【正文】 因此，基于欺騙檢測引擎是否收到 所發(fā)送的 SYN 報文的 TCP 應答報文，可以判斷所收到的 ARP應答報文的可靠性。如果 ARP應答是來自真實主機，它的 IP棧將應答一個 TCP RST報文（如果目的端口是關閉的）或者一個 TCP SYN/ACK 報文（如果目的端口是打開的）。 TCP SYN首部的剩余字段將按照常規(guī) 進行 設置。 TCP 目的端口的選擇主要看網(wǎng)絡主機有無包過濾防火墻。我們將用到可靠性將被驗證的主機所發(fā)送的ARP 應答報文中的地址信息。 我們的技術在被修改過的協(xié)議棧下執(zhí)行的情況我們將在 節(jié)進行評估。 正確 MAC – 錯誤 IP 的數(shù)據(jù)包：目的 MAC地址和 IP地址對主機的，并且協(xié)議棧接收它。 正確 MAC – 錯誤 IP 的數(shù)據(jù)包：目的主機的 MAC地址是主機的但是 IP地址是無效的，并且與任何一臺主機的 IP 地址都不匹配。如果主機 收到一個數(shù)據(jù)包，其遠程 MAC地址 = X并且 IP地址 = Z，那么，即使該主機的網(wǎng)卡會因為目的 MAC 地址匹配而接收該數(shù)據(jù)包，主機的協(xié)議 棧也會因為遠程目的 IP 地址不匹配而悄悄地將數(shù)據(jù)包丟棄，而并不會 向 源主機發(fā)回任何的錯誤信息。 ” 值得注意的是，當主機收到數(shù)據(jù)包時 主機的 協(xié)議棧 必須是公開 ，這些規(guī)則都是源于主機 正確的行為 。 ” 規(guī)則 B：“ 攻擊者可以假裝他人偽造 ARP 報文，但是他不能阻止真實主機應答發(fā)給它的 ARP 請求（或者任何其他的數(shù)據(jù)包）。若果收到的數(shù)據(jù)包是 TCP 報 文，它將會被交給TCP 層。 它將會把這些數(shù)據(jù)包傳遞給 IP 層。 欺騙檢測引擎會以稍微不同的方式對待 節(jié)討論的三種不同的 ARP 循環(huán)數(shù)據(jù)包 以檢測欺騙企圖。 接下來將詳細討論欺騙檢測引擎。在應用檢測算法后，欺騙檢測引擎會將這條 ARP 條目發(fā)送到添加到數(shù)據(jù) 庫模塊或者欺騙警告模塊。該引擎會在內(nèi)部將這些數(shù)據(jù)包分為 節(jié)中討論的三組數(shù)據(jù)包，即完整的 ARP 循環(huán)，請求和應答半循環(huán)數(shù)據(jù)包。 欺騙檢測引擎應用我們的檢測算法來檢測 ARP欺騙。如果 ARP 流量與已經(jīng)學習過的地址有矛盾，則 發(fā)往欺騙警告模塊。之所以這么做是因為先前我們已經(jīng)討論過，封頭不一致 的 ARP 數(shù)據(jù)包一定是偽造的數(shù)據(jù)包。 該模塊將把封頭一致的 ARP 數(shù)據(jù)包條目送往已知流量顧慮模塊。 欺騙警告模塊：在檢測到 ARP 欺騙時，該模塊會通過向管理員發(fā)送郵件、 SMS等方法來提出警告。 該模塊的設計將在 。 欺騙檢測引擎模塊：這是主檢測引擎。如果數(shù)據(jù)包中的 IP到 MAC 的映射與已經(jīng)學習到的主機數(shù)據(jù)庫中的映射一致，該數(shù)據(jù)包將被丟棄，如果不一致，將發(fā)出一個警告。 MAC – ARP 頭部異常檢測模塊：該模塊將 ARP 流量分為兩類， 封頭 一致的ARP數(shù)據(jù)包和 封頭 不一致的數(shù)據(jù)包。 體系結(jié)構(gòu) 對照圖 1來論體系結(jié)構(gòu) 。 這三類數(shù)據(jù)包構(gòu)成了 ARP 欺騙檢測機制的 基本輸入內(nèi)容 。 ：在閥值區(qū)間內(nèi) ARP請求沒有得到應答。 沈陽航空航天大學畢業(yè)設計（論文）外文翻譯 —— 譯文 5 注意，封頭不一致的 ARP 數(shù)據(jù)包一定是偽造的數(shù)據(jù)包 ，因為這種異常的數(shù)據(jù)包只可能出現(xiàn)在攻擊流量中。 ARP 數(shù)據(jù) 包： MAC 幀頭和 ARP 頭部的 MAC 地址不一致，例如 MAC 幀頭中的源 MAC 地址 != ARP 頭部中的源 MAC 地址（在 ARP 請求 /應答中）或者 MAC 幀頭中的目的 MAC 地址 != ARP 頭部中的目的地址（僅 ARP 應答中）。 ARP 數(shù)據(jù)包由 MAC 幀頭和 ARP 頭部組成。在任何使用我們的技術開發(fā)的工具上都能配置閥值區(qū)間。過了這段時間我們將認為 ARP 請求已經(jīng) “過期 ”。 專業(yè)術語 現(xiàn)在，我們 介紹下文 中將用到的專業(yè)術語。這是一個合理的假設，因為即使是防火墻也安裝了一些基于局域網(wǎng)的服務，例如 NETBIOS 等都允許通過防火墻進行局域網(wǎng)通信。 ，但至少應該有一個 TCP 端口能通過防火墻。如果攻擊者用的是自定義的協(xié)議棧，我們的技術依然能檢測到 ARP 欺騙，但卻無法再預測正確的地址映射了。 假設 。 2 為 ARP欺騙提出的主動檢測技術 沈陽航空航天大學畢業(yè)設計（論文）外文翻譯 —— 譯文 4 我們提出的技術將主動與網(wǎng)絡交互來判斷 ARP 欺騙攻擊。這是一種更快的，智能的，可擴展的并且更可靠的攻擊檢測方式。我們的技術運用一種主動的方式來檢測 ARP欺騙。因此，每秒鐘產(chǎn)生一次攜帶有任意 AMC和 IP地址的隨機 ARP應答包，使一個交換機的 ARP 緩存溢出，這一行為產(chǎn)生的后果是一臺新主機被發(fā)現(xiàn)，而不是 被報告為攻擊行為。 被動學習的技術也很不可靠。就算 ARP 欺騙被檢測到了，也沒有辦法確定新看到的地址映射是否具有欺騙企圖，亦或先前學到的根本就是偽造的地址映射。緩慢的學習過程使得在一個大型的網(wǎng)絡環(huán)境中（ 1000 臺主機以上）安裝被動式工具，并期望他們能立刻識別出 攻擊變得不可能。這兩種方案都是不合理的，因為他們不具有可擴展性和機動性。上述情況中學到的偽造的條目也只能由網(wǎng)絡管理員手動撤銷。這樣一來，只有在受害主機開始與其他主機通信時才能檢測到?jīng)_突并發(fā)出警告。 被動方式主要的缺點是學習地址映射和隨后的攻擊檢測之間的時滯。 如果在后來的 ARP 流量中發(fā)現(xiàn)了有任何地址映射將要被改變，那我們就發(fā)出警告說有人正在進行 ARP 欺騙。因此我們可以說，學習錯誤的地址映射將導致這些工具無法檢測到 ARP欺騙。如果攻擊者讓偽造的 ARP 先于真實主機的 ARP 進入受害主機的 緩存，那真實的 MAC 地址將被禁止。 沈陽航空航天大學畢業(yè)設計（論文）外文翻譯 —— 譯文 3 以上兩種技術都依賴于緩存中的 ARP 條目是合法的這一事實。 Antidote在收到 MAC地址與先前緩存中不同的 ARP應答時，會去檢查先前學習的 MAC是否存活著。 當緩存中已經(jīng)存在一 個 MAC地址， Anticap將不允許攜帶不同 MAC地址的 ARP應答更新主機的 ARP 緩存。而且，在有的操作系統(tǒng)中如果收到無故 ARP數(shù)據(jù)包（ GARP），將會覆蓋靜態(tài)的 ARP條目。 靜態(tài) MAC條目 給每臺主機都加入其他所有主機的靜態(tài) MAC 地址能夠阻止欺騙，但是這根本不具可擴展性，管理所有的這些條目是主機自己的工作。這并不具有可擴展性，因為操作系統(tǒng)協(xié)議棧的更新是買賣雙方都不愿意的事。 安全 ARP協(xié)議（ SARP） 它是作為 ARP 協(xié)議的替代品而在《 SARP: a Secure Address Resolution Protocol》中被提出的。接下來的小節(jié)會簡單討論當前的入侵檢測和緩解技術。偽造的應答的周期遠小于受害主機上操作系統(tǒng)的 ARP 緩存條目的過期時間。 ARP 欺騙就是偽裝其他主機向網(wǎng)絡發(fā)送 ARP 數(shù)據(jù)包的過程。所有的主機都是盲目的保存收到的 ARP 應答，因為他們?nèi)狈Πl(fā)送者身份進行認證的機制。主機將 會接收發(fā)給它的所有 ARP應答，即使它并沒有發(fā)送 ARP請求。靜態(tài)的條目從來都不會過期。動態(tài)條目將會在一個固定的時間后過期，這個固定的時間在不同的操作統(tǒng)中有所不同。某些情況下，某個主機可能會廣播一個包含自己 MAC 地址的特殊的無故 ARP 包到網(wǎng)絡上。我們是通過發(fā)送一個 ARP 請求包（廣播方式）到網(wǎng) 絡上來做到這一點的。在實際的攻擊事件中，它還能額外地把真實的 MAC 到 IP地址的映射檢測到相當精確的程度 1 引言 對局域網(wǎng)通信來說， ARP 是最基礎、最高效的協(xié)議之一。我們發(fā)送 ARP請求和 TCP SYN 包到網(wǎng)絡上去探測沖突。這有時會導致在攻擊被檢測到的時候，攻 擊者早已完成了攻擊。當前檢測 ARP欺騙的方法是被動地監(jiān)視 ARP流量并且查找以太網(wǎng)地址到 IP 地址映射中的沖突。 外文翻譯原文及譯文 學 院 計算機學院 專 業(yè) 計算機科學與技術 班 級 84010101 學 號 2022040101023 姓 名 王冉 指導教師 高利軍 負責教師 高利軍 沈陽航空 航天大學 2022年 6月 沈陽航空航天大學畢業(yè)設計（論文）外文翻譯 —— 原文 1 Detecting ARP Spoofing: An Active Technique Vivek Ramachandran and Sukumar Nandi Cisco Systems, Inc., Bangalore India Indian Institute of Technology, Guwahati, Assam, India Abstract. The Address Resolution Protocol (ARP) due to its statelessness and lack of an authentication mechanism for verifying the identity of the sender has a long history of being prone to spoofing attacks. ARP spoofing is sometimes the starting point for more sophisticated LAN attacks like denial of service, man in the middle and session hijacking. The current methods of detection use a passive approach, monitoring the ARP traffic and looking for inconsistencies in the Ether to IP address mapping. The main drawback of the passive approach is the time lag between learning and detecting spoofing. This sometimes leads to the attack being discovered long after it has been orchestrated. In this paper, we present an active technique to detect ARP spoofing. We inject ARP request and TCP SYN packets into the work to probe for inconsistencies. This technique is faster, intelligent, scalable and more reliable in detecting attacks than the passive methods. It can also additionally detect the real mapping of MAC to IP addresses to a fair degree of accuracy in the event of an actual attack. 1. Introduction The ARP protocol is one of the most basic but essential protocols for LAN munication. The ARP protocol is used to resolve the MAC address of a host given its IP address. This is done by sending an ARP request