【導讀】師的指導下進行的研究工作及取得的成果。盡我所知，除文中特別加。而使用過的材料。均已在文中作了明確的說明并表示了謝意。除了文中特別加以標注引用的內(nèi)容外，本論文。不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫的成果作品。究做出重要貢獻的個人和集體，均已在文中以明確方式標明。全意識到本聲明的法律后果由本人承擔。同意學校保留并向國家有關部門或機構(gòu)送交論文的復印件和電子版，允許論文被查閱和借閱。本人授權大學可以將本學位。印或掃描等復制手段保存和匯編本學位論文。涉密論文按學校規(guī)定處理。全形勢十分嚴峻。網(wǎng)絡協(xié)議安全是網(wǎng)絡安全的重要環(huán)節(jié)，對網(wǎng)絡協(xié)議。的分析、利用越來越受到人們的關注。方便快捷，但其中卻隱藏著很多漏洞。本文首先對ARP協(xié)議進行了。的繼續(xù)學習與研究過程中能夠?qū)⒃摲椒ㄍ晟撇⑼茝V。

　　

【正文】 ARP 病毒攻擊的癥狀及危害 31 局域網(wǎng) 極易遭受 ARP 病毒的攻擊，一旦 局域網(wǎng) 內(nèi)某臺主機感染了ARP 病毒，該主機會不斷向外發(fā)送數(shù)據(jù)包，造成網(wǎng)絡堵塞。 在整個網(wǎng)絡感染病毒的初期，由于網(wǎng)絡中僅有幾臺電腦被 ARP 病 毒侵襲，因此網(wǎng)絡中偶爾出現(xiàn)網(wǎng)速緩慢的現(xiàn)象，但不時會有主機提示 IP 地址沖突，起初這種現(xiàn)象并未引起大家的重視，僅當做一般的IP 地址沖突來處理。一段時間過后，該現(xiàn)象越發(fā)嚴重，大范圍出現(xiàn)提示 IP 地址沖突，并有很頻繁的網(wǎng)絡堵塞和信息發(fā)送不成功的情況。同時，中 ARP 病毒的主機系統(tǒng)運行非常緩慢，主機的本地連接顯示發(fā)送數(shù)據(jù)不斷迅速增大，而接收數(shù)據(jù)卻少之又少。而當 ARP 欺騙停止時，該現(xiàn)象立即消失。 如果 ARP 病毒是對網(wǎng)關進行欺騙，它會偽造本網(wǎng)段內(nèi)一系列 IP 地址以及它們所對應的假的 MAC 地址去刷新網(wǎng)關的 ARP 緩存表，該行為會按照一定的頻率不間斷進行，使真實的地址信息無法保存在網(wǎng)關的 ARP 緩存表中，因此網(wǎng)關所有的數(shù)據(jù)都只能發(fā)送給錯誤的MAC 地址，造成網(wǎng)絡內(nèi)部的主機因無法收到信息而不能上網(wǎng)，該類欺騙不會對網(wǎng)絡用戶造成其他的影響。如果 ARP 病毒是對網(wǎng)絡內(nèi)的主機進行欺騙，它會刷新用戶主機的 ARP 緩存表，欺騙者將其自己偽造成假網(wǎng)關，原本網(wǎng)絡中其他主機發(fā)送和接收的信息都經(jīng)過交換機收發(fā)，現(xiàn)在轉(zhuǎn)由先通過欺騙者的主機然后再通過網(wǎng)關連接到互聯(lián)網(wǎng)。欺騙者可以利用一些嗅探工具或抓包工具，獲得被欺騙主機的保密信息及其他的訪問信 息。因為所有被欺騙者的信息都是通過欺騙轉(zhuǎn)給網(wǎng)關，再由網(wǎng)關連接到外網(wǎng)的，因此網(wǎng)關會理所當然的認為所有信息都是由欺騙者主機發(fā)出的。當網(wǎng)關回應時，它根本不會找被欺騙者主機，而是直接將回應的信息發(fā)送給欺騙者主機，這樣的話被欺騙者與外部的一切通信完全在欺騙者的監(jiān)視下，欺騙者可采用任何手段管理被欺騙者，包括流量的限制等，因此用戶會明顯感覺上網(wǎng)的速度變慢。當該方式的 ARP 欺騙程序停止運行時，用戶可恢復正常的網(wǎng)關通信。該方式 ARP 病毒發(fā)作時，影響的范圍僅限在同網(wǎng)段內(nèi)上網(wǎng)的主機。 32 檢測與分析 正常網(wǎng) 絡數(shù)據(jù)的捕獲與分析 將 IP 地址為 ， MAC 地址為 001696130924 的主機 A， IP地址為 ， MAC地址為 00061BD410A6 的主機 B 作為通信雙方，主機 A 從主機 B 中下載文件使用抓包工具 Iris 進行抓包，得到如圖 的正常情況下 ARP 請求數(shù)據(jù)包和 ARP 應答數(shù)據(jù)包。 圖 正常情況下 ARP 的請求數(shù)據(jù)包和應答數(shù)據(jù)包 根據(jù) ARP 協(xié)議的描述，在正常狀態(tài)下，當兩臺主機要進行通信時，主機 A必須知道 主機 B 的 MAC 地址。源主機 A 首先在自己的 ARP 緩沖表中查找，是否存在目標主機 B 的 MAC 地址，如果在主機 A 的ARP 緩存表中有目的主機 B的 MAC 地址，那么主機 A 便可直接將信息發(fā)送給主機 B；如果主機 A 的 ARP緩存表中沒有主機 B 的 MAC 地址，主機 A 先創(chuàng)建一個 ARP 請求信息，將自己的 MAC 地址001696130924 作為發(fā)送方的 MAC 地址，將自己的 IP 地址 作為發(fā)送方的 IP 地址，將目標主機的 IP 地址 作為接收方 的 IP 地址，因為目標主機的 MAC 地址是需要確定的信息，所以將其標記為 FFFFFFFFFFFF。創(chuàng)建好之后，源主機 A 在它所處的局域網(wǎng)內(nèi)廣播 ARP請求信息。因為此數(shù)據(jù)包是廣播包，局域網(wǎng)內(nèi)每臺主機都會收到該 ARP 廣播包。除主機 B 之外，其他所有主機收到該請求包之后都檢查數(shù)據(jù)包中的目的 IP 地址是否與自己的 IP 地址相同，若不相同則將該信息丟棄。而主機 B 收到該數(shù)據(jù)包后，發(fā)現(xiàn)該數(shù)據(jù)包中的目的 IP 地址與自己的 IP 地址相同，則 33 將主機 A 的 IP 地址與 MAC 地址記錄在自己的 ARP 緩存表中，若主機 B 的 ARP 緩存表中已經(jīng)存有主機 A 的信息，則將其覆蓋，同時創(chuàng)建一個 ARP 應答信息，此時主機 B 的身份已經(jīng)從接收方轉(zhuǎn)換為發(fā)送方，應答信息中包含從 ARP 申請信息中獲得的主機 A 的 MAC 地址和 IP 地址，并將其作為應答包中的目標主機 MAC 地址與 IP 地址，然后將主機 B 自己的 MAC 地址與 IP 地址作為發(fā)送方信息。那么在ARP 應答信息中，源 IP 地址為主機 B 的 IP 地址 ，源MAC 地址為主機 B的 MAC地址 00061BD410A6，目標 IP 地址為主機 A的 IP 地址 ，目標 MAC 地址為主機 A 的 MAC 地址 001696130924。主機 A 接收到主機 B發(fā)送回來的應答數(shù)據(jù)包后，將主機 B 的 IP 地址與 MAC 地址記錄到自己的 ARP緩沖表中，在之后的一段時間內(nèi)，以此信息為依據(jù)與主機 B 進行數(shù)據(jù)傳輸。 ARP 欺騙數(shù)據(jù)包的捕獲與分析 將 IP 地址為 ， MAC 地址為 00CB8C546027 的主機 C 加入到通信環(huán)境中來作為進行 ARP 欺騙的主機。由于 ARP 欺騙的方式有很多種，我們以中 間人攻擊為例。 在正常情況下，局域網(wǎng)內(nèi)的主機上網(wǎng)要通過網(wǎng)關將信息發(fā)送出去。中間人攻擊發(fā)生后，原本通過網(wǎng)關上網(wǎng)的主機轉(zhuǎn)為先通過欺騙者主機，再由欺騙者主機將信息轉(zhuǎn)發(fā)到網(wǎng)關。欺騙者主機可在收到信息后利用一些嗅探工具或抓包工具捕獲被欺騙主機的一系列信息，如明文密碼或訪問信息等。 圖 ARP 欺騙數(shù)據(jù)包 在主機 C 對主機 A 進行 ARP 欺騙的同時，用抓包工具對數(shù)據(jù)進行抓捕，收到如圖 的 ARP 欺騙數(shù)據(jù)。 34 任何 ARP 響應都是合法的， ARP 應答無需認證。由于 ARP 協(xié)議是無狀態(tài)的， ARP 協(xié) 議并未規(guī)定主機在未受到查詢時就不能發(fā)送ARP 應答包，任何主機即使在沒有收到請求的時候也可以做出應答，而且許多系統(tǒng)會接受未請求的 ARP 響應，并用其信息篡改其緩存[11]。欺騙者利用 ARP 協(xié)議的漏洞，欺騙主機 C 在沒收到主機 A 發(fā)送的 ARP 請求信息的情況下，偽造 ARP 應答信息發(fā)送給主機 A，信息中 IP 地址為 (網(wǎng)關 IP 地址 )， MAC 地址為00CB8C546027(主機 C 的 IP 地址 )。主機 A 收到欺騙主機 C 發(fā)給它的 ARP 應答數(shù)據(jù)包后，并不對其真實性進行驗 證，也就無法識別是否是偽造的 ARP 應答數(shù)據(jù)包。另外，協(xié)議中并未規(guī)定必須提出請求之后才會產(chǎn)生響應，因此 ARP 應答數(shù)據(jù)包是必須接 受的。因為欺騙主機 C 不斷發(fā)送偽造的 ARP 應答信息，主機 A 一直刷新本地 ARP 緩存表，致使主機 A 的數(shù)據(jù)包無法直接發(fā)送到網(wǎng)關，而是先發(fā)送給欺騙主機 C，然后由主機 C 進行下一步處理。從圖 中可以看到，源 IP 地址為網(wǎng)關的 IP 地址 ()，源 MAC 地址為欺騙主機 C 的 MAC 地址 (00CB8C546027)，目的 IP 地址為主機 A 的 IP 地址 ()，目的 MAC 地址為主機 A 的 MAC 地址 001696130924。 除這種方式外，還有多種方法可以對 ARP 欺騙進行檢測，如在本地電腦中安裝其他工具軟件，或分析路由器或交換機的 ARP 緩存表等。在檢測分析的過程中， ARP 欺騙體現(xiàn)出如下特點：用戶在上網(wǎng)過程中時斷時續(xù)；網(wǎng)關中會出現(xiàn)一個 MAC 地址對應多個 IP 地址的現(xiàn)象；用戶密碼容易丟失；用戶的網(wǎng)卡處于混雜模式等。 ARP 欺騙的防御 ARP 欺騙的主要原理就是保持對 ARP 緩沖表的刷新。因此 ，防御的重點應該是目標主機拒絕偽造 ARP 應答包，從而保持本機 ARP 緩存表的正確性。對 ARP 欺騙的防御應視 ARP 欺騙種類不同，采取相應的防御方法。 35 針對網(wǎng)關 ARP 欺騙的防御 局域網(wǎng) 用戶很多，但相對集中，一般以建筑物為中心，每個建筑物中存在一至兩個號段的 IP 地址，所以我們按照建筑物將交換機的端口進行 VLAN 劃分，該劃分方法屬于基于 IP 地址的 VLAN 劃分。然后再將幾個 VLAN 接到一個匯聚交換機上，同時在匯聚交換機上做 IP 地址與 MAC 地址的靜態(tài)綁定。因為不同公司生產(chǎn)的交換機品 牌不同，不同品牌的交換機有各自的命令，我們以 Huawei3COM 公司的 Quidway S5516 交換機為 例，為每個主機都添加 IP 地址與 MAC 地址對應關系的靜態(tài)地址表項。在命令提示符窗口中進行的配置命令如下： dhcpsecurity static IP 地址 MAC 地址 DHCP 本身是一種為主機動態(tài)分配 IP 地址的協(xié)議 [12]，我們通過對 DHCP 協(xié)議加載安全功能，使其只為主機分配靜態(tài) IP 地址以及綁定相應的 MAC 地址。 DHCP SECURITY 的綁定功能加載到某個VLAN 中，通過對 DHCP 分配的 IP 地址和相應的 MAC地址一對一綁定，能夠?qū)崿F(xiàn)網(wǎng)關可以靜態(tài)認定主機 IP 與其 MAC地址的對應關系，可通過此方法杜絕攻擊主機對網(wǎng)關進行的 ARP 欺騙。 如果在網(wǎng)絡中存在 ARP 欺騙，若欺騙主機使用的是自己真實的MAC 地址，在 Huawei3COM 公司的 Quidway S3026C 交換機上可以實現(xiàn)對欺騙者主機進行封鎖。因為在華為交換機中，對二層信息進行相應處理的訪問控制列表 (ACL)序號取值范圍為 4000~4999，且對主機的 ARP 協(xié)議具有非常好的訪問控制功能。當出現(xiàn) ARP 攻擊時， 網(wǎng)關上多個主機的 IP 地址會被攻擊主機占用，因此對二層訪問控制列表的控制，可以很好的阻止攻擊主機發(fā)出攻擊包，禁止攻擊主機的ARP 協(xié)議功能，達到杜絕攻擊主機發(fā)出的數(shù)據(jù)包進入網(wǎng)絡的目的。 其命令如下： acl number 4000 rule 12 deny arp ingress 欺騙者主機的 MAC 地址 egress any 36 packetfilter linkgroup 4000 rule 12 通過以上的方法，我們對剛開始出現(xiàn)并不十分頻繁的 ARP 欺騙進行簡單的人工防御。 針對網(wǎng)內(nèi)主機 ARP 欺騙的防御 ARP 欺騙的方法千變?nèi)f化，在 局域網(wǎng) 中經(jīng)常出現(xiàn)的 ARP 欺騙攻擊除了對網(wǎng)關的欺騙外，還有對網(wǎng)內(nèi)主機的欺騙。因此，我們要建立強烈的安全意識，不能僅把網(wǎng)絡安全的信任關系建立在單一的 IP 地址基礎上或單純的 MAC 地址基礎上，最理想的網(wǎng)絡安全信任關系應該建立在 IP 地址與 MAC 地址綜合基礎之上。該防御方法的關鍵是在網(wǎng)絡內(nèi)的每臺主機中建立一個靜態(tài)的 ARP 緩存表，將網(wǎng)關的 IP 地址與 MAC 地址寫入 ARP 緩存表中，該記錄不隨 ARP 緩存表的刷新而 更改。以 Windows 操作系統(tǒng)為例，在進 行此操作前一定要確保自己的主機是安全的，即本機沒有被 ARP 欺騙病毒攻擊過，然后打開命令提示符窗口，輸入命令： arp a，通過該命令可獲得本機所在網(wǎng)絡的網(wǎng)關 MAC 地址。 arp d，通過該命令可以清空本機的 ARP 列表。 arp s 網(wǎng)關的 IP 地址網(wǎng)關的 MAC 地址，該命令將網(wǎng)關的 IP 地址與 MAC地址綁定，并寫入本機的 ARP 緩存表中。 當 局域 內(nèi)出現(xiàn)較多 ARP 欺騙的情況時，我們采用該方法進行防御，并將其做成批處理文件放入開始菜單的啟動文件夾中，以便開機即可運行，從而對 ARP欺騙進行防御。 ARP 欺騙防御方法的改進 由于 ARP 病毒感染范圍的不斷擴大，僅使用人工維護進行 ARP 欺騙的防御已經(jīng)非常吃力。若使用上述方法，由于 局域網(wǎng) 用戶計算機水平參差不齊，而且并不是每一位 局域網(wǎng) 用戶都會執(zhí)行上述方法，即開機后自行綁定網(wǎng)關 IP 地址與 MAC 地址。因此為了防止 ARP 病毒進步一擴大對 局域網(wǎng) 的危害，我們對人工防御的方法進行了適當?shù)母? 37 進。 用戶上網(wǎng)前須進行 IP 地址申請，然后將自己主機的 MAC 地址上報到系統(tǒng)，系統(tǒng)自動將用戶通過申請得到的 IP 地址與上報的 MAC 地址形成一個地址對，將其存放 在一個表項中。系統(tǒng)每 5 分鐘自動搜索是否在表項中存在新分配下去的 IP 地址，若存在新分配下去的 IP 地址，則根據(jù)新分配的 IP 地址，在表中讀取出相應新上報的 MAC 地址，形成新的地址對進行綁定，由系統(tǒng)使用如下命令進行批處理： dhcpsecurity static IP 地址 MAC 地址 通過該方法不僅節(jié)省了大量的人力，而且方便快捷，能夠及時且快速的綁定新加入到 局域網(wǎng) 的客戶端主機，為 局域網(wǎng) 提供了安全潔凈的環(huán)境。 本章小結(jié) 本章根據(jù) 局域網(wǎng) 中出現(xiàn) ARP 病毒的情況，由淺入深，由簡到繁的針對 ARP病 毒發(fā)作的不同階段進行相應的處理。其中將 ARP 欺騙按照針對網(wǎng)關與針對客戶端主機制定了兩種防御方案。同時，為防止ARP 病毒進一步大規(guī)模爆發(fā)，采取系統(tǒng)自動批量綁定 IP 地址與 MAC 地址的方法進行 ARP 病毒防御。 總結(jié) 本文通過對 ARP 協(xié)議的學習，以以太網(wǎng)的信息安全和管理作為切入點，圍繞 ARP 欺騙攻擊防御相關技術進行了深入研究。 論