毕业论文 ARP防火墙技术的研究(2)

参考文献............................................................30 致谢.................................................................31

6

第1 章 绪 论

1.1 课题背景和意义

随着互连网的发展，网络的安全问题随之浮出水面，并一直是计算机网络安全体系的重要方面。网络作为信息的共享平台，其开放性与跨地域性令网络攻击难以循迹，一旦重要的网络信息系统陷入瘫痪，对社会是一种毁灭性的打击。最近几年，网络安全问题日益严重，关于网络安全的报道层出不穷，造成的经济损失越来越大。黑客往往通过网络入侵的手段达到窃取敏感信息的目的，也有人通过网络攻击达到不可告人的目的。

ARP 协议是一个位于TCP/IP 协议栈中网络层的协议，负责将IP 地址解析成对应的MAC 地址。由于网络通信是按照MAC 地址进行传输的，因此，对于局域网而言，ARP 协议是网络正常通信的基础。但基于历史原因，ARP 协议在设计之初，考虑到传输效率的问题，缺乏必要的身份认证和鉴别机制，导致安全性能弱不禁风。ARP 欺骗攻击是一种利用TCP/IP 协议中ARP 协议本身漏洞[3]( 即为了提高效率，不对发送来的ARP 应答包进行验证，直接更新ARP 地址缓存表)进行攻击的。它通过发送ARP 应答包给目标主机，让目标主机更新自己的ARP地址缓存表，使本应该发送给被冒充机器的数据包发送给了自己，达到了欺骗信息的作用。

因此，制定出一套高效的 ARP 欺骗攻击防御策略具有很大的现实意义。

1.2 国内外研究现状

ARP 欺骗攻击的核心思想就是向目标主机发送伪造ARP 应答, 并使目标主机接收应答中伪造的IP 地址与MAC 地址之间的映射对, 以此来更新目标主机的ARP 缓存。ARP 欺骗的原理已经十分明了，但对ARP 欺骗的防范措施却并不十分有效。目前国内外还没有功能很强的软件能够很好的防御网络中的ARP欺骗。因此，如何防御ARP 欺骗攻击及怎样降低这种攻击所带来的后果引起了全社会网络专家们的广泛关注，并成为目前网络安全界研究的热点问题。

ARP 欺骗攻击主要是利用了ARP 协议的安全缺陷，体现在如下几点：

(1)ARP请求均以广播方式进行：当源主机要和目的主机通信而没有目的主机的MAC 地址时, 便会向整个局域网广播ARP请求数据包。这使得攻击者可以伪装ARP应答, 与真正的目的主机展开竞争, 并由此确定子网内机器什么时候刷新ARP缓存, 以实现最大限度的假冒和欺骗。

(2)ARP 地址转换表自我动态更新：这种机制的动态更新方式较为灵活，但同时也带来了安全隐患。

7

由于正常的ARP 地址转换表都是有时间限制的，这使得假冒者如果在下次交换之前成功修改了源主机的地址，就可以毫无阻拦的进行ARP 欺骗行为。

(3)ARP 响应无控制且无认证：ARP 协议设计之初，为了获得较高的传输效率，在数据链路层没有做安全上的防范，在使用ARP 协议时无需认证，使用ARP协议的局域网假设通信双方是相互信任和相互独立的。

ARP 欺骗的攻击方法主要有以下几种：

(1)中间人攻击：中间人攻击就是攻击者将自己插入两个目标主机通信路径之间，使它如同两个目标主机通信路径上的一个中继，这样攻击者就可以监听两个目标主机之间的通信。

(2)IP 地址冲突：主机发送更改的ARP 报文，将伪装的MAC 地址映射到目标主机的IP 地址，系统检测到两个不同的MAC 地址对应同一个IP 地址，因此表现为IP 地址冲突。

(3)拒绝服务攻击：拒绝服务攻击就是使目标主机不能正常响应外部请求，从而不能对外提供服务的攻击方式。

(4)克隆攻击：通过修改网络接口的MAC 地址，攻击者首先对目标主机实施拒绝服务攻击，使其不能对外部做出任何反应。然后攻击者就可以将自己的IP地址与MAC 地址分别改为目标主机的IP 地址与MAC 地址，这样攻击者就可以对目标主机进一步实施各种非法攻击，窃取各种通信数据。

(5)ARP 应答畸形包攻击：正常的ARP 报文至少是46 个字节，但是如果我们自己精心构造一个只有30 个字节长的ARP 应答报文，由于目前的网络交换设备没有充分考虑到这种情况的出现，当网络上连续出现这种畸形报文达到一定数量的时候，交换机的MAC 缓存表就无法正常刷新，其严重后果就是整个局域网瘫痪。

针对以上的 ARP 欺骗攻击手段，已经制定出如下的防御措施[6,7,8]：

(1)制定静态ARP 缓存表：ARP 协议攻击最根本的原理就是改变IP 地址与MAC 地址的正确对应关系。因此可以在目标主机的ARP 缓存中设置静态地址映射记录来防止ARP 欺骗攻击。但该方法的缺点是如果网络上节点较多或者节点经常发生变化则不易进行管理。

(2)设置ARP 服务器：为了解决静态ARP 缓存表中维护静态记录的工作分散的缺点，可以采用在局域网内部指定一台机器作为ARP 服务器来集中保存和维护一个相对可信的局域网环境下所有主机的IP-MAC 地址映射记录。但该方法首先要保证ARP 服务器的网络安全，如果一旦该主机瘫痪，ARP 缓存表将无法维护，整个网络系统会受到影响。

(3)数据加密传输：例如采用SSH 替代telnet，采用sftp 替代传统的ftp，即使连接被截获，也不可能被轻易伪造数据。该方法的缺点是加密和解密过程相对来说比较消耗系统资源。

8

(4)交换机绑定端口和MAC 地址：设置交换机的每个端口与唯一的MAC 地址相对应，一旦来自该端口的MAC 地址发生变动，就自动封锁该端口，使主机无法连接到局域网。攻击者就无法发送伪造ARP 数据帧，从而阻止了ARP 欺骗的发生。这种方法的缺点是不灵活。

(5)引入硬件设备：目前, 基于IP 地址变换进行路由的第三层交换机逐渐被采用，第三层交换技术采用的是P 路由交换协议，以往的数据链路层的MAC 地址和ARP 协议已经不起作用。但第三层交换机的价格普遍比较昂贵，而且普及率不高。

1.3 论文的研究内容及组织结构 1.3.1 论文的研究内容

计算机网络体系包含两大方面，终端体系与网络通信体系。而各自的安全要求则衍生了可信计算平台以及可信网络连接的规范。保护整个终端体系和网络通信体系的完整性与安全性就需要综合考虑两方面的需求。构建可信网络平台，采用802.1x 在宽带及无线接入方面的优势是显而易见的。同时也被众多互联网服务提供商所广泛采纳。

本文的主要工作是针对ARP 病毒的特点，详细论述了ARP 协议的原理，发展过程以及ARP 协议的应用。对ARP 协议的实现及漏洞进行了详细的分析，并针对ARP 欺骗攻击的特征，对其攻击方法进行了详细的介绍。同时，根据ARP欺骗的攻击方法总结出ARP 欺骗的各种检测方法，并有针对性的制订了ARP 欺骗的防御措施。

由于 ARP 欺骗经常在局域网中爆发，局域网是ARP 欺骗病毒肆虐的典型网络。本文结合局域网中ARP 欺骗攻击的实际现象，使用抓包软件对其进行检测并加以分析，再根据常见网络设备的特点逐步制定出防御局域网中ARP欺骗的措施，并加以改进。

1.3.2 论文的组织结构

本文共分为3 个章节，各章节主要内容如下：

第 1 章，绪论。介绍了ARP 欺骗的攻击行为与对其进行防御的研究背景和现状，分析了现有防御方法的不足。描述本文的研究内容，给出了本论文的组织结构。

第 2 章，ARP 协议。详细的介绍了ARP 协议，ARP 协议的工作原理以及ARP 协议的应用。同时也对ARP 协议本身存在的漏洞，ARP欺骗攻击的原理，以及对现有的ARP 欺骗攻击既定检测与防御方法进行了细致介绍，并分析了他们各自的优缺点。

第 3 章，ARP 病毒检测与防御。该章节针对局域网中频繁出现的ARP 欺骗攻击现象，进行抓包采样，经分析后逐步制定出应对方案，并对其进行适当改进。

9

第2 章 ARP 协议 2.1 ARP 协议介绍

ARP(Address Resolution Protocol)即地址解析协议，就是用来进行地址解析的协议。网络中的通信是通过使用网络层(OSI 网络结构中的第三层)地址发送数据完成的。但实际上，网络中数据的传输是通过使用数据链路层(OSI 网络结构中的第二层)地址实现的。这就意味着网络中的每一个设备都要拥有网络层地址和数据链路层地址。这就需要定义某种方式将网络层地址与数据链路层地址有效联系起来。那么，这种将网络层地址与数据链路层地址一一映射的过程就被称为

地址解析。

2.1.1 地址解析的作用

当我们研究OSI 网络参考模型时，分别有两层携带地址：网络层与数据链路层。处于网络层以上的各层均通过网络层地址进行信息传输。而网络层地址与数据链路层地址是两种截然不同的地址类型并且具有不同的功能，数据链路层地址用于局域网内两个硬件设备间的信息直传，它们多用于执行基本的LAN，WLAN 与WAN 的网络通信，而网络层地址则用于网际间的等价传输。通俗地说就是数据链路层用于处理直接连接的网络设备间的信息传输，而网络层地址则用于非直连的网络设备间的数据传输。

网络层地址与数据链路层地址的关系：

事实上，当我们通过网络层连接两个设备时，这仅仅是概念上的连接，当你使用IP 发送一个请求，每一跳都发生在数据链路层。当你的请求传送到本地路由器的网络层时，实际的请求已经被封装在一个桢中，并使用路由器的数据链路层地址传送出去。传送的每一步都是基于第三层的网络地址，但实际的传输执行是使用数据链路层地址进行路由的。

地址解析——将网络层地址转换为数据链路层地址。

IP 地址(网络层地址)对于网络硬件来说是一个处于OSI 网络模型较上层的地址，当你要访问一个网站，输入网址后路由器得到的信息是该网站的IP 地址，但实际上信息是向网络服务器的MAC 地址(数据链路层地址)传送的。在LAN 网络中同样使用这样的传输原理，即使网络服务器就摆设在发送请求电脑的旁边，也一定要通过数据链路层完成这一过程。所以我们需要一种解析这两种地址的方

法，这个过程就叫做地址解析。 地址解析的方法：

地址解析的功能固然重要，但地址解析的效率也不容忽视，耗费大量网络资源的地址解析方法是不可

10

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说教育文库毕业论文 ARP防火墙技术的研究(2)在线全文阅读。