本科毕业论文网络安全方面.doc

【精品文档】如有侵权，请联系网站删除，仅供学习与交流本科毕业论文网络安全方面.精品文档.摘 要网络的迅速发展,给人类生活带来方便,但也对网络安全提出了更高要求。需对网络协议进一步分析，才能够更加有效的安全的应用网络协议。ARP协议是TCP/IP协议中重要的一员,其功能主要是为局域网内网络设备提供IP地址向硬件地址（MAC地址）的转化,其设计建立在局域网内网络设备之间相互信任的基础上,对于不可信任的设备未加考虑，由此产生了许多ARP欺骗攻击方法。本文以ARP协议为基本原理,以防御ARP欺骗、提高网络安全为目的。首先,在对TCP/IP参考模型、ARP协议等相关理论学习的基础上,重点分析了ARP协议的运行机制,包括ARP缓存、ARP帧格式、ARP请求和应答的运行过程等。其次,分析了ARP欺骗原理，ARP欺骗就是通过向目标主机发送一个伪造的包含IP-MAC映射信息的ARP应答报文实现的。最后,根据Windows系统在更新ARP缓存中IP地址和MAC地址映射信息时不检验更新内容可靠性的特点,提出了一种基于服务器客户端的ARP欺骗防御模型,以达到局域网中实现各主机防御ARP欺骗的目的。本软件使用Visual C+6.0作为开发工具，采用Winpcap（Windows Packet Capture）进行网络监视，来实现各种功能要求。关键词：ARP欺骗攻击 ；Visual C+ 6.0 ；监控 ；Protect；服务器 ；客户端AbstractThe rapid development of the network, to human life, but also bring convenience to network security raised taller requirement. The need for further analysis of network protocols, it can be more effective application of security protocols. ARP protocol is TCP / IP protocol an important one, and its main function is to provide network equipment for the LAN IP address to hardware address (MAC address) of the conversion, its design based on the local area network equipment based on mutual trust between the For non-trusted device is not considered, so lots of ARP spoofing attack method.In this paper, the basic principle of ARP protocol to guard against ARP cheating, improve network security purposes. First of all, in the TCP / IP reference model, ARP protocol and other related theoretical study, based on ARP protocol analyzed the operation of mechanisms, including ARP cache, ARP frame format, ARP request and response operation processes. Secondly, the analysis of the principle of ARP deception, ARP deception is through to the target host to send a fake IP-MAC mapping contains information on ARP response packet to achieve. Finally, under Windows system ARP cache updating the IP address and MAC address mapping information when the update does not test the reliability of the characteristics of Neirong, a server-based client ARP deception defense model in order to achieve LAN ARP cheating achievement of the host defense purposes. The software uses the Visual C + +6.0 as development tools, using Winpcap (Windows Packet Capture) for network monitoring, to achieve a variety of functional requirements.Keywords: ARP attack ；Visual C+ 6.0 ；Monitor ；Protect ；Server ；Client目录第一章 概 述11.1课题来源11.2国内外研究现状21.3课题分析2第二章 TCP/IP协议及ARP地址解析协议概述42.1 TCP/IP协议分析42.1.1TCP/IP简介42.1.2TCP/IP协议结构42.1.3数据包的封装52.2 ARP工作原理62.2.1ARP协议62.2.2ARP缓冲区82.2.3ARP报文格式9第三章 ARP欺骗分析及测试153.1ARP欺骗模型153.2常见的ARP攻击手段163.3ARP网关欺骗代码实现163.3.1伪造ARP包结构163.3.2遍历整个网络的实现方法18第四章 防御ARP欺骗系统总体的设计194.1 系统设计思想194.2系统设计框架194.2.1通信系统模型194.2.2服务器端及客户端设计20第五章 系统分析设计215.1系统分析215.1.1系统的可行性215.1.2系统目标及功能分析225.1.3系统模型235.2系统设计245.2.1设计思想及系统结构图245.2.2模块数据流结构图255.2.3系统流程图27总结29(一)总结29(二)遇到的问题及解决29致 谢32参考文献33附录34第一章 概 述1.1课题来源课题ARP欺骗监控系统的设计与实现来源于实际网络的安全应用1。因为随着网络建设步伐的加快和网络应用的日益广泛，网络用户的数量也在不断增多。互联网（Internet）已经成为人们成为人们生活的一部分。我们要辩证的看待互联网，它是一把双刃剑，一方面给用户带来了方便，另一方面使得维护和保证网络安全变得困难，网络安全方面的问题也越来越突出，其中内部网（局域网内）的安全风险最为严重。内部员工对自身企业网络结构、应用比较熟悉，自己攻击或泄漏重要信息，内外勾结，都将可能成为致命的威胁。因此研究内部网络用户的监控技术变得极为迫切，对用于监听、查看用户行为的需求不断增加。在目前存在的种类繁多的受攻击状况中，其中一种就是ARP欺骗攻击。由于以太网络的ARP协议是一个不安全的协议，是直接和用户使用的网络设备交互的协议。ARP协议2是建立在信任局域网内所有结点的基础上的，它很高效，但却不安全。它是无状态的协议，不会检查自己是否发过请求包，也不管(其实也不知道)是否是合法的应答，只要收到目标MAC是自己的 ARP 应答包或 ARP广播包(包括 ARP request和ARP reply)，都会接受并缓存，这就为ARP欺骗提供了可能。恶意节点构造并发布虚假的ARP报文从而影响网内结点的通信，甚至可以做“中间人“3，截获用户的数据。为了提供正常的安全的通信服务，我们提出该课题，通过对ARP欺骗的进行监控来防御并解决已发生攻击现象的局域网环境，提出了一种基于服务器客户端3的ARP欺骗防御模型,以达到局域网中实现各主机防御ARP欺骗的目的。1.2国内外研究现状随着网络的飞速发展，Internet的迅速普及，网络已经深入到了我们的生活，信息安全和网络安全的越来越被关注，实时的了解和掌握网络的使用情况和网络中传输的各种数据的要求也越来越高。通过得到的网络内部传输的数据来判断网络的安全。近几年来，许多人投入到这一领域上来，在网络监控软件上取得了一些成绩。国内的有网络哨兵，360安全卫士等。就国内来说，网络监控的研究刚刚起步，为了解网络的实时情况，对存在的网络安全威胁进行处理，各研究机构和企业相应研究和开发了一些应用系统来防范网络上的一些非法行为，但在产品的可靠性，检测的准确性方面，与国外的产品还有一定得距离，这些都需要进一步的研究来解决。因为ARP协议设计的不完善致使攻击的普遍存在。在监控软件中，ARP攻击的欺骗监控防御最为普遍。 1.3课题分析该系统也就是一个局域网管理软件，可以监控网络用户的行为，利用winpcap捕获用户数据包，分析ARP包，当发现有非法行为后，利用ARP欺骗阻断其与Internet的联系（反欺骗手段）从而达到管理局域网的目的。系统应用于实际的局域网网络，必须符合大多数用户的使用要求，方便用户的操作，这也符合课题中的该系统是一个可视化窗口界面系统的要求，所以需要选择一种可视化的开发工具，在选择开发工具时，首先必须选择开发的系统环境，比如windows环境，或者Linux环境，在这里我选择了windows编程技术中常用的开发平台Visual C+ 6.0来实现开发的。系统主要是根据网络安全应用的具体实行情况而设计的，涉及到底层ARP地址解析协议的相关知识，需要windows平台上的winpcap类来完成底层操作，其主要需要完成以下三部分功能：监控ARP网关欺骗功能，保护本机到网关之间通信功能及修复这个网络的功能。另外需要把握一个核心就是得到正确的网关MAC地址，通过该系统的设计深刻理解ARP协议同时运用各种技术来弥补ARP协议的缺陷。第二章 TCP/IP协议及ARP地址解析协议概述2.1 TCP/IP协议分析2.1.1TCP/IP简介TCP/IP协议是 Internet进行通信的基础 ,只有深入理解了 TCP/IP基本概念、工作原理 ,才能更好的掌握和理解Internet，理解网络通信原理。TCP/IP5协议它由两个部分组成，一个是用来检测网络传输中差错的传输控制协议（TCP），当检测到传输中有差错时，它能产生重发信号，源端收到该信号后就重新传输发生差错的包，通过这种差错重传机制保证数据正确传输到目的地；另一个是专门负责对不同网络进行互联的互联网协议（IP）。TCP/IP协议设计的基本原则：每一个独立的网络必须按自己的标准建立起来，当这个网络和互联网连接时，不需要对其内部做任何改动。网络应该在最佳状态下完成通信。如果一个信包没有到达目的地，最初发出信包的结点将很快重发该信包。网络之间通过网关和路由器设备进行互相连接。2.1.2TCP/IP协议结构TCP/IP协议是一个四层协议，协议的每层对上一层是透明的，例如说，应用层只负责应用程序之间的通信规则，完全不必理会数据是怎样在网络中传输，也不必理会怎样接入网络。而对于网络接口层来说，它完全不需要知道正在传送的是什么数据。协议的透明性给我们提供了更加简便的开发思想。我们不需要了解内部数据的具体情况，从而缩短了开发周期。TCP/IP网络协议栈分为应用层（Application）、传输层（Transport）、网络层（Network）和链路层（Link）四层。图2.1所示6。图2.1 TCP/IP协议是一个四层协议2.1.3数据包的封装当应用程序传送数据时数据被送入协议栈，然后逐个通过每一层直到被当作一串比特流送入网络。其中每一层对收到的数据都要增加一些首部信息（有时还要增加尾部信息），如图2.2所示。例如在本课题中要求知道正确的网关MAC地址，可以通过在局域网中设置一台主机为存储正确网关MAC地址的主机，运行软件时只需监测主机向该主机申请网关MAC地址。基本实现方法就是建立一应用程序，一层一层的添加头部信息，发送到监测主机，然后监测主机在进行解析，得到用户数据（正确的网关MAC地址）。图2.2显示了数据包的封装过程。传输层及其以下的通信机制由内核提供，应用层由用户进程提供，应用程序对通信数据的含义进行解释，可以认为是应用层之间的协议。应用层数据通过协议栈发到网络上时，每层协议都要加上一个数据首部（header），称为封装（Encapsulation）7。图2.2数据包封装2.2 ARP工作原理2.2.1ARP协议ARP协议是常用的TCP/IP底层协议。在以太网中进行IP通信的时候需要一个协议来建立IP地址与MAC地址的对应关系，以使IP数据包能发到一个确定的地方去。这就是ARP(Address Resolution Protocol，地址解析协议)。ARP帧共有42位，加上18位填充位以及4位CRC，组成64位物理帧。格式如图2.38所示。图2.3ARP请求与应答包报文格式ARP协议的工作过程：当一个基于TCP/IP的应用程序需要从一台主机发送数据给另一台主机时，它把信息分割并封装成包，附上目的主机的IP地址。然后，寻找IP地址到实际MAC地址的映射，这需要发送ARP数据包消息。当ARP找到了目的主机MAC地址后，就可以形成待发送帧的完整以太网帧头。最后，协议栈将IP包封装到以太网帧中进行传送。如图2.4所示，描述了ARP广播过程。在图2.4中，当主机A要和主机B通信（如主机A Ping主机B）时。主机A会先检查其ARP缓存内是否有主机B的MAC地址。如果没有，主机A会发送一个ARP请求广播包，此包内包含着其欲与之通信的主机的IP地址，也就是主机B的IP地址。当主机B收到此广播后，会将自己的MAC地址利用ARP响应包传给主机A，并更新自己的ARP缓存，也就是同时将主机A的IP地址/MAC地址对保存起来，以供后面使用。主机A在得到主机B的MAC地址后，就可以与主机B通信了。同时，主机A也将主机B的IP地址/MAC地址对保存在自己的ARP缓存内也就是后面对应的ARP缓冲表。图2.4 ARP广播2.2.2ARP缓冲区在工作站PC的windows环境中，ARP条目的寿命是2分钟。 在工作站PC的Windows环境中，可以使用命令arp -a查看当前的ARP缓存，如图3所示。为了能够人工的修改ARP缓存，可以使用arp d来删除ARP缓存里面存放的IP-MAC地址对。IP-MAC地址对也就是电脑里存储的关于IP地址与MAC地址的对应关系，dynamic表示是临时存储在ARP缓存中的条目，过一段时间就会超时被删除(具体时间不同操作系统不同)。Static表示是静态存储在ARP缓存中的条目，不会因为超时而被删除，这也为我们设计保护本机通信提供了一些方法依据。图2.5 Windows环境下，命令arp -a的输出2.2.3ARP报文格式2.2.3.1 IP-MAC映射9每个网卡都有自己全球唯一的MAC地址，它们是以MAC地址来传输以太网数据包的，它们不可能识别IP包中的IP地址，实际上网卡把收到的包提交到协议栈的缓冲，成为链路层包，再分离出IP层的包，再分离出TCP ，UDP。发送包则是相反的过程，进行添加头部信息。2.2.3.2ARP包的格式一个ARP包是分为两个部分的，前面一个是物理帧头或EtherHeader，后面一个才是ARP帧或ArpFrame10。首先，物理帧头，它将存在于任何一个协议数据包的前面，叫DLC Header，因为这个帧头是在数据链路层构造的，并且其主要内容为收发双方的物理地址（MAC地址），以便硬件设备识别。表2.1对局域网内所有的主机MAC地址进行广播，包括：接收方的MAC地址、发送方MAC地址、网络的类型这里就是以太网默认值为（0X0806）。因为这里说的是广播数据则接收MAC地址为ff-ff-ff-ff-ff-ff。另需填充是发送方的MAC地址。表2.1物理帧头格式DLC Header字段长度（Byte）默认值备注接收方MAC6广播时， 为ff-ff-ff-ff-ff-ff发送方MAC6Etnertype20x08060X0806是ARP帧的类型值采用C语言中的枚举类型11就行设置同一结构体中的数据和结构体的设置如下：enum MAC_ADDR_LEN = 6, / mac地址的长度IP_ADDR_LEN = 4 / IP地址的长度;typedef struct unsigned char eh_dstMAC_ADDR_LEN; /以太网目的地址 unsigned char eh_srcMAC_ADDR_LEN; /以太网源地址 unsigned short eh_type; /以太网类型，默认0x0806 char data1;/字符指针用来执行ARP头部 ETH_t, *pETH_t;下面是ARP帧，硬件类型、上层协议类型等都是些固定的数值，针对常用的以太网，只需设置为默认值即可，硬件类型以太网类型值默认为0x1，上层协议类型为IP协议默认值为0x0800，Mac地址长度为6，IP地址长度对于IP4，IP地址长度为4。，操作码就是请求和应答，其他MAC地址和IP地址根据发送接收的关系来填写。表2.2 ARP帧格式ARP Frame字段长度（byte）默认值备注硬件类型20x1以太网类型值上层协议类型20x0800上层协议为IP协议Mac地址长度10x6以太网Mac地址长度为6IP地址长度10x4IP地址长度为4操作码20x1表示ARP请求包，0x2表示应答包发送方Mac6发送方Ip4接受方Mac6接收Ip4填充数据18物理帧至少为64字节前面的42字节加上4个校验字节还差18个字节2.2.3.3ARP包的填充对于ARP包分为两种：一种是ARP请求包，另一种是ARP应答包。()请求包的填充比如电脑MAC地址为 aa-aa-aa-aa-aa-aa，IP为 192.168.0.1需查询 192.168.0.99的MAC地址。首先填充DLC Header，想要知道某个主机对应的MAC地址是要给全网发送广播的，所以接收方MAC肯定是 ff-ff-ff-ff-ff-ff，如表2.3所示。表2.3 ARP请求包中的DLC帧头字段长度（Byte）填充值接收方MAC6Ffffffffffff发送发MAC6AaaaaaaaaaaaEthertype20x0806接下来是请求包的ARP帧，由前面的填充包中，知道针对交换式以太网12，很多字段是默认的数据如硬件类型等。需要填写只有三种数据：请求包的操作码、发送方的MAC地址和IP地址、接收方的MAC地址和IP地址。在不知道接收方MAC地址的情况下，对于接收方MAC填入任意值就行，不起作用，对于其它的MAC地址和IP地址按照对应关系填写，具体格式如表2.4所示。表2.4 ARP请求包中 ARP帧ARP Frame字段长度（byte）填充值硬件类型21上层协议类型20x0800641Aaaaaaaaaaaa192.168.0.1/fakeip任意值xxxxxxxxxxxx192.168.0.990Mac地址长度1IP地址长度1操作码2发送方Mac6发送方Ip4接受方Mac6接收Ip4填充数据18如果我们构造一个这样的包发送出去，如果 192.168.0.99存在且是活动的，我们马上就会收到一个192.168.0.99发来的一个响应包，我们可以查看一下我们的ARP缓存列表（查看方法开始-运行-cmd-输入arp-a）得到如下的信息列表。192.168.0.99 bb-bb-bb-bb-bb-bb dynamic这里假设192.168.0.99（MAC为 bb-bb-bb-bb-bb-bb）这样192.168.0.99的ARP缓存中就会多了一条关于我们192.168.0.1的地址映射。 (2) 响应包的填充比如说给 192.168.0.99（MAC为 bb-bb-bb-bb-bb-bb）发一个ARP响应包，告诉它请求电脑的MAC地址为 aa-aa-aa-aa-aa-aa。这时接收方的MAC地址和发送方的MAC地址互换，接收方MAC地址为Bbbbbbbbbbbb，发送方的MAC地址为Aaaaaaaaaaaa，以太网类型还为0x0806，如表2.5所示。表2.5 ARP响应包中 DLC Header内容DLC Header字段长度（Byte）填充值接收方MAC6Bbbbbbbbbbbb发送方MAC6AaaaaaaaaaaaEthernet20x0806需要填写只有三种数据：请求包的操作码、发送方的MAC地址和IP地址、接收方的MAC地址和IP地址。MAC地址和IP地址按照对应关系填写，具体格式如表2.6所示。表2.6 ARP响应包中ARP帧的内容ARP Frame字段长度（byte）填充值硬件类型21上层协议类型20x0800642Aaaaaaaaaaaa192.168.0.1bbbbbbbbbbbb192.168.0.990Mac地址长度1IP地址长度1操作码2发送方Mac6发送方Ip4接受方Mac6接收Ip4填充数据18第三章 ARP欺骗分析及测试3.1ARP欺骗模型网络设备无法识别ARP包的真伪，而且也不能识别，如果基本的约定都是假的，会带来致命的灾难。如果按照ARP的格式来发送数据包，只要信息有效计算机就会根据包中的内容做相应的反应，如果操纵网卡设备发送数据和掌握包的格式，便可以做欺骗攻击。路由器中有一个IP地址也就是网关IP。现在存在多台主机连接在路由器上，这里只是说明网关欺骗技术的基本原理。基本系统模型：多台主机通过交换机互连，再通过路由器连接到Internet上，这一基本构架是实现网关欺骗的基本模型，如图3.1Error! Reference source not found.所示。图3.1基本系统模型3.2常见的ARP攻击手段常见的ARP攻击为两种类型：ARP扫描和ARP欺骗。ARP扫描（ARP请求风暴）通讯模式（可能）： 请求 -> 请求 -> 请求 -> 请求 -> 请求 -> 请求 -> 应答 -> 请求 -> 请求 -> 请求. 描述： 网络中出现大量ARP请求广播包，几乎都是对网段内的所有主机进行扫描。大量的ARP请求广播可能会占用网络带宽资源；ARP扫描一般为ARP攻击的前奏。 出现原因（可能）： 病毒程序，侦听程序，扫描程序。ARP欺骗：ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中，有人发送一个自己伪造的ARP应答，网络可能就会出现问题。3.3ARP网关欺骗代码实现3.3.1伪造ARP包结构首先，要把构造的数据包发送到整个局域网上，所以接收方的MAC地址应该为ff-ff-ff-ff-ff-ff，发送方MAC地址，可以通过开始->运行->cmd->ipconfig/all查询，以太网类型为0x0806，物理帧头的设置如表3.1所示。表3.1 物理帧头格式DLC Header字段长度（Byte）填充值接收方MAC6广播时，为ff-ff-ff-ff-ff-ff发送方MAC6自己的MAC地址Ethernet20x0806是ARP帧的类型值对于构造的欺骗包的ARP Frame的结构，如表3.2所示。这里采用了一种比较巧妙的方法就是通过全网段扫描的方法，通过IP和NETMASK(子网掩码)进行与运算实现得到接收方的IP地址，从而实现全网的欺骗。通过发送构造包可实现网关欺骗攻击。表3.2 ARP请求包中 ARP帧ARP Frame字段长度（byte）填充值硬件类型21上层协议类型20x0800641自己的MAC192.168.0.1 /fakeip任意值xxxxxxxxxxxxIP跟NETMASK形成的地址0Mac地址长度1IP地址长度1操作码2发送方Mac6发送方Ip4接受方Mac6接收Ip4填充数据183.3.2遍历整个网络的实现方法这段代码是实现遍历整个网络的核心代码,要把构造的数据包发送到局域网中传输，需要知道三个地址MAC地址，fakeIp地址，destIP地址，通过getselfmac地址可以得到MAC地址，要伪造的IP地址，通常是已知的，现在要做的就是知道目的Ip，基本思想就是通过一个全网段遍历程序来实现全网段扫描。假设对于所在网络的子网掩码是已知的，则我们可以得到子网地址（通过Ip和子网掩码netmask进行相与得到），而又可通过子网掩码得到网络中的主机数，则这样就能实现遍历。unsigned long netsize = ntohl(netmask); /网络中主机数unsigned long net = ip & netmask; /子网地址for(unsigned long n=1; n<netsize; n+)/第i台主机的IP地址，网络字节顺序 unsigned long destIp = net | htonl(n); /构建假的ARP请求包，达到本机伪装成给定的IP地址的目的 packet = BuildArpPacket(mac,fakeIp,destIp);第四章 防御ARP欺骗系统总体的设计4.1 系统设计思想为了保护局域网的正常通信，只要有正确的IP-MAC地址对，则用户就能够进行正常的通信服务。那么只要在一个局域网内用一台服务器来保存网关的MAC地址，在进行通信之前，客户端先与服务器进行连接，把正确的Mac地址传给客户端，然后客户端与网关进行正常的通信。本章节介绍的防御ARP欺骗系统的基本模型是常用的C/S模型13。4.2系统设计框架在客户端，需要填入正确的网关MAC地址，而在攻击存在的条件下，不知道正确的网关MAC地址为多少，那么就需要通过在服务器保存的正确的网关MAC地址传给客户端来保障网关MAC地址正确。，这就涉及到应用程序的通信问题。下图展示了通过socket实现客户机和服务器之间进行通信的结构模型。为了实现局域网内部，与多台主机进行通信，服务器采用一监听套接字来实现端口的监听，然后再通过通讯套接字，客户端创建连接套接字两个进行连接，再进行数据传输。最后，在通信完成后关闭套接字。4.2.1通信系统模型客户端与服务器之间的通信连接如图4.1所示Error! Reference source not found.。图4.1一点与多点通信4.2.2服务器端及客户端设计应用程序之间进行通信时，在客户端和服务器运行不同的应用程序，通过应用程序传输正确网关MAC。在编写相应程序时，只需按照上流程图，一步一步编写相关程序。把服务器Socket套接字的监听的端口和客户端Socket套接字的连接端口，设置成一致，为通信提供通道。注意，在通信完成后必须关闭套接字，以免一起内存不足或者不可读的错误。第五章 系统分析设计系统的分析是非常重要的，是设计产品的一个很重要的基础，是进行软件程序开发前必不可缺少的理论依据之一。要从多个方面进行分析，其中可行性最为重要。5.1系统分析5.1.1系统的可行性在需要设计的ARP欺骗监控系统的设计是基于现在广泛存在的ARP欺骗攻击提出的。面对复杂多变的局域网环境，我们需要考虑系统实现的可行性。进行可行性判断的目的就是用最小的代价在尽可能短的时间内确定问题是否能够解决。必须要注意的是，可行性研究的目的不是解决问题，而是确定问题是否值得去解。所以就要分析几种主要的可能解法的利弊，从而判断原定的系统目标和规模是否可以实现。因此，对研究课题可行性研究实质上是要进行一次压缩简化了的系统分析和设计的过程。对每种办法都应该仔细研究它的可行性，一般说来，至少应该从下述二方面研究每种方法的可行性：（1）技术可行性 使用现有的技术基本可以实现这个系统，系统要求可视化，我们可以联想到很多可视化的设计开发工具（如VC，VB等）。对于底层的接口，因为我们使用的windows系统，所以我们可以通过winpcap来实现底层的一些操作。所以技术上比较可行。（2）经济可行性 这个系统的经济可行性，花费成本主要就是PC机开发程序，基本上没有其他费用，成本比较廉价。另外，系统开发完成之后可以投入实际的局域网监控，比较实用。当然，可行性研究最根本的任务是对以后的工作方针提出建议要求。应该寻找一个较好的解决方案，并且为工程制定一个初步的规划。为此，我先对ARP底层协议进行了详细的理解，又仔细阅读和分析有关的材料，解决了目标系统的一些限制和约束，同时也确定了该系统是可行的。对于该系统确定了基本的实现思想，比对ARP缓冲表里实时更新的数据跟服务器中保存的正确的MAC地址，得到攻击欺骗是否存在。以三个模板为系统开发方向来实现可视化功能，输入数据（需要的各种地址如IP地址和MAC地址等）、处理数据（主要是抓包分析）、显示处理数据得到的结果，每个模块都具有可行性，从这为以后的工作奠定了方向基础，有效的缩短了开发系统的周期。5.1.2系统目标及功能分析随着网络的发展，网络安全的问题也日趋严重。维护网络安全（特别是局域网），一项重要技术就是网络的实时监控。通过对网络上的所有数据进行捕获并对其进行检查分析，以便找出所关心的网络中潜在的问题，做出精确的问题判断。通过界面图形和各类数据进行输入输出内容显示，使用户可以监测整个局域网网络的运行和使用状态。该系统完成的是ARP欺骗监控是个软件系统，任何一个软件系统本质上都是信息流系统，系统必须处理的信息流和系统应该产生的信息流，信息流的控制很大程度上决定了系统的好坏，对软件设计有深远影响，因此，在对系统的功能分析过程中，应该划出系统必须完成的所有功能，分析各种数据的流向，从而做出模块化的程序。首先，我们必须实现可视化，对于大多数使用者来说，不是专业的操作人员，而且由于系统涉及到网络安全的问题，可能给他人造成损害，所以我们需要对其进行相应的设计区别。1能够满足普通用户操作的基本需求。主要就是基本功能，实现监控局域网内的ARP欺骗，该用户不需要设置相关的配置文件。只需要选择主机的网关，对于无线，我们可以选择无线网关即可，然后系统进行自动的监测。2能够满足专业用户操作的需求。为了修复网络，我们需要相关的配置信息，所以这方面的功能设置为专业人员的功能操作，修复网络采用欺骗攻击的原来实现的，可能给攻击主机带来一段时间的“掉线”现象，所以需专业人员进行，操作不当可能会造成局域网瘫痪。5.1.3系统模型本系统设计模型如图5.1所示框图所示14。基本要求局域网环境，四台主机连接在交换机上，通过路由器连接到Internet上。攻击主机作用产生ARP欺骗攻击（主要是指网关欺骗），监测主机主要作用就是监测攻击主机伪造的MAC地址。由于通常伪造被攻击主机MAC地址的目的是为了捕获被攻击主机的数据包，所以通常伪造为攻击主机的MAC地址，可以通过监测功能追踪到其MAC地址，进行反攻击修复网络。存有正确网关MAC地址的主机则是充当了网络管理员的角色，对局域网的网关MAC地址进行配置。其他主机则为肉机，充当被攻击主机。图5.1ARP欺骗监测系统模型设计模型中存有正确网关MAC地址的主机是监测主机中配置文件中配置MAC地址中的核心，得到正确网关MAC地址是本系统的核心。5.2系统设计5.2.1设计思想及系统结构图ARP欺骗监控系统是通过将网卡打开相应的网卡，从局域网中上接收一切向它发送的ARP请求包，然后解析数据包报文头中各字段的意义，从而分析数据帧以及所使用的协议的类型，得到发送包中的发送MAC地址与ARP缓冲表里的MAC地址进行比对从而监测攻击是否存在，显示监测结果。下图中显示了本系统中应用的基本的数据信息：子网掩码，本地IP，本地MAC地址，网关MAC地址，网关IP，伪造MAC地址，然后通过模块化的控制方案来实现每项功能。图5.2ARP欺骗监控系统结构图5.2.2模块数据流结构图通过输入信息，我们可以得到正确的网关IP，网关MAC地址，相应的进行IP比对和MAC地址比对，即可得到是否存在欺骗。比对方法：可以通过查看ARP缓存里面的数据得到实时的网关的IP地址和网关的MAC地址，确定正确的地址与实时的进行比对，从而得到答案。图5.3ARP欺骗监测模块数据信息流结构图保护本机通信也就是绑定本地到网关之间的通信，从而防止ARP欺骗攻击的入侵，使得主机和网关之间进行可靠的通信，图5.4所示。图5.4保护本机通信模块数据信息流结构图得到正确的网关MAC地址是保障通信的先决条件。得到正确MAC地址方法采用C/S模型，在局域网内设置一台服务器来存放正确的网关MAC地址，通过建立应用程序之间建立通信协议，在服务器和客户端之间传输正确的MAC地址。下图给出了一种得到正确网关MAC地址的辅助措施。通过不断发送响应包，比对MAC地址两者一样就是正确的MAC地址，反之，则为错误的MAC地址。图5.5辅助得到正确MAC数据信息流结构图当攻击存在时，为了修复网络采用反攻击手段，监控主机构造含有伪造MAC地址的数据包发送给攻击主机，是攻击主机从网络中分离出来，从而恢复网络通信。图5.6修复已被破坏网络模块数据信息流结构图5.2.3系统流程图5.7系统流程图总结(一) 总结 本系统针对ARP攻击的原理，利用服务器和客户端的体系结构，通过服务器给客户端发送正确的网关MAC地址，与ARP缓冲表中的数据进行比较得到结果，基本达到预期程序设计的目的，但是在程序的可靠性上还有待进一步的加强，程序的功能和界面比较简单，因此