ARP欺骗攻击及防要点分析.doc

ARP欺骗攻击及防范研究 摘 要 伴随着计算机网络的普及和通讯技术的迅猛发展，网络信息已逐步成为当今社会发展的重要资源。网络互连一般采用 TCP/IP 协议，由于网络及其协议的设计者，在设计之初只考虑了效率问题没有考虑网络安全的问题，所以几乎所有的网络协议都有漏洞，ARP 协议同样也存在着安全漏洞。ARP 攻击在现今的网络中频频出现，轻者造成网络性能下降，重者造成网络不通或信息被盗。因此有效的防范 ARP 形式的网络攻击己成为确保网络畅通安全的必要条件。 本文分析了 ARP 协议及其存在的漏洞，ARP 病毒的攻击原理和方式方法，对比了现有的检测、定位和防范方法的优缺点。设计实现了一个检测、定位和防范 ARP 病毒的系统。能够有效的检测到交换的 ARP 缓存表，通过对缓存中 ARP 映射信息的分析，找出可能发生的欺骗或者谁是攻击者，通过远程设置交换机的 ACL 等操作对检测到的危险进行处理，可以有效地对 ARP 攻击进行防范和检测。 关键词：校园网，ARP 病毒，检测，定位，防范 目 录 1 绪 论 1 1.1 研究背景与意义 1 1.2 研究现状 1 1.3 高校校园网特点及安全缺陷 3 2 ARP 协议及相关理论基础 4 2.1 ARP 协议的相关理论 4 2.1.1 OSI 参考模型 4 2.1.2 TCP/IP 参考模型 5 2.2 ARP 协议概述 6 2.2.1 ARP 缓存 6 2.2.2 ARP 代理 7 2.2.3 免费 ARP 9 3 ARP 欺骗分析与测试 10 3.1 ARP 欺骗原理 10 3.2 常见的 ARP 欺骗 10 3.2.1 中间人欺骗 10 3.2.2 IP 地址冲突 11 3.2.3 一般主机欺骗 11 3.4 ARP 测试程序—ARPTable 11 3.5 Windows 环境下的 ARP 欺骗测试与分析 12 3.5.1 IP 地址冲突的 ARP 请求和应答实验 12 3.5.2 假冒网关欺骗的 ARP 请求和应答实验 15 3.5.3 ARP 请求过程实验 18 3.5.4 ARP 应答过程实验 20 3.6 实验结果 23 4 防御 ARP 欺骗系统模型实验 25 5 总结 30 6 参考文献 31 ..1 绪 论 Internet 的迅速发展使得网络已伸入到社会生活的各个层面，给人们的工作、学习、生活带来了巨大的改变，效率得到了极大的提高，信息资源得到最大程度的共享。伴随着网络的不断发展和扩大，各种网络业务如雨后春笋、层出不穷，这其中包括电子商务、网络游戏、在线支付等新兴业务，为人类社会的进步提供了推动力。 与此同时，出于经济目的、政治目的甚至是偏执于技术的黑客也在不停的编写各种各样病毒和木马威胁着网络安全，其攻击手段不断翻新和变换，大有愈演愈烈之势。这使得计算机安全问题日益突出。所有这些都对网络安全提出了新的要求。 1.1 研究背景与意义 目前 Internet 中广泛使用的是 IPv4 协议，也就是人们常说的 IP 协议（Internet Protocol）。现行的 IPv4 自 1981 年 RFC 791 标准发布以来并没有多大的改变。事实证明，IPv4 具有相当强盛的生命力，易于实现且互操作性良好，经受住了从早期小规模互联网络扩展到如今全球范围Internet 应用的考验。所有这一切都应归功于 IPv4 最初的优良设计。 然而，其设计者没有预料到网络会以极大的发展速度覆盖全球，出现了今日 IP 地址使用紧张的局面。为了应对日益紧张的 IP 地址资源，大多数学校、网吧或企业纷纷组建自己的局域网，使用代理服务器访问外部网络。通过这种方式可以节约 IP 地址数量，同时也有利于局域网和外网的物理隔离，实现了局域网内信息交互的安全。 作为网络底层使用的 TCP/IP 协议（Transfer Control/Internet Protocol），其设计之初考虑的是为本单位内部提供一个互联的信息和资源共享平台，设计基础是单位内部各网络结点之间是可以相互信赖的，没有过多的考虑安全问题。这使得 TCP/IP 协议在实现上更加简单高效，提高了运行效率，对于协议的发展和普及也具有一定意义。但它没有考虑到互联网会发展成今天这样一个全球性的网络，使得 TCP/IP 协议的完全开放性存在着很多重大安全隐患。并且国内众多用户使用 Windows 操作系统，出于安全考虑，微软不会像 Linux 一样公布全部代码可让用户重新编写内核程序，再加上为数众多的黑客，给原本脆弱的安全体系雪上加霜。 ARP，即地址解析协议，实现通过IP地址得知其物理地址。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际范围标识主机的一种