【導(dǎo)讀】取得的成果，所有數(shù)據(jù)、圖片資料均真實可靠。除文中已經(jīng)注明引用的。對本論文的研究作出重要貢獻(xiàn)的個人和集體，均已在文中以明確的。本畢業(yè)論文的知識產(chǎn)權(quán)歸屬于培養(yǎng)單位。本人完全意識到本。聲明的法律結(jié)果由本人承擔(dān)。發(fā)布不良信息、監(jiān)聽傳輸數(shù)據(jù)等非法活動的目的。然而，隨著大量缺乏管理且流動性較大的網(wǎng)吧以及其他公共上網(wǎng)環(huán)境的。互結(jié)合的攻擊方式。這種ARP攻擊之所以能在各類公共上網(wǎng)設(shè)施內(nèi)迅速蔓延是。而使新一代以ARP欺騙為基礎(chǔ)的網(wǎng)頁掛碼或重定向攻擊得以滋生。存在在的漏洞，本文將從技術(shù)層面入手，分析解決該類問題。

　　

【正文】 atic String routerip=/。//網(wǎng)關(guān) IP. static String broadcast=00:00:00:00:00:00。 public static void arp()throws { 省略。 if(().toString().equals(router) ||().toString().equals(router) 6 中間人攻擊 （ Maninthemiddle attack，通?？s寫為 MITM ）是指攻擊者與通訊的兩端分別建立獨立的聯(lián)系，并交換其所收到的數(shù)據(jù)，使通訊的兩端認(rèn)為他們正在通過一個私密的連接與對方直接對話，但事實上整個會話都被攻擊者完全控制。在中間人攻擊中，攻擊者可以攔截通訊雙方的通話并插入新的內(nèi)容。 7 閥值 ： 指一個效應(yīng)能夠產(chǎn)生的最低值或最高值。 21 ||().toString().equals(routerip) ||().toString().equals(routerip)){ if(().toString().equals(routerip)){ if(!(().toString().equals(router) ||().toString().equals(broadcast))){ (Packte: ABOUT ROUTER +())。 (發(fā)現(xiàn)病毒 :在主機(jī) + ().toString())。 (發(fā)現(xiàn)病毒 :+())。} 省略 } MAC 地址管理 MAC 地址管理 [16] 現(xiàn)階段很多 網(wǎng)絡(luò)加固方案中都采用了交換機(jī) IP和 MAC綁定方案。在 Cisco(思科 )中有以下一般有兩種方案可供選擇，在具體的交換機(jī)端口上綁定特定的主機(jī)的 MAC地址，或是在端口上綁定 MAC地址擴(kuò)展訪問列表。 （ 1）基于端口的 MAC地址綁定。登錄進(jìn)入交換機(jī)，進(jìn)入配置模式，進(jìn)入具體端口配置模式，配置端口安全模式。然后使用 Switch(configif )switchport portsecurity macaddress MAC來綁定的主機(jī)的 MAC地址 （ 2）基于 MAC地址的擴(kuò)展訪問列表。登錄進(jìn)入交換機(jī)，在 ACCESS LIST（訪問列表） 中定義一個 MAC地址訪問列表，然后使這個訪問列表能夠訪問任何主機(jī)。 （ 3）另外，思科 Dynamic ARP Inspection (DAI)在交換機(jī)上提供 IP地址和 MAC地址的綁定，并動態(tài)建立綁定關(guān)系。 DAI以 DHCP Snooping綁定表為基礎(chǔ)，對于沒有使用 DHCP的服務(wù)器個別機(jī)器可以采用靜態(tài)添加 ARP accesslist實現(xiàn)。 DAI配置針對VLAN，對于同一 VLAN內(nèi)的接口可以開啟 DAI也可以關(guān)閉。通過 DAI可以控制某個端口的 ARP請求報文數(shù)量。 不論是以上第一種、第二種或 是 CISCO（思科） 交換機(jī)的 MAC地址管理方式在龐大的網(wǎng)絡(luò)中都不適用。這是因為：首先大型網(wǎng)絡(luò)中的交換機(jī)部署是星型分散的，每個交換機(jī)分別鏈接有一群計算機(jī)，而不是所有計算機(jī)連接在同一個交換機(jī)上，所以不 22 可能實現(xiàn)真正的中央管理。其次，將一張龐大的 ARP表或者 ACCESS LIST（訪問列表）表放置在交換機(jī)的內(nèi)存中將嚴(yán)重影響網(wǎng)絡(luò)速度，而交換機(jī)也不是數(shù)據(jù)庫，無法對此表做有效管理。綜合以上兩點，在此提出一種新的 MAC地址集中管理方式， “ MAC地址掃描管理 ” 。 MAC 中央管理 [18] MAC地址中央管理系 統(tǒng)需要具備兩個要素：第一，能夠取得網(wǎng)內(nèi)任何一臺機(jī)器的 MAC地址。第二，可以管理一張龐大 ARP映射表。出于這兩點考慮， MAC地址掃描管理的設(shè)計思想是在網(wǎng)絡(luò)上建立一臺 MAC地址中央管理服務(wù)器，其上維護(hù)了一張全網(wǎng)段的 ARP映射表。然后此機(jī)器上安裝 MAC地址掃描程序，可以定時掃描網(wǎng)內(nèi)各個用戶端網(wǎng)卡 MAC地址，系統(tǒng)將 MAC地址與自己保存的 ARP表相互對應(yīng)通過 MAC地址與 IP地址對應(yīng)關(guān)系的分析后就能有效的找出非法 MAC地址的地點。 圖 47 MAC地址掃描管理 如圖 47所示，其中 MAC管理服務(wù)器 C維護(hù)有一張全網(wǎng) ARP表，他知道網(wǎng)內(nèi)每臺機(jī)器 MAC與 IP地址的對應(yīng)關(guān)系。并且 C能夠定時掃描獲得網(wǎng)內(nèi)各個機(jī)器的 MAC地址。C掃描 A、 B兩臺機(jī)器的 MAC，與自己的 ARP表相比較，發(fā)現(xiàn) A機(jī)器的信息與 ARP表不符，即能發(fā)現(xiàn)Ａ為網(wǎng)絡(luò)系統(tǒng)內(nèi)攻擊源。 這種基于地址掃描的 MAC中央管理系統(tǒng)具有兩個優(yōu)點。第一，在系統(tǒng)上可以高效的管理上萬條信息的大型 ARP表。第二，能探測到各個 VLan中的 MAC地址信息 。 23 第五章 總結(jié)和展望 工作總結(jié) 隨著 ARP欺騙類攻擊的 越來越多 ，公眾上網(wǎng)設(shè)施由于其終端眾多、網(wǎng)絡(luò)廣播域大、安全防護(hù)網(wǎng)關(guān)缺乏、 用戶層次面廣的特征，極易被 攻擊者 利用，他們使用 ARP攻擊發(fā)布不良信息、監(jiān)聽盜取用戶帳號、在公眾服務(wù)網(wǎng)頁掛載惡意代碼等，已經(jīng)影響到區(qū)域內(nèi)公眾上網(wǎng)安全。 通過對 ARP攻擊原理的剖析，可以總結(jié)出 ARP攻擊的根源在于 ARP協(xié)議自身缺陷。拒絕服務(wù)攻擊、偵聽、病毒掛載、 Windows系統(tǒng)攻擊、交換機(jī)攻擊等多種混合類攻擊的實現(xiàn)原理都是基于 ARP廣播包信任缺陷。可以使用 Socket編程實現(xiàn)基于 ARP欺騙的各類攻擊手段。 傳統(tǒng)上使用 MAC地址與 IP地址的綁定是最簡單有效的 ARP攻擊防御方法。然而，雖然這種設(shè)置在單機(jī)上非常容易 實現(xiàn)，但是，在大型公眾上網(wǎng)環(huán)境中使用靜態(tài) IP地址和 MAC地址的綁定會帶來巨大的管理負(fù)荷。 本文 通過對 ARP協(xié)議 、 ARP攻擊原理、 ARP攻擊分類的 研究， 利用計算機(jī)測試 ARP攻擊和防御，驗證了 使用 MAC地址與 IP地址的綁定是最簡單有效的 ARP攻擊防御方法 。但是針對其不足之處進(jìn)行了改進(jìn)，提出了 針對正在營業(yè)性網(wǎng)吧 、 非營業(yè)性社區(qū) 、大型 公眾 網(wǎng)絡(luò)的特點設(shè)計公眾上網(wǎng)環(huán)境內(nèi)整體 ARP攻擊防護(hù)方案 。 文中提出的 ARP攻擊防范策略主要從 四個 方面同時入手：計算機(jī)系統(tǒng)安全加固、 ARP殺毒軟件、 ARP攻擊 探測 、 MAC地址 管理 來綜合應(yīng)對 ARP攻擊。 研究展望 由于時間、實驗條件和技術(shù)能力等問題，本人在真機(jī)測試實驗過程中仍存在很多不足的地方，需要在今后更加深入的學(xué)習(xí)，加以研究和完善。 實驗驗證手段單一。僅僅驗證了使用 MAC 地址與 IP 地址的綁定是最簡單有效的 ARP 攻擊防御方法。 計算機(jī)系統(tǒng)安全加固、 ARP 殺毒軟件、 ARP 攻擊探測、 MAC 地址管理這些大型網(wǎng)絡(luò)環(huán)境的綜合性手段沒有能夠驗證其實際效果，因此缺乏足夠的說服力。 由于本人缺乏大型網(wǎng)絡(luò)管理經(jīng)驗，對 ARP 攻擊探測、 MAC 地址管理的探測不夠深入，有待學(xué)習(xí)和加強(qiáng)。 需要探測出更多直接、有 效、簡單的防御方法。 24 參考文獻(xiàn) [1] 楊曄 ， 計算機(jī)專業(yè)畢業(yè)設(shè)計指導(dǎo) ， 大連理工大學(xué) 出版社 ， 2020 [2] 劉遠(yuǎn)生，辛 一，計算機(jī)網(wǎng)絡(luò)安全，清華大學(xué)出版社， 2020 [3] 謝希仁 ， 計算機(jī)網(wǎng)絡(luò) ， 電子工業(yè)出版社 ， 2020 [4] 張德慶， Inter 網(wǎng)絡(luò)安全管理研究， 2020 [5] 國家計算機(jī)病毒應(yīng)急處理中心，第十四次全國信息網(wǎng)絡(luò)安全狀況暨計算機(jī)和移動終端病毒疫情調(diào)查活動， 2020 [6] 卡飯教程， 網(wǎng)絡(luò)管理之 ARP協(xié)議篇 ,2020 [7] 協(xié)議分析網(wǎng)， ARP協(xié)議詳解， 2020 [8] 王威，鄧捷 ，呂瑩，網(wǎng)絡(luò)安全與局域網(wǎng)安全解決方案， 2020 [9] 陳新建，校園網(wǎng)的安全現(xiàn)狀和改進(jìn)對策， 2020 [10] 陸余良 ， 張永等 ， ARP協(xié)議在局域網(wǎng)類型探測中的應(yīng)用 ， 計算機(jī)工程 ， 2020 [11] 劉欽創(chuàng)，高校校園網(wǎng)的安全現(xiàn)狀與對策， 2020 [12] 百度文庫， ARP協(xié)議深入解析實例 偽造 ARP ， 2020 [13] 論文網(wǎng)，局域網(wǎng)內(nèi) ARP攻擊原理及檢測防御方法， 2020 [14] 杭州 H3C有限公司， ARP攻擊防范技術(shù)白皮書， 2020 [15] 任俠，呂述望， ARP協(xié)議欺騙原理分析與抵御方法，計算機(jī)工 程 , 127128 ， 2020 [16] 硅谷動力， Cisco交換機(jī) I p 、 Mac地址綁定， 2020 [17] 楊衛(wèi)平，譚敏，防范 ARP病毒攻擊， 人民郵電出版社 ， 2020 [18] 王奇 ， 以太網(wǎng)中 ARP欺騙原理與解決辦法 ， 2020 [19] 劉衛(wèi)華 ， 管會生 ， 韓海強(qiáng) ， ARP改進(jìn)與實現(xiàn) ， 2020 [20] 吳高凱，胡文華，局域網(wǎng) ARP攻擊、防范與追蹤，中國鐵道出版社， 2020 25 致 謝 在這里，首先 要感謝我的 指導(dǎo)老師田海博。 在 撰寫論文期間田老師 給了我極大的幫助與關(guān)懷。 特別是給了各方 面的論文題目供本人選擇，指明了論文的研究方向。并且在每個時間節(jié)點上都制定了目標(biāo)和任務(wù)，讓本人在書寫論文的時候能夠有條不紊的進(jìn)行。在第一階段寫完論文后，及時的指出了論文中存在的許多不足之處，讓本人有時間去修改。雖然我與田老師素未謀面，但從郵件中能感受到田老師 治學(xué)嚴(yán)謹(jǐn)，學(xué)識廣博，平易近人。該 論文 能順利完成，離不開 田老師 的關(guān)心與指導(dǎo)，在此向 田老師 表示衷心的感謝。 其次要 感謝我的 愛人， 在我的 工作 和生活中都給了我極大的 支持，才讓我有充裕的時間來完成論文寫作 。