arp欺騙技術的研究與實踐畢業(yè)論文

1、<p>　　ARP欺騙技術的研究與實踐</p><p>　　摘要:網(wǎng)絡的迅速發(fā)展,在給人類生活帶來方便的同時,也對網(wǎng)絡安全提出了更高要求，因此對網(wǎng)絡協(xié)議的分析和利用越來越受到普遍關注?；ヂ?lián)網(wǎng)的發(fā)展很大程度上歸功于TCP/IP協(xié)議運行的高效性和開放性,這也致使TCP/IP協(xié)議本身存在著諸多的安全隱患，其中因ARP協(xié)議安全漏洞引發(fā)的欺騙攻擊就較為典型。本文在深入分析ARP協(xié)議原理的基礎上，探討了幾種常見的A

2、RP欺騙攻擊方式，如仿冒主機/網(wǎng)關、“中間人”攻擊、Flooding攻擊、網(wǎng)頁劫持等；通過實驗和實踐，總結了一些較為有效的ARP欺騙檢測和防御手段；結合本人參與學院校園網(wǎng)絡安全整體防御體系項目的實施和管理，融合銳捷GSN、IEEE802.1x、ARP-Check技術，給出一種立體防御ARP欺騙的解決方案。文章最后針對IPv6鄰居發(fā)現(xiàn)協(xié)議做了簡要分析，旨在后續(xù)課題的研究。</p><p>　　關鍵詞： ARP；銳捷

3、GSN；IEEE 802.1x；鄰居發(fā)現(xiàn)協(xié)議</p><p><b>　　目錄</b></p><p>　　1 引 言1</p><p>　　1.1 課題研究的背景和意義1</p><p>　　1.2 論文的主要內容和章節(jié)安排1</p><p>　　2 ARP欺騙技術3</

4、p><p>　　2.1 ARP協(xié)議概述3</p><p>　　2.1.1 ARP協(xié)議的定義3</p><p>　　2.1.2 ARP協(xié)議的工作原理3</p><p>　　2.2 ARP欺騙4</p><p>　　2.2.1 何為ARP欺騙4</p><p>　　2.2.2 ARP欺騙攻擊的

5、危害5</p><p>　　2.2.3 ARP欺騙產(chǎn)生的根源5</p><p>　　2.3 ARP欺騙的主要攻擊方式6</p><p>　　2.3.1 攻擊主機冒充網(wǎng)關欺騙正常主機6</p><p>　　2.3.2 攻擊主機冒充正常主機欺騙網(wǎng)關6</p><p>　　2.3.3 基于ARP的“中間人”攻擊7

6、</p><p>　　2.3.4 Flooding攻擊8</p><p>　　2.3.5 ARP網(wǎng)頁劫持攻擊8</p><p>　　2.4 簡單模擬ARP欺騙9</p><p>　　2.4.1 采用軟件模擬ARP欺騙9</p><p>　　2.4.2 采用編程模擬ARP欺騙11</p><

7、p>　　3 ARP欺騙的防御技術11</p><p>　　3.1 ARP欺騙的檢測11</p><p>　　3.1.1 手動檢測11</p><p>　　3.1.2 自動檢測12</p><p>　　3.2 ARP欺騙攻擊的防御13</p><p>　　3.2.1 手動防御13</p>

8、<p>　　3.2.2 自動防御14</p><p><b>　　……17</b></p><p>　　4 校園網(wǎng)ARP欺騙的立體防御方案18</p><p>　　4.1 基于802.1x協(xié)議的認證防御18</p><p>　　4.1.1 IEEE 802.1x認證系統(tǒng)18</p>

9、<p>　　4.1.2 基于802.1x認證的ARP防御技術20</p><p>　　4.2 銳捷GSN解決方案原理20</p><p>　　4.2.1 用戶身份合法性驗證21</p><p>　　4.2.2 確保真實ARP信息來源21</p><p>　　4.2.3 中立的第三方ARP授信體系21</p>

10、<p>　　4.2.4 建立可信任ARP機制21</p><p>　　4.2.5 在網(wǎng)關設備上增加可信ARP表項22</p><p>　　4.3 GSN防御體系的組成23</p><p>　　4.3.1 SMP23</p><p>　　4.3.2 Gateway23</p><p>　　4.3.3

11、NAS24</p><p>　　4.3.4 SU24</p><p>　　4.4 GSN + ARP-Check的整體防御24</p><p>　　5 IPv6的鄰居發(fā)現(xiàn)協(xié)議25</p><p>　　5.1 鄰居發(fā)現(xiàn)協(xié)議的定義25</p><p>　　5.2 鄰居發(fā)現(xiàn)協(xié)議的安全缺陷分析26</p&g

12、t;<p>　　5.3 鄰居發(fā)現(xiàn)協(xié)議的攻擊方式26</p><p>　　5.4 鄰居發(fā)現(xiàn)協(xié)議和ARP協(xié)議的比較27</p><p>　　5.4.1 發(fā)送機制27</p><p>　　5.4.2 所處層次27</p><p>　　5.4.3 可達性檢測維護27</p><p>　　5.4.4 Ho

13、p Limit字段27</p><p>　　6 結 論28</p><p><b>　　參考文獻29</b></p><p><b>　　1 引 言</b></p><p>　　本章闡析開展本課題研究的背景和意義，扼要說明課題研究的主要內容和章節(jié)安排。</p>&

14、lt;p>　　1.1 課題研究的背景和意義</p><p>　　信息化進程的深入和互聯(lián)網(wǎng)的迅速發(fā)展，為人們的工作、學習、生活帶來了巨大變化。網(wǎng)絡的迅速發(fā)展,在給人類生活帶來方便的同時,也對網(wǎng)絡安全提出了更高要求。網(wǎng)絡協(xié)議安全是網(wǎng)絡安全的重要環(huán)節(jié),因此對網(wǎng)絡協(xié)議的分析和利用越來越受到普遍關注?；ヂ?lián)網(wǎng)的發(fā)展很大程度上歸功于TCP/IP協(xié)議運行的高效性和開放性,然而TCP/IP協(xié)議在實現(xiàn)過程中忽略了對網(wǎng)絡安全方面

15、的考慮,致使其存在著較多安全隱患，其中ARP協(xié)議的安全漏洞引發(fā)的欺騙攻擊較之其他協(xié)議最為典型。</p><p>　　校園網(wǎng)是CERNET/Internet的基本組成單位，是為學校師生員工的教學、科研、管理、服務、文化娛樂等提供服務的信息支撐平臺，是學校必不可少的基礎設施。校園網(wǎng)有用戶數(shù)量大、用戶類型復雜、管理策略復雜、流量大、網(wǎng)絡安全威脅性大等特點。如果網(wǎng)絡安全問題不能夠有效的解決, 勢必將影響校園網(wǎng)的教學科研服

16、務作用的發(fā)揮。要保證整個網(wǎng)絡的安全性,必須從多個層次和多個方面考慮網(wǎng)絡的安全性,采取相應的防護措施,減少網(wǎng)絡遭受攻擊的可能性, 達到保證網(wǎng)絡安全的目的。</p><p>　　近兩年，ARP欺騙攻擊在局域網(wǎng)中頻繁出現(xiàn)，特別是一些木馬或病毒程序容易利用ARP欺騙原理來對網(wǎng)絡用戶進行攻擊，感染了這類木馬或病毒的計算機會自動發(fā)送ARP欺騙數(shù)據(jù)包來擾亂局域網(wǎng)中各主機的ARP地址列表，致使同一網(wǎng)段上的大多用戶頻繁斷網(wǎng)，導致整

17、個局域網(wǎng)無法正常運行，嚴重時可導致網(wǎng)絡大面積癱瘓，給網(wǎng)絡管理者增添了巨大的壓力。而且受到ARP欺騙攻擊的用戶還很容易被竊取私密信息。同時，ARP欺騙作為傳播網(wǎng)頁木馬病毒的傳播手段，當一臺主機感染帶有這種ARP欺騙功能的病毒后，會在局域網(wǎng)內發(fā)動ARP欺騙，它會監(jiān)聽局域網(wǎng)內所有主機的數(shù)據(jù)包，一旦發(fā)現(xiàn)其它主機有訪問WEB網(wǎng)頁的行為后，就會通過修改相應的數(shù)據(jù)封包在你訪問的網(wǎng)頁代碼里加入包含有木馬程序的網(wǎng)頁鏈接。從而導致局域網(wǎng)內其它主機不管訪問什

18、么網(wǎng)站都會被導引到含有木馬病毒的網(wǎng)站上去。</p><p>　　基于這些情況，深入了解ARP協(xié)議的原理，剖析ARP欺騙產(chǎn)生的根源，研究分析ARP欺騙的方式，探討ARP欺騙的檢測、防御技術，并給出一種ARP欺騙整體防御的解決思路，制定出有效的防御措施，對網(wǎng)絡安全運行有著極其重要的意義。</p><p>　　1.2 論文的主要內容和章節(jié)安排</p><p>　　論文在深

19、入分析ARP協(xié)議原理的基礎上，探討了幾種常見的ARP欺騙攻擊方式，一些較為有效的ARP欺騙檢測和防御手段，并結合參與學院校園網(wǎng)絡安全整體防御體系項目的實施和管理，融合銳捷GSN、IEEE802.1x、ARP-Check技術，給出一種立體防御ARP欺騙的解決方案。</p><p>　　第1章 闡析開展課題研究的背景和意義，扼要說明課題研究的主要內容和章節(jié)安排。</p><p>　　第2章

20、 詳細分析了ARP協(xié)議的定義、工作原理、產(chǎn)生的危害和欺騙產(chǎn)生的根源，探討了五種主要的ARP欺騙攻擊方式，并給出基于虛擬化技術的兩種模擬ARP欺騙的實驗方法。</p><p>　　第3章 在實踐的基礎上，總結了一些較為有效的ARP欺騙檢測和防御手段，并分析它們優(yōu)劣特點和適用的環(huán)境，揚長避短、相互結合，以期達到更好的防御效果。</p><p>　　第4章 結合參與學院校園網(wǎng)絡的實踐，著重探

21、究校園網(wǎng)ARP欺騙的立體防御方案體系，多角度、多元素協(xié)同防御，實現(xiàn)對網(wǎng)絡病毒和攻擊等安全事件自動發(fā)現(xiàn)、自動處理、自動通知、自動解除的全局安全聯(lián)動。主要包括基于802.1x協(xié)議的認證防御、銳捷GSN方案的原理、GSN防御體系的構成和GSN+ARP-Check體系幾個部分。</p><p>　　第5章 扼要介紹IPV6鄰居發(fā)現(xiàn)協(xié)議的定義、存在的一些安全缺陷及其與IPV4 ARP協(xié)議的比較，旨在后續(xù)課題的研究。<

22、;/p><p>　　2 ARP欺騙技術</p><p>　　本章詳細分析了ARP協(xié)議的定義、工作原理、產(chǎn)生的危害和欺騙產(chǎn)生的根源，探討了五種主要的ARP欺騙攻擊方式，并給出基于虛擬化技術的兩種模擬ARP欺騙的實驗方法。</p><p>　　2.1 ARP協(xié)議概述</p><p>　　2.1.1 ARP協(xié)議的定義</p><p

23、>　　ARP(Address Resolution Protocol)，即地址解析協(xié)議，是TCP/IP協(xié)議簇中重要的基礎協(xié)議之一。它工作于OSI/RM七層模型中的第二層數(shù)據(jù)鏈路層（Data Link Layer）,在本層與下層物理層之間通過硬件接口進行聯(lián)系，同時也為上層網(wǎng)絡層提供服務。當局域網(wǎng)中的網(wǎng)絡節(jié)點進行通信時，就需要由ARP協(xié)議通過目標設備的IP地址，查詢目標設備的MAC地址，以保證網(wǎng)絡節(jié)點間通信的正常進行。換言之，ARP協(xié)

24、議的主要功能就是負責把目標設備網(wǎng)絡層的IP地址轉變成其數(shù)據(jù)鏈路層的MAC地址，建立IP地址和MAC地址之間的一一映射關系，使網(wǎng)絡節(jié)點間通信的數(shù)據(jù)幀能夠在鏈路中正確傳輸。</p><p>　　2.1.2 ARP協(xié)議的工作原理</p><p>　　數(shù)據(jù)鏈路如以太網(wǎng)或令牌環(huán)網(wǎng)都有自己的尋址機制。在局域網(wǎng)中實際傳輸?shù)氖菙?shù)據(jù)幀，真正用來尋址的是MAC地址，而IP數(shù)據(jù)包是通過網(wǎng)絡層傳輸?shù)摹Ｒ驗槎拥囊?/p>

25、太網(wǎng)設備并不識別32位的IP地址，設備驅動程序從不檢查IP數(shù)據(jù)包中的目的IP地址，它們是以48位物理地址（MAC地址）傳輸以太網(wǎng)幀的。所以，當網(wǎng)絡中一臺主機要和另一臺主機進行直接通信時，必須知道目標主機的MAC地址，即利用ARP地址解析協(xié)議把目標IP地址解析為目標MAC地址，建立IP-MAC對應關系以保證通信的順利進行。</p><p>　　在此，我們可以舉例說明ARP協(xié)議工作的具體過程。局域網(wǎng)中的主機A要向主機

26、B發(fā)送數(shù)據(jù)，建立通訊時，主機A會首先檢查自己的ARP緩存表中是否存在目的主機B的IP-MAC地址對應關系表項。如果存在，TCP/IP協(xié)議棧會直接將主機B的MAC地址寫入數(shù)據(jù)幀中發(fā)送。如果不存在，則主機A會向網(wǎng)內所有主機廣播一個ARP Request報文，其中目的IP地址為主機B的IP，目的MAC地址為“FF.FF.FF.FF.FF.FF”，以此來詢問主機B的IP對應的MAC地址是什么。一般情況下，網(wǎng)絡上的其它主機并不響應該ARP Req

27、uest報文，而只有當主機B收到該報文時才會創(chuàng)建一個ARP Reply報文，并發(fā)回給主機A。該ARP Reply報文中包含了主機B的IP和MAC地址。主機A接收到回復后會將主機B的IP-MAC地址對應關系保存在自己的ARP緩存表中，若下次再請求與同一IP地址的主機通信時，就從緩存表中直接獲取目的主機的MAC地址即可，而無需再發(fā)送ARP Request廣播報文詢問。ARP協(xié)議的工作原理如圖2-1所示。</p><p&g

28、t;　　圖2-1 ARP協(xié)議的工作原理</p><p>　　在上段ARP工作過程中提到的ARP緩存表，是在每一臺安裝有TCP/IP協(xié)議的主機里都維護的一張IP-MAC地址一一對應的關系表。它采用了老化機制（Windows系統(tǒng)中的老化時間默認為2分鐘，Cisco路由器默認為5分鐘），在一段時間內，如果緩存表中的某一行數(shù)據(jù)沒有使用，該行數(shù)據(jù)就會被自動刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。ARP緩存

29、表結構如圖2-2所示。</p><p>　　圖2-2 ARP緩存表結構</p><p><b>　　2.2 ARP欺騙</b></p><p>　　2.2.1 何為ARP欺騙</p><p>　　籠統(tǒng)地講，ARP欺騙是一種使計算機網(wǎng)絡無法正常運行的攻擊手段，即利用ARP 協(xié)議的漏洞,通過向目標主機發(fā)送虛假ARP 報文,

30、來實現(xiàn)監(jiān)聽或截獲目標主機通信數(shù)據(jù)。一些木馬或病毒程序通過利用ARP欺騙，對網(wǎng)絡用戶及網(wǎng)絡運行環(huán)境產(chǎn)生影響甚至是破壞。</p><p>　　為了較好地了解ARP欺騙，我們可以簡單舉例說明。ARP協(xié)議并不只是在發(fā)送了ARP請求才接收ARP應答。當計算機接收到ARP應答數(shù)據(jù)包的時候，只要應答包中的IP地址正確，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。假設局域網(wǎng)中的主機A和C通信，當

31、主機A廣播了一個ARP Request報文后，本該由主機C進行回復，此時卻是主機B更早地將自己偽造的ARP Reply報文發(fā)送給主機A，從而冒充C與A進行通信。偽造的Reply報文中包含了主機C的IP地址和主機B的MAC地址。這樣，在主機A收到回復后便會將這條錯誤的IP-MAC地址對應關系更新到自己的ARP緩存表里。由于局域網(wǎng)的網(wǎng)絡流通不是根據(jù)IP地址進行，而是按照MAC地址進行傳輸。所以會導致主機A不能Ping通主機C，造成網(wǎng)絡不通。

32、這就是一個簡單的ARP欺騙。</p><p>　　2.2.2 ARP欺騙攻擊的危害</p><p>　　一般情況下，網(wǎng)絡中的攻擊者會制造出一些木馬或病毒之類的利用ARP欺騙攻擊手段的程序來威脅網(wǎng)絡安全。所以，如果受到此類ARP欺騙程序的攻擊，其中毒現(xiàn)象表現(xiàn)為：使用局域網(wǎng)時，用戶會突然掉線、頻繁斷網(wǎng)，IE瀏覽器頻繁出錯，之后過一段時間又會恢復正常。若局域網(wǎng)中用戶是通過客戶端身份認證上網(wǎng)的，會

33、出現(xiàn)客戶端狀態(tài)頻繁掉線，或者可以認證但卻Ping不通網(wǎng)關、不能上網(wǎng)，然后重啟交換機或路由器、或者在MS-DOS命令窗口中運行arp –d之后，用戶又可恢復上網(wǎng)。</p><p>　　攻擊者可以利用此類木馬或病毒程序來截獲用戶數(shù)據(jù)，如盜取QQ賬號密碼、盜取各種網(wǎng)絡游戲密碼和賬號、盜竊網(wǎng)上銀行賬號去進行非法交易活動等，給普通用戶造成了巨大的不便甚至是經(jīng)濟損失。而且ARP欺騙木馬或病毒只需成功感染一臺計算機，就可能影響

34、整個局域網(wǎng)運行，嚴重的時候可能帶來網(wǎng)絡的癱瘓。</p><p>　　再者，攻擊者也可能基于ARP協(xié)議的工作特性，不斷向對方計算機發(fā)送帶有詐欺性質的ARP數(shù)據(jù)包，其中包含與當前設備重復的MAC地址，使對方在回應ARP報文時，由于簡單的地址重復錯誤導致不能進行正常的網(wǎng)絡通信。</p><p>　　2.2.3 ARP欺騙產(chǎn)生的根源</p><p>　　ARP協(xié)議作為一個局

35、域網(wǎng)協(xié)議，其設計初衷是為了方便數(shù)據(jù)的高效傳輸，設計前提也是在網(wǎng)絡絕對安全的情況下。換言之，ARP協(xié)議是建立在局域網(wǎng)內各主機相互信任的基礎之上，它本身不作任何安全檢測，并沒有一套安全機制來確保信息的真實性、完整性、可用性。因此，ARP協(xié)議所具有的廣播性、無狀態(tài)性、無認證性、無關性和動態(tài)性等一系列安全缺陷，為ARP欺騙的產(chǎn)生提供了有利條件。</p><p>　?、?ARP Request報文以廣播形式發(fā)送</p

36、><p>　　由于局域網(wǎng)內的計算機不知道通信對方的MAC地址，所以需要廣播ARP Request報文。這樣，攻擊者就可以偽裝ARP Reply報文，與廣播者真正想要通信的主機競爭。同時，攻擊者也可以不間斷地在網(wǎng)內廣播ARP Request，造成網(wǎng)絡的緩慢甚至阻塞。</p><p>　?、?ARP協(xié)議是無狀態(tài)的</p><p>　　局域網(wǎng)內任何主機即使在沒有接收到ARP

37、Request的情況下也可以隨意發(fā)送ARP Reply報文。而且只要應答包的內容格式等是有效的，接收到應答包的主機都會無條件地根據(jù)其內容更新本機的ARP緩存表，而不論主機是否曾發(fā)出過請求。</p><p>　?、?ARP應答無需認證</p><p>　　因為ARP協(xié)議設計時出于傳輸效率上的考慮，默認情況下是信任網(wǎng)內的所有節(jié)點的，于是在數(shù)據(jù)鏈路層沒有對接收到的ARP Reply報文進行安全驗

38、證。只要是存在于ARP緩存表里的IP/MAC映射以及接收到的ARP Reply中的IP/MAC映射關系，ARP協(xié)議都認為是可信任的，沒有對它們的真實性和有效性進行檢驗，也沒有維護其一致性。</p><p>　?、?ARP緩存表基于高速緩存和動態(tài)更新</p><p>　　當主機收到ARP相應數(shù)據(jù)包后，即使是偽造的，也會查找自己的緩沖區(qū)，并進行相應的更新．正常的計算機的MAC地址更新都有一定的

39、時間間隔．因此，攻擊者如果在下次更新之前成功地修改了被攻擊機器上的地址緩存，它就可以假冒或者拒絕服務攻擊。</p><p>　　2.3 ARP欺騙的主要攻擊方式</p><p>　　2.3.1 攻擊主機冒充網(wǎng)關欺騙正常主機</p><p>　　仿冒網(wǎng)關攻擊是指攻擊主機通過偽造并在局域網(wǎng)內發(fā)送源IP地址為網(wǎng)關IP地址、源MAC 地址為偽造的MAC 地址的ARP Rep

40、ly報文給被攻擊的主機，使得這些主機在自己的ARP緩存表上更新網(wǎng)關IP-MAC地址的對應關系。仿冒網(wǎng)關的攻擊通常表現(xiàn)為：在同一局域網(wǎng)中，有一部分主機無法上網(wǎng)，重啟這些主機后又恢復正常，但是過一段時間后網(wǎng)絡再次中斷。于是在命令行窗口中鍵入arp –a，查看這些無法上網(wǎng)的主機的ARP表，發(fā)現(xiàn)網(wǎng)關的MAC地址是錯誤的。也就是說，主機訪問網(wǎng)關的流量被重定向到一個錯誤的MAC地址，導致用戶無法正常訪問外網(wǎng)。</p><p>

41、;　　2.3.2 攻擊主機冒充正常主機欺騙網(wǎng)關</p><p>　　攻擊主機冒充正常主機欺騙網(wǎng)關，是指攻擊者通過偽造并發(fā)送源IP地址為同網(wǎng)段內某臺合法用戶的IP 地址, 源MAC 地址為偽造的MAC 地址的ARP Reply報文給網(wǎng)關，使得網(wǎng)關更新自身ARP緩存表中原合法用戶的IP-MAC地址對應關系。這種欺騙網(wǎng)關的攻擊一般表現(xiàn)為：網(wǎng)絡中部分主機掉線, 甚至全網(wǎng)內主機都無法上網(wǎng)。查看路由器的ARP表項, 發(fā)現(xiàn)很多

42、錯誤地址，所有被攻擊者的IP地址對應的MAC地址都為攻擊者的MAC地址。然后重啟路由器后能短暫恢復正常，但是過一段時間之后主機又開始掉線。而這些現(xiàn)象的發(fā)生都是因為網(wǎng)關發(fā)送給該用戶的所有數(shù)據(jù)全部定向到一個錯誤的MAC地址，導致該用戶無法正常訪問外網(wǎng)。</p><p>　　2.3.3 基于ARP的“中間人”攻擊</p><p>　　“中間人”攻擊（Man-In-The-Middle，MITM）

43、，是一種利用一定手段在兩臺或多臺主機之間人為地加入一臺透明主機，“間接”的入侵攻擊方式。這種攻擊對其他用戶是透明的，因此這臺主機就稱為“中間人”。“中間人”能夠與原始主機建立連接、截獲并篡改它們的通信數(shù)據(jù)。由于“中間人”對于原通信雙方是透明的，使得“中間人”很難被發(fā)現(xiàn)，也就使得這種攻擊更加具有隱蔽性。 “中間人”攻擊常用的一種手段就是通過ARP 欺騙的方式來實現(xiàn)的。</p><p>　　基于ARP的“中間人”攻擊

44、又稱為ARP雙向欺騙，這種說法是相對于攻擊主機冒充網(wǎng)關或主機的單向ARP欺騙而言的。假設有主機C想竊取主機A和主機B之間的通信，那么它就可以分別偽造ARP Reply報文發(fā)送給A、B這兩臺主機，使他們無驗證地更新自身ARP緩存表中的相應的IP-MAC對應關系表項。于是，主機A和B之間看似直接的通信，實際上都是通過主機C進行的，即主機C擔任了“中間人”的角色在傳遞信息，同時也可以對信息進行竊取和篡改,如圖2-3所示。這種攻擊方式也是較早時

45、候電腦黑客竊取數(shù)據(jù)的常用手段之一。受到“中間人”攻擊的主要表現(xiàn)有：局域網(wǎng)中某臺主機上網(wǎng)突然掉線，但是過一會兒又恢復了，只是上網(wǎng)變得很慢。此時我們若使用命令查看該主機上的ARP表項，就會發(fā)現(xiàn)通信對方的MAC地址被修改，他們的通信流量都先被重定向到另外一臺主機上，再轉至對方主機。</p><p>　　圖2-3 “中間人”攻擊過程</p><p>　　2.3.4 Flooding攻擊</

46、p><p>　　Flooding 是一種快速散布網(wǎng)絡連接設備（如交換機）更新信息到整個大型網(wǎng)絡打每一個節(jié)點的一種方法。涉及ARP欺騙的Flooding攻擊主要有兩種：ARP報文Flooding和交換機上的MAC Flooding。</p><p>　?、?ARP報文Flooding</p><p>　　攻擊者利用工具構造大量ARP報文，發(fā)往交換機、路由器或某臺普通主機，

47、導致設備的CPU忙于處理ARP協(xié)議，負擔過重，造成設備沒有多余資源區(qū)轉發(fā)正常的數(shù)據(jù)流量甚至癱瘓。遭受這種攻擊的現(xiàn)象主要表現(xiàn)為：網(wǎng)絡經(jīng)常中斷或網(wǎng)速很慢，查看ARP表項沒有發(fā)現(xiàn)錯誤，只有通過抓包分析是發(fā)現(xiàn)有大量的ARP Reply報文。</p><p>　?、?MAC Flooding</p><p>　　交換機中也存放著一個類似ARP的緩存表，稱為CAM。同主機中的ARP緩存表相同，它也起到

48、記錄網(wǎng)絡設備MAC地址與IP地址的對應關系的功能。但是交換機中的ARP緩存表的大小是固定的，這就導致了ARP欺騙的另一種隱患：由于交換機可以主動學習客戶端的MAC地址，并建立和維護這個CAM緩存表，當某人利用欺騙攻擊連續(xù)大量的制造欺騙MAC地址，CAM表就會被迅速填滿，同時更新信息以洪泛方式發(fā)送到所有的接口，也就代表Trunking（所謂Trunking是用來在不同的交換機之間進行連接，以保證在跨越多個交換機上建立的同一個VLAN的成員

49、能夠相互通訊。）的流量也會發(fā)給所有的接口和鄰近的交換機，會導致其他交換機的CAM表溢出，造成交換機負載過大，網(wǎng)絡緩慢和丟包甚至癱瘓。所以說MAC Flooding是一種比較危險的攻擊，嚴重會使整個網(wǎng)絡不能正常通信。</p><p>　　這種基于ARP欺騙的Flooding攻擊，也可以稱作“拒絕服務式攻擊（D.O.S）”。而如果攻擊者先對目標主機進行D.O.S攻擊,使其不能對外部作出任何反應之后，再將自身主機的IP

50、地址和MAC地址分別改為目標主機的IP地址和MAC地址，代替它接收一切數(shù)據(jù)包，從而進一步實施各種非法操作。那么這樣一種攻擊方式，我們也可以稱作“克隆攻擊”。</p><p>　　2.3.5 ARP網(wǎng)頁劫持攻擊</p><p>　　ARP網(wǎng)頁劫持攻擊其實也可以說是利用了“中間人”攻擊的原理。局域網(wǎng)內用戶訪問網(wǎng)頁時，網(wǎng)頁源代碼的頭部被插入代碼“<iframe 81"13=’包含

51、病毒或者木馬程序的網(wǎng)頁地址’> </iframe>或者“<script>可以使瀏覽器自動下載病毒或者木馬程序的腳本內容</script>”，訪問網(wǎng)頁不順暢，提示腳本錯誤，同時殺毒軟件的網(wǎng)頁監(jiān)控提示網(wǎng)頁存在病毒。但是當檢查服務器上網(wǎng)頁的原始代碼時卻發(fā)現(xiàn)沒有任何異常。這種情況很可能就是ARP網(wǎng)頁劫持攻擊引起的。</p><p>　　根據(jù)網(wǎng)頁內容傳輸過程中，ARP網(wǎng)頁劫持發(fā)生的

52、區(qū)段位置不同，我們可以把ARP網(wǎng)頁劫持攻擊分成兩種情況：發(fā)生在客戶端所在局域網(wǎng)內的ARP網(wǎng)頁劫持攻擊和發(fā)生在服務器所在局域網(wǎng)內的ARP網(wǎng)頁劫持攻擊。</p><p>　?、?客戶端ARP網(wǎng)頁劫持</p><p>　　如果客戶端所在的網(wǎng)絡中存在進行ARP攻擊的主機，ARP攻擊主機通過ARP欺騙篡改網(wǎng)關的ARP緩存表，在網(wǎng)關與網(wǎng)頁客戶端主機之間建立單向代理。服務器返回到客戶端瀏覽器的信息是按照

53、“網(wǎng)頁服務器—>外部網(wǎng)絡—>客戶端所在網(wǎng)絡網(wǎng)關—>ARP攻擊主機—>客戶端主機”的路徑進行發(fā)送的。ARP攻擊主機并不修改HTTP請求信息，但是它修改網(wǎng)頁服務器的返回信息，在其中加入木馬或病毒鏈接。這樣一來，客戶端所在網(wǎng)絡中的多數(shù)主機訪問任何WEB頁面時，反病毒軟件的網(wǎng)頁監(jiān)控均提示發(fā)現(xiàn)病毒。 </p><p>　　⑵ 服務器端ARP網(wǎng)頁劫持</p><p>　　如果W

54、EB服務器所在的網(wǎng)絡存在ARP攻擊主機，那么ARP攻擊主機通過ARP欺騙污染W(wǎng)EB服務器的ARP緩存表，在WE B服務器和網(wǎng)關之間建立單向代理。從WEB服務器返回網(wǎng)頁訪問客戶端的信息是按照“WEB服務器一>ARP攻擊主機一服務器所在網(wǎng)絡網(wǎng)關一>外部網(wǎng)絡一>網(wǎng)頁客戶端”的路徑進行發(fā)送的。ARP攻擊主機監(jiān)聽WEB服務器80端口的HTTP應答包，并進行篡改，加入木馬或病毒鏈接，然后通過網(wǎng)關發(fā)送給客戶端。這時，用戶訪問此WEB

55、服務器所在網(wǎng)段的所有服務器，均出現(xiàn)網(wǎng)頁源代碼頂部被加入惡意代碼鏈接的情況。</p><p>　　2.4 簡單模擬ARP欺騙</p><p>　　因為在局域網(wǎng)實際應用中遭受ARP欺騙攻擊的情況是比較普遍的，所以如何在實驗環(huán)境下模擬ARP欺騙攻擊就顯得很重要。由于客觀條件限制，在模擬攻擊實驗中我不進行小型組網(wǎng)，而是將實驗環(huán)境設置為在我的Notebook PC上安裝VMWare virtual

56、machine，操作系統(tǒng)為Windows XP OS，虛擬機分別編號A、B、C。在綜合各個相對零散的小實驗后，我總結了兩個比較典型的ARP欺騙攻擊實驗：利用“網(wǎng)絡執(zhí)法官”軟件和編寫小程序來模擬。</p><p>　　2.4.1 采用軟件模擬ARP欺騙</p><p>　　首先在VMWare中使用host-only模式，在啟動操作系統(tǒng)后，VMWare會為A、B、C的虛擬網(wǎng)卡分配不通的MAC地

57、址，我們可以人為配置IP地址，其IP-MAC地址對應表如圖2-4所示，子網(wǎng)掩碼為255.255.255.0。然后在虛機C上安裝“網(wǎng)絡執(zhí)法官”軟件，破壞虛機A、B之間的正常通信。</p><p>　　圖2-4 攻擊前虛機的IP-MAC對應關系</p><p>　　這里對“網(wǎng)絡執(zhí)法官”軟件做一個簡要介紹。它是一款局域網(wǎng)管理輔助軟件，采用網(wǎng)絡底層協(xié)議，能穿透各種客戶端防火墻，對網(wǎng)絡中的每一臺主

58、機進行監(jiān)控，采用MAC識別用戶，可靠性高。本軟件的主要功能是依據(jù)管理員為各主機限定的權限，實時監(jiān)控整個局域網(wǎng)，并自動將非法用戶與網(wǎng)絡中某些主機或整個網(wǎng)絡隔離，而且無論局域網(wǎng)中的主機運行何種防火墻，都不能逃避監(jiān)控，也不會引發(fā)防火墻警告，提高了網(wǎng)絡安全性。管理員可以實現(xiàn)如禁止某些主機在指定的時段訪問外網(wǎng)或徹底禁止某些主機訪問外網(wǎng)；保護網(wǎng)絡中關鍵主機，只允許指定的主機訪問等功能。</p><p>　　安裝完“網(wǎng)絡執(zhí)法官

59、”之后，運行它，選中“網(wǎng)卡復選框”，在監(jiān)控范圍內選擇窗口中的指出網(wǎng)卡所在子網(wǎng)的所有可用IP地址。在進行攻擊前，我們可以再次在各虛機的D0S命令窗口中運行命令ipconfig /all和arp –a，以獲得被攻擊前各虛機的IP-MAC地址，再用ping命令測試各虛機之間是否能正常通信。</p><p>　　然后開始模擬攻擊，在虛機C上，進入“網(wǎng)絡執(zhí)法官”的管理界面，右鍵單擊被攻擊的虛機B，從快捷菜單中選擇“手工管理

60、”。這里有三種攻擊方式：IP地址沖突攻擊，即制造主機間的IP沖突；禁止與關鍵主機連接攻擊；禁止與所有其他主機連接。后面這兩種方式都是用來制造主機間的ARP欺騙?？梢栽凇邦l率”中選擇每N秒N次，頻率越高，攻擊效果越明顯。選項完成后點擊“開始”，攻擊就開始了。之后我們可以再在虛機A、B之間用ping命令測試，提示“Request timed out”，表明通信斷了。</p><p>　　在虛機A上用命令arp –a重

61、新獲得MAC地址表，比較攻擊前后的MAC地址表，可以發(fā)現(xiàn)ARP緩存表中虛機B的MAC地址已經(jīng)被篡改了，這就表明模擬ARP欺騙攻擊成功。如圖2-5所示。</p><p>　　圖2-5 攻擊后虛機A、B的IP-MAC對應關系</p><p>　　2.4.2 采用編程模擬ARP欺騙</p><p>　　當前有很多攻擊者喜歡利用ARP協(xié)議的欺騙原理編寫木馬或者病毒程序來對

62、網(wǎng)絡中的主機進行攻擊。這里我們也可以用C++語言來編寫一段程序模擬這種欺騙攻擊。限于篇幅考慮，只列出相關主程序如下：</p><p><b>　　………………</b></p><p>　　3 ARP欺騙的防御技術</p><p>　　本章在實踐的基礎上，總結了一些較為有效的ARP欺騙檢測和防御手段，并分析它們優(yōu)劣特點和適用的環(huán)境，揚長避短、相

63、互結合，以期達到更好的防御效果。</p><p>　　3.1 ARP欺騙的檢測</p><p>　　3.1.1 手動檢測</p><p>　　⑴ 命令查看和抓包分析 </p><p>　　可以通過DOS命令查看主機或路由器等網(wǎng)關設備上的ARP緩存表。使用抓包軟件(如windump、sniffer pro 等)在局域網(wǎng)內抓去ARP的Rep

64、ly報文, 以windump為例,假設192.168.0.1是網(wǎng)關地址, 抓下來的包只分析包含有“reply”字符的,格式如下:18:25:15.706335 arp reply192.168.0.1is- at 00:07:ec:e1:c8:c3。如果最后的MAC地址不是網(wǎng)關的真實MAC地址的話, 那就說明有ARP欺騙存在,而這個MAC地址就是那臺進行ARP 欺騙主機的MAC地址。這種方法簡單易行,無需特別權限設置,所有用戶都可以做,

65、誤判率較小。但必須在局域網(wǎng)內部(廣播域內部)聽包才有效。</p><p>　　⑵ 對IP-MAC映射關系的監(jiān)控 </p><p>　　在網(wǎng)絡正常時, 使用NBTSCAN等工具掃描全網(wǎng)段的IP 地址和MAC地址, 保存一個全網(wǎng)的IP-MAC地址對照表備用。</p><p>　?、?對三層交換機的監(jiān)控</p><p>　　登陸局域網(wǎng)的上聯(lián)三層交換

66、機,并查看交換機的ARP緩存表。如果在ARP表中存在一個MAC對應多個IP的情況, 就表明極可能存在ARP欺騙攻擊, 而這個MAC就是欺騙主機的MAC。</p><p>　?、?對二層交換機的監(jiān)測</p><p>　　在接入二層交換機上利用轉發(fā)表找出病毒機器的MAC- PORT對應的網(wǎng)絡端口,對端口進行隔離或對該MAC的數(shù)據(jù)包進行過濾。該方法的優(yōu)點是對ARP攻擊源進行封堵，可防止中毒機器利

67、用其它機器的漏洞進行病毒傳播，及時地將攻擊源隔離出網(wǎng)絡, 使病毒機器暫時不能上網(wǎng)也不會對整個網(wǎng)絡造成危害。但該方法也存在一定的局限性.它的實現(xiàn)對網(wǎng)絡交換設備有較強的依賴性。系統(tǒng)要求不斷收集三層交換機上的IP-MAC信息和各接入層交換機的MAC-PORT信息表。用戶端口一旦被查封, 一定要通過其它方式告知用戶,請用戶及時處理病毒機器。機器恢復正常時應及時開通被查封的端口。</p><p>　　3.1.2 自動檢測&

68、lt;/p><p><b>　　⑴ 使用檢測軟件</b></p><p>　　諸如ARP Watch、ARP Guard、ARP 防火墻等軟件均可用于動態(tài)檢測局域網(wǎng)內的ARP欺騙攻擊。ARPWatch是一個在局域網(wǎng)內監(jiān)聽ARP報文的專用工具。在監(jiān)測到IP-MAC地址映射出現(xiàn)可疑的改變時，通過郵件通知網(wǎng)絡管理員。ARP Watch輕便有效，特別適用于小規(guī)模網(wǎng)絡。入侵監(jiān)測系統(tǒng)

69、Snort也具有與ARP watch相類似的ARP欺騙監(jiān)測功能，但它主要是一個安全預警軟件，ARP欺騙監(jiān)測只是其中一小部分功能，應用具有局限性。ARP Guard采用了一種基于SNMP探針的分布式監(jiān)測架構，通過對網(wǎng)絡監(jiān)聽和SNMP探針取得的信息分別進行動態(tài)分析，以判斷網(wǎng)絡中是否有ARP欺騙并及時通知網(wǎng)絡管理員。與ARP Watch相比，ARP Guard增加了SNMP探針模塊，可以應用于大規(guī)模網(wǎng)絡。但ARP Guard是一款商業(yè)軟件，不

70、能免費使用。</p><p>　　ARP Watch、ARP Guard僅監(jiān)測網(wǎng)絡中是否存在ARP欺騙，并不主動向外發(fā)送ARP報文；相比之下，ARP防火墻則在監(jiān)測網(wǎng)絡是否存在ARP欺騙的同時，還主動向外發(fā)送ARP報文，防止對本機進行ARP欺騙。ARP防火墻是一種安裝在用戶主機上的ARP欺騙監(jiān)測軟件 ，能夠動態(tài)監(jiān)測局域網(wǎng)內針對本主機和針對網(wǎng)關的ARP欺騙。但是如果設置錯誤，主動監(jiān)測的ARP防火墻會向局域網(wǎng)內發(fā)送大量

71、ARP報文，造成ARP報文的廣播風暴，影響網(wǎng)絡通信。因此ARP防火墻的應用具有兩面性。</p><p>　　⑵ 針對ARP報文的檢測</p><p>　　基于“所有的攻擊都是從PC終端上發(fā)起的，如果能從終端操作平臺采取防范措施，這些不安全因素將從終端源頭被控制”的思想，從局域網(wǎng)中的每個終端人手，提出一種檢測ARP欺騙攻擊的主要思路：對每個主機發(fā)送和接收的ARP報文進行一致性檢測，實施發(fā)送方

72、身份認證。</p><p>　　按照這種思路，我們首先對ARP頭信息進行異常檢測。通過對眾多的ARP攻擊工具和利用ARP攻擊手段的病毒的分析，發(fā)現(xiàn)攻擊流量中存在大量頭信息異常的ARP報文，這些非一致頭信息的ARP報文都是偽造的ARP欺騙報文。在每個ARP報文中的數(shù)據(jù)幀報頭和ARP分組中都包含有發(fā)送端的硬件信息即MAC地址。正常情況下以太網(wǎng)數(shù)據(jù)幀中，幀頭相應的MAC地址應該和幀數(shù)據(jù)中ARP分組相應的MAC地址一致，

73、這樣的ARP報文才算是正確的。攻擊者為了防止被追查，通常在ARP欺騙數(shù)據(jù)報文不會留下發(fā)送虛假信息的主機地址，而是偽造一個假的地址填充到報文中，但是承載這個ARP報文的以太網(wǎng)數(shù)據(jù)幀卻包含了它真實的源MAC地址。</p><p>　　即使以太網(wǎng)的數(shù)據(jù)幀頭里的相應的MAC地址和幀數(shù)據(jù)包中ARP分組相應的的MAC地址一致，也不能斷定這個ARP報文不是欺騙或攻擊的報文，一些高明的攻擊者能利用正確的ARP報文甚至偽造出格式完

74、全正確的ARP報文發(fā)起ARP攻擊。因此，我們還要對ARP攻擊進行檢測。如果能夠對接收的ARP報文實施發(fā)送方身份認證，拒絕未通過認證的報文，那么就能檢測出ARP欺騙攻擊報文?；诮邮盏腁RP報文中的MAC地址和IP地址等信息，可以構造相應的協(xié)議上層數(shù)據(jù)包如IP層或傳輸層數(shù)據(jù)包，注入到網(wǎng)絡中，根據(jù)其是否響應數(shù)據(jù)報文以及響應數(shù)據(jù)報文中的MAC地址和IP地址等信息，就能驗證接收的ARP報文中MAC地址和IP地址的真實性，從而實施對接收的ARP報

75、文的認證。</p><p>　　⑶ 基于Windows OS自身函數(shù)的檢測</p><p><b>　?、?獲得網(wǎng)關地址</b></p><p>　　可以用系統(tǒng)函數(shù)Get IpAddr Table( )獲得Windows系統(tǒng)中的路由表,找到Default Gateway ,自動獲得系統(tǒng)網(wǎng)關的IP地址。相關代碼如下:</p><

76、;p>　?、?獲取ARP緩存表中網(wǎng)關的MAC地址</p><p>　　用SendARP()函數(shù)獲取系統(tǒng)網(wǎng)關對應的MAC 地址。如果Windows 系統(tǒng)的ARP 緩存中有網(wǎng)關對應的記錄,該函數(shù)獲得ARP 緩存中記錄的MAC 地址。如果Windows 系統(tǒng)的ARP 緩存中不存在網(wǎng)關對應的記錄,該函數(shù)會自動發(fā)送一個ARP 請求包,根據(jù)返回的ARP 應答包獲得網(wǎng)關對應的MAC 地址。然后將該地址保存下來。相關代碼如

77、下:</p><p>　?、?獲取真實的網(wǎng)關MAC地址</p><p>　　先調用系統(tǒng)命令ARP - d清空系統(tǒng)ARP緩存,然后立即調用SendARP()函數(shù)。該函數(shù)根據(jù)返回的ARP應答包獲得網(wǎng)關對應的MAC地址，從而獲得網(wǎng)關對應的真實MAC地址。為避免系統(tǒng)發(fā)送ARP請求包后,正好收到ARP 欺騙計算機的應答包,可將該過程重復幾次。將獲得的MAC地址和前面保存的從緩存獲得的MAC地址相比較

78、。相關代碼如下：</p><p>　　3.2 ARP欺騙攻擊的防御</p><p>　　3.2.1 手動防御</p><p>　　⑴ 使用靜態(tài)ARP緩存表</p><p>　　防御ARP欺騙的最簡單方法就是在交換機或路由器上靜態(tài)綁定IP-MAC地址映射關系，在主機上通過Windows 自帶的arp -s命令，可以將特定的IP 地址和MAC地址

79、進行綁定，實現(xiàn)一定的ARP 欺騙防御。如果是Windows OS的主機還可以編寫一個批處理文件，后綴為.bat，其內容為：</p><p><b>　　@echo off</b></p><p><b>　　arp - d</b></p><p>　　arp –s IP地址 MAC地址</p><p&g

80、t;　　若想讓系統(tǒng)每次啟動時都能自動地加載靜態(tài)ARP ,則可將這個批處理軟件拖到“ windows ——開始——程序——啟動”中。</p><p>　　使用靜態(tài)綁定IP-MAC地址的方法對于防御ARP欺騙攻擊非常有效，但是它的不足也是顯而易見的：僅適用于小規(guī)模局域網(wǎng)以及采用靜態(tài)IP分配的場合，無論是主機還是網(wǎng)絡設備，配置工作都很麻煩。對于交換機下聯(lián)客戶機變換頻繁的場合，基本無可用性；對于主機需要通信的目標很多，不

81、可能一個一個都綁起來；容易失效，這種方法進行的綁定，一拔掉網(wǎng)線或者關機、注銷就全部失效了。而且使用靜態(tài)ARP 緩存增大了網(wǎng)絡維護量,在較大或經(jīng)常移動主機的網(wǎng)絡中這樣做更為困難。只能防止ARP 欺騙,對IP 地址沖突、Flood 攻擊仍然沒有辦法阻止。</p><p>　　這里，我們簡單示例在銳捷接入層交換機上的手動防御配置：</p><p>　　① 交換機地址綁定 </p&g

82、t;<p><b>　　……</b></p><p><b>　　② 防范主機欺騙</b></p><p><b>　　……</b></p><p><b>　?、?防范網(wǎng)關欺騙</b></p><p><b>　　……</b

83、></p><p>　?、?采用VLAN技術隔離端口</p><p>　　另一種有效的手動防御方法是在局域網(wǎng)中增加VLAN的數(shù)目，減少VLAN中的主機數(shù)量?？梢愿鶕?jù)網(wǎng)絡需要在拓撲結構中多劃分若干個VLAN，這樣既能夠在發(fā)生ARP攻擊時減少所影響的網(wǎng)絡范圍，又能夠在發(fā)生ARP攻擊時便于定位出現(xiàn)的網(wǎng)段和具體的主機。缺點同樣是增加了網(wǎng)絡維護的復雜度，也無法自動適應網(wǎng)絡的動態(tài)變化。</

84、p><p>　　3.2.2 自動防御</p><p>　　⑴DHCP Snooping</p><p>　　在采用動態(tài)分配IP地址的較大局域網(wǎng)里，針對仿冒、欺騙網(wǎng)關、ARP“中間人”攻擊等，我們可以采用DHCP Snooping技術。它是運行在二層接人設備上的一種DHCP安全特性，其實現(xiàn)原理是：接人層交換機監(jiān)控用戶動態(tài)申請IP地址的全過程，記錄用戶的IP、MAC和端口

85、信息，并且在接入交換機上做多元素綁定，從而從根本上阻斷非法ARP報文的傳播。DHCP Snooping通過監(jiān)聽DHCP報文，記錄DHCP客戶端IP地址與MAC地址的對應關系。并且設置DHCP Snooping信任端口，保證客戶端從合法的服務器獲取IP地址。信任端口正常轉發(fā)接收到的DHCP報文，從而保證了'DHCP客戶端能夠從DHCP服務器獲取IP地址。不信任端口接收到DHCP服務器響應的DHCP—ACK和DHCP—OFFER報文

86、后，丟棄該報文，從而防止了DHCP客戶端獲得錯誤的IP地址。</p><p>　　圖3-1 交換機上的DHCP Snooping功能配置方法</p><p>　　⑵ 使用ARP服務器</p><p>　　在局域網(wǎng)內部的設置一臺機器作為ASP服務器,專門保存并且維護網(wǎng)絡內的所有主機的IP地址與MAC地址映射記錄, 使其他計算機的ARP 配置只接受來自ARP服務器的A

87、RP 響應。當有ARP請求時該服務器通過查閱自己緩存的靜態(tài)記錄并以被查詢主機的名義響應ARP局域網(wǎng)內部的請求，從而防止了ARP欺騙攻擊的發(fā)生。但是這個方法也有不足，首先要保證ARP服務器不被攻擊，確保ARP服務器的安全；其次要保證主機只接受指定ARP服務器的ARP Reply報文，要做到這一點，目前還是比較困難的。</p><p>　?、?基于ARP報文的防御算法</p><p>　　在3

88、.1.2自動檢測一節(jié)當中，我們提到了針對ARP報文的檢測方法。其實針對ARP報文的檢測和防御是緊密結合的，并沒有太大的分界，這在防御的算法上比較直觀地表現(xiàn)出來。</p><p>　?、?通過檢測ARP報文頭信息來防御的算法</p><p><b>　　……</b></p><p>　　② 通過檢測ARP攻擊并過濾ARP報文來防御的算法</

89、p><p><b>　　……</b></p><p>　?、?基于DAI的ARP欺騙防御</p><p>　　通過我們對欺騙產(chǎn)生的分析可知，如何部署對A R P 報文的有效性檢驗是預防ARP攻擊的根本。Cisco開發(fā)的動態(tài)ARP報文檢測(Dynamic Arp Inspection），就是利用DHCP服務記錄的申請者的Mac地址、IP地址以及相應的

90、交換機端口號，提供了一種比較完善的解決方案，其主要的工作流程如圖3-2所示。</p><p>　　圖3-2 DAI的工作流程</p><p>　　交換機端口收到ARP報文時，會提取該報文中的源MAC地址與IP地址對，將其與DHCP Snooping Binding 表中的相關地址進行比較，如果一致，就允許該報文通過，如果不一致的話則認為該報文非法，禁止該報文通過，并生成報警日志。對于收到

91、非法ARP報文的端口，可以設置其端口的狀態(tài)為進入錯誤（Err-disable）狀態(tài)，關閉該端口流量。</p><p>　　對于一些需要配置靜態(tài)I P地址的服務器來說，手工添加“DHCP Snooping Binding”表的綁定記錄是必須的；或者添加ARP ACL（ARP訪問控制列表）或者將相應的交換機端口置于不檢驗ARP報文的狀態(tài)，即DAI的信任端口。三者的區(qū)別在于：前者使“DHCP Snooping Bind

92、ing”表增加一條記錄；ARP Acl優(yōu)先于DAI檢測，允許相應的擁有合法源MAC和IP地址的ARP報文通過；后者則允許該端口所有的ARP報文通過，無論是否合法。</p><p>　　假設交換機B為Cisco 3750；交換機B連接DHCP服務器數(shù)據(jù)來源的端口“GigabitEthernet1/1”；連接FTP 服務器的端口為“GigabitEthernet1/2”，F(xiàn)TP服務器的硬件地址為“MAC F：0000

93、.00ff.ffff”，IP地址為靜態(tài)的“IP FF:10.1.1.10”。三臺主機和FTP服務器均屬于Vlan105，Vlan105 的網(wǎng)關接口置于交換機B內。DAI配置網(wǎng)絡拓撲圖如圖3-3所示。</p><p>　　圖3-3 DAI配置網(wǎng)絡拓撲圖</p><p>　　在交換機B中配置DAI的命令如下：</p><p><b>　　……</b&g

94、t;</p><p>　　4 校園網(wǎng)ARP欺騙的立體防御方案</p><p>　　結合參與學院校園網(wǎng)絡的實踐，本章著重探究校園網(wǎng)ARP欺騙的立體防御方案體系，多角度、多元素協(xié)同防御，實現(xiàn)對網(wǎng)絡病毒和攻擊等安全事件自動發(fā)現(xiàn)、自動處理、自動通知、自動解除的全局安全聯(lián)動。主要包括基于802.1x協(xié)議的認證防御、銳捷GSN方案的原理、GSN防御體系的構成和GSN+ARP-Check體系幾個部分。

95、</p><p>　　4.1 基于802.1x協(xié)議的認證防御</p><p>　　4.1.1 IEEE 802.1x認證系統(tǒng)</p><p>　　802. 1x 是IEEE 為了解決基于端口的接入控制而定義的標準,被稱為基于端口的訪問控制協(xié)議。它提供了一種對設備進行認證和授權的方法,在認證和授權過程失敗的情況下防止對端口進行訪問,現(xiàn)在更多地用于園區(qū)網(wǎng)的有線接入控制。

96、IEEE 802.1x認證系統(tǒng)的體系結構主要包括三個重要部分：客戶端請求系統(tǒng)、認證系統(tǒng)、認證服務器系統(tǒng)。體系結構如圖4-1所示。</p><p>　　圖4-1 802.1x認證系統(tǒng)體系結構</p><p>　?、?客戶端請求系統(tǒng)（Supplicant System）</p><p>　　請求者通常是支持802. 1x 認證的用戶終端設備,如客戶機安裝Windows

97、XP 操作系統(tǒng)就已支持802. 1x 認證,而大多數(shù)的廠商都開發(fā)了各自的客戶端軟件,用戶通過啟動客戶端軟件發(fā)起802. lx 認證。</p><p>　?、?認證系統(tǒng)（Authenticator System）</p><p>　　認證系統(tǒng)通常為支持802. lx 協(xié)議的網(wǎng)絡設備組成,簡稱NAS (Network Access Server) ,如Cisco 系列交換機、H3C 等公司的系

98、列交換機,它為請求者提供服務端口,以實現(xiàn)用戶的802. 1x 認證。802. 1x 認證技術的操作粒度為端口,端口可以是一個物理端口或邏輯端口,這個端口在邏輯上又分為“可控端口”(Controlled Port) 與“不可控端口”(Uncontrolled Port) ?！翱煽囟丝凇敝辉诳蛻舳苏J證通過的情況下才打開,一旦認證成功,請求方就可以通過“可控端口”訪問網(wǎng)絡資源并獲得相應的服務?！安豢煽囟丝凇笔冀K處于雙向連通狀態(tài),主要用來傳遞E

99、AP 協(xié)議包,可保證客戶端始終可以向認證方發(fā)出或接受認證消息。</p><p>　?、?認證服務器系統(tǒng)（Authentication Server System）</p><p>　　認證服務器是為認證系統(tǒng)提供認證服務的實體,通常為RADIUS 服務器,該服務器可以存儲有關用戶的信息,并能進行賬戶管理等。</p><p>　?、?802.1x認證機制及流程 <

100、/p><p><b>　　如圖4-2所示。</b></p><p>　　圖4-2 802.1x認證機制及流程</p><p>　　在這樣的機制和流程中,不同的廠商以RADIUS服務器為核心,開發(fā)了不同的認證計費管理系統(tǒng),如H3C的CAMS系統(tǒng),銳捷的SAMS管理系統(tǒng)等。我所在的學校使用的是銳捷的SAMS管理系統(tǒng)，主要是配合支持802.1x協(xié)議的交

101、換機和相應的客戶端程序,完成對用戶上網(wǎng)過程的認證、授權和計費,并提供一個綜合管理的平臺。當用戶通過認證后,認證服務器會把用戶的相關信息傳遞給認證系統(tǒng)將記錄與管理用戶的上網(wǎng),構建動態(tài)的訪問控制列表,進行不同級別的計費,并實施與客戶端進行一些交互等等,從而實現(xiàn)認證、授權和管理功能。這為進一步增強其防御ARP欺騙攻擊的功能提供了理論與實際的依據(jù)。</p><p>　　4.1.2 基于802.1x認證的ARP防御技術&l

102、t;/p><p>　　鑒于802.1x的認證機制，我們可以通過認證服務器與客戶端之間的聯(lián)動來實現(xiàn)防御ARP欺騙攻擊的技術,從而加強ARP欺騙攻擊的控制和管理。具體實現(xiàn)的技術如下：</p><p>　?、?定期更新ARP列表,增強用戶主機的防御功能</p><p>　　RADIUS綜合認證計費管理服務器在接受到客戶端的上網(wǎng)認證請求后,要進行一系列的處理,當允許用戶接入上網(wǎng)

103、時,記錄合法用戶的IP和MAC地址并填入相關數(shù)據(jù)庫的ARP列表,并且通過NAS給客戶端發(fā)送允許上網(wǎng)的命令,下發(fā)記錄在數(shù)據(jù)庫中的對應該用戶這一網(wǎng)段的正確的ARP列表內容,特別是網(wǎng)關的IP和MAC地址。增加下發(fā)ARP列表的內容都是本網(wǎng)段上網(wǎng)機器的IP和MAC地址, RADIUS認證服務器很容易從這些機器的上網(wǎng)認證過程中獲得?？蛻舳私邮盏较掳l(fā)的ARP列表內容,把它寫入本機的ARP表項，執(zhí)行ARP靜態(tài)綁定。然后再結合認證系統(tǒng)可以定期發(fā)起重認證的

104、功能,使每次重認證通過時,RADIUS服務器都向客戶端下發(fā)新的正確的ARP列表內容,不斷維持客戶端主機ARP表項的正確性</p><p>　　⑵ 對ARP中毒的機器或故意進行ARP欺騙攻擊的機器實施斷網(wǎng)防御功能</p><p>　　因為發(fā)生ARP 欺騙攻擊時,會產(chǎn)生大量的ARP廣播報文,為此在客戶端軟件中增加檢測異常流量的模塊,使客戶端在探測到大量的ARP廣播時,能進行判斷并把它們當作異常

105、流量,然后解析這些報文,提取發(fā)送方的IP與MAC地址,最后在響應認證設備的重認證請求時,把提取到的可能異常的IP與MAC地址附加在上傳數(shù)據(jù)報文中發(fā)給RADIUS認證服務器。然后由認證服務器解析提取對應的IP與MAC地址,再與原來數(shù)據(jù)庫中的ARP表作比較,發(fā)現(xiàn)不正常的客戶端主機時,便將其強制下線,甚至加入黑名單進行一段時間的斷網(wǎng)處罰,直到他們進行殺毒或作出檢查清理后再開放上網(wǎng),從而有效地把中毒機器或故意進行ARP欺騙攻擊的機器從802.1

106、x的認證交換機端口處予以阻斷上網(wǎng),避免對正常機器的干擾,起到積極的防御作用。</p><p>　　4.2 銳捷GSN解決方案原理</p><p>　　從第二章中對ARP欺騙產(chǎn)生根源的分析可知，ARP欺騙攻擊存在的原因，究其根本在于ARP協(xié)議本身的不完善，通信雙方的交互流程缺乏一個授信機制，使得非法的攻擊者能夠介入到正常的ARP交互中進行欺騙。要從根本上解決ARP欺騙的問題，必須要在局域網(wǎng)內

107、的通信雙方之間建立起一個可信任的驗證體系。銳捷網(wǎng)絡GSN全局安全解決方案中特有的“ARP三重立體防御體系”，正是為了應對現(xiàn)在日益嚴重的ARP欺騙現(xiàn)象而制定的。整個解決方案遵循以下思路進行。</p><p>　　4.2.1 用戶身份合法性驗證</p><p>　　通過部署GSN解決方案，實行基于IEEE 802.1X協(xié)議的身份認證系統(tǒng)，所有用戶都必須要經(jīng)過統(tǒng)一集中的身份鑒權認證方能允許接入網(wǎng)