ARP防火墻的研究與實(shí)現(xiàn).pdf

1、當(dāng)前針對(duì)ARP攻擊的主要防御措施是采用雙向綁定和運(yùn)行ARP防火墻系統(tǒng)，但是這些措施都存在缺陷。雙向綁定需要用戶掌握一定的網(wǎng)絡(luò)管理知識(shí)，并且配置過(guò)程繁瑣，需要對(duì)客戶主機(jī)和網(wǎng)關(guān)兩端進(jìn)行配置。運(yùn)行ARP防火墻系統(tǒng)雖然解決“雙向綁定”需要人工手動(dòng)配置的問(wèn)題，但是防御效果不是很理想。當(dāng)前關(guān)于ARP防火墻系統(tǒng)內(nèi)部實(shí)現(xiàn)的研究資料甚少，對(duì)防御系統(tǒng)的研究主要通過(guò)系統(tǒng)的安裝使用說(shuō)明，系統(tǒng)的功能測(cè)試結(jié)果以及網(wǎng)上網(wǎng)友對(duì)系統(tǒng)的一些使用心得總結(jié)而來(lái)。 目前

2、，ARP防火墻系統(tǒng)有單機(jī)版和網(wǎng)絡(luò)版兩種。通過(guò)對(duì)系統(tǒng)的功能測(cè)試結(jié)果，總結(jié)出單機(jī)版系統(tǒng)所存在的缺陷有：1.防御不全面：保證本地主機(jī)同網(wǎng)關(guān)之間正常通信，但不能保證同網(wǎng)絡(luò)內(nèi)其它主機(jī)之間正常通信，并且對(duì)某些ARP攻擊并不能起到防御效果。2.無(wú)法有效追蹤攻擊源：只是簡(jiǎn)單地根據(jù)異常ARP數(shù)據(jù)包的源物理地址來(lái)進(jìn)行攻擊源的追蹤。3.存在ARP廣播風(fēng)暴：當(dāng)出現(xiàn)攻擊，防御系統(tǒng)會(huì)定時(shí)地向網(wǎng)關(guān)發(fā)送通告本地主機(jī)ip,mac地址的ARP廣播請(qǐng)求報(bào)文。 網(wǎng)絡(luò)版

3、系統(tǒng)需要選擇網(wǎng)絡(luò)內(nèi)的一臺(tái)主機(jī)作為服務(wù)器端，其它主機(jī)為客戶端，通過(guò)服務(wù)器端對(duì)客戶端的有效監(jiān)控來(lái)實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的防御，因而存在不易維護(hù)管理的缺陷。 本文針對(duì)防御系統(tǒng)所存在的缺陷，提出一種防御模式。即通過(guò)建立動(dòng)態(tài)更新的IP-MAC映射庫(kù)及采用主動(dòng)驗(yàn)證映射對(duì)的方法實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的全面防御，通過(guò)引入“新加入主機(jī)的檢測(cè)機(jī)制”來(lái)保證映射庫(kù)更新的同時(shí)又能克服ARP廣播風(fēng)暴，以及為不同攻擊類型分配不同信賴度來(lái)更有效地追蹤定位攻擊源。 文中