計(jì)算機(jī)應(yīng)用畢業(yè)論文-arp欺騙技術(shù)的研究與實(shí)踐

1、<p>　　武 夷 學(xué) 院</p><p><b>　　畢業(yè)論文</b></p><p>　　題目：ARP欺騙技術(shù)的研究與實(shí)踐</p><p><b>　　姓名：呂珊珊</b></p><p>　　學(xué)號(hào)：20134062036</p>&l

2、t;p>　　系部：數(shù)學(xué)與計(jì)算機(jī)系</p><p>　　年級(jí)專業(yè)班級(jí)：08級(jí)計(jì)算機(jī)應(yīng)用</p><p>　　指導(dǎo)老師：***講師</p><p>　　ARP欺騙技術(shù)的研究與實(shí)踐</p><p>　　摘要:網(wǎng)絡(luò)的迅速發(fā)展,在給人類生活帶來(lái)方便的同時(shí),也對(duì)網(wǎng)絡(luò)安全提出了更高要求，因此對(duì)網(wǎng)絡(luò)協(xié)議的分析和利用越來(lái)越受到普遍關(guān)注。互聯(lián)網(wǎng)的發(fā)展很大程

3、度上歸功于TCP/IP協(xié)議運(yùn)行的高效性和開(kāi)放性,這也致使TCP/IP協(xié)議本身存在著諸多的安全隱患，其中因ARP協(xié)議安全漏洞引發(fā)的欺騙攻擊就較為典型。本文在深入分析ARP協(xié)議原理的基礎(chǔ)上，探討了幾種常見(jiàn)的ARP欺騙攻擊方式，如仿冒主機(jī)/網(wǎng)關(guān)、“中間人”攻擊、Flooding攻擊、網(wǎng)頁(yè)劫持等；通過(guò)實(shí)驗(yàn)和實(shí)踐，總結(jié)了一些較為有效的ARP欺騙檢測(cè)和防御手段；結(jié)合本人參與學(xué)院校園網(wǎng)絡(luò)安全整體防御體系項(xiàng)目的實(shí)施和管理，融合銳捷GSN、IEEE802

4、.1x、ARP-Check技術(shù)，給出一種立體防御ARP欺騙的解決方案。文章最后針對(duì)IPv6鄰居發(fā)現(xiàn)協(xié)議做了簡(jiǎn)要分析，旨在后續(xù)課題的研究。</p><p>　　關(guān)鍵詞： ARP；銳捷GSN；IEEE 802.1x；鄰居發(fā)現(xiàn)協(xié)議</p><p><b>　　目錄</b></p><p>　　1 引 言1</p><p&

5、gt;　　1.1 課題研究的背景和意義1</p><p>　　1.2 論文的主要內(nèi)容和章節(jié)安排2</p><p>　　論文在深入分析ARP協(xié)議原理的基礎(chǔ)上，探討了幾種常見(jiàn)的ARP欺騙攻擊方式，一些較為有效的ARP欺騙檢測(cè)和防御手段，并結(jié)合參與學(xué)院校園網(wǎng)絡(luò)安全整體防御體系項(xiàng)目的實(shí)施和管理，融合銳捷GSN、IEEE802.1x、ARP-Check技術(shù)，給出一種立體防御ARP欺騙的解決方案。

6、2</p><p>　　2 ARP欺騙技術(shù)1</p><p>　　2.1 ARP協(xié)議概述1</p><p>　　2.1.1 ARP協(xié)議的定義1</p><p>　　2.1.2 ARP協(xié)議的工作原理1</p><p>　　2.2 ARP欺騙3</p><p>　　2.2.1 何為AR

7、P欺騙3</p><p>　　2.2.2 ARP欺騙攻擊的危害3</p><p>　　2.2.3 ARP欺騙產(chǎn)生的根源3</p><p>　　2.3 ARP欺騙的主要攻擊方式4</p><p>　　2.3.1 攻擊主機(jī)冒充網(wǎng)關(guān)欺騙正常主機(jī)5</p><p>　　2.3.2 攻擊主機(jī)冒充正常主機(jī)欺騙網(wǎng)關(guān)5&l

8、t;/p><p>　　2.3.3 基于ARP的“中間人”攻擊5</p><p>　　2.3.4 Flooding攻擊6</p><p>　　2.4 簡(jiǎn)單模擬ARP欺騙8</p><p>　　2.4.1 采用軟件模擬ARP欺騙8</p><p>　　2.4.2 采用編程模擬ARP欺騙9</p><

9、;p>　　3 ARP欺騙的防御技術(shù)9</p><p>　　3.1.1 手動(dòng)檢測(cè)9</p><p>　　3.1.2 自動(dòng)檢測(cè)10</p><p>　　3.2 ARP欺騙攻擊的防御12</p><p>　　3.2.1 手動(dòng)防御12</p><p>　　3.2.2 自動(dòng)防御13</p>&l

10、t;p>　　4 校園網(wǎng)ARP欺騙的立體防御方案17</p><p>　　4.1 基于802.1x協(xié)議的認(rèn)證防御17</p><p>　　4.1.1 IEEE 802.1x認(rèn)證系統(tǒng)17</p><p>　　4.1.2 基于802.1x認(rèn)證的ARP防御技術(shù)19</p><p>　　4.2 銳捷GSN解決方案原理20</p&

11、gt;<p>　　4.2.1 用戶身份合法性驗(yàn)證20</p><p>　　4.2.2 確保真實(shí)ARP信息來(lái)源20</p><p>　　4.2.3 中立的第三方ARP授信體系21</p><p>　　4.2.4 建立可信任ARP機(jī)制21</p><p>　　4.2.5 在網(wǎng)關(guān)設(shè)備上增加可信ARP表項(xiàng)22</p>

12、;<p>　　4.3.1 SMP23</p><p>　　4.3.2 Gateway23</p><p>　　4.3.3 NAS23</p><p>　　4.3.4 SU24</p><p>　　4.4 GSN + ARP-Check的整體防御24</p><p>　　5 IPv6的鄰居發(fā)現(xiàn)協(xié)

13、議25</p><p>　　5.1 鄰居發(fā)現(xiàn)協(xié)議的定義25</p><p>　　5.2 鄰居發(fā)現(xiàn)協(xié)議的安全缺陷分析25</p><p>　　5.4 鄰居發(fā)現(xiàn)協(xié)議和ARP協(xié)議的比較26</p><p>　　5.4.1 發(fā)送機(jī)制26</p><p>　　5.4.2 所處層次26</p><p

14、>　　5.4.3 可達(dá)性檢測(cè)維護(hù)27</p><p>　　5.4.4 Hop Limit字段27</p><p>　　6 結(jié) 論28</p><p><b>　　1 引 言</b></p><p>　　本章闡析開(kāi)展本課題研究的背景和意義，扼要說(shuō)明課題研究的主要內(nèi)容和章節(jié)安排。</p>

15、;<p>　　1.1 課題研究的背景和意義</p><p>　　信息化進(jìn)程的深入和互聯(lián)網(wǎng)的迅速發(fā)展，為人們的工作、學(xué)習(xí)、生活帶來(lái)了巨大變化。網(wǎng)絡(luò)的迅速發(fā)展,在給人類生活帶來(lái)方便的同時(shí),也對(duì)網(wǎng)絡(luò)安全提出了更高要求。網(wǎng)絡(luò)協(xié)議安全是網(wǎng)絡(luò)安全的重要環(huán)節(jié),因此對(duì)網(wǎng)絡(luò)協(xié)議的分析和利用越來(lái)越受到普遍關(guān)注?；ヂ?lián)網(wǎng)的發(fā)展很大程度上歸功于TCP/IP協(xié)議運(yùn)行的高效性和開(kāi)放性,然而TCP/IP協(xié)議在實(shí)現(xiàn)過(guò)程中忽略了對(duì)網(wǎng)絡(luò)

16、安全方面的考慮,致使其存在著較多安全隱患，其中ARP協(xié)議的安全漏洞引發(fā)的欺騙攻擊較之其他協(xié)議最為典型。</p><p>　　校園網(wǎng)是CERNET/Internet的基本組成單位，是為學(xué)校師生員工的教學(xué)、科研、管理、服務(wù)、文化娛樂(lè)等提供服務(wù)的信息支撐平臺(tái)，是學(xué)校必不可少的基礎(chǔ)設(shè)施。校園網(wǎng)有用戶數(shù)量大、用戶類型復(fù)雜、管理策略復(fù)雜、流量大、網(wǎng)絡(luò)安全威脅性大等特點(diǎn)。如果網(wǎng)絡(luò)安全問(wèn)題不能夠有效的解決, 勢(shì)必將影響校園網(wǎng)的教

17、學(xué)科研服務(wù)作用的發(fā)揮。要保證整個(gè)網(wǎng)絡(luò)的安全性,必須從多個(gè)層次和多個(gè)方面考慮網(wǎng)絡(luò)的安全性,采取相應(yīng)的防護(hù)措施,減少網(wǎng)絡(luò)遭受攻擊的可能性, 達(dá)到保證網(wǎng)絡(luò)安全的目的。</p><p>　　近兩年，ARP欺騙攻擊在局域網(wǎng)中頻繁出現(xiàn)，特別是一些木馬或病毒程序容易利用ARP欺騙原理來(lái)對(duì)網(wǎng)絡(luò)用戶進(jìn)行攻擊，感染了這類木馬或病毒的計(jì)算機(jī)會(huì)自動(dòng)發(fā)送ARP欺騙數(shù)據(jù)包來(lái)擾亂局域網(wǎng)中各主機(jī)的ARP地址列表，致使同一網(wǎng)段上的大多用戶頻繁斷網(wǎng)

18、，導(dǎo)致整個(gè)局域網(wǎng)無(wú)法正常運(yùn)行，嚴(yán)重時(shí)可導(dǎo)致網(wǎng)絡(luò)大面積癱瘓，給網(wǎng)絡(luò)管理者增添了巨大的壓力。而且受到ARP欺騙攻擊的用戶還很容易被竊取私密信息。同時(shí)，ARP欺騙作為傳播網(wǎng)頁(yè)木馬病毒的傳播手段，當(dāng)一臺(tái)主機(jī)感染帶有這種ARP欺騙功能的病毒后，會(huì)在局域網(wǎng)內(nèi)發(fā)動(dòng)ARP欺騙，它會(huì)監(jiān)聽(tīng)局域網(wǎng)內(nèi)所有主機(jī)的數(shù)據(jù)包，一旦發(fā)現(xiàn)其它主機(jī)有訪問(wèn)WEB網(wǎng)頁(yè)的行為后，就會(huì)通過(guò)修改相應(yīng)的數(shù)據(jù)封包在你訪問(wèn)的網(wǎng)頁(yè)代碼里加入包含有木馬程序的網(wǎng)頁(yè)鏈接。從而導(dǎo)致局域網(wǎng)內(nèi)其它主機(jī)不

19、管訪問(wèn)什么網(wǎng)站都會(huì)被導(dǎo)引到含有木馬病毒的網(wǎng)站上去。</p><p>　　基于這些情況，深入了解ARP協(xié)議的原理，剖析ARP欺騙產(chǎn)生的根源，研究分析ARP欺騙的方式，探討ARP欺騙的檢測(cè)、防御技術(shù)，并給出一種ARP欺騙整體防御的解決思路，制定出有效的防御措施，對(duì)網(wǎng)絡(luò)安全運(yùn)行有著極其重要的意義。</p><p>　　1.2 論文的主要內(nèi)容和章節(jié)安排</p><p>　　

20、論文在深入分析ARP協(xié)議原理的基礎(chǔ)上，探討了幾種常見(jiàn)的ARP欺騙攻擊方式，一些較為有效的ARP欺騙檢測(cè)和防御手段，并結(jié)合參與學(xué)院校園網(wǎng)絡(luò)安全整體防御體系項(xiàng)目的實(shí)施和管理，融合銳捷GSN、IEEE802.1x、ARP-Check技術(shù)，給出一種立體防御ARP欺騙的解決方案。</p><p>　　第1章 闡析開(kāi)展課題研究的背景和意義，扼要說(shuō)明課題研究的主要內(nèi)容和章節(jié)安排。</p><p>　　

21、第2章 詳細(xì)分析了ARP協(xié)議的定義、工作原理、產(chǎn)生的危害和欺騙產(chǎn)生的根源，探討了五種主要的ARP欺騙攻擊方式，并給出基于虛擬化技術(shù)的兩種模擬ARP欺騙的實(shí)驗(yàn)方法。</p><p>　　第3章 在實(shí)踐的基礎(chǔ)上，總結(jié)了一些較為有效的ARP欺騙檢測(cè)和防御手段，并分析它們優(yōu)劣特點(diǎn)和適用的環(huán)境，揚(yáng)長(zhǎng)避短、相互結(jié)合，以期達(dá)到更好的防御效果。</p><p>　　第4章 結(jié)合參與學(xué)院校園網(wǎng)絡(luò)的實(shí)踐

22、，著重探究校園網(wǎng)ARP欺騙的立體防御方案體系，多角度、多元素協(xié)同防御，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)病毒和攻擊等安全事件自動(dòng)發(fā)現(xiàn)、自動(dòng)處理、自動(dòng)通知、自動(dòng)解除的全局安全聯(lián)動(dòng)。主要包括基于802.1x協(xié)議的認(rèn)證防御、銳捷GSN方案的原理、GSN防御體系的構(gòu)成和GSN+ARP-Check體系幾個(gè)部分。</p><p>　　第5章 扼要介紹IPV6鄰居發(fā)現(xiàn)協(xié)議的定義、存在的一些安全缺陷及其與IPV4 ARP協(xié)議的比較，旨在后續(xù)課題的研究

23、。</p><p>　　2 ARP欺騙技術(shù)</p><p>　　本章詳細(xì)分析了ARP協(xié)議的定義、工作原理、產(chǎn)生的危害和欺騙產(chǎn)生的根源，探討了五種主要的ARP欺騙攻擊方式，并給出基于虛擬化技術(shù)的兩種模擬ARP欺騙的實(shí)驗(yàn)方法。</p><p>　　2.1 ARP協(xié)議概述</p><p>　　2.1.1 ARP協(xié)議的定義</p>&

24、lt;p>　　ARP(Address Resolution Protocol)，即地址解析協(xié)議，是TCP/IP協(xié)議簇中重要的基礎(chǔ)協(xié)議之一。它工作于OSI/RM七層模型中的第二層數(shù)據(jù)鏈路層（Data Link Layer）,在本層與下層物理層之間通過(guò)硬件接口進(jìn)行聯(lián)系，同時(shí)也為上層網(wǎng)絡(luò)層提供服務(wù)。當(dāng)局域網(wǎng)中的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行通信時(shí)，就需要由ARP協(xié)議通過(guò)目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證網(wǎng)絡(luò)節(jié)點(diǎn)間通信的正常進(jìn)行。換言之，

25、ARP協(xié)議的主要功能就是負(fù)責(zé)把目標(biāo)設(shè)備網(wǎng)絡(luò)層的IP地址轉(zhuǎn)變成其數(shù)據(jù)鏈路層的MAC地址，建立IP地址和MAC地址之間的一一映射關(guān)系，使網(wǎng)絡(luò)節(jié)點(diǎn)間通信的數(shù)據(jù)幀能夠在鏈路中正確傳輸。</p><p>　　2.1.2 ARP協(xié)議的工作原理</p><p>　　數(shù)據(jù)鏈路如以太網(wǎng)或令牌環(huán)網(wǎng)都有自己的尋址機(jī)制。在局域網(wǎng)中實(shí)際傳輸?shù)氖菙?shù)據(jù)幀，真正用來(lái)尋址的是MAC地址，而IP數(shù)據(jù)包是通過(guò)網(wǎng)絡(luò)層傳輸?shù)?。因?yàn)?/p>

26、二層的以太網(wǎng)設(shè)備并不識(shí)別32位的IP地址，設(shè)備驅(qū)動(dòng)程序從不檢查IP數(shù)據(jù)包中的目的IP地址，它們是以48位物理地址（MAC地址）傳輸以太網(wǎng)幀的。所以，當(dāng)網(wǎng)絡(luò)中一臺(tái)主機(jī)要和另一臺(tái)主機(jī)進(jìn)行直接通信時(shí)，必須知道目標(biāo)主機(jī)的MAC地址，即利用ARP地址解析協(xié)議把目標(biāo)IP地址解析為目標(biāo)MAC地址，建立IP-MAC對(duì)應(yīng)關(guān)系以保證通信的順利進(jìn)行。</p><p>　　在此，我們可以舉例說(shuō)明ARP協(xié)議工作的具體過(guò)程。局域網(wǎng)中的主機(jī)A

27、要向主機(jī)B發(fā)送數(shù)據(jù)，建立通訊時(shí)，主機(jī)A會(huì)首先檢查自己的ARP緩存表中是否存在目的主機(jī)B的IP-MAC地址對(duì)應(yīng)關(guān)系表項(xiàng)。如果存在，TCP/IP協(xié)議棧會(huì)直接將主機(jī)B的MAC地址寫入數(shù)據(jù)幀中發(fā)送。如果不存在，則主機(jī)A會(huì)向網(wǎng)內(nèi)所有主機(jī)廣播一個(gè)ARP Request報(bào)文，其中目的IP地址為主機(jī)B的IP，目的MAC地址為“FF.FF.FF.FF.FF.FF”，以此來(lái)詢問(wèn)主機(jī)B的IP對(duì)應(yīng)的MAC地址是什么。一般情況下，網(wǎng)絡(luò)上的其它主機(jī)并不響應(yīng)該ARP

28、 Request報(bào)文，而只有當(dāng)主機(jī)B收到該報(bào)文時(shí)才會(huì)創(chuàng)建一個(gè)ARP Reply報(bào)文，并發(fā)回給主機(jī)A。該ARP Reply報(bào)文中包含了主機(jī)B的IP和MAC地址。主機(jī)A接收到回復(fù)后會(huì)將主機(jī)B的IP-MAC地址對(duì)應(yīng)關(guān)系保存在自己的ARP緩存表中，若下次再請(qǐng)求與同一IP地址的主機(jī)通信時(shí)，就從緩存表中直接獲取目的主機(jī)的MAC地址即可，而無(wú)需再發(fā)送ARP Request廣播報(bào)文詢問(wèn)。ARP協(xié)議的工作原理如圖2-1所示。</p><

29、;p>　　圖2-1 ARP協(xié)議的工作原理</p><p>　　在上段ARP工作過(guò)程中提到的ARP緩存表，是在每一臺(tái)安裝有TCP/IP協(xié)議的主機(jī)里都維護(hù)的一張IP-MAC地址一一對(duì)應(yīng)的關(guān)系表。它采用了老化機(jī)制（Windows系統(tǒng)中的老化時(shí)間默認(rèn)為2分鐘，Cisco路由器默認(rèn)為5分鐘），在一段時(shí)間內(nèi)，如果緩存表中的某一行數(shù)據(jù)沒(méi)有使用，該行數(shù)據(jù)就會(huì)被自動(dòng)刪除，這樣可以大大減少ARP緩存表的長(zhǎng)度，加快查詢速度。A

30、RP緩存表結(jié)構(gòu)如圖2-2所示。</p><p>　　圖2-2 ARP緩存表結(jié)構(gòu)</p><p><b>　　2.2 ARP欺騙</b></p><p>　　2.2.1 何為ARP欺騙</p><p>　　籠統(tǒng)地講，ARP欺騙是一種使計(jì)算機(jī)網(wǎng)絡(luò)無(wú)法正常運(yùn)行的攻擊手段，即利用ARP 協(xié)議的漏洞,通過(guò)向目標(biāo)主機(jī)發(fā)送虛假ARP

31、 報(bào)文,來(lái)實(shí)現(xiàn)監(jiān)聽(tīng)或截獲目標(biāo)主機(jī)通信數(shù)據(jù)。一些木馬或病毒程序通過(guò)利用ARP欺騙，對(duì)網(wǎng)絡(luò)用戶及網(wǎng)絡(luò)運(yùn)行環(huán)境產(chǎn)生影響甚至是破壞。</p><p>　　為了較好地了解ARP欺騙，我們可以簡(jiǎn)單舉例說(shuō)明。ARP協(xié)議并不只是在發(fā)送了ARP請(qǐng)求才接收ARP應(yīng)答。當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候，只要應(yīng)答包中的IP地址正確，就會(huì)對(duì)本地的ARP緩存進(jìn)行更新，將應(yīng)答中的IP和MAC地址存儲(chǔ)在ARP緩存中。假設(shè)局域網(wǎng)中的主機(jī)A和C

32、通信，當(dāng)主機(jī)A廣播了一個(gè)ARP Request報(bào)文后，本該由主機(jī)C進(jìn)行回復(fù)，此時(shí)卻是主機(jī)B更早地將自己偽造的ARP Reply報(bào)文發(fā)送給主機(jī)A，從而冒充C與A進(jìn)行通信。偽造的Reply報(bào)文中包含了主機(jī)C的IP地址和主機(jī)B的MAC地址。這樣，在主機(jī)A收到回復(fù)后便會(huì)將這條錯(cuò)誤的IP-MAC地址對(duì)應(yīng)關(guān)系更新到自己的ARP緩存表里。由于局域網(wǎng)的網(wǎng)絡(luò)流通不是根據(jù)IP地址進(jìn)行，而是按照MAC地址進(jìn)行傳輸。所以會(huì)導(dǎo)致主機(jī)A不能Ping通主機(jī)C，造成網(wǎng)

33、絡(luò)不通。這就是一個(gè)簡(jiǎn)單的ARP欺騙。</p><p>　　2.2.2 ARP欺騙攻擊的危害</p><p>　　一般情況下，網(wǎng)絡(luò)中的攻擊者會(huì)制造出一些木馬或病毒之類的利用ARP欺騙攻擊手段的程序來(lái)威脅網(wǎng)絡(luò)安全。所以，如果受到此類ARP欺騙程序的攻擊，其中毒現(xiàn)象表現(xiàn)為：使用局域網(wǎng)時(shí)，用戶會(huì)突然掉線、頻繁斷網(wǎng)，IE瀏覽器頻繁出錯(cuò)，之后過(guò)一段時(shí)間又會(huì)恢復(fù)正常。若局域網(wǎng)中用戶是通過(guò)客戶端身份認(rèn)證上

34、網(wǎng)的，會(huì)出現(xiàn)客戶端狀態(tài)頻繁掉線，或者可以認(rèn)證但卻Ping不通網(wǎng)關(guān)、不能上網(wǎng)，然后重啟交換機(jī)或路由器、或者在MS-DOS命令窗口中運(yùn)行arp –d之后，用戶又可恢復(fù)上網(wǎng)。</p><p>　　攻擊者可以利用此類木馬或病毒程序來(lái)截獲用戶數(shù)據(jù)，如盜取QQ賬號(hào)密碼、盜取各種網(wǎng)絡(luò)游戲密碼和賬號(hào)、盜竊網(wǎng)上銀行賬號(hào)去進(jìn)行非法交易活動(dòng)等，給普通用戶造成了巨大的不便甚至是經(jīng)濟(jì)損失。而且ARP欺騙木馬或病毒只需成功感染一臺(tái)計(jì)算機(jī)，就

35、可能影響整個(gè)局域網(wǎng)運(yùn)行，嚴(yán)重的時(shí)候可能帶來(lái)網(wǎng)絡(luò)的癱瘓。</p><p>　　再者，攻擊者也可能基于ARP協(xié)議的工作特性，不斷向?qū)Ψ接?jì)算機(jī)發(fā)送帶有詐欺性質(zhì)的ARP數(shù)據(jù)包，其中包含與當(dāng)前設(shè)備重復(fù)的MAC地址，使對(duì)方在回應(yīng)ARP報(bào)文時(shí)，由于簡(jiǎn)單的地址重復(fù)錯(cuò)誤導(dǎo)致不能進(jìn)行正常的網(wǎng)絡(luò)通信。</p><p>　　2.2.3 ARP欺騙產(chǎn)生的根源</p><p>　　ARP協(xié)議作

36、為一個(gè)局域網(wǎng)協(xié)議，其設(shè)計(jì)初衷是為了方便數(shù)據(jù)的高效傳輸，設(shè)計(jì)前提也是在網(wǎng)絡(luò)絕對(duì)安全的情況下。換言之，ARP協(xié)議是建立在局域網(wǎng)內(nèi)各主機(jī)相互信任的基礎(chǔ)之上，它本身不作任何安全檢測(cè)，并沒(méi)有一套安全機(jī)制來(lái)確保信息的真實(shí)性、完整性、可用性。因此，ARP協(xié)議所具有的廣播性、無(wú)狀態(tài)性、無(wú)認(rèn)證性、無(wú)關(guān)性和動(dòng)態(tài)性等一系列安全缺陷，為ARP欺騙的產(chǎn)生提供了有利條件。</p><p>　?、?ARP Request報(bào)文以廣播形式發(fā)送&l

37、t;/p><p>　　由于局域網(wǎng)內(nèi)的計(jì)算機(jī)不知道通信對(duì)方的MAC地址，所以需要廣播ARP Request報(bào)文。這樣，攻擊者就可以偽裝ARP Reply報(bào)文，與廣播者真正想要通信的主機(jī)競(jìng)爭(zhēng)。同時(shí)，攻擊者也可以不間斷地在網(wǎng)內(nèi)廣播ARP Request，造成網(wǎng)絡(luò)的緩慢甚至阻塞。</p><p>　?、?ARP協(xié)議是無(wú)狀態(tài)的</p><p>　　局域網(wǎng)內(nèi)任何主機(jī)即使在沒(méi)有接收到

38、ARP Request的情況下也可以隨意發(fā)送ARP Reply報(bào)文。而且只要應(yīng)答包的內(nèi)容格式等是有效的，接收到應(yīng)答包的主機(jī)都會(huì)無(wú)條件地根據(jù)其內(nèi)容更新本機(jī)的ARP緩存表，而不論主機(jī)是否曾發(fā)出過(guò)請(qǐng)求。</p><p>　?、?ARP應(yīng)答無(wú)需認(rèn)證</p><p>　　因?yàn)锳RP協(xié)議設(shè)計(jì)時(shí)出于傳輸效率上的考慮，默認(rèn)情況下是信任網(wǎng)內(nèi)的所有節(jié)點(diǎn)的，于是在數(shù)據(jù)鏈路層沒(méi)有對(duì)接收到的ARP Reply報(bào)文進(jìn)

39、行安全驗(yàn)證。只要是存在于ARP緩存表里的IP/MAC映射以及接收到的ARP Reply中的IP/MAC映射關(guān)系，ARP協(xié)議都認(rèn)為是可信任的，沒(méi)有對(duì)它們的真實(shí)性和有效性進(jìn)行檢驗(yàn)，也沒(méi)有維護(hù)其一致性。</p><p>　?、?ARP緩存表基于高速緩存和動(dòng)態(tài)更新</p><p>　　當(dāng)主機(jī)收到ARP相應(yīng)數(shù)據(jù)包后，即使是偽造的，也會(huì)查找自己的緩沖區(qū)，并進(jìn)行相應(yīng)的更新．正常的計(jì)算機(jī)的MAC地址更新都

40、有一定的時(shí)間間隔．因此，攻擊者如果在下次更新之前成功地修改了被攻擊機(jī)器上的地址緩存，它就可以假冒或者拒絕服務(wù)攻擊。</p><p>　　2.3 ARP欺騙的主要攻擊方式</p><p>　　2.3.1 攻擊主機(jī)冒充網(wǎng)關(guān)欺騙正常主機(jī)</p><p>　　仿冒網(wǎng)關(guān)攻擊是指攻擊主機(jī)通過(guò)偽造并在局域網(wǎng)內(nèi)發(fā)送源IP地址為網(wǎng)關(guān)IP地址、源MAC 地址為偽造的MAC 地址的ARP

41、 Reply報(bào)文給被攻擊的主機(jī)，使得這些主機(jī)在自己的ARP緩存表上更新網(wǎng)關(guān)IP-MAC地址的對(duì)應(yīng)關(guān)系。仿冒網(wǎng)關(guān)的攻擊通常表現(xiàn)為：在同一局域網(wǎng)中，有一部分主機(jī)無(wú)法上網(wǎng)，重啟這些主機(jī)后又恢復(fù)正常，但是過(guò)一段時(shí)間后網(wǎng)絡(luò)再次中斷。于是在命令行窗口中鍵入arp –a，查看這些無(wú)法上網(wǎng)的主機(jī)的ARP表，發(fā)現(xiàn)網(wǎng)關(guān)的MAC地址是錯(cuò)誤的。也就是說(shuō)，主機(jī)訪問(wèn)網(wǎng)關(guān)的流量被重定向到一個(gè)錯(cuò)誤的MAC地址，導(dǎo)致用戶無(wú)法正常訪問(wèn)外網(wǎng)。</p><

42、p>　　2.3.2 攻擊主機(jī)冒充正常主機(jī)欺騙網(wǎng)關(guān)</p><p>　　攻擊主機(jī)冒充正常主機(jī)欺騙網(wǎng)關(guān)，是指攻擊者通過(guò)偽造并發(fā)送源IP地址為同網(wǎng)段內(nèi)某臺(tái)合法用戶的IP 地址, 源MAC 地址為偽造的MAC 地址的ARP Reply報(bào)文給網(wǎng)關(guān)，使得網(wǎng)關(guān)更新自身ARP緩存表中原合法用戶的IP-MAC地址對(duì)應(yīng)關(guān)系。這種欺騙網(wǎng)關(guān)的攻擊一般表現(xiàn)為：網(wǎng)絡(luò)中部分主機(jī)掉線, 甚至全網(wǎng)內(nèi)主機(jī)都無(wú)法上網(wǎng)。查看路由器的ARP表項(xiàng),

43、發(fā)現(xiàn)很多錯(cuò)誤地址，所有被攻擊者的IP地址對(duì)應(yīng)的MAC地址都為攻擊者的MAC地址。然后重啟路由器后能短暫恢復(fù)正常，但是過(guò)一段時(shí)間之后主機(jī)又開(kāi)始掉線。而這些現(xiàn)象的發(fā)生都是因?yàn)榫W(wǎng)關(guān)發(fā)送給該用戶的所有數(shù)據(jù)全部定向到一個(gè)錯(cuò)誤的MAC地址，導(dǎo)致該用戶無(wú)法正常訪問(wèn)外網(wǎng)。</p><p>　　2.3.3 基于ARP的“中間人”攻擊</p><p>　　“中間人”攻擊（Man-In-The-Middle，M

44、ITM），是一種利用一定手段在兩臺(tái)或多臺(tái)主機(jī)之間人為地加入一臺(tái)透明主機(jī)，“間接”的入侵攻擊方式。這種攻擊對(duì)其他用戶是透明的，因此這臺(tái)主機(jī)就稱為“中間人”?！爸虚g人”能夠與原始主機(jī)建立連接、截獲并篡改它們的通信數(shù)據(jù)。由于“中間人”對(duì)于原通信雙方是透明的，使得“中間人”很難被發(fā)現(xiàn)，也就使得這種攻擊更加具有隱蔽性。 “中間人”攻擊常用的一種手段就是通過(guò)ARP 欺騙的方式來(lái)實(shí)現(xiàn)的。</p><p>　　基于ARP的“中間

45、人”攻擊又稱為ARP雙向欺騙，這種說(shuō)法是相對(duì)于攻擊主機(jī)冒充網(wǎng)關(guān)或主機(jī)的單向ARP欺騙而言的。假設(shè)有主機(jī)C想竊取主機(jī)A和主機(jī)B之間的通信，那么它就可以分別偽造ARP Reply報(bào)文發(fā)送給A、B這兩臺(tái)主機(jī)，使他們無(wú)驗(yàn)證地更新自身ARP緩存表中的相應(yīng)的IP-MAC對(duì)應(yīng)關(guān)系表項(xiàng)。于是，主機(jī)A和B之間看似直接的通信，實(shí)際上都是通過(guò)主機(jī)C進(jìn)行的，即主機(jī)C擔(dān)任了“中間人”的角色在傳遞信息，同時(shí)也可以對(duì)信息進(jìn)行竊取和篡改,如圖2-3所示。這種攻擊方式也

46、是較早時(shí)候電腦黑客竊取數(shù)據(jù)的常用手段之一。受到“中間人”攻擊的主要表現(xiàn)有：局域網(wǎng)中某臺(tái)主機(jī)上網(wǎng)突然掉線，但是過(guò)一會(huì)兒又恢復(fù)了，只是上網(wǎng)變得很慢。此時(shí)我們?nèi)羰褂妹畈榭丛撝鳈C(jī)上的ARP表項(xiàng)，就會(huì)發(fā)現(xiàn)通信對(duì)方的MAC地址被修改，他們的通信流量都先被重定向到另外一臺(tái)主機(jī)上，再轉(zhuǎn)至對(duì)方主機(jī)。</p><p>　　圖2-3 “中間人”攻擊過(guò)程</p><p>　　2.3.4 Flooding攻擊&

47、lt;/p><p>　　Flooding 是一種快速散布網(wǎng)絡(luò)連接設(shè)備（如交換機(jī)）更新信息到整個(gè)大型網(wǎng)絡(luò)打每一個(gè)節(jié)點(diǎn)的一種方法。涉及ARP欺騙的Flooding攻擊主要有兩種：ARP報(bào)文Flooding和交換機(jī)上的MAC Flooding。</p><p>　?、?ARP報(bào)文Flooding</p><p>　　攻擊者利用工具構(gòu)造大量ARP報(bào)文，發(fā)往交換機(jī)、路由器或某臺(tái)普

48、通主機(jī)，導(dǎo)致設(shè)備的CPU忙于處理ARP協(xié)議，負(fù)擔(dān)過(guò)重，造成設(shè)備沒(méi)有多余資源區(qū)轉(zhuǎn)發(fā)正常的數(shù)據(jù)流量甚至癱瘓。遭受這種攻擊的現(xiàn)象主要表現(xiàn)為：網(wǎng)絡(luò)經(jīng)常中斷或網(wǎng)速很慢，查看ARP表項(xiàng)沒(méi)有發(fā)現(xiàn)錯(cuò)誤，只有通過(guò)抓包分析是發(fā)現(xiàn)有大量的ARP Reply報(bào)文。</p><p>　?、?MAC Flooding</p><p>　　交換機(jī)中也存放著一個(gè)類似ARP的緩存表，稱為CAM。同主機(jī)中的ARP緩存表相同，

49、它也起到記錄網(wǎng)絡(luò)設(shè)備MAC地址與IP地址的對(duì)應(yīng)關(guān)系的功能。但是交換機(jī)中的ARP緩存表的大小是固定的，這就導(dǎo)致了ARP欺騙的另一種隱患：由于交換機(jī)可以主動(dòng)學(xué)習(xí)客戶端的MAC地址，并建立和維護(hù)這個(gè)CAM緩存表，當(dāng)某人利用欺騙攻擊連續(xù)大量的制造欺騙MAC地址，CAM表就會(huì)被迅速填滿，同時(shí)更新信息以洪泛方式發(fā)送到所有的接口，也就代表Trunking（所謂Trunking是用來(lái)在不同的交換機(jī)之間進(jìn)行連接，以保證在跨越多個(gè)交換機(jī)上建立的同一個(gè)VLA

50、N的成員能夠相互通訊。）的流量也會(huì)發(fā)給所有的接口和鄰近的交換機(jī)，會(huì)導(dǎo)致其他交換機(jī)的CAM表溢出，造成交換機(jī)負(fù)載過(guò)大，網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。所以說(shuō)MAC Flooding是一種比較危險(xiǎn)的攻擊，嚴(yán)重會(huì)使整個(gè)網(wǎng)絡(luò)不能正常通信。</p><p>　　這種基于ARP欺騙的Flooding攻擊，也可以稱作“拒絕服務(wù)式攻擊（D.O.S）”。而如果攻擊者先對(duì)目標(biāo)主機(jī)進(jìn)行D.O.S攻擊,使其不能對(duì)外部作出任何反應(yīng)之后，再將自身主

51、機(jī)的IP地址和MAC地址分別改為目標(biāo)主機(jī)的IP地址和MAC地址，代替它接收一切數(shù)據(jù)包，從而進(jìn)一步實(shí)施各種非法操作。那么這樣一種攻擊方式，我們也可以稱作“克隆攻擊”。</p><p>　　2.3.5 ARP網(wǎng)頁(yè)劫持攻擊</p><p>　　ARP網(wǎng)頁(yè)劫持攻擊其實(shí)也可以說(shuō)是利用了“中間人”攻擊的原理。局域網(wǎng)內(nèi)用戶訪問(wèn)網(wǎng)頁(yè)時(shí)，網(wǎng)頁(yè)源代碼的頭部被插入代碼“<iframe 81"13

52、=’包含病毒或者木馬程序的網(wǎng)頁(yè)地址’> </iframe>或者“<script>可以使瀏覽器自動(dòng)下載病毒或者木馬程序的腳本內(nèi)容</script>”，訪問(wèn)網(wǎng)頁(yè)不順暢，提示腳本錯(cuò)誤，同時(shí)殺毒軟件的網(wǎng)頁(yè)監(jiān)控提示網(wǎng)頁(yè)存在病毒。但是當(dāng)檢查服務(wù)器上網(wǎng)頁(yè)的原始代碼時(shí)卻發(fā)現(xiàn)沒(méi)有任何異常。這種情況很可能就是ARP網(wǎng)頁(yè)劫持攻擊引起的。</p><p>　　根據(jù)網(wǎng)頁(yè)內(nèi)容傳輸過(guò)程中，ARP網(wǎng)頁(yè)劫

53、持發(fā)生的區(qū)段位置不同，我們可以把ARP網(wǎng)頁(yè)劫持攻擊分成兩種情況：發(fā)生在客戶端所在局域網(wǎng)內(nèi)的ARP網(wǎng)頁(yè)劫持攻擊和發(fā)生在服務(wù)器所在局域網(wǎng)內(nèi)的ARP網(wǎng)頁(yè)劫持攻擊。</p><p>　?、?客戶端ARP網(wǎng)頁(yè)劫持</p><p>　　如果客戶端所在的網(wǎng)絡(luò)中存在進(jìn)行ARP攻擊的主機(jī)，ARP攻擊主機(jī)通過(guò)ARP欺騙篡改網(wǎng)關(guān)的ARP緩存表，在網(wǎng)關(guān)與網(wǎng)頁(yè)客戶端主機(jī)之間建立單向代理。服務(wù)器返回到客戶端瀏覽器的信

54、息是按照“網(wǎng)頁(yè)服務(wù)器—>外部網(wǎng)絡(luò)—>客戶端所在網(wǎng)絡(luò)網(wǎng)關(guān)—>ARP攻擊主機(jī)—>客戶端主機(jī)”的路徑進(jìn)行發(fā)送的。ARP攻擊主機(jī)并不修改HTTP請(qǐng)求信息，但是它修改網(wǎng)頁(yè)服務(wù)器的返回信息，在其中加入木馬或病毒鏈接。這樣一來(lái)，客戶端所在網(wǎng)絡(luò)中的多數(shù)主機(jī)訪問(wèn)任何WEB頁(yè)面時(shí)，反病毒軟件的網(wǎng)頁(yè)監(jiān)控均提示發(fā)現(xiàn)病毒。 </p><p>　?、?服務(wù)器端ARP網(wǎng)頁(yè)劫持</p><p>　

55、　如果WEB服務(wù)器所在的網(wǎng)絡(luò)存在ARP攻擊主機(jī)，那么ARP攻擊主機(jī)通過(guò)ARP欺騙污染W(wǎng)EB服務(wù)器的ARP緩存表，在WE B服務(wù)器和網(wǎng)關(guān)之間建立單向代理。從WEB服務(wù)器返回網(wǎng)頁(yè)訪問(wèn)客戶端的信息是按照“WEB服務(wù)器一>ARP攻擊主機(jī)一服務(wù)器所在網(wǎng)絡(luò)網(wǎng)關(guān)一>外部網(wǎng)絡(luò)一>網(wǎng)頁(yè)客戶端”的路徑進(jìn)行發(fā)送的。ARP攻擊主機(jī)監(jiān)聽(tīng)WEB服務(wù)器80端口的HTTP應(yīng)答包，并進(jìn)行篡改，加入木馬或病毒鏈接，然后通過(guò)網(wǎng)關(guān)發(fā)送給客戶端。這時(shí)，用戶訪問(wèn)

56、此WEB服務(wù)器所在網(wǎng)段的所有服務(wù)器，均出現(xiàn)網(wǎng)頁(yè)源代碼頂部被加入惡意代碼鏈接的情況。</p><p>　　2.4 簡(jiǎn)單模擬ARP欺騙</p><p>　　因?yàn)樵诰钟蚓W(wǎng)實(shí)際應(yīng)用中遭受ARP欺騙攻擊的情況是比較普遍的，所以如何在實(shí)驗(yàn)環(huán)境下模擬ARP欺騙攻擊就顯得很重要。由于客觀條件限制，在模擬攻擊實(shí)驗(yàn)中我不進(jìn)行小型組網(wǎng)，而是將實(shí)驗(yàn)環(huán)境設(shè)置為在我的Notebook PC上安裝VMWare virt

57、ual machine，操作系統(tǒng)為Windows XP OS，虛擬機(jī)分別編號(hào)A、B、C。在綜合各個(gè)相對(duì)零散的小實(shí)驗(yàn)后，我總結(jié)了兩個(gè)比較典型的ARP欺騙攻擊實(shí)驗(yàn)：利用“網(wǎng)絡(luò)執(zhí)法官”軟件和編寫小程序來(lái)模擬。</p><p>　　2.4.1 采用軟件模擬ARP欺騙</p><p>　　首先在VMWare中使用host-only模式，在啟動(dòng)操作系統(tǒng)后，VMWare會(huì)為A、B、C的虛擬網(wǎng)卡分配不通的

58、MAC地址，我們可以人為配置IP地址，其IP-MAC地址對(duì)應(yīng)表如圖2-4所示，子網(wǎng)掩碼為255.255.255.0。然后在虛機(jī)C上安裝“網(wǎng)絡(luò)執(zhí)法官”軟件，破壞虛機(jī)A、B之間的正常通信。</p><p>　　圖2-4 攻擊前虛機(jī)的IP-MAC對(duì)應(yīng)關(guān)系</p><p>　　這里對(duì)“網(wǎng)絡(luò)執(zhí)法官”軟件做一個(gè)簡(jiǎn)要介紹。它是一款局域網(wǎng)管理輔助軟件，采用網(wǎng)絡(luò)底層協(xié)議，能穿透各種客戶端防火墻，對(duì)網(wǎng)絡(luò)中的

59、每一臺(tái)主機(jī)進(jìn)行監(jiān)控，采用MAC識(shí)別用戶，可靠性高。本軟件的主要功能是依據(jù)管理員為各主機(jī)限定的權(quán)限，實(shí)時(shí)監(jiān)控整個(gè)局域網(wǎng)，并自動(dòng)將非法用戶與網(wǎng)絡(luò)中某些主機(jī)或整個(gè)網(wǎng)絡(luò)隔離，而且無(wú)論局域網(wǎng)中的主機(jī)運(yùn)行何種防火墻，都不能逃避監(jiān)控，也不會(huì)引發(fā)防火墻警告，提高了網(wǎng)絡(luò)安全性。管理員可以實(shí)現(xiàn)如禁止某些主機(jī)在指定的時(shí)段訪問(wèn)外網(wǎng)或徹底禁止某些主機(jī)訪問(wèn)外網(wǎng)；保護(hù)網(wǎng)絡(luò)中關(guān)鍵主機(jī)，只允許指定的主機(jī)訪問(wèn)等功能。</p><p>　　安裝完“網(wǎng)

60、絡(luò)執(zhí)法官”之后，運(yùn)行它，選中“網(wǎng)卡復(fù)選框”，在監(jiān)控范圍內(nèi)選擇窗口中的指出網(wǎng)卡所在子網(wǎng)的所有可用IP地址。在進(jìn)行攻擊前，我們可以再次在各虛機(jī)的D0S命令窗口中運(yùn)行命令ipconfig /all和arp –a，以獲得被攻擊前各虛機(jī)的IP-MAC地址，再用ping命令測(cè)試各虛機(jī)之間是否能正常通信。</p><p>　　然后開(kāi)始模擬攻擊，在虛機(jī)C上，進(jìn)入“網(wǎng)絡(luò)執(zhí)法官”的管理界面，右鍵單擊被攻擊的虛機(jī)B，從快捷菜單中選擇“

61、手工管理”。這里有三種攻擊方式：IP地址沖突攻擊，即制造主機(jī)間的IP沖突；禁止與關(guān)鍵主機(jī)連接攻擊；禁止與所有其他主機(jī)連接。后面這兩種方式都是用來(lái)制造主機(jī)間的ARP欺騙?？梢栽凇邦l率”中選擇每N秒N次，頻率越高，攻擊效果越明顯。選項(xiàng)完成后點(diǎn)擊“開(kāi)始”，攻擊就開(kāi)始了。之后我們可以再在虛機(jī)A、B之間用ping命令測(cè)試，提示“Request timed out”，表明通信斷了。</p><p>　　在虛機(jī)A上用命令arp

62、 –a重新獲得MAC地址表，比較攻擊前后的MAC地址表，可以發(fā)現(xiàn)ARP緩存表中虛機(jī)B的MAC地址已經(jīng)被篡改了，這就表明模擬ARP欺騙攻擊成功。如圖2-5所示。</p><p>　　圖2-5 攻擊后虛機(jī)A、B的IP-MAC對(duì)應(yīng)關(guān)系</p><p>　　2.4.2 采用編程模擬ARP欺騙</p><p>　　當(dāng)前有很多攻擊者喜歡利用ARP協(xié)議的欺騙原理編寫木馬或者病毒

63、程序來(lái)對(duì)網(wǎng)絡(luò)中的主機(jī)進(jìn)行攻擊。這里我們也可以用C++語(yǔ)言來(lái)編寫一段程序模擬這種欺騙攻擊。限于篇幅考慮，只列出相關(guān)主程序如下：</p><p><b>　　………………</b></p><p>　　3 ARP欺騙的防御技術(shù)</p><p>　　本章在實(shí)踐的基礎(chǔ)上，總結(jié)了一些較為有效的ARP欺騙檢測(cè)和防御手段，并分析它們優(yōu)劣特點(diǎn)和適用的環(huán)境，揚(yáng)長(zhǎng)

64、避短、相互結(jié)合，以期達(dá)到更好的防御效果。</p><p>　　3.1 ARP欺騙的檢測(cè)</p><p>　　3.1.1 手動(dòng)檢測(cè)</p><p>　?、?命令查看和抓包分析 </p><p>　　可以通過(guò)DOS命令查看主機(jī)或路由器等網(wǎng)關(guān)設(shè)備上的ARP緩存表。使用抓包軟件(如windump、sniffer pro 等)在局域網(wǎng)內(nèi)抓去ARP

65、的Reply報(bào)文, 以windump為例,假設(shè)192.168.0.1是網(wǎng)關(guān)地址, 抓下來(lái)的包只分析包含有“reply”字符的,格式如下:18:25:15.706335 arp reply192.168.0.1is- at 00:07:ec:e1:c8:c3。如果最后的MAC地址不是網(wǎng)關(guān)的真實(shí)MAC地址的話, 那就說(shuō)明有ARP欺騙存在,而這個(gè)MAC地址就是那臺(tái)進(jìn)行ARP 欺騙主機(jī)的MAC地址。這種方法簡(jiǎn)單易行,無(wú)需特別權(quán)限設(shè)置,所有用戶都

66、可以做,誤判率較小。但必須在局域網(wǎng)內(nèi)部(廣播域內(nèi)部)聽(tīng)包才有效。</p><p>　?、?對(duì)IP-MAC映射關(guān)系的監(jiān)控 </p><p>　　在網(wǎng)絡(luò)正常時(shí), 使用NBTSCAN等工具掃描全網(wǎng)段的IP 地址和MAC地址, 保存一個(gè)全網(wǎng)的IP-MAC地址對(duì)照表備用。</p><p>　?、?對(duì)三層交換機(jī)的監(jiān)控</p><p>　　登陸局域網(wǎng)的上聯(lián)

67、三層交換機(jī),并查看交換機(jī)的ARP緩存表。如果在ARP表中存在一個(gè)MAC對(duì)應(yīng)多個(gè)IP的情況, 就表明極可能存在ARP欺騙攻擊, 而這個(gè)MAC就是欺騙主機(jī)的MAC。</p><p>　?、?對(duì)二層交換機(jī)的監(jiān)測(cè)</p><p>　　在接入二層交換機(jī)上利用轉(zhuǎn)發(fā)表找出病毒機(jī)器的MAC- PORT對(duì)應(yīng)的網(wǎng)絡(luò)端口,對(duì)端口進(jìn)行隔離或?qū)υ揗AC的數(shù)據(jù)包進(jìn)行過(guò)濾。該方法的優(yōu)點(diǎn)是對(duì)ARP攻擊源進(jìn)行封堵，可防止中

68、毒機(jī)器利用其它機(jī)器的漏洞進(jìn)行病毒傳播，及時(shí)地將攻擊源隔離出網(wǎng)絡(luò), 使病毒機(jī)器暫時(shí)不能上網(wǎng)也不會(huì)對(duì)整個(gè)網(wǎng)絡(luò)造成危害。但該方法也存在一定的局限性.它的實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)交換設(shè)備有較強(qiáng)的依賴性。系統(tǒng)要求不斷收集三層交換機(jī)上的IP-MAC信息和各接入層交換機(jī)的MAC-PORT信息表。用戶端口一旦被查封, 一定要通過(guò)其它方式告知用戶,請(qǐng)用戶及時(shí)處理病毒機(jī)器。機(jī)器恢復(fù)正常時(shí)應(yīng)及時(shí)開(kāi)通被查封的端口。</p><p>　　3.1.2 自

69、動(dòng)檢測(cè)</p><p><b>　?、?使用檢測(cè)軟件</b></p><p>　　諸如ARP Watch、ARP Guard、ARP 防火墻等軟件均可用于動(dòng)態(tài)檢測(cè)局域網(wǎng)內(nèi)的ARP欺騙攻擊。ARPWatch是一個(gè)在局域網(wǎng)內(nèi)監(jiān)聽(tīng)ARP報(bào)文的專用工具。在監(jiān)測(cè)到IP-MAC地址映射出現(xiàn)可疑的改變時(shí)，通過(guò)郵件通知網(wǎng)絡(luò)管理員。ARP Watch輕便有效，特別適用于小規(guī)模網(wǎng)絡(luò)。入侵

70、監(jiān)測(cè)系統(tǒng)Snort也具有與ARP watch相類似的ARP欺騙監(jiān)測(cè)功能，但它主要是一個(gè)安全預(yù)警軟件，ARP欺騙監(jiān)測(cè)只是其中一小部分功能，應(yīng)用具有局限性。ARP Guard采用了一種基于SNMP探針的分布式監(jiān)測(cè)架構(gòu)，通過(guò)對(duì)網(wǎng)絡(luò)監(jiān)聽(tīng)和SNMP探針取得的信息分別進(jìn)行動(dòng)態(tài)分析，以判斷網(wǎng)絡(luò)中是否有ARP欺騙并及時(shí)通知網(wǎng)絡(luò)管理員。與ARP Watch相比，ARP Guard增加了SNMP探針模塊，可以應(yīng)用于大規(guī)模網(wǎng)絡(luò)。但ARP Guard是一款商業(yè)

71、軟件，不能免費(fèi)使用。</p><p>　　ARP Watch、ARP Guard僅監(jiān)測(cè)網(wǎng)絡(luò)中是否存在ARP欺騙，并不主動(dòng)向外發(fā)送ARP報(bào)文；相比之下，ARP防火墻則在監(jiān)測(cè)網(wǎng)絡(luò)是否存在ARP欺騙的同時(shí)，還主動(dòng)向外發(fā)送ARP報(bào)文，防止對(duì)本機(jī)進(jìn)行ARP欺騙。ARP防火墻是一種安裝在用戶主機(jī)上的ARP欺騙監(jiān)測(cè)軟件 ，能夠動(dòng)態(tài)監(jiān)測(cè)局域網(wǎng)內(nèi)針對(duì)本主機(jī)和針對(duì)網(wǎng)關(guān)的ARP欺騙。但是如果設(shè)置錯(cuò)誤，主動(dòng)監(jiān)測(cè)的ARP防火墻會(huì)向局域網(wǎng)內(nèi)

72、發(fā)送大量ARP報(bào)文，造成ARP報(bào)文的廣播風(fēng)暴，影響網(wǎng)絡(luò)通信。因此ARP防火墻的應(yīng)用具有兩面性。</p><p>　?、?針對(duì)ARP報(bào)文的檢測(cè)</p><p>　　基于“所有的攻擊都是從PC終端上發(fā)起的，如果能從終端操作平臺(tái)采取防范措施，這些不安全因素將從終端源頭被控制”的思想，從局域網(wǎng)中的每個(gè)終端人手，提出一種檢測(cè)ARP欺騙攻擊的主要思路：對(duì)每個(gè)主機(jī)發(fā)送和接收的ARP報(bào)文進(jìn)行一致性檢測(cè)，實(shí)

73、施發(fā)送方身份認(rèn)證。</p><p>　　按照這種思路，我們首先對(duì)ARP頭信息進(jìn)行異常檢測(cè)。通過(guò)對(duì)眾多的ARP攻擊工具和利用ARP攻擊手段的病毒的分析，發(fā)現(xiàn)攻擊流量中存在大量頭信息異常的ARP報(bào)文，這些非一致頭信息的ARP報(bào)文都是偽造的ARP欺騙報(bào)文。在每個(gè)ARP報(bào)文中的數(shù)據(jù)幀報(bào)頭和ARP分組中都包含有發(fā)送端的硬件信息即MAC地址。正常情況下以太網(wǎng)數(shù)據(jù)幀中，幀頭相應(yīng)的MAC地址應(yīng)該和幀數(shù)據(jù)中ARP分組相應(yīng)的MAC地

74、址一致，這樣的ARP報(bào)文才算是正確的。攻擊者為了防止被追查，通常在ARP欺騙數(shù)據(jù)報(bào)文不會(huì)留下發(fā)送虛假信息的主機(jī)地址，而是偽造一個(gè)假的地址填充到報(bào)文中，但是承載這個(gè)ARP報(bào)文的以太網(wǎng)數(shù)據(jù)幀卻包含了它真實(shí)的源MAC地址。</p><p>　　即使以太網(wǎng)的數(shù)據(jù)幀頭里的相應(yīng)的MAC地址和幀數(shù)據(jù)包中ARP分組相應(yīng)的的MAC地址一致，也不能斷定這個(gè)ARP報(bào)文不是欺騙或攻擊的報(bào)文，一些高明的攻擊者能利用正確的ARP報(bào)文甚至偽造

75、出格式完全正確的ARP報(bào)文發(fā)起ARP攻擊。因此，我們還要對(duì)ARP攻擊進(jìn)行檢測(cè)。如果能夠?qū)邮盏腁RP報(bào)文實(shí)施發(fā)送方身份認(rèn)證，拒絕未通過(guò)認(rèn)證的報(bào)文，那么就能檢測(cè)出ARP欺騙攻擊報(bào)文?；诮邮盏腁RP報(bào)文中的MAC地址和IP地址等信息，可以構(gòu)造相應(yīng)的協(xié)議上層數(shù)據(jù)包如IP層或傳輸層數(shù)據(jù)包，注入到網(wǎng)絡(luò)中，根據(jù)其是否響應(yīng)數(shù)據(jù)報(bào)文以及響應(yīng)數(shù)據(jù)報(bào)文中的MAC地址和IP地址等信息，就能驗(yàn)證接收的ARP報(bào)文中MAC地址和IP地址的真實(shí)性，從而實(shí)施對(duì)接收的

76、ARP報(bào)文的認(rèn)證。</p><p>　?、?基于Windows OS自身函數(shù)的檢測(cè)</p><p><b>　　① 獲得網(wǎng)關(guān)地址</b></p><p>　　可以用系統(tǒng)函數(shù)Get IpAddr Table( )獲得Windows系統(tǒng)中的路由表,找到Default Gateway ,自動(dòng)獲得系統(tǒng)網(wǎng)關(guān)的IP地址。相關(guān)代碼如下:</p>

77、<p>　?、?獲取ARP緩存表中網(wǎng)關(guān)的MAC地址</p><p>　　用SendARP()函數(shù)獲取系統(tǒng)網(wǎng)關(guān)對(duì)應(yīng)的MAC 地址。如果Windows 系統(tǒng)的ARP 緩存中有網(wǎng)關(guān)對(duì)應(yīng)的記錄,該函數(shù)獲得ARP 緩存中記錄的MAC 地址。如果Windows 系統(tǒng)的ARP 緩存中不存在網(wǎng)關(guān)對(duì)應(yīng)的記錄,該函數(shù)會(huì)自動(dòng)發(fā)送一個(gè)ARP 請(qǐng)求包,根據(jù)返回的ARP 應(yīng)答包獲得網(wǎng)關(guān)對(duì)應(yīng)的MAC 地址。然后將該地址保存下來(lái)。相

78、關(guān)代碼如下:</p><p>　?、?獲取真實(shí)的網(wǎng)關(guān)MAC地址</p><p>　　先調(diào)用系統(tǒng)命令A(yù)RP - d清空系統(tǒng)ARP緩存,然后立即調(diào)用SendARP()函數(shù)。該函數(shù)根據(jù)返回的ARP應(yīng)答包獲得網(wǎng)關(guān)對(duì)應(yīng)的MAC地址，從而獲得網(wǎng)關(guān)對(duì)應(yīng)的真實(shí)MAC地址。為避免系統(tǒng)發(fā)送ARP請(qǐng)求包后,正好收到ARP 欺騙計(jì)算機(jī)的應(yīng)答包,可將該過(guò)程重復(fù)幾次。將獲得的MAC地址和前面保存的從緩存獲得的MAC地

79、址相比較。相關(guān)代碼如下：</p><p>　　3.2 ARP欺騙攻擊的防御</p><p>　　3.2.1 手動(dòng)防御</p><p>　?、?使用靜態(tài)ARP緩存表</p><p>　　防御ARP欺騙的最簡(jiǎn)單方法就是在交換機(jī)或路由器上靜態(tài)綁定IP-MAC地址映射關(guān)系，在主機(jī)上通過(guò)Windows 自帶的arp -s命令，可以將特定的IP 地址和M

80、AC地址進(jìn)行綁定，實(shí)現(xiàn)一定的ARP 欺騙防御。如果是Windows OS的主機(jī)還可以編寫一個(gè)批處理文件，后綴為.bat，其內(nèi)容為：</p><p><b>　　@echo off</b></p><p><b>　　arp - d</b></p><p>　　arp –s IP地址 MAC地址</p><

81、;p>　　若想讓系統(tǒng)每次啟動(dòng)時(shí)都能自動(dòng)地加載靜態(tài)ARP ,則可將這個(gè)批處理軟件拖到“ windows ——開(kāi)始——程序——啟動(dòng)”中。</p><p>　　使用靜態(tài)綁定IP-MAC地址的方法對(duì)于防御ARP欺騙攻擊非常有效，但是它的不足也是顯而易見(jiàn)的：僅適用于小規(guī)模局域網(wǎng)以及采用靜態(tài)IP分配的場(chǎng)合，無(wú)論是主機(jī)還是網(wǎng)絡(luò)設(shè)備，配置工作都很麻煩。對(duì)于交換機(jī)下聯(lián)客戶機(jī)變換頻繁的場(chǎng)合，基本無(wú)可用性；對(duì)于主機(jī)需要通信的目標(biāo)

82、很多，不可能一個(gè)一個(gè)都綁起來(lái)；容易失效，這種方法進(jìn)行的綁定，一拔掉網(wǎng)線或者關(guān)機(jī)、注銷就全部失效了。而且使用靜態(tài)ARP 緩存增大了網(wǎng)絡(luò)維護(hù)量,在較大或經(jīng)常移動(dòng)主機(jī)的網(wǎng)絡(luò)中這樣做更為困難。只能防止ARP 欺騙,對(duì)IP 地址沖突、Flood 攻擊仍然沒(méi)有辦法阻止。</p><p>　　這里，我們簡(jiǎn)單示例在銳捷接入層交換機(jī)上的手動(dòng)防御配置：</p><p>　?、?交換機(jī)地址綁定 <

83、/p><p><b>　　……</b></p><p><b>　?、?防范主機(jī)欺騙</b></p><p><b>　　……</b></p><p><b>　?、?防范網(wǎng)關(guān)欺騙</b></p><p><b>　　……&l

84、t;/b></p><p>　?、?采用VLAN技術(shù)隔離端口</p><p>　　另一種有效的手動(dòng)防御方法是在局域網(wǎng)中增加VLAN的數(shù)目，減少VLAN中的主機(jī)數(shù)量?？梢愿鶕?jù)網(wǎng)絡(luò)需要在拓?fù)浣Y(jié)構(gòu)中多劃分若干個(gè)VLAN，這樣既能夠在發(fā)生ARP攻擊時(shí)減少所影響的網(wǎng)絡(luò)范圍，又能夠在發(fā)生ARP攻擊時(shí)便于定位出現(xiàn)的網(wǎng)段和具體的主機(jī)。缺點(diǎn)同樣是增加了網(wǎng)絡(luò)維護(hù)的復(fù)雜度，也無(wú)法自動(dòng)適應(yīng)網(wǎng)絡(luò)的動(dòng)態(tài)變化。&

85、lt;/p><p>　　3.2.2 自動(dòng)防御</p><p>　?、臘HCP Snooping</p><p>　　在采用動(dòng)態(tài)分配IP地址的較大局域網(wǎng)里，針對(duì)仿冒、欺騙網(wǎng)關(guān)、ARP“中間人”攻擊等，我們可以采用DHCP Snooping技術(shù)。它是運(yùn)行在二層接人設(shè)備上的一種DHCP安全特性，其實(shí)現(xiàn)原理是：接人層交換機(jī)監(jiān)控用戶動(dòng)態(tài)申請(qǐng)IP地址的全過(guò)程，記錄用戶的IP、MA

86、C和端口信息，并且在接入交換機(jī)上做多元素綁定，從而從根本上阻斷非法ARP報(bào)文的傳播。DHCP Snooping通過(guò)監(jiān)聽(tīng)DHCP報(bào)文，記錄DHCP客戶端IP地址與MAC地址的對(duì)應(yīng)關(guān)系。并且設(shè)置DHCP Snooping信任端口，保證客戶端從合法的服務(wù)器獲取IP地址。信任端口正常轉(zhuǎn)發(fā)接收到的DHCP報(bào)文，從而保證了'DHCP客戶端能夠從DHCP服務(wù)器獲取IP地址。不信任端口接收到DHCP服務(wù)器響應(yīng)的DHCP—ACK和DHCP—OFF

87、ER報(bào)文后，丟棄該報(bào)文，從而防止了DHCP客戶端獲得錯(cuò)誤的IP地址。</p><p>　　圖3-1 交換機(jī)上的DHCP Snooping功能配置方法</p><p>　　⑵ 使用ARP服務(wù)器</p><p>　　在局域網(wǎng)內(nèi)部的設(shè)置一臺(tái)機(jī)器作為ASP服務(wù)器,專門保存并且維護(hù)網(wǎng)絡(luò)內(nèi)的所有主機(jī)的IP地址與MAC地址映射記錄, 使其他計(jì)算機(jī)的ARP 配置只接受來(lái)自ARP服

88、務(wù)器的ARP 響應(yīng)。當(dāng)有ARP請(qǐng)求時(shí)該服務(wù)器通過(guò)查閱自己緩存的靜態(tài)記錄并以被查詢主機(jī)的名義響應(yīng)ARP局域網(wǎng)內(nèi)部的請(qǐng)求，從而防止了ARP欺騙攻擊的發(fā)生。但是這個(gè)方法也有不足，首先要保證ARP服務(wù)器不被攻擊，確保ARP服務(wù)器的安全；其次要保證主機(jī)只接受指定ARP服務(wù)器的ARP Reply報(bào)文，要做到這一點(diǎn)，目前還是比較困難的。</p><p>　?、?基于ARP報(bào)文的防御算法</p><p>

89、　　在3.1.2自動(dòng)檢測(cè)一節(jié)當(dāng)中，我們提到了針對(duì)ARP報(bào)文的檢測(cè)方法。其實(shí)針對(duì)ARP報(bào)文的檢測(cè)和防御是緊密結(jié)合的，并沒(méi)有太大的分界，這在防御的算法上比較直觀地表現(xiàn)出來(lái)。</p><p>　?、?通過(guò)檢測(cè)ARP報(bào)文頭信息來(lái)防御的算法</p><p><b>　　……</b></p><p>　　② 通過(guò)檢測(cè)ARP攻擊并過(guò)濾ARP報(bào)文來(lái)防御的算法&

90、lt;/p><p><b>　　……</b></p><p>　?、?基于DAI的ARP欺騙防御</p><p>　　通過(guò)我們對(duì)欺騙產(chǎn)生的分析可知，如何部署對(duì)A R P 報(bào)文的有效性檢驗(yàn)是預(yù)防ARP攻擊的根本。Cisco開(kāi)發(fā)的動(dòng)態(tài)ARP報(bào)文檢測(cè)(Dynamic Arp Inspection），就是利用DHCP服務(wù)記錄的申請(qǐng)者的Mac地址、IP地址以

91、及相應(yīng)的交換機(jī)端口號(hào)，提供了一種比較完善的解決方案，其主要的工作流程如圖3-2所示。</p><p>　　圖3-2 DAI的工作流程</p><p>　　交換機(jī)端口收到ARP報(bào)文時(shí)，會(huì)提取該報(bào)文中的源MAC地址與IP地址對(duì)，將其與DHCP Snooping Binding 表中的相關(guān)地址進(jìn)行比較，如果一致，就允許該報(bào)文通過(guò)，如果不一致的話則認(rèn)為該報(bào)文非法，禁止該報(bào)文通過(guò)，并生成報(bào)警日志。

92、對(duì)于收到非法ARP報(bào)文的端口，可以設(shè)置其端口的狀態(tài)為進(jìn)入錯(cuò)誤（Err-disable）狀態(tài)，關(guān)閉該端口流量。</p><p>　　對(duì)于一些需要配置靜態(tài)I P地址的服務(wù)器來(lái)說(shuō)，手工添加“DHCP Snooping Binding”表的綁定記錄是必須的；或者添加ARP ACL（ARP訪問(wèn)控制列表）或者將相應(yīng)的交換機(jī)端口置于不檢驗(yàn)ARP報(bào)文的狀態(tài)，即DAI的信任端口。三者的區(qū)別在于：前者使“DHCP Snooping

93、Binding”表增加一條記錄；ARP Acl優(yōu)先于DAI檢測(cè)，允許相應(yīng)的擁有合法源MAC和IP地址的ARP報(bào)文通過(guò)；后者則允許該端口所有的ARP報(bào)文通過(guò)，無(wú)論是否合法。</p><p>　　假設(shè)交換機(jī)B為Cisco 3750；交換機(jī)B連接DHCP服務(wù)器數(shù)據(jù)來(lái)源的端口“GigabitEthernet1/1”；連接FTP 服務(wù)器的端口為“GigabitEthernet1/2”，F(xiàn)TP服務(wù)器的硬件地址為“MAC F：

94、0000.00ff.ffff”，IP地址為靜態(tài)的“IP FF:10.1.1.10”。三臺(tái)主機(jī)和FTP服務(wù)器均屬于Vlan105，Vlan105 的網(wǎng)關(guān)接口置于交換機(jī)B內(nèi)。DAI配置網(wǎng)絡(luò)拓?fù)鋱D如圖3-3所示。</p><p>　　圖3-3 DAI配置網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　在交換機(jī)B中配置DAI的命令如下：</p><p><b>　　……<

95、/b></p><p>　　4 校園網(wǎng)ARP欺騙的立體防御方案</p><p>　　結(jié)合參與學(xué)院校園網(wǎng)絡(luò)的實(shí)踐，本章著重探究校園網(wǎng)ARP欺騙的立體防御方案體系，多角度、多元素協(xié)同防御，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)病毒和攻擊等安全事件自動(dòng)發(fā)現(xiàn)、自動(dòng)處理、自動(dòng)通知、自動(dòng)解除的全局安全聯(lián)動(dòng)。主要包括基于802.1x協(xié)議的認(rèn)證防御、銳捷GSN方案的原理、GSN防御體系的構(gòu)成和GSN+ARP-Check體系幾

96、個(gè)部分。</p><p>　　4.1 基于802.1x協(xié)議的認(rèn)證防御</p><p>　　4.1.1 IEEE 802.1x認(rèn)證系統(tǒng)</p><p>　　802. 1x 是IEEE 為了解決基于端口的接入控制而定義的標(biāo)準(zhǔn),被稱為基于端口的訪問(wèn)控制協(xié)議。它提供了一種對(duì)設(shè)備進(jìn)行認(rèn)證和授權(quán)的方法,在認(rèn)證和授權(quán)過(guò)程失敗的情況下防止對(duì)端口進(jìn)行訪問(wèn),現(xiàn)在更多地用于園區(qū)網(wǎng)的有線接

97、入控制。IEEE 802.1x認(rèn)證系統(tǒng)的體系結(jié)構(gòu)主要包括三個(gè)重要部分：客戶端請(qǐng)求系統(tǒng)、認(rèn)證系統(tǒng)、認(rèn)證服務(wù)器系統(tǒng)。體系結(jié)構(gòu)如圖4-1所示。</p><p>　　圖4-1 802.1x認(rèn)證系統(tǒng)體系結(jié)構(gòu)</p><p>　　⑴ 客戶端請(qǐng)求系統(tǒng)（Supplicant System）</p><p>　　請(qǐng)求者通常是支持802. 1x 認(rèn)證的用戶終端設(shè)備,如客戶機(jī)安裝Win

98、dowsXP 操作系統(tǒng)就已支持802. 1x 認(rèn)證,而大多數(shù)的廠商都開(kāi)發(fā)了各自的客戶端軟件,用戶通過(guò)啟動(dòng)客戶端軟件發(fā)起802. lx 認(rèn)證。</p><p>　?、?認(rèn)證系統(tǒng)（Authenticator System）</p><p>　　認(rèn)證系統(tǒng)通常為支持802. lx 協(xié)議的網(wǎng)絡(luò)設(shè)備組成,簡(jiǎn)稱NAS (Network Access Server) ,如Cisco 系列交換機(jī)、H3C 等

99、公司的系列交換機(jī),它為請(qǐng)求者提供服務(wù)端口,以實(shí)現(xiàn)用戶的802. 1x 認(rèn)證。802. 1x 認(rèn)證技術(shù)的操作粒度為端口,端口可以是一個(gè)物理端口或邏輯端口,這個(gè)端口在邏輯上又分為“可控端口”(Controlled Port) 與“不可控端口”(Uncontrolled Port) 。“可控端口”只在客戶端認(rèn)證通過(guò)的情況下才打開(kāi),一旦認(rèn)證成功,請(qǐng)求方就可以通過(guò)“可控端口”訪問(wèn)網(wǎng)絡(luò)資源并獲得相應(yīng)的服務(wù)。“不可控端口”始終處于雙向連通狀態(tài),主要用

100、來(lái)傳遞EAP 協(xié)議包,可保證客戶端始終可以向認(rèn)證方發(fā)出或接受認(rèn)證消息。</p><p>　?、?認(rèn)證服務(wù)器系統(tǒng)（Authentication Server System）</p><p>　　認(rèn)證服務(wù)器是為認(rèn)證系統(tǒng)提供認(rèn)證服務(wù)的實(shí)體,通常為RADIUS 服務(wù)器,該服務(wù)器可以存儲(chǔ)有關(guān)用戶的信息,并能進(jìn)行賬戶管理等。</p><p>　?、?802.1x認(rèn)證機(jī)制及流程

101、</p><p><b>　　如圖4-2所示。</b></p><p>　　圖4-2 802.1x認(rèn)證機(jī)制及流程</p><p>　　在這樣的機(jī)制和流程中,不同的廠商以RADIUS服務(wù)器為核心,開(kāi)發(fā)了不同的認(rèn)證計(jì)費(fèi)管理系統(tǒng),如H3C的CAMS系統(tǒng),銳捷的SAMS管理系統(tǒng)等。我所在的學(xué)校使用的是銳捷的SAMS管理系統(tǒng)，主要是配合支持802.1x

102、協(xié)議的交換機(jī)和相應(yīng)的客戶端程序,完成對(duì)用戶上網(wǎng)過(guò)程的認(rèn)證、授權(quán)和計(jì)費(fèi),并提供一個(gè)綜合管理的平臺(tái)。當(dāng)用戶通過(guò)認(rèn)證后,認(rèn)證服務(wù)器會(huì)把用戶的相關(guān)信息傳遞給認(rèn)證系統(tǒng)將記錄與管理用戶的上網(wǎng),構(gòu)建動(dòng)態(tài)的訪問(wèn)控制列表,進(jìn)行不同級(jí)別的計(jì)費(fèi),并實(shí)施與客戶端進(jìn)行一些交互等等,從而實(shí)現(xiàn)認(rèn)證、授權(quán)和管理功能。這為進(jìn)一步增強(qiáng)其防御ARP欺騙攻擊的功能提供了理論與實(shí)際的依據(jù)。</p><p>　　4.1.2 基于802.1x認(rèn)證的ARP防御

103、技術(shù)</p><p>　　鑒于802.1x的認(rèn)證機(jī)制，我們可以通過(guò)認(rèn)證服務(wù)器與客戶端之間的聯(lián)動(dòng)來(lái)實(shí)現(xiàn)防御ARP欺騙攻擊的技術(shù),從而加強(qiáng)ARP欺騙攻擊的控制和管理。具體實(shí)現(xiàn)的技術(shù)如下：</p><p>　?、?定期更新ARP列表,增強(qiáng)用戶主機(jī)的防御功能</p><p>　　RADIUS綜合認(rèn)證計(jì)費(fèi)管理服務(wù)器在接受到客戶端的上網(wǎng)認(rèn)證請(qǐng)求后,要進(jìn)行一系列的處理,當(dāng)允許用戶

104、接入上網(wǎng)時(shí),記錄合法用戶的IP和MAC地址并填入相關(guān)數(shù)據(jù)庫(kù)的ARP列表,并且通過(guò)NAS給客戶端發(fā)送允許上網(wǎng)的命令,下發(fā)記錄在數(shù)據(jù)庫(kù)中的對(duì)應(yīng)該用戶這一網(wǎng)段的正確的ARP列表內(nèi)容,特別是網(wǎng)關(guān)的IP和MAC地址。增加下發(fā)ARP列表的內(nèi)容都是本網(wǎng)段上網(wǎng)機(jī)器的IP和MAC地址, RADIUS認(rèn)證服務(wù)器很容易從這些機(jī)器的上網(wǎng)認(rèn)證過(guò)程中獲得。客戶端接收到下發(fā)的ARP列表內(nèi)容,把它寫入本機(jī)的ARP表項(xiàng)，執(zhí)行ARP靜態(tài)綁定。然后再結(jié)合認(rèn)證系統(tǒng)可以定期發(fā)起

105、重認(rèn)證的功能,使每次重認(rèn)證通過(guò)時(shí),RADIUS服務(wù)器都向客戶端下發(fā)新的正確的ARP列表內(nèi)容,不斷維持客戶端主機(jī)ARP表項(xiàng)的正確性</p><p>　?、?對(duì)ARP中毒的機(jī)器或故意進(jìn)行ARP欺騙攻擊的機(jī)器實(shí)施斷網(wǎng)防御功能</p><p>　　因?yàn)榘l(fā)生ARP 欺騙攻擊時(shí),會(huì)產(chǎn)生大量的ARP廣播報(bào)文,為此在客戶端軟件中增加檢測(cè)異常流量的模塊,使客戶端在探測(cè)到大量的ARP廣播時(shí),能進(jìn)行判斷并把它們

106、當(dāng)作異常流量,然后解析這些報(bào)文,提取發(fā)送方的IP與MAC地址,最后在響應(yīng)認(rèn)證設(shè)備的重認(rèn)證請(qǐng)求時(shí),把提取到的可能異常的IP與MAC地址附加在上傳數(shù)據(jù)報(bào)文中發(fā)給RADIUS認(rèn)證服務(wù)器。然后由認(rèn)證服務(wù)器解析提取對(duì)應(yīng)的IP與MAC地址,再與原來(lái)數(shù)據(jù)庫(kù)中的ARP表作比較,發(fā)現(xiàn)不正常的客戶端主機(jī)時(shí),便將其強(qiáng)制下線,甚至加入黑名單進(jìn)行一段時(shí)間的斷網(wǎng)處罰,直到他們進(jìn)行殺毒或作出檢查清理后再開(kāi)放上網(wǎng),從而有效地把中毒機(jī)器或故意進(jìn)行ARP欺騙攻擊的機(jī)器從8

107、02.1x的認(rèn)證交換機(jī)端口處予以阻斷上網(wǎng),避免對(duì)正常機(jī)器的干擾,起到積極的防御作用。</p><p>　　4.2 銳捷GSN解決方案原理</p><p>　　從第二章中對(duì)ARP欺騙產(chǎn)生根源的分析可知，ARP欺騙攻擊存在的原因，究其根本在于ARP協(xié)議本身的不完善，通信雙方的交互流程缺乏一個(gè)授信機(jī)制，使得非法的攻擊者能夠介入到正常的ARP交互中進(jìn)行欺騙。要從根本上解決ARP欺騙的問(wèn)題，必須要在