最新基于SNMP的ARP欺骗监控的研究文档格式.docx
《最新基于SNMP的ARP欺骗监控的研究文档格式.docx》由会员分享,可在线阅读,更多相关《最新基于SNMP的ARP欺骗监控的研究文档格式.docx(24页珍藏版)》请在冰豆网上搜索。
高校校园网一直是国内互联网络的领头羊,从1994年到如今建立的16年间,校园网络的发展也在迅速的进行着,而从最初的单一的网络的连通性到今天网络的安全与可靠性。
人们对于网络的应用逐渐扩展到工作、学习、生活、娱乐等各方面。
然而面对着日益庞大的校园网络的体系,更多的安全事件也在频频发生,ARP攻击在2000年就已经崭露头角了,但当时主要是让其他的电脑出现IP冲突而已,国外有一些应用也是正常的网络管理应用,2002年国内出现的《网络直执法官》就是使用ARP技术来实现断网管理的。
大约2003年后才开始在嗅探密码、病毒局域网传播方面出现,随着其不断的发展,其破坏性却与日俱增,这使网络的安全运营带来了巨大的挑战。
该课题就是在随着校园网日益壮大这样的背景条件下发展起来的。
基于SNMP的ARP欺骗监控的方案,在较大型的网络中实施,能在ARP欺骗刚刚开始发起时有效的阻止攻击。
同时,利用SNMP协议从网络设备上获取ARP欺骗相关信息,确定是否存在ARP欺骗及ARP欺骗者的MAC地址。
若存在ARP欺骗,则可将ARP欺骗者隔离开来,从而阻止其破坏活动[1]。
1.3该课题研究意义
由于目前ARP病毒的泛滥,校园网络时刻存在着被攻击的威胁。
这为校园网络的用户带来了隐患。
ARP病毒是针对ARP协议的漏洞产生的能够攻击局域网络的欺骗病毒,从而使网络堵塞或者瘫痪并且从中盗取用户个人信息。
因此,如何让师生能够更加放心的上网是校园网络用户所关心的问题。
基于SNMP的ARP欺骗监控研究在这样的情形下应运而生了。
它主要利用了SNMP协议能够监控网络并且能够定时轮询的特点,其过程是采用轮询、发现病毒、隔离病毒、解除隔离的方式,从而动态监控局域网络。
并且,该方案可监测和阻止广播包攻击,海量小数据包攻击等常见网络攻击,为校园网提供了一个相对稳定的上网环境。
SNMP发展到现在已成为事实上的网络管理标准,目前使用较多的网络管理系统,如HPOpenView、CabletronSpectrum、SunNetManager、IBMNetView、MicorsoftSystemsManagerServer、CiscoWorks等也都支持它。
SNMP技术也在不断地发展。
因此,针对SNMP协议的进一步发展已成为必然的趋势。
而基于SNMP的ARP的欺骗监控的研究也会随着SNMP的发展变得更为完善,也会应用的更为广泛[1]。
1.4该课题在国内外的发展介绍
简单网络管理协议(SNMP)是当前网络管理事实上的标准协议。
1990年5月,IETF布了RFC1157,定义了SNMP的第一个版本SNMPvl。
RFC1157和另一个关于管理信.息的文件RFC1155一起,提供了一种监控和管理计算机网络的系统方法。
因为SNMP的简单和易于实现,一经推出即得到各大厂商的支持,得到了广泛的应用。
在90年代初期,SNMP得到了迅猛发展,但同时也显现出了明显的不足。
比如,难以实现大量的数据传输,缺少身份验证和加密机制。
因此,1993年IETF发布了SNMPv2,并作了一系列改进:
支持分布式网络管理、扩展了数据类型、可以实现大量数据的同时传输,提高了效率和性能、丰富了故障处理能力、增加了集合处理功能、加强了数据定义语言。
但是,SMNPv2并没有完全实现预期的目标,尤其是安全性能没有得到提高,如:
身份验证、加密、授权和访问控制、适当的远程安全配置和管理能力等都没有实现。
1996年发布的SNMPv2C是SNMPv2的修改版本,功能增强了,但是安全性能仍然没有得到有效的改善,因为它依然沿用了SNMPvl的基于明文密钥的身份验证方式。
为了解决上述问题,1998年,IETFSNMPv3工作组发布了RFC2271一2275,正式形成SNMPv3。
这一系列文件定义了包含SNMPvl、SNMPv2所有功能在内的体系框架和包含验证服务和加密服务在内的全新的安全机制,同时还规定了一套专门的网络安全和访问控制规则。
因此,SNMPv3是在SNMPvl和SNMPv2基础上对SNMP的扩展,它的推出解决了管理和安全性这两个主要的问题。
从而使SNMP由一种“监视协议”成为一种“控制协议”。
现在,SNMPv3仍在逐渐扩充和发展,它将成为建立网络管理系统的有力工具,推动互联网络的不断发展[1]。
国内外的网络管理协议发展有着自己不同的方向。
在国内,目前针对国内中小型企业、学校校园网的自动化网络管理软件目前还是比较缺乏,很多中小型网络用户还是采用简单的网络工具管理网络。
与电信级网络管理不同的是,这些网络用户并不是以网络管理、维护为主要业务,并且不是所有网络管理人员都有丰富的协议操作知识。
针对这些用户,开发功能全面、操作简单、具有直观图形界面、价格适中的网络管理软件能很好的满足他们的网络管理需要。
在国外,目前国外品牌(如IBM、HP以及CA)在中国网络管理软件市场占据着领先地位,仍然占有较大的市场份额。
这些网管产品可分为通用型(如OpenView,NetView等)和专用型(如Ciscworks等)。
通用型网管系统的缺点是:
价格昂贵、操作繁琐、软件易用性不尽如人意,而且都需要二次开发;
专用型网管系统的缺点是:
过于专一,只限于某厂家或某型号的产品,不适合目前多厂家异构的环境。
这两种产品类型都不能很好的适应国内网络的现状及管理需求,所以品牌集中度有下降趋势,目前的应用集中在对国外网络管理平台上具体管理应用的二次开发和特定网络管理应用的实现两方面。
国外可用网络管理软件自身的局限性,导致了开发适应于我国国情应用环境的网络管理系统的必要性。
网络管理软件的“本土化”是必然的[2]。
1.5该课题主要构架
本课题总共分为5个章节。
首先第一个章节为绪论部分,它主要是针对基于SNMP的ARP欺骗监控的研究课题做一个系统性的分析,并且针对其发展背景及其发展过程做一详细的解说。
使人们能够对这一课题内容有最基本的了解。
课题第二章节是对ARP进行详细的理论分析与论证。
文章首先阐述了ARP协议的基本原理与内容。
然后重点论述了ARP病毒产生的机理及针对ARP产生的原理而总结出的ARP病毒特点。
继而介绍ARP病毒表现方法和检测是否存在ARP病毒而所应用的常用手段。
最后阐述ARP病毒的研究意义以及研究成果,本章结束。
课题第三章主要针对SNMP协议展开讨论。
主要针对SNMP协议内容以及此协议所应用的基本原理做一详细的介绍,是人能够对SNMP协议内容有一个初步了解。
并且详细讲解SNMP总体构架和各个结构的作用与功能。
本章结束。
课题第四章即是针对基于SNMP的ARP监控这一内容做一系列的论述。
该章首先介绍该监控手段的基本原理。
然后介绍了此研究针对于ARP病毒的研究和防御方法,并且
介绍其主要代码及算法。
继而根据这一监控手段详细描述了它的检测方法。
最后对这一监控的优点及其它在监控ARP病毒方面的应用做一具体阐述和列举,使人们对它有更深一步的了解。
此章结尾。
课题最后一章为这一课题结尾部分,以及对论文主要内容进行概括与总结。
2ARP的介绍
2.1ARP协议简介
计算机之间的通信是通过IP地址进行的。
IP数据包是通过以太网发送的,但是以太网设备并不识别32位IP地址,故要用以太网地址传输数据包,因此需要把IP的目的地址转换成为目的地址即MAC地址,ARP协议位于TCP/IP模型的网络层,其作用是将网络中的IP地址解析为MAC地址,以保证数据传输的顺利进行。
在每台安有TCP/IP协议的电脑里都有一个ARP缓存表,表里IP地址和MAC地址是一一对应的。
假设主机A的IP地址为172.16.10.5,主机A的IP地址为172.16.10.6,若主机A向主机B传输数据,刚开始主机A知道主机B的IP地址,但是不知道MAC地址,这个时候主机A会在自己的缓存表中寻找是否有主机B的IP地址,如果找到了,也就知道了主机B的MAC地址,这样就可以直接将主机B的MAC地址写入帧里面然后进行数据传输。
如果在ARP缓存表中没有找到主机B的IP地址,而主机A和主机B在同一网段内,那么这时主机A会以链路层广播的方式发送ARP请求报文,ARP请求报文中含有主机A的IP地址和MAC地址,也有目标主机B的IP地址,当报文通过广播形式传送到主机B时,主机B会相应请求并返回ARP响应报文,该报文中有主机B的MAC地址,这样主机A顺利得到了主机B的MAC地址,并且更新了自己的ARP缓存表,这样A和B就能够通信了。
这样下次若A向B发送信息时,可在ARP缓存表中直接获取到主机B的MAC地址,同样主机B也获得了主机A的MAC地址,并且也存入ARP缓存表中。
若A和B不在同一网段内,主机A发送的IP数据包就会发送到交换机的默认网关,而默认网关的MAC地址同样可通过ARP协议获得,经过ARP协议解析IP地址后,主机会在缓存中保存IP地址和MAC地址的映射条目。
此后进行数据交换时只要从缓存表里查找就可以了。
ARP缓存表内的一条映射条目如果长时间不用,它就会被删除,这样动态的保存映射条目减少了ARP缓存表的长度,也大大加快了查询的速度[3]。
2.2ARP病毒的介绍
ARP欺骗主要通过伪造IP地址和MAC地址实现,能够在网络中产生大量的ARP通信量使网络阻塞,以下表2-1为例[4]。
表2-1IP-MAC对应表
主机IP地址MAC地址
A192.168.15.100-10-5C-E9-8E-15
B192.168.15.200-10-5C-E9-D2-ED
C192.168.15.300-10-5C-EA-00-28
D192.168.15.400-10-5C-EA-02-F5
当对A进行欺骗,A去Ping主机C却发送到了00-10-5C-EA-02-F5这个地址上。
如果进行欺骗的时候,把C的MAC地址骗为00-10-5C-EA-02-F5,于是A发送到C上的数据包都变成发送给D的了。
于是D就能够接受到A发送的数据包。
而A对这个变化一点都没有意识到,但是因为A与C连接不上了,D对接收到A发送给C的数据包并没有转交给C。
然后进行ARP重定向,打开D的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。
不过不同的是D将A发送过来的数据包进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包认为完全是从A发送来的。
不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗,则D便完全成为A与C之间的桥梁了,对于A与C之间的通讯可以了如指掌。
而系统ARP缓存表被修改不停的通知路由器一系列错误的内网IP或者干脆伪造一个假的网关进行欺骗,网络就会出现大面积的掉线问题,这也就是典型的ARP的欺骗攻击[4]。
ARP欺骗其目的就是为了实现全交换环境下的数据监听。
大部分的木马或病毒使用ARP欺骗攻击也是为了达到这个目的。
2.3ARP病毒的特点
ARP协议看起来似乎很完美,整个局域网也天下太平,平安无事。
但是,它有一个致命的缺陷,那就是ARP协议是建立在对局域网中电脑全部信任的基础上。
因此,这样的局域网具有潜在的威胁。
而ARP病毒正是利用ARP协议这个致命的缺陷进行攻击活动的。
因为局域网中并非所有的电脑都安分守己。
假如主机A向B发送数据,当查询
升级会员 