局域网ARP攻击及防御策略的研究Word格式文档下载.docx

1、ARP协议是网络协议中的基础协议，虽然ARP协议使用起来非常方便快捷，但其中却隐藏着很多漏洞。本文首先对ARP 协议进行了详细的分析，深入了解了ARP 协议的工作原理，并对ARP 欺骗发生的条件和欺骗原理做了深入的介绍，同时总结了ARP 欺骗攻击的检测方法，细致的分析了对各种不同的ARP 欺骗方式相对应的防御手段。其次针对局域网中出现的 ARP 欺骗的攻击方式进行有针对性的分析，使用抓包工具截获攻击包后进行相关研究，并制定出防御局域网中出现的ARP欺骗的方法，同时对该方法进行适当改进以提高防御效率。ARP欺骗病毒一直是网络中爆发范围较广且很难根除的顽疾，最近几年针对ARP欺骗病毒的防御研究在不

2、断进行，但由于互联网布局的复杂性特征，很难在防御该病毒方面获得统一的管理和部署，本文提出的检测和防御方法经小范围应用取得了较好的效果，希望在以后的继续学习与研究过程中能够将该方法完善并推广。关键词：ARP 欺骗，ARP 协议，802.1x 协议，认证扩展，病毒防御36目录摘 要2 目 录.3-4 第1 章 绪 论7 1.1 课题背景和意义7 1.2 国内外研究现状9 1.3 论文的研究内容及组织结构12 1.3.1 论文的研究内容13 1.3.2 论文的组织结构13 第2 章ARP 协议14 2.1 ARP 协议介绍14 2.1.1 地址解析的作用14 2.1.2 直接映射法15 2.1.3

3、动态地址解析法17 2.1.4 动态地址解析的缓冲区与高效率18 2.2 ARP 协议的应用18 2.2.1 ARP 的标准与历史18 2.2.2 ARP 地址详述与基本操作19 2.2.3 ARP 信息的格式21 2.2.4 ARP 缓存22 2.2.5 代理ARP24 2.3 ARP 欺骗25 2.3.1 ARP 欺骗原理25 2.3.2 ARP 欺骗的攻击方式27 2.3.3 ARP 攻击的检测29 2.3.4 ARP 病毒的防御30 2.4 本章小结30 第3 章 局域网ARP 病毒检测与防御31 3.1 局域网遭受ARP 病毒攻击的症状及危害57 3.2 检测与分析58 3.2.1

4、正常网络数据的捕获与分析58 3.2.2 ARP 欺骗数据包的捕获与分析59 3.3 ARP 欺骗的防御60 3.3.1 针对网关ARP 欺骗的防御61 3.3.2 针对网内主机ARP 欺骗的防御62 3.4 ARP 欺骗防御方法的改进62 3.5 本章小结63 总结.35 参考文献35 第1 章 绪 论1.1 课题背景和意义随着互连网的发展，网络的安全问题随之浮出水面，并一直是计算机网络安全体系的重要方面。网络作为信息的共享平台，其开放性与跨地域性令网络攻击难以循迹，一旦重要的网络信息系统陷入瘫 痪，对社会是一种毁灭性的打击。最近几年，网络安全问题日益严重， 关于网络安全的报道层出不穷，造成

5、的经济损失越来越大。黑客往往通过网络入侵的手段达到窃取敏感信息的目的，也有人通过网络攻击达到不可告人的目的。ARP 协议是一个位于TCP/IP 协议栈中网络层的协议，负责将IP 地址解析成对应的MAC 地址。由于网络通信是按照MAC 地址进行传输的，因此，对于局域网而言，ARP 协议是网络正常通信的基础。但基于历史原因，ARP 协议在设计之初，考虑到传输效率的问题， 缺乏必要的身份认证和鉴别机制，导致安全性能弱不禁风。ARP 欺骗攻击是一种利用TCP/IP 协议中ARP 协议本身漏洞3（ 即为了提 高效率，不对发送来的ARP 应答包进行验证，直接更新ARP 地址缓存表）进行攻击的。它通过发送A

6、RP 应答包给目标主机，让目标主机更新自己的ARP地址缓存表，使本应该发送给被冒充机器的数据包发送给了自己，达到了欺骗信息的作用。因此，制定出一套高效的 ARP 欺骗攻击防御策略具有很大的现实意义。1.2 国内外研究现状ARP 欺骗攻击的核心思想就是向目标主机发送伪造ARP 应答, 并使目标主机接收应答中伪造的IP 地址与MAC 地址之间的映射对, 以此来更新目标主机的ARP 缓存。ARP 欺骗的原理已经十分明了， 但对ARP 欺骗的防范措施却并不十分有效。目前国内外还没有功能很强的软件能够很好的防御网络中的ARP欺骗。因此，如何防御ARP 欺骗攻击及怎样降低这种攻击所带来的后果引起了全社会网

7、络专家们的广泛关注，并成为目前网络安全界研究的热点问题。ARP 欺骗攻击主要是利用了ARP 协议的安全缺陷，体现在如下几点：（1） ARP请求均以广播方式进行：当源主机要和目的主机通信而没有目的主机的MAC 地址时, 便会向整个局域网广播ARP请求数据包。这使得攻击者可以伪装ARP应答, 与真正的目的主机展开竞争, 并由此确定子网内机器什么时候刷新ARP缓存, 以实现最大限度的假冒和欺骗。（2） ARP 地址转换表自我动态更新：这种机制的动态更新方式较为灵活，但同时也带来了安全隐患。由于正常的ARP 地址转换表都是有时间限制的，这使得假冒者如果在下次交换之前成功修改了源主机的地址，就可以毫无阻

8、拦的进行ARP 欺骗行为。（3） ARP 响应无控制且无认证：ARP 协议设计之初，为了获得较高的传输效率，在数据链路层没有做安全上的防范，在使用ARP 协议时无需认证，使用ARP协议的局域网假设通信双方是相互信任和相互独立的。ARP 欺骗的攻击方法主要有以下几种：（1） 中间人攻击：中间人攻击就是攻击者将自己插入两个目标主机通信路径之间，使它如同两个目标主机通信路径上的一个中继，这样攻击者就可以监听两个目标主机之间的通信。（2） IP 地址冲突：主机发送更改的ARP 报文，将伪装的MAC 地址映射到目标主机的IP 地址，系统检测到两个不同的MAC 地址对应同一个IP 地址，因此表现为IP 地

9、址冲突。（3） 拒绝服务攻击：拒绝服务攻击就是使目标主机不能正常响应外部请求，从而不能对外提供服务的攻击方式。（4） 克隆攻击：通过修改网络接口的MAC 地址，攻击者首先对目标主机实施拒绝服务攻击，使其不能对外部做出任何反应。然后攻击者就可以将自己的IP地址与MAC 地址分别改为目标主机的IP 地址与MAC 地址，这样攻击者就可以对目标主机进一步实施各种非法攻击，窃取各种通信数据。（5） ARP 应答畸形包攻击：正常的ARP 报文至少是46 个字节，但是如果我们自己精心构造一个只有30 个字节长的ARP 应答报文，由于目前的网络交换设备没有充分考虑到这种情况的出现，当网络上连续出现这种畸形报文

10、达到一定数量的时候，交换机的MAC 缓存表就无法正常刷新，其严重后果就是整个局域网瘫痪。针对以上的 ARP 欺骗攻击手段，已经制定出如下的防御措施6,7,8：（1） 制定静态ARP 缓存表：ARP 协议攻击最根本的原理就是改变IP 地址与MAC 地址的正确对应关系。因此可以在目标主机的ARP 缓存中设置静态地址映射记录来防止ARP 欺骗攻击。但该方法的缺点是如果网络上节点较多或者节点经常发生变化则不易进行管理。（2） 设置ARP 服务器：为了解决静态ARP 缓存表中维护静态记录的工作分散的缺点，可以采用在局域网内部指定一台机器作为ARP 服务器来集中保存和维护一个相对可信的局域网环境下所有主机

11、的IP-MAC 地址映射记录。但该方法首先要保证ARP 服务器的网络安全，如果一旦该主机瘫痪，ARP 缓存表将无法维护，整个网络系统会受到影响。（3） 数据加密传输：例如采用SSH 替代telnet，采用sftp 替代传统的ftp，即使连接被截获，也不可能被轻易伪造数据。该方法的缺点是加密和解密过程相对来说比较消耗系统资源。（4） 交换机绑定端口和MAC 地址：设置交换机的每个端口与唯一的MAC 地址相对应，一旦来自该端口的MAC 地址发生变动，就自动封锁该端口，使主机无法连接到局域网。攻击者就无法发送伪造ARP 数据帧，从而阻止了ARP 欺骗的发生。这种方法的缺点是不灵活。（5） 引入硬件设

12、备：目前, 基于IP 地址变换进行路由的第三层交换机逐渐被采用，第三层交换技术采用的是P 路由交换协议，以往的数据链路层的MAC 地址和ARP 协议已经不起作用。但第三层交换机的价格普遍比较昂贵，而且普及率不高。1.3 论文的研究内容及组织结构1.3.1 论文的研究内容计算机网络体系包含两大方面，终端体系与网络通信体系。而各自的安全要求则衍生了可信计算平台以及可信网络连接的规范。保护整个终端体系和网络通信体系的完整性与安全性就需要综合考虑两方面的需求。构建可信网络平台，采用802.1x 在宽带及无线接入方面的优势是显而易见的。同时也被众多互联网服务提供商所广泛采纳。本文的主要工作是针对ARP

13、病毒的特点，详细论述了ARP 协议的原理，发展过程以及ARP 协议的应用。对ARP 协议的实现及漏洞进行了详细的分析，并针对ARP 欺骗攻击的特征，对其攻击方法进行了详细的介绍。同时，根据ARP欺骗的攻击方法总结出ARP 欺骗的各种检测方法，并有针对性的制订了ARP 欺骗的防御措施。由于 ARP 欺骗经常在局域网中爆发，局域网是ARP 欺骗病毒肆虐的典型网络。本文结合局域网中ARP 欺骗攻击的实际现象，使用抓包软件对其进行检测并加以分析，再根据常见网络设备的特点逐步制定出防御局域网中ARP欺骗的措施，并加以改进。1.3.2 论文的组织结构本文共分为3 个章节，各章节主要内容如下：第 1 章，绪

14、论。介绍了ARP 欺骗的攻击行为与对其进行防御的研究背景和现状，分析了现有防御方法的不足。描述本文的研究内容， 给出了本论文的组织结构。第 2 章，ARP 协议。详细的介绍了ARP 协议，ARP 协议的工作原理以及ARP 协议的应用。同时也对ARP 协议本身存在的漏洞，ARP欺骗攻击的原理，以及对现有的ARP 欺骗攻击既定检测与防御方法进行了细致介绍，并分析了他们各自的优缺点。第 3 章，局域网ARP 病毒检测与防御。该章节针对局域网中频繁出现的ARP 欺骗攻击现象，进行抓包采样，经分析后逐步制定出应对方案，并对其进行适当改进。第2 章ARP协议2.1 ARP 协议介绍ARP（Address Resolution Protocol）即地址解析协议，就是用来进行地址解析的协议。网络中的通信是通过使用网络层（OSI 网络结构中的第三层）地址发送数据完成的。但实际上，网络中数据的传输是通过使用数据链路层（OSI 网络结构中的第二层）地址实现的。这就意味着网络中的每一个设备都要拥有网络层地址和数据链路层地址。这就需要定义某种方式将网络层地址与数据链路层地址有效联系起来。那么，这种将网络层地址与数据链路层地址一一映射的过程就被称为地址解析。2.1.1 地址解析的作用当我们研究OSI 网络参考模型时，分别有两层携带地址：网络层与数据链路层。处于网络层以上的各层均通过