基于SNMP的ARP欺骗监控的研究.doc

基于SNMP的ARP欺骗监控的研究 1 绪论 1.1课题研究背景 随着互联网的发展，校园网络也逐渐的发展迅速起来。如今，校园网络呈现用户多且密度大，网络节点多、难以管理等特点。同时不容忽视的是由于宿舍区中网络使用者知识能力等所限，被病毒、木马等威胁的实例层出不穷。最常见的一种则是爆发的ARP病毒，这主要表现为正在上网的主机频繁掉线或者断线，致使被攻击的电脑不能上网。为了维持校园网络和谐的上网环境，有必要认真研究解决对策。因此，引入了此课题的研究，以此来解决针对于ARP病毒的一些问题。 1.2 对ARP病毒研究的发展过程 高校校园网一直是国内互联网络的领头羊，从1994年到如今建立的16年间，校园网络的发展也在迅速的进行着，而从最初的单一的网络的连通性到今天网络的安全与可靠性。人们对于网络的应用逐渐扩展到工作、学习、生活、娱乐等各方面。 然而面对着日益庞大的校园网络的体系，更多的安全事件也在频频发生，ARP攻击在2000年就已经崭露头角了，但当时主要是让其他的电脑出现IP冲突而已，国外有一些应用也是正常的网络管理应用，2002年国内出现的《网络直执法官》就是使用ARP技术来实现断网管理的。大约2003年后才开始在嗅探密码、病毒局域网传播方面出现SNMP发展到现在已成为事实上的网络管理标准，目前使用较多的网络管理系统，如HP OpenView、Cabletron Spectrum、SunNet Manager、IBM NetView、Micorsoft Systems Manager Server、Cisco Works等也都支持它。SNMP技术也在不断地发展 2 ARP的介绍 2.1 ARP协议简介 计算机之间的通信是通过IP地址进行的。IP数据包是通过以太网发送的，但是以太网设备并不识别32位IP地址，故要用以太网地址传输数据包，因此需要把IP的目的地址转换成为目的地址即MAC地址，ARP协议位于TCP/IP模型的网络层，其作用是将网络中的IP地址解析为MAC地址，以保证数据传输的顺利进行。 在每台安有TCP/IP协议的电脑里都有一个ARP缓存表，表里IP地址和MAC地址是一一对应的。假设主机A的IP地址为，主机A的IP地址为，若主机A向主机B传输数据，刚开始主机A知道主机B的IP地址，但是不知道MAC地址，这个时候主机A会在自己的缓存表中寻找是否有主机B的IP地址，如果找到了，也就知道了主机B的MAC地址，这样就可以直接将主机B的MAC地址写入帧里面然后进行数据传输。如果在ARP缓存表中没有找到主机B的IP地址，而主机A和主机B在同一网段内，那么这时主机A会以链路层广播的方式发送ARP请求报文，ARP请求报文中含有主机A的IP地址和MAC地址，也有目标主机B的IP地址，当报文通过广播形式传送到主机B时，主机B会相应请求并返回ARP响应报文，该报文中有主机B的MAC地址，这样主机A顺利得到了主机B的MAC地址，并且更新了自己的ARP缓存表，这样A和B就能够通信了。这样下次若A向B发送信息时，可在ARP缓存表中直接获取到主机B的MAC地址，同样主机B也获得了主机A的MAC地址，并且也存入ARP缓存表中。若A和B不在同一网段内，主机A发送的IP数据包就会发送到交换机的默认网关，而默认网关的MAC地址同样可通过ARP协议获得，经过ARP协议解析IP地址后，主机会在缓存中保存IP地址和MAC地址的映射条目。此后进行数据交换时只要从缓存表里查找就可以了。ARP缓存表内的一条映射条目如果长时间不用，它就会被删除，这样动态的保存映射条目减少了ARP缓存表的长度，也大大加快了查询的速度[3]。 2.2 ARP病毒的介绍 ARP欺骗主要通过伪造IP地址和MAC地址实现，能够在网络中产生大量的ARP通信量使网络阻塞，以下表2-1为例[4]。 表2-1 IP-MAC对应表 主机 IP地址 MAC地址 A 00-10-5C-E9-8E-15 B 00-10-5C-E9-D2-ED C 00-10-5C-EA-00-28 D 00-10-5C-EA-02-F5 当对A进行欺骗，A去Ping主机C却发送到了00-10-5C-EA-02-F5这个地址上。如果进行欺骗的时候，把C的MAC地址骗为00-10-5C-EA-02-F5，于是A发送到C上的数据包都变成发送给D的了。于是D就能够接受到A发送的数据包。而A对这个变化一点都没有意识到，但是因为A与C连接不上了，D对接收到A发送给C的数据包并没有转交给C。然后进行ARP重定向，打开D的IP转发功能，A发送过来的数据包，转发给