【正文】 配置 Switch A 進(jìn)入系統(tǒng)視圖。缺點是每臺電腦需綁定，且重啟后任需綁定，工作量較大，雖說綁定可以通過批處理文件來實現(xiàn)，但也比較麻煩。 當(dāng) ARP 報文中的源 IP 地址及源 MAC 地址的綁定關(guān)系與 DHCP Snooping 表項或者手工配置的IP 靜態(tài)綁定表項匹配，且 ARP 報文的入端口及其所屬 VLAN 與 DHCP Snooping表項或者手工配置 陜西理工學(xué)院畢業(yè)設(shè)計 第 11 頁 共 48 頁 的 IP 靜態(tài)綁定表項一致，則為合法 ARP 報文，進(jìn)行轉(zhuǎn)發(fā)處理。通過監(jiān)聽 DHCP 報文，記錄DHCP 客戶端 IP 地址與 MAC 地址的對應(yīng)關(guān)系；通過設(shè)置 DHCP Snooping信任端口，保證客戶端從合法的服務(wù)器獲取 IP 地址 [19]。此后， Host A 和 Host C 之間看似“直接”的通信，實際上都是通過黑客所在的主機間接進(jìn)行的，即 Host B擔(dān)當(dāng)了“中間人”的角色，可以對信息進(jìn)行了竊取和篡改 [18]。查看該 PC 機的 ARP 表，網(wǎng)關(guān) MAC 地址已被修改，而且網(wǎng)關(guān)上該 PC 機的 MAC 也是偽造的。[主要是通過在鏈路層捕獲所有流經(jīng)的 ARP 請求數(shù)據(jù)包進(jìn)行分析，若是對虛擬主機的 ARP 請求就會發(fā)送對應(yīng)虛擬物理地址的 ARP 響應(yīng)，并且虛擬主機本身也會發(fā)送 ARP 請求。出現(xiàn)原因（可能）： ，偵聽程序，掃描程序。攻擊源通過 ARP 掃描來獲得所要攻擊主機的 IP 和 MAC 地址。假設(shè)有 3 臺主機分別為 A、 B、 C，其中主機 C 已經(jīng)感染了 ARP 地址欺騙病毒。而在接收到 ARP廣播的所有計算機中，只有具有目的主機 IP 地址的主機 B收到該廣播報文后，才會向源主機 A回送一個包含其 MAC 地址的應(yīng)答，這樣一次正常的地址解析過程就完成了 [16]。在這種情形之下，缺少防范措施的交換機就會以廣播的模式處理報文，形成泛洪向所有接口轉(zhuǎn)發(fā)通信信息流。 MACIP 映射對的 IP 地址是非本地網(wǎng)的虛擬不存在的 IP 地址而且 MAC 地址也是虛擬變化的。 ARP 高速緩存空間，造成主機無法創(chuàng)建緩存表項，無法正常通信，這種攻擊特征作者將其命名為 ARP 溢出攻擊。這種攻擊類型，攻擊者偽造大量不同 ARP 報文在同網(wǎng)段內(nèi)進(jìn)行廣播，導(dǎo)致網(wǎng)關(guān) ARP 表項被占滿，合法用戶的 ARP 表項無法正常學(xué)習(xí)，導(dǎo)致合法用戶無法正常訪問外網(wǎng) [14]。會出現(xiàn)經(jīng)常有人反饋上不了網(wǎng)，或網(wǎng)速很慢，查看 ARP 表項也都正確，但在網(wǎng)絡(luò)中抓報文分析，發(fā)現(xiàn)大量 ARP 請求報文。根據(jù) IP 地址沖突的攻擊特征描述，這種類型的 ARP 攻擊主要有以下幾種： IP 地址沖突：鏈路層所記錄的目的物理地址為被攻擊主機的物理地址，這樣使得該ARP 數(shù)據(jù)包只能被受攻擊主機所接收而不被局域網(wǎng)內(nèi)的其它主機所接收實現(xiàn)隱蔽式攻擊。 陜西理工學(xué)院畢業(yè)設(shè)計 第 7 頁 共 48 頁 IP 地址沖突：制造出局域網(wǎng)上有另一臺主機與受害主機共享一個 IP 的假象。這也是會造成 ARP 欺騙的一個重要原因。 （ 2） ARP 的無狀態(tài)性 漏洞之二源于 ARP 協(xié)議請求和應(yīng)答機制。 （ 1）高速緩存 漏洞之一來自于存 放 IP 地址與硬件 MAC 地址映射關(guān)系的 ARP 高速緩存。 ARP 安全漏洞 ARP 協(xié)議的安全問題主要來 自于其工作機制以及協(xié)議棧的實現(xiàn)。在工作站 PC的 Windows 環(huán)境中， ARP 條目的壽命是 2分鐘，在大部分 Cisco 交換機中，該值是 5分鐘。主機 A在得到主機 B的 MAC 地址后，就可以與主機 B通信了。 假如當(dāng)主機 A要和主機 B通信（如主機 A Ping主機 B）時。 當(dāng)一個基于 TCP/IP 的應(yīng)用程序需要從一臺主機發(fā)送數(shù)據(jù)給另一臺主機時，它把信息分割并封裝成包，附上目的主機的 IP 地址。 表 ARP 緩存表 每臺安裝有 TCP/IP 協(xié)議的電腦里都有一個ARP 緩存表，表里的 IP 地址與 MAC 地址是一一對應(yīng)的，如下表所示。如果找到了，也就知道了目標(biāo) MAC 地址，直接把目標(biāo) MAC 地址寫入幀里面發(fā)送就可以了；如果在 ARP 緩存表中沒有找到相對應(yīng)的 IP 地址，主機 A 就會在網(wǎng)絡(luò)上發(fā)送一個廣播，目標(biāo) MAC 地址是“ ”，這表示向同一網(wǎng)段內(nèi)的所有主機發(fā)出這樣的詢問：“ MAC地址是什么？”網(wǎng)絡(luò)上其他主機并不響應(yīng) ARP 詢問，只有主機 B接收到這個幀時，才向主機 A做出這樣的回應(yīng)：“ 的 MAC 地址是 00aa0062c609”。這個層之間的主機互相通訊是通過 MAC 地址互相區(qū)分的。 目的硬件地址： 6字節(jié)， ARP 請求中不填此字段（待解析）。 協(xié)議地址長度： 1字節(jié)，以字節(jié)為單位定義協(xié)議地址的長度， IPv4為 4。第三個字段是協(xié)議類型，這里用 0X0806代表封裝的上層協(xié)議是 ARP 協(xié)議。 ARP 和 RARP 請求應(yīng)答報文格式是相同的 ，通過操作類型字段來區(qū)分，這個思想在 TCP/IP 協(xié)議的設(shè)計中被反復(fù)利用。 ARP 協(xié)議的基本功能就是通過目標(biāo)設(shè)備的 IP 地址，查詢目標(biāo)設(shè)備的 MAC 地址，以保證通信的順利進(jìn)行。 在局域網(wǎng)中，網(wǎng)絡(luò)中實際傳輸?shù)氖恰皫?（ frame） ”，幀里面是有目標(biāo)主機的 MAC 地址的。然而實現(xiàn)簡單、運行高效的 TCP/IP 協(xié)議，它所提供的信息和資源共享是建立在網(wǎng)絡(luò)內(nèi)部各 節(jié)點之間相互信任基礎(chǔ)之上的，這使得 TCP/IP 協(xié)議的完全開放性具有諸多安全隱患。 第六章 結(jié)論。 第二章 ARP 協(xié)議的相關(guān)理論概述，及 ARP 的工作原理和 ARP 的漏洞做了簡單的介紹，然后對ARP 的攻擊種類做了詳細(xì)的介紹。 總之，有效利用 ARP 協(xié)議，防止利用 ARP 協(xié)議漏洞威脅到網(wǎng)絡(luò)安全，對于局域網(wǎng)的 順暢運行有著重大的應(yīng)用價值，可使單位或企業(yè)局域網(wǎng)的運營成本降低到最大限度。 （ 4）高效性 高效性是指系統(tǒng)在運行時應(yīng)該具有很高的效率，特別是在架構(gòu)防御系統(tǒng)時，及時高效 是應(yīng)該著重體現(xiàn)的性能之一。 （ 2）準(zhǔn)確性 準(zhǔn)確性是指得出的結(jié)果與真實結(jié)果的符合程度。隨著技術(shù)的發(fā)展， ARP 攻擊手段不斷更新變化，以上各種防范措施均存在不同程度的缺陷，因此研究一種新型 ARP 欺騙攻擊防御策略具有非常重要的現(xiàn)實意義。由于 ARP 協(xié)議是建立在各主機之間相互信任基礎(chǔ)之上的，這使欺騙有機可乘，因此通過記錄本地發(fā)送 ARP 請求的目的 IP 地址，對無本地請求的 ARP 應(yīng)答包一律不信任，檢測其源 IP 地址并與記錄的 IP 地址比對，以決定是否更新緩存。 （ 5）刪除 Windows 系統(tǒng)中的 動態(tài)連接庫 [3]。 （ 4）建立 DHCP 服務(wù)器。但是這種 方法會導(dǎo)致網(wǎng)絡(luò)中出現(xiàn)過多的 ARP 請求廣播。但這種方法必須人工設(shè)置 IP 地址和 MAC 地址映射，因為靜態(tài)的 ARP 條目在每次重啟后都會消失，需要重新設(shè)置。通過收集整理大量的相關(guān)文獻(xiàn)資料，對 國內(nèi)外現(xiàn)有的常見 ARP 欺騙攻擊的解決方案進(jìn)行簡單分析，并總結(jié)如下： （ 1）設(shè)置靜態(tài) ARP 緩存，這是一種常用的比較簡單的防范措施 [2]。 目前，很多研究者已經(jīng)給出了針對 ARP 欺騙攻擊的防治方法，在一定程度上減少了 ARP 問題的發(fā)生，這類方法主要是通過保護(hù) ARP 高速緩存等方法來實現(xiàn)，它們沒有從根本上解決 ARP 欺騙問題，因為 ARP 欺騙問題的發(fā)生是因為 ARP 協(xié)議本身存在在不 可信網(wǎng)絡(luò)中運行的漏洞。 Inter 所具有的開放性、國際性和自由性在增加應(yīng)用自由度的同時，網(wǎng)絡(luò)安全問題日益凸顯，計算機網(wǎng)絡(luò)的保密性、完整性、可用性正接受各種攻擊的挑戰(zhàn)，網(wǎng)絡(luò)安全問題越來越受到人們的關(guān)注。一方面是技術(shù)方面的問題，目前的計算機操作系統(tǒng)和應(yīng)用軟件或多或少存在一定的安全漏洞，而攻擊者恰恰利用了這些 漏洞，由于計算機病毒防治技術(shù)相對要落后于病毒攻擊，因此會造成病毒在一定范圍內(nèi)蔓延；另一方面是管理方面的問題，由于管理人員的技術(shù)水平不足和管理不善造成的安全問題也層出不窮，系統(tǒng)漏洞修復(fù)的滯后和安全防護(hù)措施的不夠給攻擊者提供了機會。根據(jù)國家計算機病毒應(yīng)急處理中心發(fā)布的《中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告（ 2020年上半年）》中的數(shù)據(jù)顯示， 2020年上半年，國家互聯(lián)網(wǎng)應(yīng)急中心 （ CNCERT） 通過技術(shù)平臺共捕獲約 90 萬個惡意代碼，比去年同期增長 %。t normal munication between the host and poses a great threat to work security. This design is familiar with the mastery of the ARP protocol and working princIPle, on the basis of the simulation environment and puts forward a work attack and detection methods, ARP attack test analysis and diagnosis. And put forward a series of prevention methods, to protect against ARP attacks. Key words: ARP attack。并提出了一系列的防范方法，以抵御 ARP 的攻擊。 11— 12周：并在軟件環(huán)境下進(jìn)行運行調(diào)試，進(jìn)一步完善系統(tǒng)功能，整理資料； 13— 14周：畢業(yè)設(shè)計驗收； 15— 16周：撰寫、修改、提交畢業(yè)論文，畢業(yè)答辯。并要求在模擬環(huán)境中提出一種網(wǎng)絡(luò)級的檢測方法，進(jìn)行抵御 ARP 欺騙攻擊的測試，進(jìn)行診斷分析。 本設(shè)計要求學(xué)生熟悉掌握 ARP 協(xié)議及工作原 理，了解現(xiàn)有針對 ARP 欺騙攻擊的防御方法。提交開題報告； 5— 10周：根據(jù) ARP 的工作原理 ，及現(xiàn)有 ARP 欺騙攻擊的防御方法，給出設(shè)計方案。本設(shè) 計是在熟悉掌握了ARP 協(xié)議及工作原理的基礎(chǔ)上，在模擬環(huán)境下提出了一種網(wǎng)絡(luò)級的攻擊和檢測方法，進(jìn)行 ARP 的攻擊測試和分析診斷。ARP 防范 陜西理工學(xué)院畢業(yè)設(shè)計 Analysis of ARP deception based on Winpcap Liu Yongchao (Grade 11,Class 4,Major electronics and information engineering， School of Physics and Telemunication Engineering， Shaanxi University of Technology， Hanzhong 723003， Shaanxi) Tutor: Li Juye Abstract:Recently, ARP attack increasingly serious . It ARP vulnerabilities to work deception and attacks, by sending the wrong IP/MAC address update cheating on host ARP cache table, make can39。由于網(wǎng)絡(luò)安全問題的日益突出，使得計算機病毒、網(wǎng)絡(luò)攻擊和犯罪頻繁發(fā)生。造成信息和網(wǎng)絡(luò)安全問題的因素很多，主要可歸納為兩方面。隨著計算機網(wǎng)絡(luò)應(yīng)用地不斷普及深入，網(wǎng)絡(luò)安全日益成為影響網(wǎng)絡(luò)效能的重要問題。 “ ARP 欺騙”類惡意木馬程序的危害性比較大，特別是對校園網(wǎng)、網(wǎng)吧等局域網(wǎng)會造成大范圍的破壞和影響，輕則影響網(wǎng)絡(luò)使用，重則導(dǎo)致網(wǎng)絡(luò)癱瘓，是個不容忽視的問題。 ARP 欺騙攻擊在國內(nèi)外的研究現(xiàn)狀和發(fā)展趨勢 ARP 欺騙攻擊研究現(xiàn)狀 ARP 欺騙攻擊已經(jīng)嚴(yán)重影響到人們進(jìn)行安全地信息通訊，為了有效降低 ARP 欺騙給局域網(wǎng)絡(luò)帶來的諸多安全隱患，前人已做了很多有意義的探索與實踐，一些方案雖有一定的局限性，但在實 陜西理工學(xué)院畢業(yè)設(shè)計 第 2 頁 共 48 頁 際應(yīng)用中已相對成熟。在這種狀態(tài)下，攻擊者如果向主機發(fā)送 ARP 應(yīng)答報文，目標(biāo)主機在接收此報文后是不會刷新 ARP 緩存中相關(guān)映射信 息的，從而有效防止 ARP 攻擊。通過一個簡單的程序，以一個固定的頻率（頻率設(shè)定要大于 ARP 欺騙的頻率）不斷使用 ARP–d 命令刪除 ARP 緩存記錄，這樣才能保證主機緩存不保留偽造的 IP 地址和 MAC 地址映射信息，達(dá)到抑制 ARP 欺騙的目的。這似乎是一個很好的解決方案，但是如何將一臺