基于Python的ARP攻击检测软件实现

基于Python的ARP攻击检测软件实现

本文将介绍如何使用Python语言以及强大的网络数据包处理库scapy，编写一款简单的ARP攻击检测软件。

功能需求

1. 捕获数据包：从网络接口实时捕获数据包。
2. 过滤ARP包：从捕获的数据包中筛选出ARP协议的数据包。
3. 分析ARP包：对ARP包进行分析，检查以下攻击特征：
   • 同一IP地址对应多个MAC地址。
   • 多个IP地址对应同一个MAC地址。
   • 大量的ARP请求或响应包。
   • ARP包中的源MAC地址和目标MAC地址不匹配。
4. 输出攻击信息：将检测到的攻击信息输出到控制台。
5. 记录日志：将所有检测到的攻击信息记录到日志文件中，方便后续分析。

Python实现

from scapy.all import *
from collections import defaultdict

def arp_sniffer():
    # 过滤出ARP包
    arp_filter = 'arp'
    # 捕获数据包
    sniff(filter=arp_filter, prn=arp_handler, store=0)

def arp_handler(pkt):
    # 获取源IP地址、源MAC地址、目标IP地址、目标MAC地址
    src_ip = pkt[ARP].psrc
    src_mac = pkt[ARP].hwsrc
    dst_ip = pkt[ARP].pdst
    dst_mac = pkt[ARP].hwdst

    # 检查同一IP地址对应多个MAC地址
    if src_ip in arp_table and src_mac not in arp_table[src_ip]:
        print(f'ARP攻击检测：IP地址 {src_ip} 对应多个MAC地址！')
        log(f'ARP攻击检测：IP地址 {src_ip} 对应多个MAC地址！')

    # 检查多个IP地址对应同一个MAC地址
    if src_mac in arp_table and src_ip not in arp_table[src_mac]:
        print(f'ARP攻击检测：MAC地址 {src_mac} 对应多个IP地址！')
        log(f'ARP攻击检测：MAC地址 {src_mac} 对应多个IP地址！')

    # 更新ARP表
    arp_table[src_ip] = src_mac

    # 统计ARP请求和响应包的数量
    if pkt[ARP].op == ARP.who_has:
        arp_request_count[src_ip] += 1
    elif pkt[ARP].op == ARP.is_at:
        arp_reply_count[src_ip] += 1

    # 检查大量的ARP请求或响应包
    if arp_request_count[src_ip] > ARP_REQUEST_THRESHOLD or arp_reply_count[src_ip] > ARP_REPLY_THRESHOLD:
        print(f'ARP攻击检测：IP地址 {src_ip} 出现大量ARP请求或响应！')
        log(f'ARP攻击检测：IP地址 {src_ip} 出现大量ARP请求或响应！')

    # 检查源MAC地址和目标MAC地址不匹配
    if dst_ip in arp_table and src_mac != arp_table[dst_ip]:
        print(f'ARP攻击检测：IP地址 {dst_ip} 的MAC地址不匹配！')
        log(f'ARP攻击检测：IP地址 {dst_ip} 的MAC地址不匹配！')

def log(msg):
    # 将信息保存在日志中
    with open('arp_spoofing.log', 'a') as f:
        f.write(msg + '
')

if __name__ == '__main__':
    # ARP表
    arp_table = {}
    # 统计ARP请求和响应包的数量
    arp_request_count = defaultdict(int)
    arp_reply_count = defaultdict(int)
    # ARP请求和响应包的阈值
    ARP_REQUEST_THRESHOLD = 10
    ARP_REPLY_THRESHOLD = 10

    # 捕获数据包并进行分析
    arp_sniffer()

代码说明

1. 使用scapy.all模块中的sniff函数捕获数据包，并使用filter参数指定只捕获ARP协议的数据包。
2. arp_handler函数用于处理捕获到的ARP数据包，提取源IP地址、源MAC地址、目标IP地址和目标MAC地址等信息。
3. 使用字典arp_table存储IP地址与MAC地址的对应关系，用于检测同一IP地址对应多个MAC地址或多个IP地址对应同一个MAC地址的情况。
4. 使用字典arp_request_count和arp_reply_count统计每个IP地址的ARP请求和响应包数量，用于检测ARP请求或响应包数量异常的情况。
5. 使用log函数将检测到的攻击信息记录到日志文件中。

总结

本文介绍了如何使用Python编写一款简单的ARP攻击检测软件，并详细解释了代码实现。该软件可以有效地检测常见的ARP攻击手段，提高网络安全防护能力。