计算机应用arp欺骗技术的研究与实践本科论文.doc

《计算机应用arp欺骗技术的研究与实践本科论文.doc》由会员分享，可在线阅读，更多相关《计算机应用arp欺骗技术的研究与实践本科论文.doc（38页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、武 夷 学 院毕业论文题目：ARP欺骗技术的研究与实践姓名：吕珊珊学号：20134062036系部：数学与计算机系年级专业班级：08级计算机应用指导老师：*讲师ARP欺骗技术的研究与实践摘要:网络的迅速发展,在给人类生活带来方便的同时,也对网络安全提出了更高要求，因此对网络协议的分析和利用越来越受到普遍关注。互联网的发展很大程度上归功于TCP/IP协议运行的高效性和开放性,这也致使TCP/IP协议本身存在着诸多的安全隐患，其中因ARP协议安全漏洞引发的欺骗攻击就较为典型。本文在深入分析ARP协议原理的基础上，探讨了几种常见的ARP欺骗攻击方式，如仿冒主机/网关、“中间人”攻击、Flooding

2、攻击、网页劫持等；通过实验和实践，总结了一些较为有效的ARP欺骗检测和防御手段；结合本人参与学院校园网络安全整体防御体系项目的实施和管理，融合锐捷GSN、IEEE802.1x、ARP-Check技术，给出一种立体防御ARP欺骗的解决方案。文章最后针对IPv6邻居发现协议做了简要分析，旨在后续课题的研究。关键词： ARP；锐捷GSN；IEEE 802.1x；邻居发现协议目录1 引 言11.1 课题研究的背景和意义11.2 论文的主要内容和章节安排2论文在深入分析ARP协议原理的基础上，探讨了几种常见的ARP欺骗攻击方式，一些较为有效的ARP欺骗检测和防御手段，并结合参与学院校园网络安全整体防御体

3、系项目的实施和管理，融合锐捷GSN、IEEE802.1x、ARP-Check技术，给出一种立体防御ARP欺骗的解决方案。22 ARP欺骗技术12.1 ARP协议概述12.1.1 ARP协议的定义12.1.2 ARP协议的工作原理12.2 ARP欺骗32.2.1 何为ARP欺骗32.2.2 ARP欺骗攻击的危害32.2.3 ARP欺骗产生的根源32.3 ARP欺骗的主要攻击方式42.3.1 攻击主机冒充网关欺骗正常主机52.3.2 攻击主机冒充正常主机欺骗网关52.3.3 基于ARP的“中间人”攻击52.3.4 Flooding攻击62.4 简单模拟ARP欺骗82.4.1 采用软件模拟ARP欺骗

4、82.4.2 采用编程模拟ARP欺骗93 ARP欺骗的防御技术93.1.1 手动检测93.1.2 自动检测103.2 ARP欺骗攻击的防御123.2.1 手动防御123.2.2 自动防御134 校园网ARP欺骗的立体防御方案174.1 基于802.1x协议的认证防御174.1.1 IEEE 802.1x认证系统174.1.2 基于802.1x认证的ARP防御技术194.2 锐捷GSN解决方案原理204.2.1 用户身份合法性验证204.2.2 确保真实ARP信息来源204.2.3 中立的第三方ARP授信体系214.2.4 建立可信任ARP机制214.2.5 在网关设备上增加可信ARP表项224

5、.3.1 SMP234.3.2 Gateway234.3.3 NAS234.3.4 SU2414.4 GSN + ARP-Check的整体防御245 IPv6的邻居发现协议25 5.1 邻居发现协议的定义255.2 邻居发现协议的安全缺陷分析255.4 邻居发现协议和ARP协议的比较265.4.1 发送机制265.4.2 所处层次265.4.3 可达性检测维护275.4.4 Hop Limit字段276 结 论2811 引 言本章阐析开展本课题研究的背景和意义，扼要说明课题研究的主要内容和章节安排。1.1 课题研究的背景和意义信息化进程的深入和互联网的迅速发展，为人们的工作、学习、生活带来了巨

6、大变化。网络的迅速发展,在给人类生活带来方便的同时,也对网络安全提出了更高要求。网络协议安全是网络安全的重要环节,因此对网络协议的分析和利用越来越受到普遍关注。互联网的发展很大程度上归功于TCP/IP协议运行的高效性和开放性,然而TCP/IP协议在实现过程中忽略了对网络安全方面的考虑,致使其存在着较多安全隐患，其中ARP协议的安全漏洞引发的欺骗攻击较之其他协议最为典型。校园网是CERNET/Internet的基本组成单位，是为学校师生员工的教学、科研、管理、服务、文化娱乐等提供服务的信息支撑平台，是学校必不可少的基础设施。校园网有用户数量大、用户类型复杂、管理策略复杂、流量大、网络安全威胁性大

7、等特点。如果网络安全问题不能够有效的解决, 势必将影响校园网的教学科研服务作用的发挥。要保证整个网络的安全性,必须从多个层次和多个方面考虑网络的安全性,采取相应的防护措施,减少网络遭受攻击的可能性, 达到保证网络安全的目的。近两年，ARP欺骗攻击在局域网中频繁出现，特别是一些木马或病毒程序容易利用ARP欺骗原理来对网络用户进行攻击，感染了这类木马或病毒的计算机会自动发送ARP欺骗数据包来扰乱局域网中各主机的ARP地址列表，致使同一网段上的大多用户频繁断网，导致整个局域网无法正常运行，严重时可导致网络大面积瘫痪，给网络管理者增添了巨大的压力。而且受到ARP欺骗攻击的用户还很容易被窃取私密信息。同

8、时，ARP欺骗作为传播网页木马病毒的传播手段，当一台主机感染带有这种ARP欺骗功能的病毒后，会在局域网内发动ARP欺骗，它会监听局域网内所有主机的数据包，一旦发现其它主机有访问WEB网页的行为后，就会通过修改相应的数据封包在你访问的网页代码里加入包含有木马程序的网页链接。从而导致局域网内其它主机不管访问什么网站都会被导引到含有木马病毒的网站上去。基于这些情况，深入了解ARP协议的原理，剖析ARP欺骗产生的根源，研究分析ARP欺骗的方式，探讨ARP欺骗的检测、防御技术，并给出一种ARP欺骗整体防御的解决思路，制定出有效的防御措施，对网络安全运行有着极其重要的意义。11.2 论文的主要内容和章节安

9、排论文在深入分析ARP协议原理的基础上，探讨了几种常见的ARP欺骗攻击方式，一些较为有效的ARP欺骗检测和防御手段，并结合参与学院校园网络安全整体防御体系项目的实施和管理，融合锐捷GSN、IEEE802.1x、ARP-Check技术，给出一种立体防御ARP欺骗的解决方案。第1章 阐析开展课题研究的背景和意义，扼要说明课题研究的主要内容和章节安排。第2章 详细分析了ARP协议的定义、工作原理、产生的危害和欺骗产生的根源，探讨了五种主要的ARP欺骗攻击方式，并给出基于虚拟化技术的两种模拟ARP欺骗的实验方法。第3章 在实践的基础上，总结了一些较为有效的ARP欺骗检测和防御手段，并分析它们优劣特点和

10、适用的环境，扬长避短、相互结合，以期达到更好的防御效果。第4章 结合参与学院校园网络的实践，着重探究校园网ARP欺骗的立体防御方案体系，多角度、多元素协同防御，实现对网络病毒和攻击等安全事件自动发现、自动处理、自动通知、自动解除的全局安全联动。主要包括基于802.1x协议的认证防御、锐捷GSN方案的原理、GSN防御体系的构成和GSN+ARP-Check体系几个部分。 第5章 扼要介绍IPV6邻居发现协议的定义、存在的一些安全缺陷及其与IPV4 ARP协议的比较，旨在后续课题的研究。12 ARP欺骗技术本章详细分析了ARP协议的定义、工作原理、产生的危害和欺骗产生的根源，探讨了五种主要的ARP欺

11、骗攻击方式，并给出基于虚拟化技术的两种模拟ARP欺骗的实验方法。2.1 ARP协议概述2.1.1 ARP协议的定义ARP(Address Resolution Protocol)，即地址解析协议，是TCP/IP协议簇中重要的基础协议之一。它工作于OSI/RM七层模型中的第二层数据链路层（Data Link Layer）,在本层与下层物理层之间通过硬件接口进行联系，同时也为上层网络层提供服务。当局域网中的网络节点进行通信时，就需要由ARP协议通过目标设备的IP地址，查询目标设备的MAC地址，以保证网络节点间通信的正常进行。换言之，ARP协议的主要功能就是负责把目标设备网络层的IP地址转变成其数据

12、链路层的MAC地址，建立IP地址和MAC地址之间的一一映射关系，使网络节点间通信的数据帧能够在链路中正确传输。2.1.2 ARP协议的工作原理数据链路如以太网或令牌环网都有自己的寻址机制。在局域网中实际传输的是数据帧，真正用来寻址的是MAC地址，而IP数据包是通过网络层传输的。因为二层的以太网设备并不识别32位的IP地址，设备驱动程序从不检查IP数据包中的目的IP地址，它们是以48位物理地址（MAC地址）传输以太网帧的。所以，当网络中一台主机要和另一台主机进行直接通信时，必须知道目标主机的MAC地址，即利用ARP地址解析协议把目标IP地址解析为目标MAC地址，建立IP-MAC对应关系以保证通信

13、的顺利进行。在此，我们可以举例说明ARP协议工作的具体过程。局域网中的主机A要向主机B发送数据，建立通讯时，主机A会首先检查自己的ARP缓存表中是否存在目的主机B的IP-MAC地址对应关系表项。如果存在，TCP/IP协议栈会直接将主机B的MAC地址写入数据帧中发送。如果不存在，则主机A会向网内所有主机广播一个ARP Request报文，其中目的IP地址为主机B的IP，目的MAC地址为“FF.FF.FF.FF.FF.FF”，以此来询问主机B的IP对应的MAC地址是什么。一般情况下，网络上的其它主机并不响应该ARP Request报文，而只有当主机B收到该报文时才会创建一个ARP Reply报文，

14、并发回给主机A。该ARP Reply报文中包含了主机B的IP和MAC地址。主机A接收到回复后会将主机B的IP-MAC地址对应关系保存在自己的ARP缓存表中，若下次再请求与同一IP地址的主机通信时，就从缓存表中直接获取目的主机的MAC地址即可，而无需再发送ARP Request广播报文询问。ARP协议的工作原理如图2-1所示。图2-1 ARP协议的工作原理在上段ARP工作过程中提到的ARP缓存表，是在每一台安装有TCP/IP协议的主机里都维护的一张IP-MAC地址一一对应的关系表。它采用了老化机制（Windows系统中的老化时间默认为2分钟，Cisco路由器默认为5分钟），在一段时间内，如果缓存

15、表中的某一行数据没有使用，该行数据就会被自动删除，这样可以大大减少ARP缓存表的长度，加快查询速度。ARP缓存表结构如图2-2所示。图2-2 ARP缓存表结构2.2 ARP欺骗2.2.1 何为ARP欺骗笼统地讲，ARP欺骗是一种使计算机网络无法正常运行的攻击手段，即利用ARP 协议的漏洞,通过向目标主机发送虚假ARP 报文,来实现监听或截获目标主机通信数据。一些木马或病毒程序通过利用ARP欺骗，对网络用户及网络运行环境产生影响甚至是破坏。为了较好地了解ARP欺骗，我们可以简单举例说明。ARP协议并不只是在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，只要应答包中的IP

16、地址正确，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。假设局域网中的主机A和C通信，当主机A广播了一个ARP Request报文后，本该由主机C进行回复，此时却是主机B更早地将自己伪造的ARP Reply报文发送给主机A，从而冒充C与A进行通信。伪造的Reply报文中包含了主机C的IP地址和主机B的MAC地址。这样，在主机A收到回复后便会将这条错误的IP-MAC地址对应关系更新到自己的ARP缓存表里。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以会导致主机A不能Ping通主机C，造成网络不通。这就是一个简单的ARP欺骗。2.2.2

17、ARP欺骗攻击的危害一般情况下，网络中的攻击者会制造出一些木马或病毒之类的利用ARP欺骗攻击手段的程序来威胁网络安全。所以，如果受到此类ARP欺骗程序的攻击，其中毒现象表现为：使用局域网时，用户会突然掉线、频繁断网，IE浏览器频繁出错，之后过一段时间又会恢复正常。若局域网中用户是通过客户端身份认证上网的，会出现客户端状态频繁掉线，或者可以认证但却Ping不通网关、不能上网，然后重启交换机或路由器、或者在MS-DOS命令窗口中运行arp d之后，用户又可恢复上网。攻击者可以利用此类木马或病毒程序来截获用户数据，如盗取QQ账号密码、盗取各种网络游戏密码和账号、盗窃网上银行账号去进行非法交易活动等，

18、给普通用户造成了巨大的不便甚至是经济损失。而且ARP欺骗木马或病毒只需成功感染一台计算机，就可能影响整个局域网运行，严重的时候可能带来网络的瘫痪。再者，攻击者也可能基于ARP协议的工作特性，不断向对方计算机发送带有诈欺性质的ARP数据包，其中包含与当前设备重复的MAC地址，使对方在回应ARP报文时，由于简单的地址重复错误导致不能进行正常的网络通信。2.2.3 ARP欺骗产生的根源ARP协议作为一个局域网协议，其设计初衷是为了方便数据的高效传输，设计前提也是在网络绝对安全的情况下。换言之，ARP协议是建立在局域网内各主机相互信任的基础之上，它本身不作任何安全检测，并没有一套安全机制来确保信息的真

19、实性、完整性、可用性。因此，ARP协议所具有的广播性、无状态性、无认证性、无关性和动态性等一系列安全缺陷，为ARP欺骗的产生提供了有利条件。 ARP Request报文以广播形式发送由于局域网内的计算机不知道通信对方的MAC地址，所以需要广播ARP Request报文。这样，攻击者就可以伪装ARP Reply报文，与广播者真正想要通信的主机竞争。同时，攻击者也可以不间断地在网内广播ARP Request，造成网络的缓慢甚至阻塞。 ARP协议是无状态的局域网内任何主机即使在没有接收到ARP Request的情况下也可以随意发送ARP Reply报文。而且只要应答包的内容格式等是有效的，接收到应答

20、包的主机都会无条件地根据其内容更新本机的ARP缓存表，而不论主机是否曾发出过请求。 ARP应答无需认证因为ARP协议设计时出于传输效率上的考虑，默认情况下是信任网内的所有节点的，于是在数据链路层没有对接收到的ARP Reply报文进行安全验证。只要是存在于ARP缓存表里的IP/MAC映射以及接收到的ARP Reply中的IP/MAC映射关系，ARP协议都认为是可信任的，没有对它们的真实性和有效性进行检验，也没有维护其一致性。 ARP缓存表基于高速缓存和动态更新当主机收到ARP相应数据包后，即使是伪造的，也会查找自己的缓冲区，并进行相应的更新正常的计算机的MAC地址更新都有一定的时间间隔因此，攻

21、击者如果在下次更新之前成功地修改了被攻击机器上的地址缓存，它就可以假冒或者拒绝服务攻击。2.3 ARP欺骗的主要攻击方式2.3.1 攻击主机冒充网关欺骗正常主机仿冒网关攻击是指攻击主机通过伪造并在局域网内发送源IP地址为网关IP地址、源MAC 地址为伪造的MAC 地址的ARP Reply报文给被攻击的主机，使得这些主机在自己的ARP缓存表上更新网关IP-MAC地址的对应关系。仿冒网关的攻击通常表现为：在同一局域网中，有一部分主机无法上网，重启这些主机后又恢复正常，但是过一段时间后网络再次中断。于是在命令行窗口中键入arp a，查看这些无法上网的主机的ARP表，发现网关的MAC地址是错误的。也就

22、是说，主机访问网关的流量被重定向到一个错误的MAC地址，导致用户无法正常访问外网。2.3.2 攻击主机冒充正常主机欺骗网关攻击主机冒充正常主机欺骗网关，是指攻击者通过伪造并发送源IP地址为同网段内某台合法用户的IP 地址, 源MAC 地址为伪造的MAC 地址的ARP Reply报文给网关，使得网关更新自身ARP缓存表中原合法用户的IP-MAC地址对应关系。这种欺骗网关的攻击一般表现为：网络中部分主机掉线, 甚至全网内主机都无法上网。查看路由器的ARP表项, 发现很多错误地址，所有被攻击者的IP地址对应的MAC地址都为攻击者的MAC地址。然后重启路由器后能短暂恢复正常，但是过一段时间之后主机又开

23、始掉线。而这些现象的发生都是因为网关发送给该用户的所有数据全部定向到一个错误的MAC地址，导致该用户无法正常访问外网。2.3.3 基于ARP的“中间人”攻击“中间人”攻击（Man-In-The-Middle，MITM），是一种利用一定手段在两台或多台主机之间人为地加入一台透明主机，“间接”的入侵攻击方式。这种攻击对其他用户是透明的，因此这台主机就称为“中间人”。“中间人”能够与原始主机建立连接、截获并篡改它们的通信数据。由于“中间人”对于原通信双方是透明的，使得“中间人”很难被发现，也就使得这种攻击更加具有隐蔽性。 “中间人”攻击常用的一种手段就是通过ARP 欺骗的方式来实现的。基于ARP的“

24、中间人”攻击又称为ARP双向欺骗，这种说法是相对于攻击主机冒充网关或主机的单向ARP欺骗而言的。假设有主机C想窃取主机A和主机B之间的通信，那么它就可以分别伪造ARP Reply报文发送给A、B这两台主机，使他们无验证地更新自身ARP缓存表中的相应的IP-MAC对应关系表项。于是，主机A和B之间看似直接的通信，实际上都是通过主机C进行的，即主机C担任了“中间人”的角色在传递信息，同时也可以对信息进行窃取和篡改,如图2-3所示。这种攻击方式也是较早时候电脑黑客窃取数据的常用手段之一。受到“中间人”攻击的主要表现有：局域网中某台主机上网突然掉线，但是过一会儿又恢复了，只是上网变得很慢。此时我们若使

25、用命令查看该主机上的ARP表项，就会发现通信对方的MAC地址被修改，他们的通信流量都先被重定向到另外一台主机上，再转至对方主机。图2-3 “中间人”攻击过程2.3.4 Flooding攻击Flooding 是一种快速散布网络连接设备（如交换机）更新信息到整个大型网络打每一个节点的一种方法。涉及ARP欺骗的Flooding攻击主要有两种：ARP报文Flooding和交换机上的MAC Flooding。 ARP报文Flooding攻击者利用工具构造大量ARP报文，发往交换机、路由器或某台普通主机，导致设备的CPU忙于处理ARP协议，负担过重，造成设备没有多余资源区转发正常的数据流量甚至瘫痪。遭受这

26、种攻击的现象主要表现为：网络经常中断或网速很慢，查看ARP表项没有发现错误，只有通过抓包分析是发现有大量的ARP Reply报文。 MAC Flooding交换机中也存放着一个类似ARP的缓存表，称为CAM。同主机中的ARP缓存表相同，它也起到记录网络设备MAC地址与IP地址的对应关系的功能。但是交换机中的ARP缓存表的大小是固定的，这就导致了ARP欺骗的另一种隐患：由于交换机可以主动学习客户端的MAC地址，并建立和维护这个CAM缓存表，当某人利用欺骗攻击连续大量的制造欺骗MAC地址，CAM表就会被迅速填满，同时更新信息以洪泛方式发送到所有的接口，也就代表Trunking（所谓Trunking

27、是用来在不同的交换机之间进行连接，以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯。）的流量也会发给所有的接口和邻近的交换机，会导致其他交换机的CAM表溢出，造成交换机负载过大，网络缓慢和丢包甚至瘫痪。所以说MAC Flooding是一种比较危险的攻击，严重会使整个网络不能正常通信。这种基于ARP欺骗的Flooding攻击，也可以称作“拒绝服务式攻击（D.O.S）”。而如果攻击者先对目标主机进行D.O.S攻击,使其不能对外部作出任何反应之后，再将自身主机的IP地址和MAC地址分别改为目标主机的IP地址和MAC地址，代替它接收一切数据包，从而进一步实施各种非法操作。那么这样一种攻击

28、方式，我们也可以称作“克隆攻击”。2.3.5 ARP网页劫持攻击ARP网页劫持攻击其实也可以说是利用了“中间人”攻击的原理。局域网内用户访问网页时，网页源代码的头部被插入代码“ 或者“可以使浏览器自动下载病毒或者木马程序的脚本内容”，访问网页不顺畅，提示脚本错误，同时杀毒软件的网页监控提示网页存在病毒。但是当检查服务器上网页的原始代码时却发现没有任何异常。这种情况很可能就是ARP网页劫持攻击引起的。根据网页内容传输过程中，ARP网页劫持发生的区段位置不同，我们可以把ARP网页劫持攻击分成两种情况：发生在客户端所在局域网内的ARP网页劫持攻击和发生在服务器所在局域网内的ARP网页劫持攻击。 客户

29、端ARP网页劫持如果客户端所在的网络中存在进行ARP攻击的主机，ARP攻击主机通过ARP欺骗篡改网关的ARP缓存表，在网关与网页客户端主机之间建立单向代理。服务器返回到客户端浏览器的信息是按照“网页服务器外部网络客户端所在网络网关ARP攻击主机客户端主机”的路径进行发送的。ARP攻击主机并不修改HTTP请求信息，但是它修改网页服务器的返回信息，在其中加入木马或病毒链接。这样一来，客户端所在网络中的多数主机访问任何WEB页面时，反病毒软件的网页监控均提示发现病毒。 服务器端ARP网页劫持如果WEB服务器所在的网络存在ARP攻击主机，那么ARP攻击主机通过ARP欺骗污染WEB服务器的ARP缓存表，

30、在WE B服务器和网关之间建立单向代理。从WEB服务器返回网页访问客户端的信息是按照“WEB服务器一ARP攻击主机一服务器所在网络网关一外部网络一网页客户端”的路径进行发送的。ARP攻击主机监听WEB服务器80端口的HTTP应答包，并进行篡改，加入木马或病毒链接，然后通过网关发送给客户端。这时，用户访问此WEB服务器所在网段的所有服务器，均出现网页源代码顶部被加入恶意代码链接的情况。2.4 简单模拟ARP欺骗因为在局域网实际应用中遭受ARP欺骗攻击的情况是比较普遍的，所以如何在实验环境下模拟ARP欺骗攻击就显得很重要。由于客观条件限制，在模拟攻击实验中我不进行小型组网，而是将实验环境设置为在我

31、的Notebook PC上安装VMWare virtual machine，操作系统为Windows XP OS，虚拟机分别编号A、B、C。在综合各个相对零散的小实验后，我总结了两个比较典型的ARP欺骗攻击实验：利用“网络执法官”软件和编写小程序来模拟。2.4.1 采用软件模拟ARP欺骗首先在VMWare中使用host-only模式，在启动操作系统后，VMWare会为A、B、C的虚拟网卡分配不通的MAC地址，我们可以人为配置IP地址，其IP-MAC地址对应表如图2-4所示，子网掩码为255.255.255.0。然后在虚机C上安装“网络执法官”软件，破坏虚机A、B之间的正常通信。图2-4 攻击前

32、虚机的IP-MAC对应关系这里对“网络执法官”软件做一个简要介绍。它是一款局域网管理辅助软件，采用网络底层协议，能穿透各种客户端防火墙，对网络中的每一台主机进行监控，采用MAC识别用户，可靠性高。本软件的主要功能是依据管理员为各主机限定的权限，实时监控整个局域网，并自动将非法用户与网络中某些主机或整个网络隔离，而且无论局域网中的主机运行何种防火墙，都不能逃避监控，也不会引发防火墙警告，提高了网络安全性。管理员可以实现如禁止某些主机在指定的时段访问外网或彻底禁止某些主机访问外网；保护网络中关键主机，只允许指定的主机访问等功能。安装完“网络执法官”之后，运行它，选中“网卡复选框”，在监控范围内选择

33、窗口中的指出网卡所在子网的所有可用IP地址。在进行攻击前，我们可以再次在各虚机的D0S命令窗口中运行命令ipconfig /all和arp a，以获得被攻击前各虚机的IP-MAC地址，再用ping命令测试各虚机之间是否能正常通信。然后开始模拟攻击，在虚机C上，进入“网络执法官”的管理界面，右键单击被攻击的虚机B，从快捷菜单中选择“手工管理”。这里有三种攻击方式：IP地址冲突攻击，即制造主机间的IP冲突；禁止与关键主机连接攻击；禁止与所有其他主机连接。后面这两种方式都是用来制造主机间的ARP欺骗。可以在“频率”中选择每N秒N次，频率越高，攻击效果越明显。选项完成后点击“开始”，攻击就开始了。之后

34、我们可以再在虚机A、B之间用ping命令测试，提示“Request timed out”，表明通信断了。在虚机A上用命令arp a重新获得MAC地址表，比较攻击前后的MAC地址表，可以发现ARP缓存表中虚机B的MAC地址已经被篡改了，这就表明模拟ARP欺骗攻击成功。如图2-5所示。图2-5 攻击后虚机A、B的IP-MAC对应关系2.4.2 采用编程模拟ARP欺骗当前有很多攻击者喜欢利用ARP协议的欺骗原理编写木马或者病毒程序来对网络中的主机进行攻击。这里我们也可以用C+语言来编写一段程序模拟这种欺骗攻击。限于篇幅考虑，只列出相关主程序如下：3 ARP欺骗的防御技术本章在实践的基础上，总结了一些

35、较为有效的ARP欺骗检测和防御手段，并分析它们优劣特点和适用的环境，扬长避短、相互结合，以期达到更好的防御效果。3.1 ARP欺骗的检测3.1.1 手动检测 命令查看和抓包分析 可以通过DOS命令查看主机或路由器等网关设备上的ARP缓存表。使用抓包软件(如windump、sniffer pro 等)在局域网内抓去ARP的Reply报文, 以windump为例,假设192.168.0.1是网关地址, 抓下来的包只分析包含有“reply”字符的,格式如下:18:25:15.706335 arp reply192.168.0.1is- at 00:07:ec:e1:c8:c3。如果最后的MAC地址不

36、是网关的真实MAC地址的话, 那就说明有ARP欺骗存在,而这个MAC地址就是那台进行ARP 欺骗主机的MAC地址。这种方法简单易行,无需特别权限设置,所有用户都可以做,误判率较小。但必须在局域网内部(广播域内部)听包才有效。 对IP-MAC映射关系的监控 在网络正常时, 使用NBTSCAN等工具扫描全网段的IP 地址和MAC地址, 保存一个全网的IP-MAC地址对照表备用。 对三层交换机的监控登陆局域网的上联三层交换机,并查看交换机的ARP缓存表。如果在ARP表中存在一个MAC对应多个IP的情况, 就表明极可能存在ARP欺骗攻击, 而这个MAC就是欺骗主机的MAC。 对二层交换机的监测在接入二

37、层交换机上利用转发表找出病毒机器的MAC- PORT对应的网络端口,对端口进行隔离或对该MAC的数据包进行过滤。该方法的优点是对ARP攻击源进行封堵，可防止中毒机器利用其它机器的漏洞进行病毒传播，及时地将攻击源隔离出网络, 使病毒机器暂时不能上网也不会对整个网络造成危害。但该方法也存在一定的局限性.它的实现对网络交换设备有较强的依赖性。系统要求不断收集三层交换机上的IP-MAC信息和各接入层交换机的MAC-PORT信息表。用户端口一旦被查封, 一定要通过其它方式告知用户,请用户及时处理病毒机器。机器恢复正常时应及时开通被查封的端口。3.1.2 自动检测 使用检测软件诸如ARP Watch、AR

38、P Guard、ARP 防火墙等软件均可用于动态检测局域网内的ARP欺骗攻击。ARPWatch是一个在局域网内监听ARP报文的专用工具。在监测到IP-MAC地址映射出现可疑的改变时，通过邮件通知网络管理员。ARP Watch轻便有效，特别适用于小规模网络。入侵监测系统Snort也具有与ARP watch相类似的ARP欺骗监测功能，但它主要是一个安全预警软件，ARP欺骗监测只是其中一小部分功能，应用具有局限性。ARP Guard采用了一种基于SNMP探针的分布式监测架构，通过对网络监听和SNMP探针取得的信息分别进行动态分析，以判断网络中是否有ARP欺骗并及时通知网络管理员。与ARP Watch

39、相比，ARP Guard增加了SNMP探针模块，可以应用于大规模网络。但ARP Guard是一款商业软件，不能免费使用。ARP Watch、ARP Guard仅监测网络中是否存在ARP欺骗，并不主动向外发送ARP报文；相比之下，ARP防火墙则在监测网络是否存在ARP欺骗的同时，还主动向外发送ARP报文，防止对本机进行ARP欺骗。ARP防火墙是一种安装在用户主机上的ARP欺骗监测软件 ，能够动态监测局域网内针对本主机和针对网关的ARP欺骗。但是如果设置错误，主动监测的ARP防火墙会向局域网内发送大量ARP报文，造成ARP报文的广播风暴，影响网络通信。因此ARP防火墙的应用具有两面性。 针对ARP

40、报文的检测基于“所有的攻击都是从PC终端上发起的，如果能从终端操作平台采取防范措施，这些不安全因素将从终端源头被控制”的思想，从局域网中的每个终端人手，提出一种检测ARP欺骗攻击的主要思路：对每个主机发送和接收的ARP报文进行一致性检测，实施发送方身份认证。按照这种思路，我们首先对ARP头信息进行异常检测。通过对众多的ARP攻击工具和利用ARP攻击手段的病毒的分析，发现攻击流量中存在大量头信息异常的ARP报文，这些非一致头信息的ARP报文都是伪造的ARP欺骗报文。在每个ARP报文中的数据帧报头和ARP分组中都包含有发送端的硬件信息即MAC地址。正常情况下以太网数据帧中，帧头相应的MAC地址应该

41、和帧数据中ARP分组相应的MAC地址一致，这样的ARP报文才算是正确的。攻击者为了防止被追查，通常在ARP欺骗数据报文不会留下发送虚假信息的主机地址，而是伪造一个假的地址填充到报文中，但是承载这个ARP报文的以太网数据帧却包含了它真实的源MAC地址。即使以太网的数据帧头里的相应的MAC地址和帧数据包中ARP分组相应的的MAC地址一致，也不能断定这个ARP报文不是欺骗或攻击的报文，一些高明的攻击者能利用正确的ARP报文甚至伪造出格式完全正确的ARP报文发起ARP攻击。因此，我们还要对ARP攻击进行检测。如果能够对接收的ARP报文实施发送方身份认证，拒绝未通过认证的报文，那么就能检测出ARP欺骗攻

42、击报文。基于接收的ARP报文中的MAC地址和IP地址等信息，可以构造相应的协议上层数据包如IP层或传输层数据包，注入到网络中，根据其是否响应数据报文以及响应数据报文中的MAC地址和IP地址等信息，就能验证接收的ARP报文中MAC地址和IP地址的真实性，从而实施对接收的ARP报文的认证。 基于Windows OS自身函数的检测 获得网关地址可以用系统函数Get IpAddr Table( )获得Windows系统中的路由表,找到Default Gateway ,自动获得系统网关的IP地址。相关代码如下: 获取ARP缓存表中网关的MAC地址用SendARP()函数获取系统网关对应的MAC 地址。如

43、果Windows 系统的ARP 缓存中有网关对应的记录,该函数获得ARP 缓存中记录的MAC 地址。如果Windows 系统的ARP 缓存中不存在网关对应的记录,该函数会自动发送一个ARP 请求包,根据返回的ARP 应答包获得网关对应的MAC 地址。然后将该地址保存下来。相关代码如下: 获取真实的网关MAC地址先调用系统命令ARP - d清空系统ARP缓存,然后立即调用SendARP()函数。该函数根据返回的ARP应答包获得网关对应的MAC地址，从而获得网关对应的真实MAC地址。为避免系统发送ARP请求包后,正好收到ARP 欺骗计算机的应答包,可将该过程重复几次。将获得的MAC地址和前面保存的

44、从缓存获得的MAC地址相比较。相关代码如下：3.2 ARP欺骗攻击的防御3.2.1 手动防御 使用静态ARP缓存表防御ARP欺骗的最简单方法就是在交换机或路由器上静态绑定IP-MAC地址映射关系，在主机上通过Windows 自带的arp -s命令，可以将特定的IP 地址和MAC地址进行绑定，实现一定的ARP 欺骗防御。如果是Windows OS的主机还可以编写一个批处理文件，后缀为.bat，其内容为：echo offarp - darp s IP地址 MAC地址若想让系统每次启动时都能自动地加载静态ARP ,则可将这个批处理软件拖到“ windows 开始程序启动”中。使用静态绑定IP-MAC

45、地址的方法对于防御ARP欺骗攻击非常有效，但是它的不足也是显而易见的：仅适用于小规模局域网以及采用静态IP分配的场合，无论是主机还是网络设备，配置工作都很麻烦。对于交换机下联客户机变换频繁的场合，基本无可用性；对于主机需要通信的目标很多，不可能一个一个都绑起来；容易失效，这种方法进行的绑定，一拔掉网线或者关机、注销就全部失效了。而且使用静态ARP 缓存增大了网络维护量,在较大或经常移动主机的网络中这样做更为困难。只能防止ARP 欺骗,对IP 地址冲突、Flood 攻击仍然没有办法阻止。这里，我们简单示例在锐捷接入层交换机上的手动防御配置： 交换机地址绑定 防范主机欺骗 防范网关欺骗 采用VLA

46、N技术隔离端口另一种有效的手动防御方法是在局域网中增加VLAN的数目，减少VLAN中的主机数量。可以根据网络需要在拓扑结构中多划分若干个VLAN，这样既能够在发生ARP攻击时减少所影响的网络范围，又能够在发生ARP攻击时便于定位出现的网段和具体的主机。缺点同样是增加了网络维护的复杂度，也无法自动适应网络的动态变化。3.2.2 自动防御DHCP Snooping在采用动态分配IP地址的较大局域网里，针对仿冒、欺骗网关、ARP“中间人”攻击等，我们可以采用DHCP Snooping技术。它是运行在二层接人设备上的一种DHCP安全特性，其实现原理是：接人层交换机监控用户动态申请IP地址的全过程，记录

47、用户的IP、MAC和端口信息，并且在接入交换机上做多元素绑定，从而从根本上阻断非法ARP报文的传播。DHCP Snooping通过监听DHCP报文，记录DHCP客户端IP地址与MAC地址的对应关系。并且设置DHCP Snooping信任端口，保证客户端从合法的服务器获取IP地址。信任端口正常转发接收到的DHCP报文，从而保证了DHCP客户端能够从DHCP服务器获取IP地址。不信任端口接收到DHCP服务器响应的DHCPACK和DHCPOFFER报文后，丢弃该报文，从而防止了DHCP客户端获得错误的IP地址。图3-1 交换机上的DHCP Snooping功能配置方法 使用ARP服务器在局域网内部的设置一台机器作为ASP服务器,专门保存并且维护网络内的所有主机的IP地址与MAC地址映射记录, 使其他计算机的ARP 配置只接受来自ARP服务器的ARP 响应。当有ARP请求时该服务器通过查阅自己缓存的静态记录并以被查询主机的名义响应ARP局域网内部的请求，从而防止了ARP欺骗攻击的发生。但是这个方法也有不足，首先要