header[4] == b'�':
                if arp_header[8] == target_ip:
                    print('ARP欺骗攻击检测到! 攻击源: %s (%s)' % (arp_header[6], arp_header[5]))
                    break

    s.close()

# ...其他模块代码...

总结

本文介绍了一款基于Linux的ARP攻击检测与防护软件的设计与Python实现。该软件能够有效检测和防御常见的网络攻击，并提供用户友好的操作界面，为用户提供更安全的网络环境。