局域网ARP攻击及防御策略的研究

辽宁科技大学继续教育学院毕业设计(论文)题目：局域网ARP攻击及防御策略的研究学院、系：鞍山科技大学专业班级：计算机应用专科学生姓名：姜明程指导教师：迟呈英2013年4月15日2局域网ARP攻击及防御策略的研究摘要当今的信息社会是建立在计算机网络的基础之上的，网络信息安全形势十分严峻。网络协议安全是网络安全的重要环节，对网络协议的分析、利用越来越受到人们的关注。ARP协议是网络协议中的基础协议，虽然ARP协议使用起来非常方便快捷，但其中却隐藏着很多漏洞。本文首先对ARP协议进行了详细的分析，深入了解了ARP协议的工作原理，并对ARP欺骗发生的条件和欺骗原理做了深入的介绍，同时总结了ARP欺骗攻击的检测方法，细致的分析了对各种不同的ARP欺骗方式相对应的防御手段。其次针对局域网中出现的ARP欺骗的攻击方式进行有针对性的分析，使用抓包工具截获攻击包后进行相关研究，并制定出防御局域网中出现的ARP欺骗的方法，同时对该方法进行适当改进以提高防御效率。ARP欺骗病毒一直是网络中爆发范围较广且很难根除的顽疾，最近几年针对ARP欺骗病毒的防御研究在不断进行，但由于互联网布局的复杂性特征，很难在防御该病毒方面获得统一的管理和部署，本文提出的检测和防御方法经小范围应用取得了较好的效果，希望在以后的继续学习与研究过程中能够将该方法完善并推广。关键词：ARP欺骗，ARP协议，802.1x协议，认证扩展，病毒防御3目录摘要.....................................................2目录...................................................3-4第1章绪论..............................................71.1课题背景和意义........................................71.2国内外研究现状........................................91.3论文的研究内容及组织结构.............................121.3.1论文的研究内容.....................................131.3.2论文的组织结构.....................................13第2章ARP协议..................................142.1ARP协议介绍.........................................142.1.1地址解析的作用.....................................142.1.2直接映射法.........................................152.1.3动态地址解析法.....................................172.1.4动态地址解析的缓冲区与高效率.......................182.2ARP协议的应用.......................................182.2.1ARP的标准与历史...................................182.2.2ARP地址详述与基本操作.............................192.2.3ARP信息的格式.....................................212.2.4ARP缓存...........................................222.2.5代理ARP...........................................242.3ARP欺骗.............................................2542.3.1ARP欺骗原理.......................................252.3.2ARP欺骗的攻击方式.................................272.3.3ARP攻击的检测.....................................292.3.4ARP病毒的防御.....................................302.4本章小结.............................................30第3章局域网ARP病毒检测与防御..........................313.1局域网遭受ARP病毒攻击的症状及危害...................573.2检测与分析...........................................583.2.1正常网络数据的捕获与分析...........................583.2.2ARP欺骗数据包的捕获与分析.........................593.3ARP欺骗的防御.......................................603.3.1针对网关ARP欺骗的防御.............................613.3.2针对网内主机ARP欺骗的防御.........................623.4ARP欺骗防御方法的改进...............................623.5本章小结.............................................63总结....................................................35参考文献...........................................355第1章绪论1.1课题背景和意义随着互连网的发展，网络的安全问题随之浮出水面，并一直是计算机网络安全体系的重要方面。网络作为信息的共享平台，其开放性与跨地域性令网络攻击难以循迹，一旦重要的网络信息系统陷入瘫痪，对社会是一种毁灭性的打击。最近几年，网络安全问题日益严重，关于网络安全的报道层出不穷，造成的经济损失越来越大。黑客往往通过网络入侵的手段达到窃取敏感信息的目的，也有人通过网络攻击达到不可告人的目的。ARP协议是一个位于TCP/IP协议栈中网络层的协议，负责将IP地址解析成对应的MAC地址。由于网络通信是按照MAC地址进行传输的，因此，对于局域网而言，ARP协议是网络正常通信的基础。但基于历史原因，ARP协议在设计之初，考虑到传输效率的问题，缺乏必要的身份认证和鉴别机制，导致安全性能弱不禁风。ARP欺骗攻击是一种利用TCP/IP协议中ARP协议本身漏洞[3](即为了提高效率，不对发送来的ARP应答包进行验证，直接更新ARP地址缓存表)进行攻击的。它通过发送ARP应答包给目标主机，让目标主机更新自己的ARP地址缓存表，使本应该发送给被冒充机器的数据包发送给了自己，达到了欺骗信息的作用。因此，制定出一套高效的ARP欺骗攻击防御策略具有很大的现实意义。1.2国内外研究现状ARP欺骗攻击的核心思想就是向目标主机发送伪造ARP应答,并使目标主机接收应答中伪造的IP地址与MAC地址之间的映射对,以此来更新目标主机的ARP缓存。ARP欺骗的原理已经十分明了，但对ARP欺骗的防范措施却并不十分有效。目前国内外还没有功能6很强的软件能够很好的防御网络中的ARP欺骗。因此，如何防御ARP欺骗攻击及怎样降低这种攻击所带来的后果引起了全社会网络专家们的广泛关注，并成为目前网络安全界研究的热点问题。ARP欺骗攻击主要是利用了ARP协议的安全缺陷，体现在如下几点：(1)ARP请求均以广播方式进行：当源主机要和目的主机通信而没有目的主机的MAC地址时,便会向整个局域网广播ARP请求数据包。这使得攻击者可以伪装ARP应答,与真正的目的主机展开竞争,并由此确定子网内机器什么时候刷新ARP缓存,以实现最大限度的假冒和欺骗。(2)ARP地址转换表自我动态更新：这种机制的动态更新方式较为灵活，但同时也带来了安全隐患。由于正常的ARP地址转换表都是有时间限制的，这使得假冒者如果在下次交换之前成功修改了源主机的地址，就可以毫无阻拦的进行ARP欺骗行为。(3)ARP响应无控制且无认证：ARP协议设计之初，为了获得较高的传输效率，在数据链路层没有做安全上的防范，在使用ARP协议时无需认证，使用ARP协议的局域网假设通信双方是相互信任和相互独立的。ARP欺骗的攻击方法主要有以下几种：(1)中间人攻击：中间人攻击就是攻击者将自己插入两个目标主机通信路径之间，使它如同两个目标主机通信路径上的一个中继，这样攻击者就可以监听两个目标主机之间的通信。(2)IP地址冲突：主机发送更改的ARP报文，将伪装的MAC地址映射到目标主机的IP地址，系统检测到两个不同的MAC地址对应同一个IP地址，因此表现为IP地址冲突。(3)拒绝服务攻击：拒绝服务攻击就是使目标主机不能正常响应外部请求，从而不能对外提供服务的攻击方式。(4)克隆攻击：通过修改网络接口的MAC地址，攻击者首先对目标主机实施拒绝服务攻击，使其不能对外部做出任何反应。然后攻击7者就可以将自己的IP地址与MAC地址分别改为目标主机的IP地址与MAC地址，这样攻击者就可以对目标主机进一步实施各种非法攻击，窃取各种通信数据。(5)ARP应答畸形包攻击：正常的ARP报文至少是46个字节，但是如果我们自己精心构造一个只有30个字节长的ARP应答报文，由于目前的网络交换设备没有充分考虑到这种情况的出现，当网络上连续出现这种畸形报文达到一定数量的时候，交换机的MAC缓存表就无法正常刷新，其严重后果就是整个局域网瘫痪。针对以上的ARP欺骗攻击手段，已经制定出如下的防御措施[6,7,8]：(1)制定静态ARP缓存表：ARP协议攻击最根本的原理就是改变IP地址与MAC地址的正确对应关系。因此可以在目标主机的ARP缓存中设置静态地址映射记录来防止ARP欺骗攻击。但该方法的缺点是如果网络上节点较多或者节点经常发生变化则不易进行管理。(2)设置ARP服务器：为了解决静态ARP缓存表中维护静态记录的工作分散的缺点，可以采用在局域网内部指定一台机器作为ARP服务器来集中保存和维护一个相对可信的局域网环境下所有主机的IP-MAC地址映射记录。但该方法首先要保证ARP服务器的网络安全，如果一旦该主机瘫痪，ARP缓存表将无法维护，整个网络系统会受到影响。(3)数据加密传输：例如采用SSH替代telnet，采用sftp替代传统的ftp，即使连接被截获，也不可能被轻易伪造数据。该方法的缺点是加密和解密过程相对来说比较消耗系统资源。(4)交换机绑定端口和MAC地址：设置交换机的每个端口与唯一的MAC地址相对应，一旦来自该端口的MAC地址发生变动，就自动封锁该端口，使主机无法连接到局域网。攻击者就无法发送伪造ARP数据帧，从而阻止了ARP欺骗的发生。这种方法的缺点是不灵活。(5)引入硬件设备：目前,基于IP地址变换进行路由的第三层交换8机逐渐被采用，第三层交换技术采用的是P路由交换协议，以往的数据链路层的MAC地址和ARP协议已经不起作用。但第三层交换机的价格普遍比较昂贵，而且普及率不高。1.3论文的研究内容及组织结构1.3.1论文的研究内容计算机网络体系包含两大方面，终端体系与网络通信体系。而各自的安全要求则衍生了可信计算平台以及可信网络连接的规范。保护整个终端体系和网络通信体系的完整性与安全性就需要综合考虑两方面的需求。构建可信网络平台，采用802.1x在宽带及无线接入方面的优势是显而易见的。同时也被众多互联网服务提供商所广泛采纳。本文的主要工作是针对ARP病毒的特点，详细论述了ARP协议