【正文】 f the packets. If the accepted packet is a TCP packet it is passed on to the TCP layer. If a TCP SYN packet is received then the host will either respond back with a TCP SYN/ACK packet if the destination port is open or with a TCP RST packet if the port is closed”. Rule B: “The attacker can spoof ARP packets impersonating a host but he can never stop the real host from replying to ARP requests (or any other packet) sent to it. The valid assumption here is that the real host is up on the work.” 沈陽航空航天大學畢業(yè)設計（論文）外文翻譯 —— 原文 8 It should be noted that these rules have been derived from the correct behavior that a host’s work stack should exhibit when it receives a packet. To exemplify Rule A, let a host have MAC address = X and IP address = Y. If this host receives a packet with destination MAC address = X and destination IP address = Z then even though the work interface card would accept the packet as the destination MAC address matches, the host’s work stack will silently discard this packet as the destination IP address does not match, without sending any error messages back to the source of the packet. Based on Rule A, we can conceive of two types of probe packets from a host’s work stack point of view which we will use to detect ARP spoofing. a. Right MAC – Wrong IP packet: The destination MAC address in the packet is of the host but the IP address is invalid and does not correspond to any of the host’s addresses. The destination host will silently drop this packet. b. Right MAC – Right IP packet: The destination MAC address and IP addresses pairs are of the host’s and its work stack accepts it. We will henceforth assume that the attacker is using an unmodified work stack. The performance of our technique in the presence of a modified work stack will be evaluated in Section . Based on the above observation we will construct our own packets based on Rule A and send them on the work. We will use the address information in the ARP response packet sent by the host whose authenticity is to be verified. We will use the MAC and IP addresses used in the ARP response packet to construct a TCP SYN packet . the destination MAC and IP in the TCP SYN packet will be the source MAC and IP address advertised in the ARP response packet and the source MAC and IP in the TCP SYN packet would be of the host running the Spoof Detection Engine. The TCP destination port will be chosen based on the presence/absence of packet filtering firewalls on the work hosts. If there is a firewall installed on the hosts we will choose the “allowed TCP port” (as in section ) and if no firewalls are there then we can choose any TCP port. The rest of the header values in the TCP SYN packet will be set as usual. When a TCP SYN packet as constructed above is sent to the source of the ARP reply packet, the host’s response will be based on Rule A. If the ARP response was from the real host its IP stack will respond back with either a TCP RST packet (If the destination port is closed) or a TCP SYN/ACK packet (if the destination port is open). 沈陽航空航天大學畢業(yè)設計（論文）外文翻譯 —— 原文 9 If the ARP response had been from a malicious host then its work stack would silently discard the TCP SYN packet in accordance with Rule A. Thus based on the fact that the Spoof Detection Engine does/does not receive any TCP packets in return to the SYN packet it sent, it can judge the authenticity of the received ARP response packet. 沈陽航空航天大學畢業(yè)設計（論文）外文翻譯 —— 譯文 1 APR欺騙檢測：一種主動技術手段 維克 拉瑪蒼蘭 和 舒庫瑪 南迪 思科系統(tǒng)公司 班加羅爾 印度 印度理工學院， 古瓦哈蒂，阿薩姆，印度 摘要 . 地址解析協(xié)議（ ARP）由于其無狀態(tài)性和缺乏對發(fā)送者身份進行驗證的機制，因而長久以來常被用于欺騙攻擊。這種被動方式的主要缺點在于地址學習與欺騙檢測 之間的時滯。與被動方式相比，它是一種更快的，智能的，可擴展的并且更可靠的攻擊檢測方式。這時相關主機就會回送一個填有它自己MAC 地址的 ARP 應答包（ 單播 方式）。過期的條目將會從緩存中刪除，如果本機想與相同的主機再次通信，它將會再發(fā)送一個 ARP請求。在大多數(shù)操作系統(tǒng)中，即使是 ARP緩存中沒有過期的動態(tài) ARP條目也將被新的 ARP 應答覆蓋。在最一般的 ARP欺騙中，攻擊者會周期性地向受害主機發(fā)送偽造的 ARP 應答。 當前的緩解和檢測技術 現(xiàn)存的 ARP欺騙檢測技術將在接下來依次進行討論。由于 SARP 使用了數(shù)字簽名算法（ DSA），所以會有額外的加密計算開銷，盡管該協(xié)議的作者聲稱這個開銷并不顯著。 基于內核的補丁 基于內核的補丁，例如 Anticap和 Antidot，嘗試在內核級來阻止 ARP欺騙。如果先前學習的 MAC還存活著那更新操作將被拒絕，并且新收到的 MAC地址將被加入到被禁止的地址列表中。只有管理員介入才能將它撤銷。這類工具中 最流行的是ARPWATCH。攻擊者可能在這段延遲時間里全身而退。一個典型的例子就是移動主機（例如，客戶或者參觀者帶到公司的筆記本電腦）。在真實的攻擊中，我們的技術能把真實的 MAC地址到 IP地址映射檢測到相當精確的程度。為了克服早期技術中的問題，我們提出了一種新的 ARP 檢測技術。在實際的攻擊事件中，它還能額外地把真實的MAC地址到 IP地址映射檢測到相當精確的程度。這一假設說明在攻擊中 “準備使用 ”ARP欺騙工具總是大多數(shù)攻擊者最普遍的選擇。它能保證我們的探測報（ TCP SYN 報文）能通過防火墻。 ：對一個 ARP請求的 ARP應答必須在一個額定的時間區(qū)間被接收。 ：這是使用我們的技術在網絡上學習到并驗證過的所有合法的 IP到 MAC地址的映射。 ARP 數(shù)據(jù) 包：與封頭不一致的 ARP 包相反這種數(shù)據(jù)包中，MAC幀頭和 ARP頭部中的 MAC地址是匹配的。 ：出現(xiàn) ARP應答但沒有對應的 ARP請求。 我們 用模塊化的方法將欺騙檢測分為以下幾個模塊： ARP嗅探模塊：該模塊能嗅探網 絡上所有的 ARP流量。所有含有未知地址的新 ARP 數(shù)據(jù)包都將被送到欺騙檢測引擎進行驗證。 添加到數(shù)據(jù)庫 模塊：被欺騙檢測 引擎驗證過的合法 ARP 條目將被本模塊加入到主機數(shù)據(jù)庫中。封頭不一致的 ARP 數(shù)據(jù)包條目將被送往欺騙警告模塊。所有新學到的ARP流量都會送往欺騙檢測引擎。 該引擎應用的算法將在 節(jié)討論。 欺騙檢測引擎 欺騙檢測引擎是整個系統(tǒng)的核心。 IP 層只接收 IP 數(shù)據(jù)包地址是本機 IP 地址的數(shù)據(jù)包，悄悄丟棄其他的數(shù)據(jù)包。這一假設有效的前提是真實主機已經在網絡上打開了。 沈陽航空航天大學畢業(yè)設計（論文）外文翻譯 —— 譯文 7 基于規(guī)則 A， 從主機的協(xié)議棧的觀點來看， 我們可以想象到兩種 用于 ARP欺騙檢測的偵探包。 我們將因此假設攻擊者將用沒有被修改過的協(xié)議棧。我們將用 ARP 應答報文中的 MAC 到 IP 地址來構造TCP SYN報文，例如， TCP SYN報文中的目的 MAC和 IP就是 ARP應答報文中宣稱的 源 MAC和 IP 地址，而源 TCP SYN報文中的源 MAC和 IP 就是運行欺騙檢測引擎的主 機的地址。 當 上面所構造的 數(shù)據(jù)包 將被發(fā)送到 ARP 應答報文的源地址時，主機的應答將按照規(guī)則 A來做。