【正文】 基于內(nèi)核的補丁，例如 Anticap和 Antidot，嘗試在內(nèi)核級來阻止 ARP欺騙。 當緩存中已經(jīng)存在一 個 MAC地址， Anticap將不允許攜帶不同 MAC地址的 ARP應(yīng)答更新主機的 ARP 緩存。這違反了 ARP 協(xié)議說明，也不幸地造成了主機丟棄合法的無故 ARP應(yīng)答。 Antidote在收到 MAC地址與先前緩存中不同的 ARP應(yīng)答時，會去檢查先前學(xué)習(xí)的 MAC是否存活著。如果先前學(xué)習(xí)的 MAC還存活著那更新操作將被拒絕，并且新收到的 MAC地址將被加入到被禁止的地址列表中。 沈陽航空航天大學(xué)畢業(yè)設(shè)計（論文）外文翻譯 —— 譯文 3 以上兩種技術(shù)都依賴于緩存中的 ARP 條目是合法的這一事實。這就造成了攻擊者與受害者之間的速度競賽。如果攻擊者讓偽造的 ARP 先于真實主機的 ARP 進入受害主機的 緩存，那真實的 MAC 地址將被禁止。只有管理員介入才能將它撤銷。因此我們可以說，學(xué)習(xí)錯誤的地址映射將導(dǎo)致這些工具無法檢測到 ARP欺騙。 被動檢測 在被動的檢測中，我們監(jiān)聽網(wǎng)絡(luò)中的 ARP請求 /應(yīng)答，構(gòu)造一個 AMC地址到 IP地址映射的數(shù)據(jù)庫。 如果在后來的 ARP 流量中發(fā)現(xiàn)了有任何地址映射將要被改變，那我們就發(fā)出警告說有人正在進行 ARP 欺騙。這類工具中 最流行的是ARPWATCH。 被動方式主要的缺點是學(xué)習(xí)地址映射和隨后的攻擊檢測之間的時滯。在 ARP 欺騙先于檢測工具第一次啟動的情況下，檢測工具將會學(xué)習(xí)到偽造 的 IP 到 MAC 地址的映射。這樣一來，只有在受害主機開始與其他主機通信時才能檢測到?jīng)_突并發(fā)出警告。攻擊者可能在這段延遲時間里全身而退。上述情況中學(xué)到的偽造的條目也只能由網(wǎng)絡(luò)管理員手動撤銷。唯一的解決辦法就是在檢測工具啟動之前人工配置正確的地址映射到數(shù)據(jù)庫中或者創(chuàng)建一個無攻擊的學(xué)習(xí)流量。這兩種方案都是不合理的，因為他們不具有可擴展性和機動性。一個典型的例子就是移動主機（例如，客戶或者參觀者帶到公司的筆記本電腦）。緩慢的學(xué)習(xí)過程使得在一個大型的網(wǎng)絡(luò)環(huán)境中（ 1000 臺主機以上）安裝被動式工具，并期望他們能立刻識別出 攻擊變得不可能。 被動技術(shù)手段沒有任何智能，他們盲目地查找與他們學(xué)習(xí)到的數(shù)據(jù)庫表中不匹配的 ARP 流量。就算 ARP 欺騙被檢測到了，也沒有辦法確定新看到的地址映射是否具有欺騙企圖，亦或先前學(xué)到的根本就是偽造的地址映射。在真實的攻擊中，我們的技術(shù)能把真實的 MAC地址到 IP地址映射檢測到相當精確的程度。 被動學(xué)習(xí)的技術(shù)也很不可靠。當 ARP 流量被檢測到時，新的地址映射就被學(xué)習(xí)了。因此，每秒鐘產(chǎn)生一次攜帶有任意 AMC和 IP地址的隨機 ARP應(yīng)答包，使一個交換機的 ARP 緩存溢出，這一行為產(chǎn)生的后果是一臺新主機被發(fā)現(xiàn)，而不是 被報告為攻擊行為。為了克服早期技術(shù)中的問題，我們提出了一種新的 ARP 檢測技術(shù)。我們的技術(shù)運用一種主動的方式來檢測 ARP欺騙。我們發(fā)出 ARP請求和 TCP SYN包去偵查我們在網(wǎng)絡(luò)中所發(fā)現(xiàn)的 ARP 流量的可靠性。這是一種更快的，智能的，可擴展的并且更可靠的攻擊檢測方式。在實際的攻擊事件中，它還能額外地把真實的MAC地址到 IP地址映射檢測到相當精確的程度。 2 為 ARP欺騙提出的主動檢測技術(shù) 沈陽航空航天大學(xué)畢業(yè)設(shè)計（論文）外文翻譯 —— 譯文 4 我們提出的技術(shù)將主動與網(wǎng)絡(luò)交互來判斷 ARP 欺騙攻擊。因此，我們對要保護的網(wǎng)絡(luò)環(huán)境做出了以下假設(shè)。 假設(shè) 。這一假設(shè)說明在攻擊中 “準備使用 ”ARP欺騙工具總是大多數(shù)攻擊者最普遍的選擇。如果攻擊者用的是自定義的協(xié)議棧，我們的技術(shù)依然能檢測到 ARP 欺騙，但卻無法再預(yù)測正確的地址映射了。我們將在第。 ，但至少應(yīng)該有一個 TCP 端口能通過防火墻。它能保證我們的探測報（ TCP SYN 報文）能通過防火墻。這是一個合理的假設(shè)，因為即使是防火墻也安裝了一些基于局域網(wǎng)的服務(wù)，例如 NETBIOS 等都允許通過防火墻進行局域網(wǎng)通信。 TCP/IP協(xié)議棧被啟動和運行。 專業(yè)術(shù)語 現(xiàn)在，我們 介紹下文 中將用到的專業(yè)術(shù)語。 ：對一個 ARP請求的 ARP應(yīng)答必須在一個額定的時間區(qū)間被接收。過了這段時間我們將認為 ARP 請求已經(jīng) “過期 ”。我們把這一區(qū)間叫做 “閥值區(qū)間 ”。在任何使用我們的技術(shù)開發(fā)的工具上都能配置閥值區(qū)間。 ：這是使用我們的技術(shù)在網(wǎng)絡(luò)上學(xué)習(xí)到并驗證過的所有合法的 IP到 MAC地址的映射。 ARP 數(shù)據(jù)包由 MAC 幀頭和 ARP 頭部組成。根據(jù) MAC 幀頭中的源 MAC 地址和目的 MAC地址的值，以及 ARP頭部顯示的源 MAC地址和目的 MAC地址的值，我們可以將 ARP數(shù)據(jù)包分為兩類。 ARP 數(shù)據(jù) 包： MAC 幀頭和 ARP 頭部的 MAC 地址不一致，例如 MAC 幀頭中的源 MAC 地址 != ARP 頭部中的源 MAC 地址（在 ARP 請求 /應(yīng)答中）或者 MAC 幀頭中的目的 MAC 地址 != ARP 頭部中的目的地址（僅 ARP 應(yīng)答中）。 ARP 數(shù)據(jù) 包：與封頭不一致的 ARP 包相反這種數(shù)據(jù)包中，MAC幀頭和 ARP頭部中的 MAC地址是匹配的。 沈陽航空航天大學(xué)畢業(yè)設(shè)計（論文）外文翻譯 —— 譯文 5 注意，封頭不一致的 ARP 數(shù)據(jù)包一定是偽造的數(shù)據(jù)包 ，因為這種異常的數(shù)據(jù)包只可能出現(xiàn)在攻擊流量中?；谝陨系姆诸悾覀兛梢栽賹⒎忸^一致的 ARP 數(shù)據(jù)包劃分為三組： ARP 循環(huán)：在閥值區(qū)間出現(xiàn)的 ARP 請求和與之相應(yīng)的一個 ARP 應(yīng)答。 ：在閥值區(qū)間內(nèi) ARP請求沒有得到應(yīng)答。 ：出現(xiàn) ARP應(yīng)答但沒有對應(yīng)的 ARP請求。 這三類數(shù)據(jù)包構(gòu)成了 ARP 欺騙檢測機制的 基本輸入內(nèi)容 。接下來的小節(jié)將詳細討論該技術(shù)的體系結(jié)構(gòu)。 體系結(jié)構(gòu) 對照圖 1來論體系結(jié)構(gòu) 。 我們 用模塊化的方法將欺騙檢測分為以下幾個模塊： ARP嗅探模塊：該模塊能嗅探網(wǎng) 絡(luò)上所有的 ARP流量。 MAC – ARP 頭部異常檢測模塊：該模塊將 ARP 流量分為兩類， 封頭 一致的ARP數(shù)據(jù)包和 封頭 不一致的數(shù)據(jù)包。 已知流量過濾 器 模塊：該模塊過濾所有已經(jīng)學(xué)習(xí)過的流量。如果數(shù)據(jù)包中的 IP到 MAC 的映射與已經(jīng)學(xué)習(xí)到的主機數(shù)據(jù)庫中的映射一致，該數(shù)據(jù)包將被丟棄，如果不一致，將發(fā)出一個警告。所有含有未知地址的新 ARP 數(shù)據(jù)包都將被送到欺騙檢測引擎進行驗證。 欺騙檢測引擎模塊：這是主檢測引擎。我們輸入封頭一致的 ARP 數(shù)據(jù)包作為它的輸入。 該模塊的設(shè)計將在 。 添加到數(shù)據(jù)庫 模塊：被欺騙檢測 引擎驗證過的合法 ARP 條目將被本模塊加入到主機數(shù)據(jù)庫中。 欺騙警告模塊：在檢測到 ARP 欺騙時，該模塊會通過向管理員發(fā)送郵件、 SMS等方法來提出警告。 網(wǎng) 絡(luò) 上 的 A R P 流 量 A R P 嗅 探 模 塊M A C – A R P 封 頭 異常 檢 測 器已 知 流 量 過 濾 器 欺 騙 檢 測 引 擎欺 騙 警 告 主 機 數(shù) 據(jù) 庫 添 加 到 數(shù) 據(jù) 庫 模 塊 圖 1 ARP欺騙檢測算法各模塊的內(nèi)部關(guān)系 沈陽航空航天大學(xué)畢業(yè)設(shè)計（論文）外文翻譯 —— 譯文 6 如圖 1 所示， ARP 嗅探模塊將嗅探 本局域網(wǎng)段的所有 ARP 流量并將它傳遞給MAC – ARP 首部異常檢測器。 該模塊將把封頭一致的 ARP 數(shù)據(jù)包條目送往已知流量顧慮模塊。封頭不一致的 ARP 數(shù)據(jù)包條目將被送往欺騙警告模塊。之所以這么做是因為先前我們已經(jīng)討論過，封頭不一致 的 ARP 數(shù)據(jù)包一定是偽造的數(shù)據(jù)包。通過查詢主機數(shù)據(jù)庫，已知流量過濾模塊會去掉與已經(jīng)學(xué)習(xí)過的地址一致的所有流量。如果 ARP 流量與已經(jīng)學(xué)習(xí)過的地址有矛盾，則 發(fā)往欺騙警告模塊。所有新學(xué)到的ARP流量都會送往欺騙檢測引擎。 欺騙檢測引擎應(yīng)用我們的檢測算法來檢測 ARP欺騙。新看到的封頭一致的 ARP數(shù)據(jù)包是這一模塊的輸入。該引擎會在內(nèi)部將這些數(shù)據(jù)包分為 節(jié)中討論的三組數(shù)據(jù)包，即完整的 ARP 循環(huán)，請求和應(yīng)答半循環(huán)數(shù)據(jù)包。 該引擎應(yīng)用的算法將在 節(jié)討論。在應(yīng)用檢測算法后，欺騙檢測引擎會將這條 ARP 條目發(fā)送到添加到數(shù)據(jù) 庫模塊或者欺騙警告模塊。添加到數(shù)據(jù)庫模塊會將那些驗證過的 MAC 到 IP 地址的映射添加到主機數(shù)據(jù)庫中。 接下來將詳細討論欺騙檢測引擎。 欺騙檢測引擎 欺騙檢測引擎是整個系統(tǒng)的核心。 欺騙檢測引擎會以稍微不同的方式對待 節(jié)討論的三種不同的 ARP 循環(huán)數(shù)據(jù)包 以檢測欺騙企圖。欺騙檢測引擎將按照如下幾條規(guī)則工作： 規(guī)則 A：“網(wǎng)卡將會接收發(fā)給 自己 MAC 地址、廣播地址和多播地址的數(shù)據(jù)包。 它將會把這些數(shù)據(jù)包傳遞給 IP 層。 IP 層只接收 IP 數(shù)據(jù)包地址是本機 IP 地址的數(shù)據(jù)包，悄悄丟棄其他的數(shù)據(jù)包。若果收到的數(shù)據(jù)包是 TCP 報 文，它將會被交給TCP 層。當收到 TCP SYN 報文時，若目的 端口是打開的，那么主機將會回應(yīng)一個TCP SYN/ACK報文，若目的 端口是關(guān)閉的，主機將會回應(yīng)一個 TCP RST報文。 ” 規(guī)則 B：“ 攻擊者可以假裝他人偽造 ARP 報文，但是他不能阻止真實主機應(yīng)答發(fā)給它的 ARP 請求（或者任何其他的數(shù)據(jù)包）。這一假設(shè)有效的前提是真實主機已經(jīng)在網(wǎng)絡(luò)上打開了。 ” 值得注意的是，當主機收到數(shù)據(jù)包時 主機的 協(xié)議棧 必須是公開 ，這些規(guī)則都是源于主機 正確的行為 。以規(guī)則 A 為例，有一臺主機 MAC 地址 = X 并且 IP 地址 = Y。如果主機 收到一個數(shù)據(jù)包，其遠程 MAC地址 = X并且 IP地址 = Z，那么，即使該主機的網(wǎng)卡會因為目的 MAC 地址匹配而接收該數(shù)據(jù)包，主機的協(xié)議 棧也會因為遠程目的 IP 地址不匹配而悄悄地將數(shù)據(jù)包丟棄，而并不會 向 源主機發(fā)回任何的錯誤信息。 沈陽航空航天大學(xué)畢業(yè)設(shè)計（論文）外文翻譯 —— 譯文 7 基于規(guī)則 A， 從主機的協(xié)議棧的觀點來看， 我們可以想象到兩種 用于 ARP欺騙檢測的偵探包。 正確 MAC – 錯誤 IP 的數(shù)據(jù)包：目的主機的 MAC地址是主機的但是 IP地址是無效的，并且與任何一臺主機的 IP 地址都不匹配。目的主機將會悄悄的把這個數(shù)據(jù)包丟棄。 正確 MAC – 錯誤 IP 的數(shù)據(jù)包：目的 MAC地址和 IP地址對主機的，并且協(xié)議棧接收它。 我們將因此假設(shè)攻擊者將用沒有被修改過的協(xié)議棧。 我們的技術(shù)在被修改過的協(xié)議棧下執(zhí)行的情況我們將在 節(jié)進行評估?；谝陨嫌^點，我們將基于規(guī)則 A來構(gòu)造數(shù)據(jù)包，并將其發(fā)送到網(wǎng)絡(luò)上。我們將用到可靠性將被驗證的主機所發(fā)送的ARP 應(yīng)答報文中的地址信息。我們將用 ARP 應(yīng)答報文中的 MAC 到 IP 地址來構(gòu)造TCP SYN報文，例如， TCP SYN報文中的目的 MAC和 IP就是 ARP應(yīng)答報文中宣稱的 源 MAC和 IP 地址，而源 TCP SYN報文中的源 MAC和 IP 就是運行欺騙檢測引擎的主 機的地址。 TCP 目的端口的選擇主要看網(wǎng)絡(luò)主機有無包過濾防火墻。如果主機安裝了防火墻，我們要選擇“被允許的 TCP 端口”（如 節(jié)所述），如果沒有防火墻那我們可以選擇任意的 TCP端口。 TCP SYN首部的剩余字段將按照常規(guī) 進行 設(shè)置。 當 上面所構(gòu)造的 數(shù)據(jù)包 將被發(fā)送到 ARP 應(yīng)答報文的源地址時，主機的應(yīng)答將按照規(guī)則 A來做。如果 ARP應(yīng)答是來自真實主機，它的 IP棧將應(yīng)答一個 TCP RST報文（如果目的端口是關(guān)閉的）或者一個 TCP SYN/ACK 報文（如果目的端口是打開的）。 如果 ARP 應(yīng)答是來自惡意的主機，那它的協(xié)議 棧將會按照規(guī)則 A 悄悄地丟棄TCP SYN 報文。因此，基于欺騙檢測引擎是否收到 所發(fā)送的 SYN 報文的 TCP 應(yīng)答報文，可以判斷所收到的 ARP應(yīng)答報文的可靠性。