论文：局域网ARP欺骗攻击及安全防范策略

某某学院毕业论文院系：计算机与软件工程学院学号：班级：姓名：论文题目：局域网ARP欺骗攻击及安全防范策略指导老师：时间：二0一0年十二月局域网ARP欺骗攻击及安全防范策略摘要：介绍了ARP协议的功能和工作原理基础上，分析了当前ARP协议所存在的安全漏洞。重点讨论了利用ARP协议自身的安全缺陷进行网络攻击的多种实现方法以及这些攻击所带来的危害。最后根据实际的管理，给出了一些有效的安全抵御措施和检浏方法，并说明了这些方法的优点与缺点。关健词：ARP协议；安全缺陷；防范措施；攻击方式；检测方法Abstract:BasedonanintroductiontothefunctionsandworkingtheoryoftheARP(AddressResolutionProtocol),thispaperanalysesthesecurityholesinARP.ThesecurityvulnerabilityofARP,theattackingformsandpotentialdamagesareextensivelydiscussed.Severalprotectionsolutionsfordailymanagementsanddetectionaregiven,advantagesanddisadvantageofthesemeasuresaredetailed.Keyword:ARP;securityvulnerabilities;protectionmeasures;attackways;detectionmethod目录1、ARP协议的含义和工作原理……………………………………………………51.1、ARP协议简介……………………………………………………………51.2、ARP协议的数据结构……………………………………………………51.3、ARP协议的利用………………………………………………………51.3.1、交换网络的嗅探…………………………………………………51.3.2、IP地址冲突………………………………………………………61.3.3、阻止目标的数据包通过网关………………………………………61.3.4、通过ARP检测混杂模式节点………………………………………71.4、ARP协议的原理……………………………………………………………72、ARP协议存在的安全漏洞………………………………………………………83、ARP欺骗攻击实现的过程………………………………………………………93.1、网段内的ARP欺骗攻击…………………………………………………93.2跨网段的ARP欺骗攻击…………………………………………………104、ARP攻击的分类…………………………………………………………………104.1、ARP欺骗攻击……………………………………………………………104.2、网络监听…………………………………………………………………114.3、广泛拒绝服务攻击DOS…………………………………………………114.4、IP地址冲突………………………………………………………………124.5、克隆攻击…………………………………………………………………125、防范ARP攻击的解决方案………………………………………………………135.1、设置静态的ARP缓存表…………………………………………………135.2、交换机上绑定端口和MAC地址…………………………………………145.3、VLAN技术…………………………………………………………………155.4、建立信任IP-MAC地址映射表……………………………………………155.5、ARP报文限速……………………………………………………………166、ARP欺骗的检测…………………………………………………………………166.1、ARP地址欺骗攻击者的定位……………………………………………166.2、ARP欺骗攻击的检测……………………………………………………176.2.1、命令行法…………………………………………………………176.2.2、工具软件法………………………………………………………176.2.3、Sniffer抓包嗅探法……………………………………………176.2.4、主机级检测方法……………………………………………………186.2.5、网络级检测方法…………………………………………………187、结束语…………………………………………………………………………19参考文献…………………………………………………………………………20附录………………………………………………………………………………21致谢………………………………………………………………………………221、ARP协议的含义和工作原理1.1、ARP协议简介ARP协议是“AddressResolutionProtocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。1.2、ARP协议的数据结构typedefstructarphdr{unsignedshortarp_hrd;/*硬件类型*/unsignedshortarp_pro;/*协议类型*/unsignedchararp_hln;/*硬件地址长度*/unsignedchararp_pln;/*协议地址长度*/unsignedshortarp_op;/*ARP操作类型*/unsignedchararp_sha[6];/*发送者的硬件地址*/unsignedlongarp_spa;/*发送者的协议地址*/[6];/*目标的硬件地址*/unsignedlongarp_tpa;/*目标的协议地址*/}ARPHDR,*PARPHDR;1.3、ARP协议的利用1.3.1、交换网络的嗅探ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，在上面的假设网络中，B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存，将本地的IP-MAC对应表更换为接收到的数据格式，由于这一切都是A的系统内核自动完成的，A可不知道被伪造了。1.3.2、IP地址冲突我们知道，如果网络中存在相同IP地址的主机的时候，就会报告出IP地址冲突的警告。这是怎么产生的呢？比如某主机B规定IP地址为192.168.0.1，如果它处于开机状态，那么其他机器A更改IP地址为192.168.0.1就会造成IP地址冲突。其原理就是：主机A在连接网络（或更改IP地址）的时候就会向网络发送ARP包广播自己的IP地址，也就是freearp。如果网络中存在相同IP地址的主机B，那么B就会通过ARP来reply该地址，当A接收到这个reply后，A就会跳出IP地址冲突的警告，当然B也会有警告。因此用ARP欺骗可以来伪造这个ARPreply，从而使目标一直遭受IP地址冲突警告的困扰。1.3.3、阻止目标的数据包通过网关比如在一个局域网内通过网关上网，那么连接外部的计算机上的ARP缓存中就存在网关IP-MAC对应记录。如果，该记录被更改，那么该计算机向外发送的数据包总是发送到了错误的网关硬件地址上，这样，该计算机就不能够上网了。这里也主要是通过ARP欺骗进行的。有两种办法达到这样的目的。1、向目标发送伪造的ARP应答数据包，其中发送方的IP地址为网关的地址，而MAC地址则为一个伪造的地址。当目标接收到该ARP包，那么就更新自身的ARP缓存。如果该欺骗一直持续下去，那么目标的网关缓存一直是一个被伪造的错误记录。当然，如果有些了解的人查看ARP-a，就知道问题所在了。2、欺骗网关。向网关发送伪造的ARP应答数据包，其中发送方的IP地址为目标的IP地址，而MAC地址则为一个伪造的地址。这样，网关上的目标ARP记录就是一个错误的，网关发送给目标的数据报都是使用了错误的MAC地址。这种情况下，目标能够发送数据到网关，却不能接收到网关的任何数据。同时，目标自己查看ARP-a却看不出任何问题来。1.3.4、通过ARP检测混杂模式节点在混杂模式中，网卡进行包过滤不同于普通模式。本来在普通模式下，只有本地地址的数据包或者广播（多播等）才会被网卡提交给系统核心，否则的话，这些数据包就直接被网卡抛弃。现在，混合模式让所有经过的数据包都传递给系统核心，然后被sniffer等程序利用。通过特殊设计的ARP请求可以用来在一定程度上检测处于混杂模式的节点，比如对网络中的每个节点都发送MAC地址为FF-FF-FF-FF-FF-FE的ARP请求。对于网卡来说这不是一个广播地址（FF-FF-FF-FF-FF-FF），所以处于普通模式的节点就会直接抛弃该数据包，但是多数操作系统核心都认为这是一个广播地址，如果有一般的sniffer程序存在，并设置网卡为混杂模式，那么系统核心就会作出应答，这样就可以判断这些节点是否存在嗅探器了。可以查看，很多基于ARP的攻击都是通过ARP欺骗实现的。至于ARP欺骗的防范，还是尽可能使用静态的ARP。对于WIN，使用arp-s来进行静态ARP的设置。当然，如果能够完全使用静态的IP+MAC对应，就更好了，因为静态的ARP缓存只是相对的。当然，可以有一些方法来实现ARP欺骗的检测。设置一个ARP的嗅探器，其中维护着一个本地网络的IP-MAC地址的静态对应表，查看所有经过的ARP数据，并检查其中的IP-MAC对应关系，如果捕获的IP-MAC对应关系和维护的静态对应关系对应不上，那么就表明是一个欺骗的ARP数据包了。1.4、ARP协议的原理以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到目标IP地址，主机A就会在网络上发送一个广播，A主机MAC地址是“主机A的MAC地址”，这表示向同一网段内的所有主机发出这样的询问：“我是192.168.1.5，我的硬件地址是主机A的MAC地址.请问IP地址为192.168.1.1的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时A和B还同时都更新了自己的ARP缓存表（因为A在询问的时候把自己的IP和MAC地址一起告诉了B），下次A再向主机B或者B向A发送信息时，直接从各自的ARP缓存表里查找就可以了。ARP缓存表采用了老化机制（即设置了生存时间TTL），在一段时间内（一般15到20分钟）如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中，局域网中若有一个人感染ARP木马，则感染该ARP木马的系统将会试图通过“