【正文】 下圖給出了一種得到正確 27 網(wǎng)關(guān) MAC 地址的輔助措施。比對方法：可 以通過查看 ARP 緩存里面的數(shù)據(jù)得到實時的網(wǎng)關(guān)的 IP 地址和網(wǎng)關(guān)的 MAC 地址，確定正確的地址與實時的進行比對，從而得到答案。 24 攻 擊 主 機監(jiān) 測 主 機路 由 器交 換 機存 有 正 確 網(wǎng) 關(guān) M A C 的 主 機同 一 局 域 網(wǎng) 其 他 主 機 圖 設(shè)計模型中存有正確網(wǎng)關(guān) MAC地址的主機是監(jiān)測主機中配置文件中配置 MAC地址中的核心，得到正確網(wǎng)關(guān) MAC地址是本系統(tǒng)的核心。攻擊主機作用產(chǎn)生 ARP 欺騙攻擊（主要是指網(wǎng)關(guān)欺騙），監(jiān)測主機主要作用就是監(jiān)測攻擊主機偽造的 MAC 地址。 2．能夠滿足專業(yè)用戶操作的需求。 首先，我們必須實現(xiàn)可視化，對于大多數(shù)使用者來說，不是專業(yè)的操作人員，而且由于系統(tǒng)涉及到網(wǎng)絡(luò)安全的問題，可能給他人造成損害，所以我們需要對其進行 相應(yīng)的 23 設(shè)計區(qū)別。維護網(wǎng)絡(luò)安全（特別是局域網(wǎng)），一項重要技術(shù)就是網(wǎng)絡(luò)的實時監(jiān)控。為此，我先對 ARP 底層協(xié)議進行了詳細的理解，又仔細閱讀和分析有關(guān)的材料，解決了目標系統(tǒng)的一些限制和約束，同時也確定了該系統(tǒng)是可行的。 22 （ 2） 經(jīng)濟可行性 這個系統(tǒng)的經(jīng)濟可行性，花費成本主要就是 PC 機開發(fā)程序，基本上沒有其他費用，成本比較廉價。因此，對研究課題可行性研究實質(zhì)上是要進行一次壓縮簡化了的系統(tǒng)分析和設(shè)計的過程。面對復(fù)雜多變的局域網(wǎng)環(huán)境，我們需要考慮系統(tǒng)實現(xiàn)的可行性。注意，在通信完成后必須關(guān)閉套接字，以免一起內(nèi)存不足或者不 可讀的錯誤。 。下圖展示了通過 socket實現(xiàn)客戶機和服務(wù)器之間進行通信的結(jié)構(gòu)模型。那么只要在一個局域網(wǎng)內(nèi)用一臺服務(wù)器來保存網(wǎng)關(guān)的 MAC 地址，在進行通信之前，客戶端先與服務(wù)器進行連接，把正確的 Mac地址傳給客戶端，然后客戶端與網(wǎng)關(guān)進行正常的通信。 nsize。 unsigned long size = ntohl(~mask)。這里采用了一種比較巧妙的方法就是通過全網(wǎng)段掃描的方法，通過 IP 和 NETMASK(子網(wǎng)掩碼 )進行與運算實現(xiàn)得到接收方的 IP地址，從而實現(xiàn)全網(wǎng)的欺騙。當(dāng)計算機接收到 ARP應(yīng)答數(shù)據(jù)包的時候，就會對本地的 ARP 緩存進行更新，將應(yīng)答中的 IP 和 MAC 地址存儲在 ARP 緩存中。 ARP 掃描（ ARP 請求風(fēng)暴）通訊模式（可能）： 請求 請求 請求 請求 請求 請求 應(yīng)答 請求 請求 請求 ... 描述： 網(wǎng)絡(luò)中出現(xiàn)大量 ARP 請求廣播包，幾乎都是對網(wǎng)段內(nèi)的所有主機進行掃描?，F(xiàn)在存在多臺主機連接在路由器上，這里只是說明網(wǎng)關(guān)欺騙技術(shù)的基本原理。 MAC地址和 IP 地址按照對應(yīng)關(guān)系填寫， 具體格式如 表 所示 。 bbbbbbbbbbbb dynamic 這 里假設(shè) （ MAC 為 bbbbbbbbbbbb） 這樣 的 ARP緩存中就會多了一條關(guān)于我們 的地址映射。 表 ARP 請求包中的 DLC 幀頭 12 字段 長度（ Byte） 填充值 接收方 MAC 6 Ffffffffffff 發(fā)送發(fā) MAC 6 Aaaaaaaaaaaa Ethertype 2 0x0806 接下來是 請求包 的 ARP幀， 由前面的填充包中，知道針對交換式以太網(wǎng) [12]，很多字字段是默認的數(shù)據(jù)如硬件類型等。操作碼就是請求和應(yīng)答，其他 MAC地址和 IP 地址根據(jù)發(fā)送接收的關(guān)系來填寫。 //以太網(wǎng)源地址 unsigned short eh_type。另需填充是發(fā)送方的 MAC地址。 包的格式 一個 ARP包是分為兩個部分的，前面一個是物理幀頭或 EtherHeader，后面一個才是 ARP 幀或 ArpFrame[10]。 IPMAC 地址對也就是電腦里存儲的關(guān)于 IP 地址與 MAC 地 址的對應(yīng)關(guān)系， dynamic 表示是臨時存儲在 ARP緩存中的條目，過一段時間就會超時被刪除 (具體時間不同操作系統(tǒng)不同 )。同時，主機 A也將主機 B的 IP地址 /MAC 地址對保存在自己的 ARP 緩存內(nèi) 也就是后面對應(yīng)的 ARP緩沖表 。主機 A 會先檢查其 ARP 緩存內(nèi)是否有主機 B 的 MAC 地址。當(dāng) ARP 找到了目的主機 MAC 地址后，就可以形成待發(fā)送幀的完整以太網(wǎng)幀頭。 ARP 幀共有 42 位，加上 18 位填充位以及 4位 CRC，組成 64 位物理幀。應(yīng)用層數(shù)據(jù)通過協(xié)議棧發(fā)到網(wǎng)絡(luò)上時，每層協(xié)議都要加上一個數(shù)據(jù)首部（ header），稱為封 6 裝（ Encapsulation） [7]。例如在本課題中要求知道正確的網(wǎng)關(guān) MAC 地址，可以通過在局域網(wǎng)中設(shè)置一臺主機為存儲正確網(wǎng)關(guān) MAC 地址的主機，運行軟件時只需監(jiān)測主機向該主機申請網(wǎng)關(guān) MAC地址。 TCP/IP 網(wǎng)絡(luò)協(xié)議棧分為應(yīng)用層（ Application）、傳輸層（ Transport）、網(wǎng)絡(luò)層（ Network）和鏈路層（ Link）四層。 TCP/IP 協(xié)議是一個四層協(xié)議，協(xié)議的每層對上一層是透明的，例如說，應(yīng)用層只負責(zé)應(yīng)用程序之間的通信規(guī)則，完全不必理會數(shù)據(jù)是怎樣在網(wǎng)絡(luò)中傳輸，也不必理會怎樣 5 接入網(wǎng)絡(luò)。 TCP/IP 協(xié)議設(shè)計的基本原則：每一個獨立的網(wǎng)絡(luò)必須按自己 的 標準建立起來，當(dāng)這個網(wǎng)絡(luò)和互聯(lián)網(wǎng)連接時，不需要對其內(nèi)部做任何改動。系統(tǒng)主要是根據(jù)網(wǎng)絡(luò)安全應(yīng)用的具體實行情況而設(shè)計的，涉及到底層 ARP 地址解析協(xié)議的相關(guān)知識，需要 windows平臺上的 winpcap 類來完成底層操作，其主要需要完成以下三部分功能：監(jiān)控 ARP 網(wǎng)關(guān) 3 欺騙功能，保護本機到網(wǎng)關(guān)之間通信功能及修復(fù)這個網(wǎng)絡(luò)的功能。 因為 ARP 協(xié)議設(shè)計的不完善致使攻擊的普遍存在。通過得到的網(wǎng)絡(luò)內(nèi)部傳輸?shù)臄?shù)據(jù)來判斷網(wǎng)絡(luò)的安全 。它是無狀態(tài)態(tài)的協(xié)議，不會檢查自己是否發(fā)過請求包，也不管 (其實也不知道 )是否是合法的應(yīng)答，只要收到目標 MAC 是自己的 ARP 應(yīng)答包 或 ARP 廣播包 (包括 ARP request 和 ARP reply)，都會接受并緩存 ， 這就為 ARP 欺騙提供了可能。因此 研究內(nèi)部網(wǎng)絡(luò)用戶的監(jiān)控技術(shù)變得極為迫切，對用于監(jiān)聽、查看用戶行為的需求不斷增加。因為 隨著網(wǎng)絡(luò)建設(shè)步伐的加快和網(wǎng)絡(luò)應(yīng)用的日益廣泛，網(wǎng)絡(luò)用戶的數(shù)量 也在不斷 增多。其次 ,分析了 ARP 欺騙原理 ，ARP欺騙就是通過向目標主機發(fā)送一個偽造的 包含 IPMAC映射信息的 ARP應(yīng)答報文 實現(xiàn)的。 需 對網(wǎng)絡(luò)協(xié)議 進一步 分析 ，才能夠更加有效的安全的應(yīng)用網(wǎng)絡(luò)協(xié)議 。 ARP 協(xié)議是 TCP/IP 協(xié)議中重要的一員 ,其功能主要是為局域網(wǎng)內(nèi)網(wǎng)絡(luò)設(shè)備提供 IP 地址向硬件地址 （ MAC 地址） 的轉(zhuǎn)化 ,其設(shè)計建立在局域網(wǎng)內(nèi)網(wǎng)絡(luò)設(shè)備之間相互信任的基礎(chǔ)上 ,對于不可信任的設(shè)備未加考慮， 由此產(chǎn)生了許多 ARP欺騙攻擊方法。最后 ,根據(jù) Windows 系統(tǒng)在更新 ARP 緩存中 IP地址和 MAC 地址映射信息時不檢驗更新內(nèi)容可靠性的 特點 ,提出了一種基于服務(wù)器客戶端的 ARP欺騙防御模型 ,以達 到 局域網(wǎng)中實現(xiàn)各主機防御 ARP 欺騙的目的?；ヂ?lián)網(wǎng)（ Inter） 已經(jīng)成為人們 成為人們生活的一部分 。 在目前 存在的 種類繁多的受攻擊狀況 中，其中一種就是 ARP 欺騙攻擊。惡意節(jié)點 構(gòu)造并 發(fā)布虛假的 ARP報文從而影響網(wǎng)內(nèi)結(jié)點的通信，甚至可以做 “ 中間人 “ [3]，截獲用戶的數(shù)據(jù) 。 近幾年來，許多 人 投入到這一領(lǐng)域 上來 ，在網(wǎng)絡(luò)監(jiān)控軟件上取得了一些成績。在監(jiān)控軟件中， ARP 攻擊的欺騙監(jiān)控防御最為普遍。另外需要把握一個核心就是得到正確的網(wǎng)關(guān) MAC地址，通過該系統(tǒng)的設(shè)計深刻理解 ARP 協(xié)議同時運用各種技術(shù)來彌補 ARP協(xié)議的缺陷。網(wǎng)絡(luò)應(yīng)該在最佳狀態(tài)下完成通信。而對于網(wǎng)絡(luò)接口層來說，它完全不需要知道正在 傳送的是什么數(shù)據(jù)。圖 所示 [6]?；緦崿F(xiàn)方法就是建立一應(yīng)用程序，一層一層的添加頭部信息，發(fā)送到監(jiān)測主機，然后監(jiān)測主機在進行解析，得到用戶數(shù)據(jù)（正確的網(wǎng)關(guān) MAC 地址）。 用 戶 數(shù) 據(jù)用 戶 數(shù) 據(jù)A P P L 首 部應(yīng) 用 數(shù) 據(jù)T C P 首 部T C P段應(yīng) 用 數(shù) 據(jù)T C P 首 部I P 首 部I P數(shù)據(jù)包應(yīng) 用 數(shù) 據(jù)T C P 首 部I P 首 部以 太 網(wǎng) 頭 部以太網(wǎng)幀應(yīng) 用 程 序T C PI P以 太 網(wǎng) 驅(qū)動 程 序 圖 ARP 工作原理 協(xié)議 ARP 協(xié)議 是常用的 TCP/IP 底層協(xié)議 。格式如圖 [8]所示。最后，協(xié)議棧將 IP 包封裝到以太網(wǎng)幀中進行傳送。如果沒有，主機 A會發(fā)送一個 ARP 請求廣播包，此包內(nèi)包含著其欲與之通信的主機的 IP地址，也就是主機 B的 IP地址。 8 H o s t AI P 地 址 9 0 . 0 . 1 1 6 . 1 3 0M A C 地 址 1 1 1 1 1 1 1 1 1 1 1 1H o s t BI P 地 址 9 0 . 0 . 1 1 6 . 1 3 1M A C 地 址 2 2 2 2 2 2 2 2