ARP協(xié)議的安全缺陷及改進(jìn)

1、ARP協(xié)議的安全缺陷及改進(jìn) 組員： ARP協(xié)議的安全缺陷及改進(jìn) 1.ARP協(xié)議概述 2.ARP協(xié)議的缺陷 3.目前的一些改進(jìn)技術(shù) 4.我們提出的改進(jìn)方法 5.方法對(duì)比 ARP協(xié)議概述 ARP協(xié)議： ARP（AddressResolutionProtocol）地址解析協(xié)議用于將計(jì)算機(jī)的網(wǎng)絡(luò)地址（IP地址32位）轉(zhuǎn)化為物理地址（MAC地址48位）。在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。 ARP32bit IP地址48bit MAC地址ARP協(xié)議概述ARP協(xié)議原理 A首先廣播一個(gè) ARP 查詢

2、報(bào)文，請(qǐng)求 IP 地址為IPB的主機(jī)回答其物理地址， ARP 查詢包同時(shí)帶有主機(jī) A 的 MAC地址 MA、PA。收到 ARP 查詢包后，網(wǎng)上所有主機(jī)將其 MAC 地址緩沖區(qū)中的主機(jī) A 的 MAC 地址更新為剛剛收到的 ARP查詢包中攜帶的地址MA，并將此 ARP 報(bào)文中要查詢的 IP 地址（IPB）和自己的 IP地址比較，顯然，主機(jī) B 收到這 ARP 請(qǐng)求包后作出回答：向 A 發(fā)回一個(gè) ARP 應(yīng)答包，回答自己的物理地址 MB。在查詢主機(jī) B 的 ARP 查詢包中包含有主機(jī) A 的 MAC 地址，B采用點(diǎn)對(duì)點(diǎn)的方式將 ARP 應(yīng)答包發(fā)送給主機(jī) A。這樣B與A建立了連接。ARP協(xié)議的缺陷A

3、CDB路由PA MA PBPB MBARP工作原理圖 A與B建立連接如圖所示：ARP協(xié)議的缺陷 ARP協(xié)議的缺陷： 沒有對(duì)ARP報(bào)文來源是否合法進(jìn)行驗(yàn)證，也不會(huì)檢查ARP是否發(fā)送過相應(yīng)的報(bào)文，造成的攻擊主要有： 1.ARP 中間人攻擊“中間人”攻擊策略是ARP 欺騙主要攻擊方式。也是最危險(xiǎn)的攻擊方式。中間人攻擊是指攻擊者插入通信雙方的連接中, 截獲并轉(zhuǎn)發(fā)雙方的數(shù)據(jù)包的行為。通過這種行為, 攻擊者可以探測(cè)到機(jī)密的信息, 甚至篡改信息的內(nèi)容。ARP協(xié)議的缺陷BACMA PBMA PC 中間人攻擊示意圖 A在B、C沒有發(fā)送請(qǐng)求的情況下分別向B、C直接發(fā)送應(yīng)答報(bào)文，分別攜帶MA PC 、MA PB。B

4、、C更新緩存，A作為攻擊者先后與A、C建立連接。最終使A成為了中間收聽人。B、C之間的所有通信都要經(jīng)過A。中間人ARP協(xié)議的缺陷 2.一請(qǐng)求，多回答 主機(jī)通過廣播方式發(fā)送請(qǐng)求，網(wǎng)絡(luò)中的所有其它主機(jī)都收到請(qǐng)求報(bào)文，并與自己的IP比對(duì)。如果存在惡意節(jié)點(diǎn)，即使IP地址與自己不匹配，也發(fā)出應(yīng)答。這樣，原主機(jī)將會(huì)受到多個(gè)應(yīng)答報(bào)文，我們稱這種方式為“一請(qǐng)求、多應(yīng)答”。ARP協(xié)議的缺陷ACBDMA PA PBPB MBPB MD攻擊者 主機(jī)發(fā)送ARP請(qǐng)求報(bào)文之后，結(jié)果收到多個(gè)回答，這種方式使得主機(jī)混亂，無法辨別真假。 多回答攻擊示意圖目前的一些改進(jìn)技術(shù) 目前已有如下針對(duì)ARP 欺騙的一些方法： (1) (1

5、)靜態(tài)靜態(tài)ARPARP。 ARP ARP 緩存表是可以動(dòng)態(tài)改變的，如果使用靜態(tài)緩存表是可以動(dòng)態(tài)改變的，如果使用靜態(tài)ARPARP，在小型的局域網(wǎng)還是可以的，但其主要的缺點(diǎn)是在小型的局域網(wǎng)還是可以的，但其主要的缺點(diǎn)是不夠靈活，如更換網(wǎng)卡，主機(jī)的加入和退出都要不夠靈活，如更換網(wǎng)卡，主機(jī)的加入和退出都要重新配置重新配置ARPARP表。表。目前的一些改進(jìn)技術(shù)(2)(2)會(huì)話加密。會(huì)話加密。 在通信過程中采用加密技術(shù)，即使連接被截獲，在通信過程中采用加密技術(shù)，即使連接被截獲，也不能夠輕易獲得有效數(shù)據(jù)，缺點(diǎn)是加密、解也不能夠輕易獲得有效數(shù)據(jù)，缺點(diǎn)是加密、解密過程相對(duì)來說比較消耗資源，性能較差。密過程相對(duì)來說

6、比較消耗資源，性能較差。（3 3）協(xié)議狀態(tài)機(jī)）協(xié)議狀態(tài)機(jī)在在ARP ARP 協(xié)議中加入一個(gè)有限狀態(tài)機(jī)，其目的是在協(xié)議中加上合法驗(yàn)協(xié)議中加入一個(gè)有限狀態(tài)機(jī)，其目的是在協(xié)議中加上合法驗(yàn)證過程。狀態(tài)機(jī)設(shè)計(jì)如圖所示，產(chǎn)生任何證過程。狀態(tài)機(jī)設(shè)計(jì)如圖所示，產(chǎn)生任何ARPARP請(qǐng)求時(shí)，置初始狀態(tài)為請(qǐng)求時(shí)，置初始狀態(tài)為InitialInitial，當(dāng)成功發(fā)送，當(dāng)成功發(fā)送ARP ARP 請(qǐng)求后置狀態(tài)請(qǐng)求后置狀態(tài)RequestedRequested，在該狀態(tài)時(shí)，在該狀態(tài)時(shí)，可能會(huì)收不到應(yīng)答而超時(shí)，重新進(jìn)入可能會(huì)收不到應(yīng)答而超時(shí)，重新進(jìn)入InitialInitial；收到；收到ARP ARP 應(yīng)答時(shí)，應(yīng)答時(shí)，進(jìn)入進(jìn)

7、入Answered Answered 狀態(tài)，當(dāng)狀態(tài)，當(dāng)ARPARP更新完成后，重新進(jìn)入更新完成后，重新進(jìn)入InitialInitial；凡是；凡是重新回到重新回到Initial Initial 狀態(tài)時(shí)，都可以銷毀該請(qǐng)求項(xiàng)。此方法沒有解決狀態(tài)時(shí)，都可以銷毀該請(qǐng)求項(xiàng)。此方法沒有解決“一請(qǐng)求，多應(yīng)答一請(qǐng)求，多應(yīng)答”問題。問題。目前的一些改進(jìn)技術(shù)InitialRequestedAnswered發(fā)送請(qǐng)求發(fā)送請(qǐng)求超時(shí)超時(shí)收到應(yīng)答收到應(yīng)答更新更新ARP表表目前的一些改進(jìn)技術(shù) （4 4） ARP ARP 欺騙檢測(cè)服務(wù)器欺騙檢測(cè)服務(wù)器 其實(shí)現(xiàn)原理為其實(shí)現(xiàn)原理為: : 該服務(wù)器獲取網(wǎng)段中的所有該服務(wù)器獲取網(wǎng)段中的

8、所有ARP ARP 應(yīng)答報(bào)文應(yīng)答報(bào)文, , 并假設(shè)并假設(shè)這些報(bào)文是這些報(bào)文是ARP ARP 欺騙報(bào)文欺騙報(bào)文, ,提取應(yīng)答報(bào)文中的源提取應(yīng)答報(bào)文中的源IPIP地址后地址后, ,服務(wù)器向服務(wù)器向該該IPIP地址主機(jī)發(fā)送地址主機(jī)發(fā)送ARPARP請(qǐng)求請(qǐng)求, ,將得到的正確將得到的正確MACMAC地址與原應(yīng)答報(bào)文中的地址與原應(yīng)答報(bào)文中的MACMAC地址比較。若不一致地址比較。若不一致, ,則原應(yīng)答報(bào)文存在欺騙。當(dāng)檢測(cè)到欺騙應(yīng)則原應(yīng)答報(bào)文存在欺騙。當(dāng)檢測(cè)到欺騙應(yīng)答報(bào)文后答報(bào)文后, ,服務(wù)器向被欺騙的主機(jī)發(fā)送正確的服務(wù)器向被欺騙的主機(jī)發(fā)送正確的ARPARP應(yīng)答應(yīng)答, ,以恢復(fù)其緩存以恢復(fù)其緩存中的中的IP

9、-MACIP-MAC地址對(duì)應(yīng)關(guān)系。但是地址對(duì)應(yīng)關(guān)系。但是, ,當(dāng)網(wǎng)絡(luò)中存在當(dāng)網(wǎng)絡(luò)中存在ARPARP攻擊時(shí)攻擊時(shí), ,會(huì)出現(xiàn)大會(huì)出現(xiàn)大量量ARPARP欺騙應(yīng)答報(bào)文欺騙應(yīng)答報(bào)文, , 并造成網(wǎng)絡(luò)擁塞并造成網(wǎng)絡(luò)擁塞, ,如果采用上述的恢復(fù)機(jī)制如果采用上述的恢復(fù)機(jī)制, ,對(duì)對(duì)每個(gè)欺騙報(bào)文都發(fā)送正確的每個(gè)欺騙報(bào)文都發(fā)送正確的ARP ARP 應(yīng)答應(yīng)答, ,只會(huì)加重網(wǎng)絡(luò)負(fù)擔(dān)只會(huì)加重網(wǎng)絡(luò)負(fù)擔(dān), ,并且服務(wù)并且服務(wù)器在檢驗(yàn)應(yīng)答報(bào)文真實(shí)性時(shí)器在檢驗(yàn)應(yīng)答報(bào)文真實(shí)性時(shí), ,也采取了主動(dòng)發(fā)送也采取了主動(dòng)發(fā)送ARPARP請(qǐng)求的方法請(qǐng)求的方法, ,增加增加了一定的網(wǎng)絡(luò)負(fù)載。了一定的網(wǎng)絡(luò)負(fù)載。改進(jìn)方法1.1.終端處在關(guān)閉態(tài)時(shí)

10、，不接受任何終端處在關(guān)閉態(tài)時(shí)，不接受任何ARPARP應(yīng)答報(bào)文應(yīng)答報(bào)文2.2.當(dāng)終端當(dāng)終端ARPARP請(qǐng)求發(fā)送成功，轉(zhuǎn)換到開啟態(tài)。并記請(qǐng)求發(fā)送成功，轉(zhuǎn)換到開啟態(tài)。并記錄目的端的錄目的端的IPIP地址，例如：地址，例如：IP_aIP_a3.3.在開啟態(tài)的時(shí)間在開啟態(tài)的時(shí)間t t中，只接收源端中，只接收源端IPIP地址為地址為IP_aIP_a 的應(yīng)答的應(yīng)答ARPARP報(bào)文，經(jīng)過時(shí)間報(bào)文，經(jīng)過時(shí)間t t后后, ,轉(zhuǎn)到關(guān)閉態(tài)轉(zhuǎn)到關(guān)閉態(tài) 一.針對(duì)“中間人”缺陷的解決關(guān)閉態(tài)開啟態(tài)ARP請(qǐng)求發(fā)送成功超過時(shí)間t改進(jìn)方法二.針對(duì)“一請(qǐng)求，多回答”缺陷的解決1.服務(wù)器開始工作時(shí)發(fā)送一個(gè)廣播服務(wù)器開始工作時(shí)發(fā)送一個(gè)廣

11、播報(bào)文，通知各終端上報(bào)各自的報(bào)文，通知各終端上報(bào)各自的IP地址和地址和Mac地址地址2.收到收到IP地址和地址和Mac地址后，建立地址后，建立一張映射表，每一條記錄存放一張映射表，每一條記錄存放IP地址和地址和Mac地址的對(duì)應(yīng)地址的對(duì)應(yīng)0IP_aMac_a11IP_bMac_b12IP_cMac_c1CBA服務(wù)器改進(jìn)方法3.3.當(dāng)當(dāng)A A遇到遇到“一請(qǐng)求，多回答一請(qǐng)求，多回答”的問題后，就立即向服務(wù)器發(fā)的問題后，就立即向服務(wù)器發(fā)送詢問報(bào)文，來詢問送詢問報(bào)文，來詢問IP_bIP_b地址地址所對(duì)應(yīng)的所對(duì)應(yīng)的MacMac地址地址4.4.收到詢問報(bào)文后，服務(wù)器根收到詢問報(bào)文后，服務(wù)器根據(jù)據(jù)IP_bIP

12、_b地址來查詢映射表，如地址來查詢映射表，如果查詢到則返回果查詢到則返回Mac_bMac_b，如果，如果沒查詢到則詢問其他服務(wù)器。沒查詢到則詢問其他服務(wù)器。若其他服務(wù)器也沒查詢到，則若其他服務(wù)器也沒查詢到，則返回錯(cuò)誤返回錯(cuò)誤5.A5.A收到回答后，若內(nèi)容為收到回答后，若內(nèi)容為MacMac地址，則更新地址，則更新ARPARP緩存，若內(nèi)緩存，若內(nèi)容為錯(cuò)誤，則放棄通信容為錯(cuò)誤，則放棄通信CBA服務(wù)器惡意B的請(qǐng)求報(bào)文B的應(yīng)答報(bào)文C的惡意報(bào)文詢問詢問報(bào)文報(bào)文響應(yīng)響應(yīng)報(bào)文報(bào)文改進(jìn)方法6.6.由于網(wǎng)絡(luò)是動(dòng)態(tài)變化的，所以必須保證服務(wù)器中映射由于網(wǎng)絡(luò)是動(dòng)態(tài)變化的，所以必須保證服務(wù)器中映射表的有效性。由于表的有效

13、性。由于ARPARP請(qǐng)求報(bào)文是廣播的，而且包含源請(qǐng)求報(bào)文是廣播的，而且包含源端端IPIP地址和源端地址和源端MacMac地址。所以可以通過獲取每個(gè)地址。所以可以通過獲取每個(gè)ARPARP請(qǐng)請(qǐng)求報(bào)文中源端求報(bào)文中源端IPIP地址和源端地址和源端MacMac地址來保證映射表的有地址來保證映射表的有效性。效性。7.7.在每條記錄后面有個(gè)標(biāo)志位。服務(wù)器會(huì)有個(gè)計(jì)時(shí)器，在每條記錄后面有個(gè)標(biāo)志位。服務(wù)器會(huì)有個(gè)計(jì)時(shí)器，每經(jīng)過時(shí)間每經(jīng)過時(shí)間T T一輪回（一輪回（T T為為ARPARP緩存更新間隔的緩存更新間隔的2 2倍）。當(dāng)倍）。當(dāng)標(biāo)志位為標(biāo)志位為1 1時(shí)，說明在時(shí)間時(shí)，說明在時(shí)間T T內(nèi)收到了該記錄的內(nèi)收到了該

14、記錄的ARPARP請(qǐng)求請(qǐng)求報(bào)文；當(dāng)標(biāo)志位為報(bào)文；當(dāng)標(biāo)志位為0 0時(shí)，說明在時(shí)間時(shí)，說明在時(shí)間T T內(nèi)沒有收到該記錄內(nèi)沒有收到該記錄的的ARPARP請(qǐng)求報(bào)文。請(qǐng)求報(bào)文。改進(jìn)方法（1 1）當(dāng)發(fā)生終端更換時(shí)）當(dāng)發(fā)生終端更換時(shí)例如：例如：B B換成換成D D。即：。即：D D替代了替代了B B的位址，的位址，D D用的是用的是B B的的IPIP地址，地址，此時(shí)服務(wù)器的映射表必須相應(yīng)改變。此時(shí)服務(wù)器的映射表必須相應(yīng)改變。由于由于D D新加入到網(wǎng)絡(luò)中，只要新加入到網(wǎng)絡(luò)中，只要D D與其他終端通信或者與其他終端通信或者ARPARP定定時(shí)更新就會(huì)發(fā)送時(shí)更新就會(huì)發(fā)送ARPARP請(qǐng)求報(bào)文，此時(shí)服務(wù)器就可以得到該請(qǐng)

15、求報(bào)文，此時(shí)服務(wù)器就可以得到該報(bào)文，從而得到報(bào)文，從而得到D D的的IPIP地址和地址和MacMac地址，然后和表中的每條地址，然后和表中的每條記錄比較，這時(shí)服務(wù)器發(fā)現(xiàn)記錄比較，這時(shí)服務(wù)器發(fā)現(xiàn)D D的的IPIP地址和地址和B B的的IPIP地址一樣，地址一樣，就會(huì)向就會(huì)向B B和和D D分別發(fā)送點(diǎn)對(duì)點(diǎn)的試探報(bào)文。由于分別發(fā)送點(diǎn)對(duì)點(diǎn)的試探報(bào)文。由于B B不在了，不在了，所以服務(wù)器只收到了所以服務(wù)器只收到了D D的響應(yīng)報(bào)文，服務(wù)器就將的響應(yīng)報(bào)文，服務(wù)器就將B B記錄刪除，記錄刪除，D D記錄寫入，實(shí)現(xiàn)更新。記錄寫入，實(shí)現(xiàn)更新。改進(jìn)方法0IP_aMac_a11IP_bMac_b12IP_cMac_c

16、1IP_dMac_dIP_d = IP_b0IP_aMac_a11IP_dMac_d12IP_cMac_c1CBA服務(wù)器D請(qǐng)求報(bào)文B試探報(bào)文D試探報(bào)文D響應(yīng)報(bào)文改進(jìn)方法 （2 2）當(dāng)發(fā)生終端增加時(shí)）當(dāng)發(fā)生終端增加時(shí) 例如：網(wǎng)絡(luò)中增加了例如：網(wǎng)絡(luò)中增加了E E 由于由于E E新加入到網(wǎng)絡(luò)中，只要新加入到網(wǎng)絡(luò)中，只要E E與其他終端通信或者與其他終端通信或者ARPARP定定時(shí)更新就會(huì)發(fā)送時(shí)更新就會(huì)發(fā)送ARPARP請(qǐng)求報(bào)文，此時(shí)服務(wù)器就可以得到該請(qǐng)求報(bào)文，此時(shí)服務(wù)器就可以得到該報(bào)文，從而得到報(bào)文，從而得到E E的的IPIP地址和地址和MacMac地址，然后和表中的每條地址，然后和表中的每條記錄比較，

17、這時(shí)每條都不一樣，就增加一條記錄。如果映記錄比較，這時(shí)每條都不一樣，就增加一條記錄。如果映射表已滿，則依據(jù)每條記錄后面的標(biāo)志位決定。此時(shí)刪除射表已滿，則依據(jù)每條記錄后面的標(biāo)志位決定。此時(shí)刪除標(biāo)志位為標(biāo)志位為0 0的記錄，然后將的記錄，然后將E E的記錄寫入。的記錄寫入。改進(jìn)方法0IP_aMac_a11IP_bMac_b12IP_cMac_c1IP_eMac_eCBA服務(wù)器E0IP_aMac_a11IP_bMac_b12IP_cMac_c13IP_eMac_e1請(qǐng)求報(bào)文改進(jìn)方法 （3 3）當(dāng)發(fā)生終端減少時(shí)）當(dāng)發(fā)生終端減少時(shí) 例如：例如：A A退出了網(wǎng)絡(luò)退出了網(wǎng)絡(luò) 此時(shí)服務(wù)器不做任何處理。由于此時(shí)

18、服務(wù)器不做任何處理。由于A A終端已退出網(wǎng)絡(luò)，經(jīng)過終端已退出網(wǎng)絡(luò)，經(jīng)過一段時(shí)間，一段時(shí)間，A A記錄的標(biāo)記必為記錄的標(biāo)記必為0 0，會(huì)被替換，會(huì)被替換，A A的記錄自然的記錄自然就刪除了。就刪除了。方法比較1.1.與靜態(tài)與靜態(tài)ARPARP相比，本方法采用動(dòng)態(tài)相比，本方法采用動(dòng)態(tài)ARPARP，靈活性高，靈活性高2.2.與會(huì)話加密相比，會(huì)話加密會(huì)增加終端資源消耗，不管與會(huì)話加密相比，會(huì)話加密會(huì)增加終端資源消耗，不管是否受到攻擊。本方法在沒有是否受到攻擊。本方法在沒有ARPARP攻擊時(shí)，終端只需要攻擊時(shí)，終端只需要比較比較ARPARP應(yīng)答報(bào)文的源應(yīng)答報(bào)文的源IPIP地址；在受到攻擊時(shí)，增加向地址；在受到攻擊時(shí)，增加向服務(wù)器詢問的開銷。兩者相比本方法資源消耗小。服務(wù)器詢問的開銷。兩者相比本方法資源消耗小。3.3.協(xié)議狀態(tài)機(jī)沒有解決協(xié)議狀態(tài)機(jī)沒有解決“一請(qǐng)求，多應(yīng)答一請(qǐng)求，多應(yīng)答”問題，本方法問題，本方法解決了解決了方法比較4.4.與與ARP ARP