【導(dǎo)讀】莈蝕螁芀莈袃肇膆莇薂袀肂莆蚅肅莁蒞螇?mèng)缕P莄衿肅膃蒃蕿袆聿蒂蟻肂羅蒂襖裊莃蒁薃膀艿蒀蚆羃膅葿螈膈肁蒈袀羈莀蕆薀螄芆薆螞罿膂薆螅螂肈薅蒄羈肄薄蚆螁莂薃蝿肆羋薂袁衿膄薁薁肄肀薀蚃袇荿蝕螅肅芅蠆袈裊膁蚈薇肁膇芄螀羄肅芄袂腿莂芃薂芇節(jié)蚄膇膃芁螆羀聿莀衿螃莈荿薈罿芄莈蝕螁芀莈袃肇膆莇薂袀肂莆蚅肅莁蒞螇?mèng)缕P莄衿肅膃蒃蕿袆聿蒂蟻肂羅蒂襖裊莃蒁薃膀艿蒀蚆羃膅葿螈膈肁蒈袀羈莀蕆薀螄芆薆螞罿膂薆螅螂肈薅蒄羈肄薄蚆螁莂薃蝿肆羋薂袁衿膄薁薁肄肀薀蚃袇荿蝕螅肅芅蠆袈裊膁蚈薇肁膇芄螀羄肅芄袂腿莂芃薂芇節(jié)蚄膇膃芁螆羀聿莀衿螃莈荿薈罿芄莈蝕螁芀莈袃肇膆莇薂袀肂莆蚅肅莁蒞螇?mèng)缕P莄

　　

【正文】 擊存在的條件下，不知道正確的網(wǎng)關(guān) MAC 地址為多少，那么就需要通過(guò)在服務(wù)器保存的正確的網(wǎng)關(guān) MAC 地址傳給客戶(hù)端來(lái)保障網(wǎng)關(guān) MAC 地址正確。，這就涉及到應(yīng)用程序的通信問(wèn)題。下圖展示了通過(guò) socket實(shí)現(xiàn)客戶(hù)機(jī)和服務(wù)器之間進(jìn)行通信的結(jié)構(gòu)模型。為了實(shí)現(xiàn)局域網(wǎng)內(nèi)部，與多臺(tái)主機(jī)進(jìn)行通信，服務(wù)器采用一監(jiān)聽(tīng)套接字來(lái)實(shí)現(xiàn)端口的監(jiān)聽(tīng)，然后再通過(guò)通訊套接字，客戶(hù)端創(chuàng)建連接套接字兩個(gè)進(jìn)行連接，再進(jìn)行數(shù)據(jù)傳輸。最后，在通信完成后關(guān)閉套接字。 通信系統(tǒng)模型 20 客戶(hù)端與服務(wù)器之間的通信連接如圖 錯(cuò)誤 !未找到引用源。 。 服 務(wù) 器 客 戶(hù) 端S o c k e t （ ）S o c k e t （ ）L i s t e n （ ）C o n n e c t （ ）a c c e p t （ ）R e a d （ ）W r i t e （ ）R e a d （ ）W r i t e （ ）建立連接請(qǐng)求服務(wù)服 務(wù) 響 應(yīng)關(guān) 閉 S o c k e tB i n d （ ） 圖 服務(wù)器端及客戶(hù)端設(shè)計(jì) 應(yīng)用程序之間進(jìn)行通信時(shí)，在客戶(hù)端和服務(wù)器運(yùn)行不同的應(yīng)用程序，通過(guò)應(yīng)用程序傳輸正確網(wǎng)關(guān) MAC。在編寫(xiě)相應(yīng)程序時(shí)，只需按照上流程圖，一步一步編寫(xiě)相關(guān)程序。把服務(wù)器 Socket套接字的監(jiān)聽(tīng)的端口和客戶(hù)端 Socket套接字的連接端口，設(shè)置成一致，為通信提供通道。注意，在通信完成后必須關(guān)閉套接字，以免一起內(nèi)存不足或者不 可讀的錯(cuò)誤。 21 第五章 系統(tǒng)分析設(shè)計(jì) 系統(tǒng)的分析是 非常 重要的，是設(shè)計(jì)產(chǎn)品的一個(gè)很重要的基礎(chǔ) ，是進(jìn)行軟件程序開(kāi)發(fā)前必不可缺少的理論依據(jù)之一 。 要從多個(gè)方面進(jìn)行分析，其中可行性最為重要。 系統(tǒng)分析 系統(tǒng)的可行性 在需要設(shè)計(jì)的 ARP 欺騙監(jiān)控系統(tǒng)的設(shè)計(jì)是基于現(xiàn)在廣泛存在的 ARP 欺騙攻擊提出的。面對(duì)復(fù)雜多變的局域網(wǎng)環(huán)境，我們需要考慮系統(tǒng)實(shí)現(xiàn)的可行性。進(jìn)行可行性判斷的目的就是用最小的代價(jià)在盡可能短的時(shí)間內(nèi)確定問(wèn)題是否能夠解決。必須要注意的是，可行性研究的目的不是解決問(wèn)題，而是確定問(wèn)題是否值得去解。 所以就要分析幾種主要的可能解法的利弊，從而判斷原定的系統(tǒng)目標(biāo)和規(guī)模是否可以實(shí)現(xiàn)。因此，對(duì)研究課題可行性研究實(shí)質(zhì)上是要進(jìn)行一次壓縮簡(jiǎn)化了的系統(tǒng)分析和設(shè)計(jì)的過(guò)程。 對(duì)每種辦法都應(yīng)該仔細(xì)研究它的可行性，一般說(shuō)來(lái)，至少應(yīng)該從下述二方面研究每種方法的可行性： （ 1）技術(shù)可行性 使用現(xiàn)有的技術(shù)基本可以實(shí)現(xiàn)這個(gè)系統(tǒng)，系統(tǒng)要求可視化，我們可以聯(lián)想到很多可視化的設(shè)計(jì)開(kāi)發(fā)工具（如 VC， VB 等）。對(duì)于底層的接口，因?yàn)槲覀兪褂玫?windows 系統(tǒng)，所以我們可以通過(guò) winpcap 來(lái)實(shí)現(xiàn)底層的一些操作。所以技術(shù)上比較可行。 22 （ 2） 經(jīng)濟(jì)可行性 這個(gè)系統(tǒng)的經(jīng)濟(jì)可行性，花費(fèi)成本主要就是 PC 機(jī)開(kāi)發(fā)程序，基本上沒(méi)有其他費(fèi)用，成本比較廉價(jià)。另外，系統(tǒng)開(kāi)發(fā)完成之后可以投入實(shí)際的局域網(wǎng)監(jiān)控，比較實(shí)用。 當(dāng)然，可行性研究最根本的任務(wù)是對(duì)以后的工作方針提出建議要求。應(yīng)該尋找一個(gè)較好的解決方案，并且為工程制定一個(gè)初步的規(guī)劃。為此，我先對(duì) ARP 底層協(xié)議進(jìn)行了詳細(xì)的理解，又仔細(xì)閱讀和分析有關(guān)的材料，解決了目標(biāo)系統(tǒng)的一些限制和約束，同時(shí)也確定了該系統(tǒng)是可行的。對(duì)于該系統(tǒng)確定了基本的實(shí)現(xiàn)思想，比對(duì) ARP 緩沖表里實(shí)時(shí)更新的數(shù)據(jù)跟服務(wù)器中保存的正確的 MAC地址， 得到攻擊欺騙是否存在。以三個(gè)模板為系統(tǒng)開(kāi)發(fā)方向來(lái)實(shí)現(xiàn)可視化功能，輸入數(shù)據(jù)（需要的各種地址如 IP 地址和 MAC 地址等）、 處理數(shù)據(jù)（主要是抓包分析）、顯示處理數(shù)據(jù)得到的結(jié)果，每個(gè)模塊都具有可行性，從這為以后的工作奠定了方向基礎(chǔ)，有效的縮短了開(kāi)發(fā)系統(tǒng)的周期。 系統(tǒng)目標(biāo)及功能分析 隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)安全的問(wèn)題也日趨嚴(yán)重。維護(hù)網(wǎng)絡(luò)安全（特別是局域網(wǎng)），一項(xiàng)重要技術(shù)就是網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)控。通過(guò)對(duì)網(wǎng)絡(luò)上的所有數(shù)據(jù)進(jìn)行捕獲并對(duì)其進(jìn)行檢查分析，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問(wèn)題，做出精確的問(wèn)題判斷。通過(guò)界面圖形和各類(lèi)數(shù)據(jù)進(jìn)行輸入輸出內(nèi)容顯示，使用戶(hù)可以監(jiān)測(cè)整個(gè)局域網(wǎng)網(wǎng)絡(luò)的運(yùn)行和使用狀態(tài)。 該系統(tǒng)完成的是 ARP 欺騙監(jiān)控是個(gè)軟件系統(tǒng)，任何一個(gè)軟件系統(tǒng)本質(zhì)上都是信息流系統(tǒng)，系統(tǒng)必須處理的信息流和系統(tǒng)應(yīng)該產(chǎn)生的信息流，信息流的控制很大程度上決定了系統(tǒng)的好壞，對(duì)軟件設(shè)計(jì)有深遠(yuǎn)影響，因此，在對(duì)系統(tǒng)的功能分析過(guò)程中，應(yīng)該劃出系統(tǒng)必須完成的所有功能，分析各種數(shù)據(jù)的流向，從而做出模塊化的程序。 首先，我們必須實(shí)現(xiàn)可視化，對(duì)于大多數(shù)使用者來(lái)說(shuō)，不是專(zhuān)業(yè)的操作人員，而且由于系統(tǒng)涉及到網(wǎng)絡(luò)安全的問(wèn)題，可能給他人造成損害，所以我們需要對(duì)其進(jìn)行 相應(yīng)的 23 設(shè)計(jì)區(qū)別。 1．能夠滿(mǎn)足普通用戶(hù)操作的基本需求。 主要就是基本功能，實(shí)現(xiàn)監(jiān)控局域網(wǎng)內(nèi)的 ARP欺騙，該用戶(hù)不需要設(shè)置相關(guān)的配置文件。只需要選擇主機(jī)的網(wǎng)關(guān)，對(duì)于無(wú)線(xiàn)，我們可以選擇無(wú)線(xiàn)網(wǎng)關(guān)即可，然后系統(tǒng)進(jìn)行自動(dòng)的監(jiān)測(cè)。 2．能夠滿(mǎn)足專(zhuān)業(yè)用戶(hù)操作的需求。 為了修復(fù)網(wǎng)絡(luò)，我們需要相關(guān)的配置信息，所以這方面的功能設(shè)置為專(zhuān)業(yè)人員的功能操作，修復(fù)網(wǎng)絡(luò)采用欺騙攻擊的原來(lái)實(shí)現(xiàn)的，可能給攻擊主機(jī)帶來(lái)一段時(shí)間的“掉線(xiàn)”現(xiàn)象，所以需專(zhuān)業(yè)人員進(jìn)行，操作不當(dāng)可能會(huì)造成局域網(wǎng)癱瘓。 系統(tǒng)模型 本系統(tǒng)設(shè)計(jì) 模型 如圖 所 示框圖所示 [14]。 基本要求局域網(wǎng)環(huán)境，四臺(tái)主機(jī)連接在交換機(jī)上，通過(guò)路由器連接到 Inter 上。攻擊主機(jī)作用產(chǎn)生 ARP 欺騙攻擊（主要是指網(wǎng)關(guān)欺騙），監(jiān)測(cè)主機(jī)主要作用就是監(jiān)測(cè)攻擊主機(jī)偽造的 MAC 地址。由于通常偽造被攻擊主機(jī) MAC地址的目的是為了捕獲被攻擊主機(jī)的數(shù)據(jù)包，所以通常偽造為攻擊主機(jī)的MAC地址，可以通過(guò)監(jiān)測(cè)功能追蹤到其 MAC 地址，進(jìn)行反攻擊修復(fù)網(wǎng)絡(luò)。存有正確網(wǎng)關(guān)MAC地址的主機(jī)則是充當(dāng)了網(wǎng)絡(luò)管理員的角色，對(duì)局域 網(wǎng)的網(wǎng)關(guān) MAC 地址進(jìn)行配置。其他主機(jī)則為肉機(jī)，充當(dāng)被攻擊主機(jī)。 24 攻 擊 主 機(jī)監(jiān) 測(cè) 主 機(jī)路 由 器交 換 機(jī)存 有 正 確 網(wǎng) 關(guān) M A C 的 主 機(jī)同 一 局 域 網(wǎng) 其 他 主 機(jī) 圖 設(shè)計(jì)模型中存有正確網(wǎng)關(guān) MAC地址的主機(jī)是監(jiān)測(cè)主機(jī)中配置文件中配置 MAC地址中的核心，得到正確網(wǎng)關(guān) MAC地址是本系統(tǒng)的核心。 系統(tǒng)設(shè)計(jì) 設(shè)計(jì)思想及系統(tǒng)結(jié)構(gòu)圖 ARP 欺騙監(jiān)控系統(tǒng)是通過(guò)將網(wǎng)卡打開(kāi)相應(yīng)的網(wǎng)卡，從局域網(wǎng)中上接收一切向它發(fā)送的 ARP 請(qǐng)求包，然后解析數(shù)據(jù)包報(bào)文頭中各字段的意義，從而分析數(shù)據(jù)幀以及所使用的協(xié)議的類(lèi)型，得到發(fā)送包中的 發(fā)送 MAC 地址與 ARP 緩沖表里的 MAC 地址進(jìn)行比對(duì)從而監(jiān)測(cè)攻擊是否存在，顯示監(jiān)測(cè)結(jié)果。 下圖中顯示了本系統(tǒng)中應(yīng)用的基本的數(shù)據(jù)信息：子網(wǎng)掩碼，本地 IP，本地 MAC 地址，網(wǎng)關(guān) MAC 地址，網(wǎng)關(guān) IP，偽造 MAC 地址，然后通過(guò)模塊化的控制方案來(lái)實(shí)現(xiàn)每項(xiàng)功能。 25 特 殊 方 法 得 到子 網(wǎng) 掩 碼本 地 I P 地 址本 地 M A C 地 址偽 造 網(wǎng) 關(guān) M A C 地 址網(wǎng) 關(guān) I P 地 址網(wǎng) 關(guān) M A C 地 址輸 入模 塊局 域 網(wǎng) A R P 欺 騙 監(jiān) 控 系 統(tǒng)顯 示模 塊基 本功 能模 塊監(jiān) 測(cè) 模 塊 修 復(fù) 模 塊 保 護(hù) 模 塊 圖 模塊數(shù)據(jù)流結(jié)構(gòu)圖 通過(guò)輸入信息，我們可以得到正確的網(wǎng)關(guān) IP，網(wǎng)關(guān) MAC 地址，相應(yīng)的進(jìn)行 IP比對(duì)和 MAC 地址比對(duì)，即可得到是否存在欺騙。比對(duì)方法：可 以通過(guò)查看 ARP 緩存里面的數(shù)據(jù)得到實(shí)時(shí)的網(wǎng)關(guān)的 IP 地址和網(wǎng)關(guān)的 MAC 地址，確定正確的地址與實(shí)時(shí)的進(jìn)行比對(duì)，從而得到答案。 26 正 確 網(wǎng) 關(guān) I P 地 址假 網(wǎng) 關(guān) I P 地 址正 確 網(wǎng) 關(guān) M A C 地 址假 網(wǎng) 關(guān) M A C 地 址I P 欺 騙 ？M A C 欺 騙 ？IP比對(duì)MAC比對(duì)IP比對(duì)相 等相 等不 相 等攻 擊 存 在圖 保護(hù)本機(jī)通信也就是綁定本地到網(wǎng)關(guān)之間的通信，從而防止 ARP欺騙攻擊的入侵，使得主機(jī)和網(wǎng)關(guān)之間進(jìn)行可靠的通信，圖 。 綁 定 通 信網(wǎng) 關(guān) I P得 到 正 確 的 網(wǎng) 關(guān) M A C 地 址本 地 I P 圖 得到正確的網(wǎng)關(guān) MAC 地址是保障通信的先決條件。得到正 確 MAC地址方法采用 C/S模型，在局域網(wǎng)內(nèi)設(shè)置一臺(tái)服務(wù)器來(lái)存放正確的網(wǎng)關(guān) MAC 地址，通過(guò)建立應(yīng)用程序之間建立通信協(xié)議，在服務(wù)器和客戶(hù)端之間傳輸正確的 MAC 地址。下圖給出了一種得到正確 27 網(wǎng)關(guān) MAC 地址的輔助措施。通過(guò)不斷發(fā)送響應(yīng)包，比對(duì) MAC 地址兩者一樣就是正確的 MAC地址，反之，則為錯(cuò)誤的 MAC 地址。 輸 入 網(wǎng) 關(guān) I P連 續(xù) 發(fā) 送 構(gòu) 造 請(qǐng) 求 包 路 由 器發(fā) 送 響 應(yīng) 包顯 示 正 確 的 M A C 地 址連 續(xù) 極 短 時(shí) 間 圖 MAC數(shù)據(jù)信息流結(jié)構(gòu)圖 當(dāng)攻擊存在時(shí)，為了修復(fù)網(wǎng)絡(luò)采用反攻擊手段，監(jiān)控主機(jī)構(gòu)造含有偽造 MAC 地址的數(shù)據(jù)包發(fā)送給