【正文】 正常用戶的轉(zhuǎn)發(fā)。 ARP 高速緩存空間，造成主機(jī)無(wú)法創(chuàng)建緩存表項(xiàng)，無(wú)法正常通信，這種攻擊特征作者將其命名為 ARP 溢出攻擊。 這種攻擊方式的主要攻擊特征包含： 不斷發(fā)送偽造的 ARP 廣播數(shù)據(jù)報(bào)使得交換機(jī)拼于處理廣播數(shù)據(jù)報(bào)耗盡網(wǎng)絡(luò)帶寬。這種攻擊類型，攻擊者偽造大量不同 ARP 報(bào)文在同網(wǎng)段內(nèi)進(jìn)行廣播，導(dǎo)致網(wǎng)關(guān) ARP 表項(xiàng)被占滿，合法用戶的 ARP 表項(xiàng)無(wú)法正常學(xué)習(xí)，導(dǎo)致合法用戶無(wú)法正常訪問(wèn)外網(wǎng) [14]。它產(chǎn)生的原因有：惡意用戶利用工具 構(gòu)造大量 ARP 報(bào)文發(fā)往交換機(jī)、路由器或某臺(tái) PC機(jī)的某個(gè)端口，導(dǎo)致 CPU忙于處理 ARP 協(xié)議，負(fù)擔(dān)過(guò)重，造成設(shè)備其他功能不正常甚至癱瘓。會(huì)出現(xiàn)經(jīng)常有人反饋上不了網(wǎng)，或網(wǎng)速很慢，查看 ARP 表項(xiàng)也都正確，但在網(wǎng)絡(luò)中抓報(bào)文分析，發(fā)現(xiàn)大量 ARP 請(qǐng)求報(bào)文。 IP 地址相同但 MAC 地址不同的數(shù)據(jù)包 [12]。根據(jù) IP 地址沖突的攻擊特征描述，這種類型的 ARP 攻擊主要有以下幾種： IP 地址沖突：鏈路層所記錄的目的物理地址為被攻擊主機(jī)的物理地址，這樣使得該ARP 數(shù)據(jù)包只能被受攻擊主機(jī)所接收而不被局域網(wǎng)內(nèi)的其它主機(jī)所接收實(shí)現(xiàn)隱蔽式攻擊。大量的攻擊數(shù)據(jù)包能令受害主機(jī) 耗費(fèi)大量的系統(tǒng)資源。 陜西理工學(xué)院畢業(yè)設(shè)計(jì) 第 7 頁(yè) 共 48 頁(yè) IP 地址沖突：制造出局域網(wǎng)上有另一臺(tái)主機(jī)與受害主機(jī)共享一個(gè) IP 的假象。在這個(gè)環(huán)節(jié)上沒(méi)有任何限制， ARP 欺騙就水到渠成了。這也是會(huì)造成 ARP 欺騙的一個(gè)重要原因。這是 ARP 協(xié)議的一個(gè)重大的漏洞。 （ 2） ARP 的無(wú)狀態(tài)性 漏洞之二源于 ARP 協(xié)議請(qǐng)求和應(yīng)答機(jī)制。但是，這個(gè)優(yōu)點(diǎn)卻成了惡意者攻擊的幫兇。 （ 1）高速緩存 漏洞之一來(lái)自于存 放 IP 地址與硬件 MAC 地址映射關(guān)系的 ARP 高速緩存。 ARP 欺騙的實(shí)質(zhì)就是刷新某臺(tái)主機(jī)的 ARP 緩存表．讓其出現(xiàn)錯(cuò)誤的 IP 地址與 MAC 地址的映射關(guān)系。 ARP 安全漏洞 ARP 協(xié)議的安全問(wèn)題主要來(lái) 自于其工作機(jī)制以及協(xié)議棧的實(shí)現(xiàn)。 圖 命令 arp a 的輸出 注意： ARP 不能通過(guò) IP 路由器發(fā)送廣播， 所以不能用來(lái)確定遠(yuǎn)程網(wǎng)絡(luò)設(shè)備的硬件地址。在工作站 PC的 Windows 環(huán)境中， ARP 條目的壽命是 2分鐘，在大部分 Cisco 交換機(jī)中，該值是 5分鐘。 為了節(jié)省 ARP 緩沖區(qū)內(nèi)存，被解析過(guò)的 ARP 條目的壽命都是有限的。主機(jī) A在得到主機(jī) B的 MAC 地址后，就可以與主機(jī) B通信了。如果沒(méi)有，主機(jī) A會(huì)發(fā)送一個(gè) ARP 請(qǐng)求廣播包，此包內(nèi)包含著其欲與之通信的主機(jī)的 IP 地址，也就是主機(jī) B的 IP 地址。 假如當(dāng)主機(jī) A要和主機(jī) B通信（如主機(jī) A Ping主機(jī) B）時(shí)。當(dāng) ARP 找到了目 的主機(jī) MAC 地址后，就可以形成待發(fā)送幀的完整以太網(wǎng)幀頭。 當(dāng)一個(gè)基于 TCP/IP 的應(yīng)用程序需要從一臺(tái)主機(jī)發(fā)送數(shù)據(jù)給另一臺(tái)主機(jī)時(shí)，它把信息分割并封裝成包，附上目的主機(jī)的 IP 地址。在命令提示符下，輸入“ ARPA”就可以查看 ARP 緩存表中的內(nèi)容了。 表 ARP 緩存表 每臺(tái)安裝有 TCP/IP 協(xié)議的電腦里都有一個(gè)ARP 緩存表，表里的 IP 地址與 MAC 地址是一一對(duì)應(yīng)的，如下表所示。同時(shí)它還更新了自己的 ARP 緩存表，下次再向主機(jī)B發(fā)送信息時(shí)，直接從 ARP 緩存表里查找就可以了。如果找到了，也就知道了目標(biāo) MAC 地址，直接把目標(biāo) MAC 地址寫入幀里面發(fā)送就可以了；如果在 ARP 緩存表中沒(méi)有找到相對(duì)應(yīng)的 IP 地址，主機(jī) A 就會(huì)在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播，目標(biāo) MAC 地址是“ ”，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問(wèn)：“ MAC地址是什么？”網(wǎng)絡(luò)上其他主機(jī)并不響應(yīng) ARP 詢問(wèn)，只有主機(jī) B接收到這個(gè)幀時(shí)，才向主機(jī) A做出這樣的回應(yīng)：“ 的 MAC 地址是 00aa0062c609”。 ARP 協(xié)議的工作原理在每臺(tái)安裝有 TCP/IP 協(xié)議的電腦里都有一個(gè) ARP 緩存表，表里的 IP 地址與 MAC 地址是一一對(duì)應(yīng)的，我們以主機(jī) A（ ）向主機(jī) B（ ）發(fā)送數(shù)據(jù)為例。這個(gè)層之間的主機(jī)互相通訊是通過(guò) MAC 地址互相區(qū)分的。 ARP 工作原理 ARP 工作原理將 IP 地址翻譯成 MAC 地址。 目的硬件地址： 6字節(jié)， ARP 請(qǐng)求中不填此字段（待解析）。 發(fā)送方硬件地址：發(fā)送方的 MAC 地址， 6字節(jié)。 協(xié)議地址長(zhǎng)度： 1字節(jié)，以字節(jié)為單位定義協(xié)議地址的長(zhǎng)度， IPv4為 4。 協(xié)議類型： 16位， 2字節(jié)， 定義使用 ARP/RARP 的協(xié)議類型， 0x0800表示 IPv4。第三個(gè)字段是協(xié)議類型，這里用 0X0806代表封裝的上層協(xié)議是 ARP 協(xié)議。其中，第一個(gè)字段是廣播類型的 MAC 地址： 0XFFFFFFFFFFFF，其目標(biāo)是網(wǎng)絡(luò)上的所有主機(jī)。 ARP 和 RARP 請(qǐng)求應(yīng)答報(bào)文格式是相同的 ，通過(guò)操作類型字段來(lái)區(qū)分，這個(gè)思想在 TCP/IP 協(xié)議的設(shè)計(jì)中被反復(fù)利用。通過(guò)偽造 IP 地址和 MAC 地址實(shí)現(xiàn) ARP 欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的 ARP 通信量使網(wǎng)絡(luò)阻塞。 ARP 協(xié)議的基本功能就是通過(guò)目標(biāo)設(shè)備的 IP 地址，查詢目標(biāo)設(shè)備的 MAC 地址，以保證通信的順利進(jìn)行。但這個(gè)目標(biāo) MAC 地址是通過(guò) ARP（地址解析協(xié)議）獲得的 [6]。 在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫?（ frame） ”，幀里面是有目標(biāo)主機(jī)的 MAC 地址的。在對(duì)網(wǎng)絡(luò)故障進(jìn)行診斷的時(shí)候，它們也是最常用的協(xié)議。然而實(shí)現(xiàn)簡(jiǎn)單、運(yùn)行高效的 TCP/IP 協(xié)議，它所提供的信息和資源共享是建立在網(wǎng)絡(luò)內(nèi)部各 節(jié)點(diǎn)之間相互信任基礎(chǔ)之上的，這使得 TCP/IP 協(xié)議的完全開(kāi)放性具有諸多安全隱患。而當(dāng)今互聯(lián)網(wǎng)絡(luò)以如此快的速度發(fā)展，使得 IP 地址資源日益緊張 [5]。 第六章 結(jié)論。 第四章 對(duì)模擬環(huán)境進(jìn)行了簡(jiǎn)單的介紹，然后在對(duì) ARP 欺騙原理詳細(xì)分析的基礎(chǔ)上，分別模擬實(shí)現(xiàn)一種 ARP 欺騙攻擊和軟件攻擊。 第二章 ARP 協(xié)議的相關(guān)理論概述，及 ARP 的工作原理和 ARP 的漏洞做了簡(jiǎn)單的介紹，然后對(duì)ARP 的攻擊種類做了詳細(xì)的介紹。通過(guò)分析 ARP 協(xié)議工作原理及欺騙攻擊的原理 ,分析現(xiàn)有的 ARP欺騙攻擊的方法 ,在校園網(wǎng)這個(gè)特定環(huán)境下分別利用軟件和代碼進(jìn)行欺騙攻擊和檢測(cè)。 總之，有效利用 ARP 協(xié)議，防止利用 ARP 協(xié)議漏洞威脅到網(wǎng)絡(luò)安全，對(duì)于局域網(wǎng)的 順暢運(yùn)行有著重大的應(yīng)用價(jià)值，可使單位或企業(yè)局域網(wǎng)的運(yùn)營(yíng)成本降低到最大限度。系統(tǒng)的硬軟件應(yīng)具有擴(kuò) 充升級(jí)的余地，不可因?yàn)橛曹浖U(kuò)充、升級(jí)或改型而使原有系統(tǒng)失去 作用。 （ 4）高效性 高效性是指系統(tǒng)在運(yùn)行時(shí)應(yīng)該具有很高的效率，特別是在架構(gòu)防御系統(tǒng)時(shí)，及時(shí)高效 是應(yīng)該著重體現(xiàn)的性能之一。 （ 3）實(shí)時(shí)性 實(shí)時(shí)性是指當(dāng)事件發(fā)生時(shí)，系統(tǒng)可以進(jìn)行及時(shí)的響應(yīng)。 （ 2）準(zhǔn)確性 準(zhǔn)確性是指得出的結(jié)果與真實(shí)結(jié)果的符合程度。因此設(shè)計(jì)實(shí)現(xiàn)一種實(shí)用、高效、準(zhǔn)確的防御體系是當(dāng)前研究 ARP 攻擊防范的重點(diǎn)。隨著技術(shù)的發(fā)展， ARP 攻擊手段不斷更新變化，以上各種防范措施均存在不同程度的缺陷，因此研究一種新型 ARP 欺騙攻擊防御策略具有非常重要的現(xiàn)實(shí)意義。還有鄭文兵等對(duì) ARP 協(xié)議進(jìn)行了另一種改進(jìn) [4]。由于 ARP 協(xié)議是建立在各主機(jī)之間相互信任基礎(chǔ)之上的，這使欺騙有機(jī)可乘，因此通過(guò)記錄本地發(fā)送 ARP 請(qǐng)求的目的 IP 地址，對(duì)無(wú)本地請(qǐng)求的 ARP 應(yīng)答包一律不信任，檢測(cè)其源 IP 地址并與記錄的 IP 地址比對(duì)，以決定是否更新緩存。 另外還有一些設(shè)置方法，也可在一定程度上防止 ARP 欺騙攻擊的發(fā)生，如：定期用響應(yīng)的 IP 包獲得一個(gè) RARP 請(qǐng)求來(lái)檢查 ARP 響應(yīng)的真實(shí)性；使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)；使用網(wǎng)關(guān)監(jiān)聽(tīng)網(wǎng)絡(luò)安全；除非很有必要，否則停止使用 ARP，將 ARP 作為永久條目保存在對(duì)應(yīng)表中等。 （ 5）刪除 Windows 系統(tǒng)中的 動(dòng)態(tài)連接庫(kù) [3]。另外所有客戶機(jī)的 IP 地址及其相關(guān)主機(jī)信息，只能在網(wǎng)關(guān) DHCP 服務(wù)器這里獲取。 （ 4）建立 DHCP 服務(wù)器。為克服上一方法中的不足，自然的解決方案是對(duì)上述維護(hù)靜態(tài)記錄的分散工作進(jìn)行集中管理，即指定網(wǎng)絡(luò)內(nèi)一臺(tái)專門的機(jī)器作為服務(wù)器，用來(lái)維護(hù)局域網(wǎng)內(nèi)各主機(jī)的 IP 地址和 MAC 地址的映射信息，并且只有服務(wù)器具有應(yīng)答 ARP 請(qǐng)求的權(quán)限。但是這種 方法會(huì)導(dǎo)致網(wǎng)絡(luò)中出現(xiàn)過(guò)多的 ARP 請(qǐng)求廣播。 （ 2）定期檢查主機(jī)的 ARP 緩存，并不斷刪除 ARP 緩存內(nèi)容。但這種方法必須人工設(shè)置 IP 地址和 MAC 地址映射，因?yàn)殪o態(tài)的 ARP 條目在每次重啟后都會(huì)消失，需要重新設(shè)置。在命令行下使用 ARPa 可以查看主機(jī)當(dāng)前的 ARP 緩存表，使用 ARPs 命令可以添加相應(yīng)地靜態(tài) ARP 緩存記錄，使靜態(tài)的 ARP 地址綁定正確的 MAC 地址。通過(guò)收集整理大量的相關(guān)文獻(xiàn)資料，對(duì) 國(guó)內(nèi)外現(xiàn)有的常見(jiàn) ARP 欺騙攻擊的解決方案進(jìn)行簡(jiǎn)單分析，并總結(jié)如下： （ 1）設(shè)置靜態(tài) ARP 緩存，這是一種常用的比較簡(jiǎn)單的防范措施 [2]。并在模擬環(huán)境中提出一種網(wǎng)絡(luò)級(jí)的檢測(cè)方法，進(jìn)行抵御 ARP 欺騙攻擊的檢測(cè)測(cè)試和診斷分析。 目前，很多研究者已經(jīng)給出了針對(duì) ARP 欺騙攻擊的防治方法，在一定程度上減少了 ARP 問(wèn)題的發(fā)生，這類方法主要是通過(guò)保護(hù) ARP 高速緩存等方法來(lái)實(shí)現(xiàn)，它們沒(méi)有從根本上解決 ARP 欺騙問(wèn)題，因?yàn)?ARP 欺騙問(wèn)題的發(fā)生是因?yàn)?ARP 協(xié)議本身存在在不 可信網(wǎng)絡(luò)中運(yùn)行的漏洞。 ARP 協(xié)議是一個(gè)位于 TCP/IP 協(xié)議棧中網(wǎng)絡(luò)層的協(xié)議 ,負(fù)責(zé)將某個(gè) IP 地址解析成與其對(duì)應(yīng)的MAC地址 由于網(wǎng)絡(luò)通信最終是按照 MAC進(jìn)行傳輸 ,因此 ,對(duì)于局域網(wǎng)而言 ,ARP 協(xié)議是網(wǎng)絡(luò)正常通信的基礎(chǔ) 但是 ,基于歷史的原因 ,ARP 協(xié)議當(dāng)初設(shè)計(jì)的時(shí)候出于傳輸效率上的考慮 ,缺乏必要的身份認(rèn)證和鑒別機(jī)制 ,導(dǎo)致安全性能的脆弱 ARP 欺騙攻擊是一種利用 TCP/IP 協(xié)議族中 ARP 協(xié)議本身的漏洞 (即為了提高效率 ,不對(duì)發(fā)送來(lái) ARP 應(yīng)答包進(jìn)行驗(yàn)證 ,直接更新 ARP 地址緩存表 )來(lái)進(jìn)行攻擊的 它通過(guò)發(fā)送 ARP 應(yīng)答包給目標(biāo)主機(jī) ,使目標(biāo)主機(jī)更新自己的 ARP 緩存表即地址緩存表 ,使本應(yīng)該發(fā)送給被冒充機(jī)器的數(shù)據(jù)包發(fā)送給了自己 ,達(dá)到了欺騙信息的作用 [1]。 Inter 所具有的開(kāi)放性、國(guó)際性和自由性在增加應(yīng)用自由度的同時(shí)，網(wǎng)絡(luò)安全問(wèn)題日益凸顯，計(jì)算機(jī)網(wǎng)絡(luò)的保密性、完整性、可用性正接受各種攻擊的挑戰(zhàn)，網(wǎng)絡(luò)安全問(wèn)題越來(lái)越受到人們的關(guān)注。 在當(dāng)今信息化時(shí)代，信息交流、信息共享的需求推動(dòng)著計(jì)算機(jī)網(wǎng)絡(luò)化迅猛發(fā)展。一方面是技術(shù)方面的問(wèn)題，目前的計(jì)算機(jī)操作系統(tǒng)和應(yīng)用軟件或多或少存在一定的安全漏洞，而攻擊者恰恰利用了這些 漏洞，由于計(jì)算機(jī)病毒防治技術(shù)相對(duì)要落后于病毒攻擊，因此會(huì)造成病毒在一定范圍內(nèi)蔓延；另一方面是管理方面的問(wèn)題，由于管理人員的技術(shù)水平不足和管理不善造成的安全問(wèn)題也層出不窮，系統(tǒng)漏洞修復(fù)的滯后和安全防護(hù)措施的不夠給攻擊者提供了機(jī)會(huì)。如 2020年 ARP（ Address Resolution Protocol） 病毒就表現(xiàn)很突出，江民公司發(fā)布的《 07年上半年病毒報(bào)告及十大病毒》中 ARP 病毒排名第四，瑞星公司發(fā)布的《 2020年上半年電腦病毒疫情和互聯(lián)網(wǎng)安全報(bào)告》中 ARP 病毒排名第六。根據(jù)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心發(fā)布的《中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告（ 2020年上半年）》中的數(shù)據(jù)顯示， 2020年上半年，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心 （ CNCERT） 通過(guò)技術(shù)平臺(tái)共捕獲約 90 萬(wàn)個(gè)惡意代碼，比去年同期增長(zhǎng) %。 To prevent the ARP 陜西理工學(xué)院畢業(yè)設(shè)計(jì) I 目錄 1 緒論 ...................................................... 1 引言 ................................................... 1 研究背景及意義 ......................................... 1 ARP 欺騙攻擊在國(guó)內(nèi)外的研究現(xiàn)狀和發(fā)展趨勢(shì) ............... 1 ARP 欺騙攻擊研究現(xiàn)狀 .............................. 1 ARP 欺騙攻擊研究發(fā)展趨勢(shì) .......................... 2 本文研究?jī)?nèi)容和組織結(jié)構(gòu) ................................. 3 2 ARP攻擊原理綜述 .......................................... 4 ARP 協(xié)議的概述 ......................................... 4 地址解析報(bào)文格式 ....................................... 4 ARP 工作原理 ........................................... 5 ARP 安全漏洞 ..........