局域網(wǎng)ARP攻擊及防御策略的研究論文

1、遼寧科技大學(xué)接著教育學(xué)院畢業(yè)設(shè)計(jì)(論文)題 目： 局域網(wǎng)ARP攻擊及防備策略的研究學(xué)院、系： 鞍山科技大學(xué) 專業(yè)班級： 計(jì)算機(jī)應(yīng)用?？?學(xué)生姓名： 姜明程 指導(dǎo)教師： 遲呈英 2013年 4 月 15 日局域網(wǎng)ARP攻擊及防備策略的研究摘要當(dāng)今的信息社會(huì)是建立在計(jì)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)之上的，網(wǎng)絡(luò)信息安全形勢十分嚴(yán)峻。網(wǎng)絡(luò)協(xié)議安全是網(wǎng)絡(luò)安全的重要環(huán)節(jié)，對網(wǎng)絡(luò)協(xié)議的分析、利用越來越受到人們的關(guān)注。ARP協(xié)議是網(wǎng)絡(luò)協(xié)議中的基礎(chǔ)協(xié)議，盡管ARP協(xié)議使用起來特不方便快捷，但其中卻隱藏著專門多漏洞。本文首先對ARP 協(xié)議進(jìn)行了詳細(xì)的分析，深入了解了ARP 協(xié)議的工作原理，并對ARP 欺騙發(fā)生的條件和欺騙原理做了

2、深入的介紹，同時(shí)總結(jié)了ARP 欺騙攻擊的檢測方法，細(xì)致的分析了對各種不同的ARP 欺騙方式相對應(yīng)的防備手段。其次針對局域網(wǎng)中出現(xiàn)的 ARP 欺騙的攻擊方式進(jìn)行有針對性的分析，使用抓包工具截獲攻擊包后進(jìn)行相關(guān)研究，并制定出防備局域網(wǎng)中出現(xiàn)的ARP欺騙的方法，同時(shí)對該方法進(jìn)行適當(dāng)改進(jìn)以提高防備效率。ARP欺騙病毒一直是網(wǎng)絡(luò)中爆發(fā)范圍較廣且專門難根除的頑疾，最近幾年針對ARP欺騙病毒的防備研究在不斷進(jìn)行，但由于互聯(lián)網(wǎng)布局的復(fù)雜性特征，專門難在防備該病毒方面獲得統(tǒng)一的治理和部署，本文提出的檢測和防備方法經(jīng)小范圍應(yīng)用取得了較好的效果，希望在以后的接著學(xué)習(xí)與研究過程中能夠?qū)⒃摲椒ㄍ晟撇⑼茝V。關(guān)鍵詞：ARP

3、欺騙，ARP協(xié)議，802.1x協(xié)議，認(rèn)證擴(kuò)展，病毒防備目 錄摘 要.2目 錄.3-4第1 章 緒 論.71.1 課題背景和意義.71.2 國內(nèi)外研究現(xiàn)狀.91.3 論文的研究內(nèi)容及組織結(jié)構(gòu).121.3.1 論文的研究內(nèi)容.131.3.2 論文的組織結(jié)構(gòu).13第2 章 ARP 協(xié)議 .142.1 ARP 協(xié)議介紹.142.1.1 地址解析的作用.142.1.2 直接映射法.152.1.3 動(dòng)態(tài)地址解析法.172.1.4 動(dòng)態(tài)地址解析的緩沖區(qū)與高效率.182.2 ARP 協(xié)議的應(yīng)用.182.2.1 ARP 的標(biāo)準(zhǔn)與歷史.182.2.2 ARP 地址詳述與差不多操作.192.2.3 ARP 信息的格

4、式.212.2.4 ARP 緩存.222.2.5 代理ARP .242.3 ARP 欺騙.252.3.1 ARP 欺騙原理.252.3.2 ARP 欺騙的攻擊方式.272.3.3 ARP 攻擊的檢測.292.3.4 ARP 病毒的防備.302.4 本章小結(jié).30第3 章 局域網(wǎng)ARP 病毒檢測與防備.313.1 局域網(wǎng)遭受ARP 病毒攻擊的癥狀及危害.573.2 檢測與分析.583.2.1 正常網(wǎng)絡(luò)數(shù)據(jù)的捕獲與分析.583.2.2 ARP 欺騙數(shù)據(jù)包的捕獲與分析.593.3 ARP 欺騙的防備.603.3.1 針對網(wǎng)關(guān)ARP 欺騙的防備.613.3.2 針對網(wǎng)內(nèi)主機(jī)ARP 欺騙的防備.623.

5、4 ARP 欺騙防備方法的改進(jìn).623.5 本章小結(jié).63總結(jié). .35參考文獻(xiàn) .35第1 章 緒 論1.1 課題背景和意義隨著互連網(wǎng)的進(jìn)展，網(wǎng)絡(luò)的安全問題隨之浮出水面，并一直是計(jì)算機(jī)網(wǎng)絡(luò)安全體系的重要方面。網(wǎng)絡(luò)作為信息的共享平臺(tái)，其開放性與跨地域性令網(wǎng)絡(luò)攻擊難以循跡，一旦重要的網(wǎng)絡(luò)信息系統(tǒng)陷入癱瘓，對社會(huì)是一種毀滅性的打擊。最近幾年，網(wǎng)絡(luò)安全問題日益嚴(yán)峻，關(guān)于網(wǎng)絡(luò)安全的報(bào)道層出不窮，造成的經(jīng)濟(jì)損失越來越大。黑客往往通過網(wǎng)絡(luò)入侵的手段達(dá)到竊取敏感信息的目的，也有人通過網(wǎng)絡(luò)攻擊達(dá)到不可告人的目的。ARP 協(xié)議是一個(gè)位于TCP/IP 協(xié)議棧中網(wǎng)絡(luò)層的協(xié)議，負(fù)責(zé)將IP 地址解析成對應(yīng)的MAC 地址

6、。由于網(wǎng)絡(luò)通信是按照MAC 地址進(jìn)行傳輸?shù)?，因此，關(guān)于局域網(wǎng)而言，ARP 協(xié)議是網(wǎng)絡(luò)正常通信的基礎(chǔ)。但基于歷史緣故，ARP 協(xié)議在設(shè)計(jì)之初，考慮到傳輸效率的問題，缺乏必要的身份認(rèn)證和鑒不機(jī)制，導(dǎo)致安全性能弱不禁風(fēng)。ARP 欺騙攻擊是一種利用TCP/IP 協(xié)議中ARP 協(xié)議本身漏洞3( 即為了提高效率，不對發(fā)送來的ARP 應(yīng)答包進(jìn)行驗(yàn)證，直接更新ARP 地址緩存表)進(jìn)行攻擊的。它通過發(fā)送ARP 應(yīng)答包給目標(biāo)主機(jī)，讓目標(biāo)主機(jī)更新自己的ARP地址緩存表，使本應(yīng)該發(fā)送給被冒充機(jī)器的數(shù)據(jù)包發(fā)送給了自己，達(dá)到了欺騙信息的作用。因此，制定出一套高效的 ARP 欺騙攻擊防備策略具有專門大的現(xiàn)實(shí)意義。1.2 國

7、內(nèi)外研究現(xiàn)狀A(yù)RP 欺騙攻擊的核心思想確實(shí)是向目標(biāo)主機(jī)發(fā)送偽造ARP 應(yīng)答, 并使目標(biāo)主機(jī)接收應(yīng)答中偽造的IP 地址與MAC 地址之間的映射對, 以此來更新目標(biāo)主機(jī)的ARP 緩存。ARP 欺騙的原理差不多十分明了，但對ARP 欺騙的防范措施卻并不十分有效。目前國內(nèi)外還沒有功能專門強(qiáng)的軟件能夠?qū)ｉT好的防備網(wǎng)絡(luò)中的ARP欺騙。因此，如何防備ARP 欺騙攻擊及如何樣降低這種攻擊所帶來的后果引起了全社會(huì)網(wǎng)絡(luò)專家們的廣泛關(guān)注，并成為目前網(wǎng)絡(luò)安全界研究的熱點(diǎn)問題。ARP 欺騙攻擊要緊是利用了ARP 協(xié)議的安全缺陷，體現(xiàn)在如下幾點(diǎn)：(1)ARP請求均以廣播方式進(jìn)行：當(dāng)源主機(jī)要和目的主機(jī)通信而沒有目的主機(jī)的M

8、AC 地址時(shí), 便會(huì)向整個(gè)局域網(wǎng)廣播ARP請求數(shù)據(jù)包。這使得攻擊者能夠偽裝ARP應(yīng)答, 與真正的目的主機(jī)展開競爭, 并由此確定子網(wǎng)內(nèi)機(jī)器什么時(shí)候刷新ARP緩存, 以實(shí)現(xiàn)最大限度的假冒和欺騙。(2)ARP 地址轉(zhuǎn)換表自我動(dòng)態(tài)更新：這種機(jī)制的動(dòng)態(tài)更新方式較為靈活，但同時(shí)也帶來了安全隱患。由于正常的ARP 地址轉(zhuǎn)換表差不多上有時(shí)刻限制的，這使得假冒者假如在下次交換之前成功修改了源主機(jī)的地址，就能夠毫無阻攔的進(jìn)行ARP 欺騙行為。(3)ARP 響應(yīng)無操縱且無認(rèn)證：ARP 協(xié)議設(shè)計(jì)之初，為了獲得較高的傳輸效率，在數(shù)據(jù)鏈路層沒有做安全上的防范，在使用ARP 協(xié)議時(shí)無需認(rèn)證，使用ARP協(xié)議的局域網(wǎng)假設(shè)通信雙

9、方是相互信任和相互獨(dú)立的。ARP 欺騙的攻擊方法要緊有以下幾種：(1)中間人攻擊：中間人攻擊確實(shí)是攻擊者將自己插入兩個(gè)目標(biāo)主機(jī)通信路徑之間，使它如同兩個(gè)目標(biāo)主機(jī)通信路徑上的一個(gè)中繼，如此攻擊者就能夠監(jiān)聽兩個(gè)目標(biāo)主機(jī)之間的通信。(2)IP 地址沖突：主機(jī)發(fā)送更改的ARP 報(bào)文，將偽裝的MAC 地址映射到目標(biāo)主機(jī)的IP 地址，系統(tǒng)檢測到兩個(gè)不同的MAC 地址對應(yīng)同一個(gè)IP 地址，因此表現(xiàn)為IP 地址沖突。(3)拒絕服務(wù)攻擊：拒絕服務(wù)攻擊確實(shí)是使目標(biāo)主機(jī)不能正常響應(yīng)外部請求，從而不能對外提供服務(wù)的攻擊方式。(4)克隆攻擊：通過修改網(wǎng)絡(luò)接口的MAC 地址，攻擊者首先對目標(biāo)主機(jī)實(shí)施拒絕服務(wù)攻擊，使其不能

10、對外部做出任何反應(yīng)。然后攻擊者就能夠?qū)⒆约旱腎P地址與MAC 地址分不改為目標(biāo)主機(jī)的IP 地址與MAC 地址，如此攻擊者就能夠?qū)δ繕?biāo)主機(jī)進(jìn)一步實(shí)施各種非法攻擊，竊取各種通信數(shù)據(jù)。(5)ARP 應(yīng)答畸形包攻擊：正常的ARP 報(bào)文至少是46 個(gè)字節(jié)，然而假如我們自己精心構(gòu)造一個(gè)只有30 個(gè)字節(jié)長的ARP 應(yīng)答報(bào)文，由于目前的網(wǎng)絡(luò)交換設(shè)備沒有充分考慮到這種情況的出現(xiàn)，當(dāng)網(wǎng)絡(luò)上連續(xù)出現(xiàn)這種畸形報(bào)文達(dá)到一定數(shù)量的時(shí)候，交換機(jī)的MAC 緩存表就無法正常刷新，其嚴(yán)峻后果確實(shí)是整個(gè)局域網(wǎng)癱瘓。針對以上的 ARP 欺騙攻擊手段，差不多制定出如下的防備措施6,7,8：(1)制定靜態(tài)ARP 緩存表：ARP 協(xié)議攻擊

11、最全然的原理確實(shí)是改變IP 地址與MAC 地址的正確對應(yīng)關(guān)系。因此能夠在目標(biāo)主機(jī)的ARP 緩存中設(shè)置靜態(tài)地址映射記錄來防止ARP 欺騙攻擊。但該方法的缺點(diǎn)是假如網(wǎng)絡(luò)上節(jié)點(diǎn)較多或者節(jié)點(diǎn)經(jīng)常發(fā)生變化則不易進(jìn)行治理。(2)設(shè)置ARP 服務(wù)器：為了解決靜態(tài)ARP 緩存表中維護(hù)靜態(tài)記錄的工作分散的缺點(diǎn)，能夠采納在局域網(wǎng)內(nèi)部指定一臺(tái)機(jī)器作為ARP 服務(wù)器來集中保存和維護(hù)一個(gè)相對可信的局域網(wǎng)環(huán)境下所有主機(jī)的IP-MAC 地址映射記錄。但該方法首先要保證ARP 服務(wù)器的網(wǎng)絡(luò)安全，假如一旦該主機(jī)癱瘓，ARP 緩存表將無法維護(hù)，整個(gè)網(wǎng)絡(luò)系統(tǒng)會(huì)受到阻礙。(3)數(shù)據(jù)加密傳輸：例如采納SSH 替代telnet，采納sf

12、tp 替代傳統(tǒng)的ftp，即使連接被截獲，也不可能被輕易偽造數(shù)據(jù)。該方法的缺點(diǎn)是加密和解密過程相對來講比較消耗系統(tǒng)資源。(4)交換機(jī)綁定端口和MAC 地址：設(shè)置交換機(jī)的每個(gè)端口與唯一的MAC 地址相對應(yīng)，一旦來自該端口的MAC 地址發(fā)生變動(dòng)，就自動(dòng)封鎖該端口，使主機(jī)無法連接到局域網(wǎng)。攻擊者就無法發(fā)送偽造ARP 數(shù)據(jù)幀，從而阻止了ARP 欺騙的發(fā)生。這種方法的缺點(diǎn)是不靈活。(5)引入硬件設(shè)備：目前, 基于IP 地址變換進(jìn)行路由的第三層交換機(jī)逐漸被采納，第三層交換技術(shù)采納的是P 路由交換協(xié)議，以往的數(shù)據(jù)鏈路層的MAC 地址和ARP 協(xié)議差不多不起作用。但第三層交換機(jī)的價(jià)格普遍比較昂貴，而且普及率不高

13、。1.3 論文的研究內(nèi)容及組織結(jié)構(gòu)1.3.1 論文的研究內(nèi)容計(jì)算機(jī)網(wǎng)絡(luò)體系包含兩大方面，終端體系與網(wǎng)絡(luò)通信體系。而各自的安全要求則衍生了可信計(jì)算平臺(tái)以及可信網(wǎng)絡(luò)連接的規(guī)范。愛護(hù)整個(gè)終端體系和網(wǎng)絡(luò)通信體系的完整性與安全性就需要綜合考慮兩方面的需求。構(gòu)建可信網(wǎng)絡(luò)平臺(tái)，采納802.1x 在寬帶及無線接入方面的優(yōu)勢是顯而易見的。同時(shí)也被眾多互聯(lián)網(wǎng)服務(wù)提供商所廣泛采納。本文的要緊工作是針對ARP 病毒的特點(diǎn)，詳細(xì)論述了ARP 協(xié)議的原理，進(jìn)展過程以及ARP 協(xié)議的應(yīng)用。對ARP 協(xié)議的實(shí)現(xiàn)及漏洞進(jìn)行了詳細(xì)的分析，并針對ARP 欺騙攻擊的特征，對其攻擊方法進(jìn)行了詳細(xì)的介紹。同時(shí)，依照ARP欺騙的攻擊方法總

14、結(jié)出ARP 欺騙的各種檢測方法，并有針對性的制訂了ARP 欺騙的防備措施。由于 ARP 欺騙經(jīng)常在局域網(wǎng)中爆發(fā)，局域網(wǎng)是ARP 欺騙病毒肆虐的典型網(wǎng)絡(luò)。本文結(jié)合局域網(wǎng)中ARP 欺騙攻擊的實(shí)際現(xiàn)象，使用抓包軟件對其進(jìn)行檢測并加以分析，再依照常見網(wǎng)絡(luò)設(shè)備的特點(diǎn)逐步制定出防備局域網(wǎng)中ARP欺騙的措施，并加以改進(jìn)。1.3.2 論文的組織結(jié)構(gòu)本文共分為3 個(gè)章節(jié)，各章節(jié)要緊內(nèi)容如下：第 1 章，緒論。介紹了ARP 欺騙的攻擊行為與對其進(jìn)行防備的研究背景和現(xiàn)狀，分析了現(xiàn)有防備方法的不足。描述本文的研究內(nèi)容，給出了本論文的組織結(jié)構(gòu)。第 2 章，ARP 協(xié)議。詳細(xì)的介紹了ARP 協(xié)議，ARP 協(xié)議的工作原理以

15、及ARP 協(xié)議的應(yīng)用。同時(shí)也對ARP 協(xié)議本身存在的漏洞，ARP欺騙攻擊的原理，以及對現(xiàn)有的ARP 欺騙攻擊既定檢測與防備方法進(jìn)行了細(xì)致介紹，并分析了他們各自的優(yōu)缺點(diǎn)。第 3 章，局域網(wǎng)ARP 病毒檢測與防備。該章節(jié)針對局域網(wǎng)中頻繁出現(xiàn)的ARP 欺騙攻擊現(xiàn)象，進(jìn)行抓包采樣，經(jīng)分析后逐步制定出應(yīng)對方案，并對其進(jìn)行適當(dāng)改進(jìn)。第2 章 ARP 協(xié)議2.1 ARP 協(xié)議介紹ARP(Address Resolution Protocol)即地址解析協(xié)議，確實(shí)是用來進(jìn)行地址解析的協(xié)議。網(wǎng)絡(luò)中的通信是通過使用網(wǎng)絡(luò)層(OSI 網(wǎng)絡(luò)結(jié)構(gòu)中的第三層)地址發(fā)送數(shù)據(jù)完成的。但實(shí)際上，網(wǎng)絡(luò)中數(shù)據(jù)的傳輸是通過使用數(shù)據(jù)鏈路

16、層(OSI 網(wǎng)絡(luò)結(jié)構(gòu)中的第二層)地址實(shí)現(xiàn)的。這就意味著網(wǎng)絡(luò)中的每一個(gè)設(shè)備都要擁有網(wǎng)絡(luò)層地址和數(shù)據(jù)鏈路層地址。這就需要定義某種方式將網(wǎng)絡(luò)層地址與數(shù)據(jù)鏈路層地址有效聯(lián)系起來。那么，這種將網(wǎng)絡(luò)層地址與數(shù)據(jù)鏈路層地址一一映射的過程就被稱為地址解析。2.1.1 地址解析的作用當(dāng)我們研究OSI 網(wǎng)絡(luò)參考模型時(shí)，分不有兩層攜帶地址：網(wǎng)絡(luò)層與數(shù)據(jù)鏈路層。處于網(wǎng)絡(luò)層以上的各層均通過網(wǎng)絡(luò)層地址進(jìn)行信息傳輸。而網(wǎng)絡(luò)層地址與數(shù)據(jù)鏈路層地址是兩種截然不同的地址類型同時(shí)具有不同的功能，數(shù)據(jù)鏈路層地址用于局域網(wǎng)內(nèi)兩個(gè)硬件設(shè)備間的信息直傳，它們多用于執(zhí)行差不多的LAN，WLAN 與WAN 的網(wǎng)絡(luò)通信，而網(wǎng)絡(luò)層地址則用于網(wǎng)際間

17、的等價(jià)傳輸。通俗地講確實(shí)是數(shù)據(jù)鏈路層用于處理直接連接的網(wǎng)絡(luò)設(shè)備間的信息傳輸，而網(wǎng)絡(luò)層地址則用于非直連的網(wǎng)絡(luò)設(shè)備間的數(shù)據(jù)傳輸。網(wǎng)絡(luò)層地址與數(shù)據(jù)鏈路層地址的關(guān)系：事實(shí)上，當(dāng)我們通過網(wǎng)絡(luò)層連接兩個(gè)設(shè)備時(shí)，這僅僅是概念上的連接，當(dāng)你使用IP 發(fā)送一個(gè)請求，每一跳都發(fā)生在數(shù)據(jù)鏈路層。當(dāng)你的請求傳送到本地路由器的網(wǎng)絡(luò)層時(shí)，實(shí)際的請求差不多被封裝在一個(gè)楨中，并使用路由器的數(shù)據(jù)鏈路層地址傳送出去。傳送的每一步差不多上基于第三層的網(wǎng)絡(luò)地址，但實(shí)際的傳輸執(zhí)行是使用數(shù)據(jù)鏈路層地址進(jìn)行路由的。地址解析將網(wǎng)絡(luò)層地址轉(zhuǎn)換為數(shù)據(jù)鏈路層地址。IP 地址(網(wǎng)絡(luò)層地址)關(guān)于網(wǎng)絡(luò)硬件來講是一個(gè)處于OSI 網(wǎng)絡(luò)模型較上層的地址，當(dāng)你

18、要訪問一個(gè)網(wǎng)站，輸入網(wǎng)址后路由器得到的信息是該網(wǎng)站的IP 地址，但實(shí)際上信息是向網(wǎng)絡(luò)服務(wù)器的MAC 地址(數(shù)據(jù)鏈路層地址)傳送的。在LAN 網(wǎng)絡(luò)中同樣使用如此的傳輸原理，即使網(wǎng)絡(luò)服務(wù)器就擺設(shè)在發(fā)送請求電腦的旁邊，也一定要通過數(shù)據(jù)鏈路層完成這一過程。因此我們需要一種解析這兩種地址的方法，那個(gè)過程就叫做地址解析。地址解析的方法：地址解析的功能當(dāng)然重要，但地址解析的效率也不容忽視，耗費(fèi)大量網(wǎng)絡(luò)資源的地址解析方法是不可取的?，F(xiàn)現(xiàn)在有兩種地址解析的方法：(1)直接映射：有一個(gè)公式能夠?qū)⒏邔拥刂忿D(zhuǎn)化為底層地址，這是比較簡單有效的方法，但當(dāng)數(shù)據(jù)鏈路層地址長度大于網(wǎng)絡(luò)層地址時(shí)會(huì)受到一些限制。(2)動(dòng)態(tài)解析：一

19、個(gè)專門的協(xié)議用來通過網(wǎng)絡(luò)設(shè)備的IP 地址就可明白其相應(yīng)的數(shù)據(jù)鏈路層地址，即一個(gè)數(shù)據(jù)鏈路層地址對應(yīng)一個(gè)給定的 IP 地址。這種方法盡管比直接映射法復(fù)雜，但具有更大的靈活性。2.1.2 直接映射法當(dāng)每一個(gè)數(shù)據(jù)報(bào)在網(wǎng)絡(luò)中傳輸?shù)倪^程中，網(wǎng)絡(luò)層地址被許多次解析成數(shù)據(jù)鏈路層地址。因此我們希望那個(gè)過程能夠盡可能的簡單快捷，完成這一過程最簡單的方法確實(shí)是將兩類地址直接映射。直接映射法的差不多思想確實(shí)是將對應(yīng)的網(wǎng)絡(luò)地址與數(shù)據(jù)鏈路層地址存放在一個(gè)表中，我們能夠通過特不簡單的算法通過其中之一找到對應(yīng)項(xiàng)。不管何時(shí)都能夠通過網(wǎng)絡(luò)層地址找到對應(yīng)的數(shù)據(jù)鏈路層地址。數(shù)據(jù)鏈路層地址和網(wǎng)絡(luò)層地址具有同樣的結(jié)構(gòu)和語義是不切實(shí)際的，

20、因?yàn)檫@兩類地址基于不同的工作目的和完全不相容的執(zhí)行標(biāo)準(zhǔn)。但假如我們創(chuàng)建的網(wǎng)絡(luò)層地址足夠大，可將數(shù)據(jù)鏈路層地址編碼入其中的話，我們便能夠?qū)深惖刂纷鲋苯佑成?。如此，?shù)據(jù)鏈路層地址就成為網(wǎng)絡(luò)層地址的一部分。當(dāng) MAC 地址的長度小于IP 地址時(shí)，能夠用直接映射的方法從IP 地址中得到硬件地址。這使地址解析變得特不簡單，但大大降低了地址編排的彈性。在硬件地址較大的情況下，直接映射已成為不可能：不幸的是，只有在 MAC 地址作為IP 地址一部分時(shí)才能使用直接映射的方法。但在以太網(wǎng)中，MAC 地址直接嵌入硬件，更重要的是MAC 地址長度大于IP 地址，因此這種情況下無法使用直接映射的方法。在現(xiàn)現(xiàn)在，使用

21、最廣泛的以太網(wǎng)的數(shù)據(jù)鏈路層地址是48 位，而IP 地址僅有32 位，這確實(shí)是什么緣故直接映射法無法應(yīng)用在以太網(wǎng)環(huán)境中。直接映射的缺點(diǎn)：在下一代網(wǎng)絡(luò) IPv6 中，由于IPv6 支持128 位的大地址空間，遠(yuǎn)遠(yuǎn)大于MAC地址的長度，理論上能夠在IPv6 網(wǎng)絡(luò)環(huán)境中使用直接映射進(jìn)行地址解析。然而在IPv6 網(wǎng)絡(luò)中人們決定使用動(dòng)態(tài)地址解析，因?yàn)樵贗Pv4 網(wǎng)絡(luò)中差不多使用動(dòng)態(tài)地址解析，更重要的緣故是因?yàn)橹苯佑成涞姆菑椥曰秉c(diǎn)，因?yàn)閯?dòng)態(tài)地址解析同意IP 地址與MAC 地址相對獨(dú)立。2.1.3 動(dòng)態(tài)地址解析法直接映射法是一種簡單且高效的將網(wǎng)絡(luò)地址解析為數(shù)據(jù)鏈路層地址的方法，但這種方法不能應(yīng)用在現(xiàn)在的主題

22、網(wǎng)絡(luò)結(jié)構(gòu)中，當(dāng)數(shù)據(jù)鏈路層地址長度大于網(wǎng)絡(luò)層地址時(shí)直接映射法就行不通了。動(dòng)態(tài)地址解析方法能夠?qū)ｉT好的彌補(bǔ)直接映射法的缺陷。當(dāng)設(shè)備 A 向要向設(shè)備B 發(fā)送信息時(shí)，設(shè)備A 只明白設(shè)備B 的IP 地址，而不明白設(shè)備B 的MAC 地址，設(shè)備A 首先向網(wǎng)絡(luò)中每個(gè)設(shè)備發(fā)送一個(gè)包含設(shè)備B 的IP 地址的數(shù)據(jù)報(bào)，除設(shè)備B 之外的所有設(shè)備都忽略那個(gè)數(shù)據(jù)報(bào)，因?yàn)閿?shù)據(jù)報(bào)中含有設(shè)備B 的IP 地址，設(shè)備B 接收到數(shù)據(jù)報(bào)后向設(shè)備A 恢復(fù)一個(gè)直接應(yīng)答數(shù)據(jù)報(bào)，告知設(shè)備A 究竟設(shè)備B 的MAC 地址是什么，這確實(shí)是動(dòng)態(tài)地址解析的整個(gè)過程。在動(dòng)態(tài)地址解析方法中，網(wǎng)絡(luò)層地址與數(shù)據(jù)鏈路層地址能夠有完全不同的結(jié)構(gòu)與長度，他們之間不用有

23、任何關(guān)系。2.1.4 動(dòng)態(tài)地址解析的緩沖區(qū)與高效率動(dòng)態(tài)地址解析剔除了直接映射法的約束，同時(shí)能夠?qū)ｉT容易的將IP 地址與MAC 地址建立關(guān)聯(lián)，然而不是每次進(jìn)行地址解析都要發(fā)送額外的信息來確認(rèn)對方的MAC 地址呢？發(fā)送單個(gè)額外的信息看起來并不耗費(fèi)資源，但假如每一步都進(jìn)行如此的操作，網(wǎng)絡(luò)的負(fù)載就會(huì)急劇增加。因此，僅有動(dòng)態(tài)地址解析是不夠的，為了降低該操作帶來的阻礙，我們引入了地址緩沖區(qū)。在一個(gè)設(shè)備將網(wǎng)絡(luò)層地址解析為數(shù)據(jù)鏈路層地址后，兩者之間的對應(yīng)關(guān)系會(huì)被存放在緩存中一段時(shí)刻。當(dāng)下次需要用到書數(shù)據(jù)路層地址時(shí)，設(shè)備在其緩存中快速進(jìn)行查詢。也確實(shí)是講每次發(fā)送數(shù)據(jù)包之前，我們只需要在緩存表中查詢一下，而不需要

24、發(fā)送廣播請求。ARP 緩存在增強(qiáng)動(dòng)態(tài)地址解析能力方面扮演專門重要的角色，但假如其他設(shè)備的地址信息變更了，存儲(chǔ)在緩存表中的信息就會(huì)失效，因此緩存表中的數(shù)據(jù)都會(huì)有一個(gè)生存周期，過期則信息作廢。兩個(gè)在網(wǎng)絡(luò)中通訊的設(shè)備會(huì)互相添加彼此的地址到自己的緩存表中。有了ARP 緩存表，我們只需要做一次地址解析，而不用多次做重復(fù)的操作。2.2 ARP 協(xié)議的應(yīng)用目前，世界上應(yīng)用范圍最廣的網(wǎng)絡(luò)協(xié)議確實(shí)是TCP/IP 網(wǎng)絡(luò)協(xié)議。而最重要的地址解析協(xié)議確實(shí)是與YCP/IP 協(xié)議齊名的ARP 協(xié)議了。2.2.1 ARP 的標(biāo)準(zhǔn)與歷史OSI 網(wǎng)絡(luò)參考模型的第一層是物理層，第二層是數(shù)據(jù)鏈路層，物理層和數(shù)據(jù)鏈路層使用數(shù)據(jù)鏈路層

25、地址實(shí)現(xiàn)物理功能。但是網(wǎng)絡(luò)協(xié)議的功能應(yīng)用在第三層，也確實(shí)是網(wǎng)絡(luò)層，將這些由物理硬件組成的網(wǎng)絡(luò)連接起來形成一個(gè)大的因特網(wǎng)，相互之間使用網(wǎng)絡(luò)層地址傳輸信息。地址解析是將網(wǎng)絡(luò)層地址解析為數(shù)據(jù)鏈路層地址的過程，數(shù)據(jù)傳輸一次通過一個(gè)設(shè)備。在 TCP/IP 協(xié)議開發(fā)的初期，地址解析所設(shè)計(jì)的問題就專門突出。最初的IP 協(xié)議是在以太網(wǎng)的雛形技術(shù)上運(yùn)行的，即便以太網(wǎng)以IEEE802.3 作為其官方標(biāo)準(zhǔn)，也專門有必要定義一種方法使IP 地址與MAC 地址實(shí)現(xiàn)映射以便在網(wǎng)際之間實(shí)現(xiàn)信息傳輸。有兩種差不多方法用來實(shí)現(xiàn)地址解析功能：直接映射與動(dòng)態(tài)地址解析。但是MAC 地址長度是48 位，而IP 地址僅有32 位，這已完

26、全不符合直接映射法，動(dòng)態(tài)地址解析的模型應(yīng)運(yùn)而生，這確實(shí)是TCP/IP 協(xié)議的地址解析協(xié)議(ARP)。ARP 協(xié)議要緊是為了用某種方法改進(jìn)網(wǎng)絡(luò)傳輸?shù)膱?zhí)行效率。最開始的每發(fā)一次數(shù)據(jù)包都進(jìn)行一次廣播，效率專門低而且專門繁瑣。后來使用ARP 緩沖區(qū)，使得本地IP 地址與MAC 地址有效關(guān)聯(lián)起來保存在緩沖表中?，F(xiàn)在，各種各樣的技術(shù)差不多逐漸被研發(fā)出來，用于改進(jìn)并維護(hù)ARP 地址緩沖表。支持跨區(qū)域信息傳輸?shù)拇鞟RP 技術(shù)也早差不多問世，并被列入差不多ARP 特征庫中。2.2.2 ARP 地址詳述與差不多操作地址解析協(xié)議的執(zhí)行是在一臺(tái)源主機(jī)要發(fā)送IP 數(shù)據(jù)包開始的。首先需要確定目標(biāo)主機(jī)是否與它處于同一網(wǎng)絡(luò)

27、中，假如兩者在同一網(wǎng)絡(luò)中，它向目標(biāo)主機(jī)直接發(fā)送信息即可；假如不在同一網(wǎng)絡(luò)中，源主機(jī)需要向與它處于同一網(wǎng)絡(luò)的路由器發(fā)送數(shù)據(jù)包，之后通過ARP 軟件進(jìn)行地址解析。ARP 協(xié)議最差不多的操作確實(shí)是在本地網(wǎng)絡(luò)上發(fā)送請求或進(jìn)行應(yīng)答，源主機(jī)發(fā)送廣播請求得到目標(biāo)主機(jī)的地址，目標(biāo)主機(jī)接收到請求后單播回應(yīng)，告之源主機(jī)它的MAC 地址是什么。從源主機(jī)發(fā)向目的主機(jī)的信息包和從目的主機(jī)發(fā)向源主機(jī)的數(shù)據(jù)包是不同的，主機(jī)作為發(fā)送方與接收方的身份是來回互換的。通信雙方都各自有自己的IP地址與MAC 地址，四個(gè)地址表達(dá)各自的信息：發(fā)送方 MAC 地址：ARP 數(shù)據(jù)包中發(fā)送方的數(shù)據(jù)鏈路層地址。發(fā)送方 IP 地址：ARP 數(shù)據(jù)包

28、中發(fā)送方的網(wǎng)絡(luò)層地址。接收方 MAC 地址：ARP 數(shù)據(jù)包中接收方的數(shù)據(jù)鏈路層地址。接收方 IP 地址：ARP 數(shù)據(jù)包中接收方的網(wǎng)絡(luò)層地址。這四個(gè)地址在 ARP 信息包中都有各自固定的位置。而ARP 請求與應(yīng)答也分為如下幾步：(1)源主機(jī)首先在ARP 緩沖表中查找目標(biāo)主機(jī)的硬件地址：源主機(jī)首先在自己的ARP 緩沖表中查找其中是否對目標(biāo)主機(jī)進(jìn)行過地址解析。假如做過，它便能夠直接跳到最后一步。(2)源主機(jī)創(chuàng)建ARP 申請報(bào)文：源主機(jī)創(chuàng)建一個(gè)ARP 申請信息，它將其自己的MAC 地址作為發(fā)送方的MAC 地址，將其自己的IP 地址作為發(fā)送方的IP 地址。而它將目標(biāo)主機(jī)的IP 地址作為接收方的IP 地址

29、，目標(biāo)主機(jī)的MAC 地址是需要確定的信息，將其留作空白。(3)源主機(jī)廣播ARP 請求信息：源主機(jī)在它所處的局域網(wǎng)內(nèi)廣播ARP 請求信息。(4)本地局域網(wǎng)設(shè)備對ARP 請求信息進(jìn)行處理：ARP 廣播信息被本地局域網(wǎng)中所有主機(jī)接收到，所有主機(jī)都進(jìn)行匹配對比，不匹配的將該信息丟棄，假如匹配則進(jìn)行下一步處理。(5)目標(biāo)主機(jī)創(chuàng)建ARP 應(yīng)答信息：自身IP 地址與ARP 申請信息中IP 地址匹配的目標(biāo)主機(jī)創(chuàng)建一個(gè)ARP 應(yīng)答信息，現(xiàn)在該目標(biāo)主機(jī)的身份差不多從接收方轉(zhuǎn)換為發(fā)送方，信息中包含從ARP 申請信息中獲得的發(fā)送方的MAC 地址和發(fā)送方IP 地址，并將其作為目標(biāo)主機(jī)的MAC 地址與IP 地址，并將它自

30、己的MAC地址與IP 地址作為發(fā)送方信息。(6)目標(biāo)主機(jī)刷新自己的ARP 緩存：作為一種最優(yōu)化的方法，目標(biāo)主機(jī)將會(huì)向自己的ARP 緩存中添加源主機(jī)的MAC 地址與IP 地址，這是為目標(biāo)主機(jī)為后續(xù)操做做預(yù)備。(7)目標(biāo)主機(jī)發(fā)送ARP 應(yīng)答信息：目標(biāo)主機(jī)發(fā)送的ARP 應(yīng)答信息是專門向源主機(jī)單播發(fā)送的，因?yàn)椴畈欢鄾]有必要再發(fā)送廣播信息了。(8)源主機(jī)處理ARP 應(yīng)答信息：源主機(jī)對接收到的ARP 應(yīng)答信息進(jìn)行處理，將發(fā)送端(目的主機(jī))的MAC 地址作為目標(biāo)主機(jī)的數(shù)據(jù)鏈路層地址，并發(fā)送IP 數(shù)據(jù)包。(9) 源主機(jī)刷新自己的ARP 緩存：源主機(jī)用接收到的ARP 應(yīng)答信息刷新自己的ARP 緩存，以便以后再與

31、該目標(biāo)主機(jī)通信。ARP 協(xié)議是一種相對簡單的請求/應(yīng)答協(xié)議。源主機(jī)通過目標(biāo)主機(jī)的IP 地址發(fā)送ARP 請求，目標(biāo)主機(jī)向源主機(jī)回送ARP 應(yīng)答信息告知目標(biāo)主機(jī)的MAC 地址。ARP 緩存的使用和自動(dòng)更新緩存信息的應(yīng)用大大增強(qiáng)了地址解析的效率，這也是什么緣故將其列入ARP 協(xié)議特征的重要緣故。2.2.3 ARP 信息的格式用 ARP 協(xié)議進(jìn)行地址解析是通過在源主機(jī)與目的主機(jī)之間互換信息來完成的。在其他協(xié)議中，地址解析的每一步所涉及的信息都包含在其他協(xié)議的信息格式中。ARP 信息的格式相對較簡單，其中有用于描述信息類型的信息，還有關(guān)于通信雙方IP 地址與MAC 地址的信息，為方便不同長度地址的存放，

32、專門為IP地址與MAC 地址劃分了不同長度的地址空間。ARP 的信息格式如下：硬件類型協(xié)議類型硬件地址長度協(xié)議長度操作字段發(fā)送方硬件地址(字節(jié)0-3)發(fā)送方硬件地址(字節(jié)4-5)發(fā)送方IP 地址(字節(jié)0-1)發(fā)送方IP 地址(字節(jié)2-3)目的硬件地址(字節(jié)0-1)目的方硬件地址(字節(jié)2-5)目的方IP 地址(字節(jié)0-3)圖2.1 ARP 信息格式下面用一個(gè)圖表來講明ARP 信息中各部分所代表的內(nèi)容：表 2.1 ARP 信息講明字段 名大小屬 性硬件類型2字節(jié)發(fā)送方想明白的硬件接口類型，以太網(wǎng)的值為 1。協(xié)議類型2字節(jié)協(xié)議類型是硬件類型的補(bǔ)充，描述了 IP 地址的類型，并指明發(fā)送方提供的高層協(xié)議

33、類型。關(guān)于IPv4 網(wǎng)絡(luò)來講，IP 值為0800(16 進(jìn)制)。硬件地址長度1字節(jié)定義硬件地址的長度，對以太網(wǎng)或其他以 IEEE802 作為標(biāo)準(zhǔn)的網(wǎng)絡(luò)的MAC 地址來講，值為6。協(xié)議長度1字節(jié)指明高層協(xié)議地址的長度，關(guān)于 IPv4 地址來講值為4。操作字段2字節(jié)定義 ARP 信息的屬性，ARP 請求為1，ARP 應(yīng)答為2，RARP 請求為3，RARP 應(yīng)答為4。發(fā)送方硬件地址變長發(fā)送方的硬件地址發(fā)送方 IP 地址變長發(fā)送方的 IP 地址目的硬件地址變長目的主機(jī)的硬件地址目的 IP 地址變長目的主機(jī)的 IP 地址當(dāng) ARP 數(shù)據(jù)包構(gòu)造完成后，將其向下傳遞到數(shù)據(jù)鏈路層，然后發(fā)送出去。整個(gè)ARP 數(shù)

34、據(jù)包作為有效載荷在網(wǎng)絡(luò)中傳輸。由于地址字段的信息是變長的，因此整個(gè)ARP 數(shù)據(jù)包的大小是可變的。但事實(shí)上一個(gè)完整的ARP 數(shù)據(jù)包是特不小的。2.2.4 ARP 緩存ARP 協(xié)議是一種動(dòng)態(tài)地址解析協(xié)議，也確實(shí)是講每進(jìn)行一次地址解析都要求在網(wǎng)絡(luò)上互換地址信息。雖講ARP 信息包并不大，但假如每一個(gè)IP 數(shù)據(jù)包在網(wǎng)絡(luò)上的每一跳都如此做，網(wǎng)絡(luò)上的壓力將會(huì)達(dá)到無法預(yù)料的大。那么，相關(guān)于簡單的直接映射來講，這種方法既耗費(fèi)資源又白費(fèi)時(shí)刻?？偟膩碇v，ARP 請求信息包發(fā)送出去后，網(wǎng)絡(luò)上的每臺(tái)主機(jī)都要把接收到的信息與自己比較一下，看是否與之匹配。動(dòng)態(tài)地址解析方法效率問題的總體解決方案確實(shí)是引入地址緩存。另外，為

35、了降低網(wǎng)絡(luò)交通的壓力，地址緩存也保證了地址解析所耗費(fèi)的時(shí)刻特很多。這也是地址緩存功能從一開始就被寫入ARP 協(xié)議的重要緣故。ARP 緩存以表的形式保存映射的IP 地址與MAC 地址對，網(wǎng)絡(luò)中的每個(gè)設(shè)備治理其自己的ARP 緩存表。有兩種方式向ARP 緩存表中寫入數(shù)據(jù)：(1)靜態(tài)ARP 緩存：在進(jìn)行動(dòng)態(tài)解析時(shí)人工向ARP 緩存表中添加記錄信息，并在緩存中永久保存。靜態(tài)記錄一般由ARP 治理軟件進(jìn)行治理。(2)動(dòng)態(tài)ARP 緩存：該方式在通過ARP 地址解析后，IP 地址與MAC 地址對由軟件自動(dòng)填寫入ARP 地址緩存中。他們在ARP 地址緩存中僅保存一段時(shí)刻，之后便從中刪除。一個(gè)設(shè)備的 ARP 緩存

36、中包括動(dòng)態(tài)和靜態(tài)的記錄，每種記錄方式都有其優(yōu)點(diǎn)與缺點(diǎn)。但在大多數(shù)情況下使用動(dòng)態(tài)ARP 緩存記錄，因?yàn)樗亲詣?dòng)添加，而且可不能牽涉治理員的經(jīng)歷。在規(guī)范網(wǎng)絡(luò)中，靜態(tài) ARP 緩存記錄得到專門好的應(yīng)用，但這種方法的缺點(diǎn)確實(shí)是需要人工添加記錄，同時(shí)一旦MAC 地址或IP 地址有變更需要人工修改。每條靜態(tài)記錄都會(huì)占據(jù)緩存表的空間，因此，緩存表中靜態(tài)記錄數(shù)量有限，不能使用太多靜態(tài)記錄。動(dòng)態(tài)記錄是自動(dòng)添加進(jìn)緩存的，不需要人工添加和人工服務(wù)。但動(dòng)態(tài)記錄不可能永久保存在緩存中，因?yàn)殡S著網(wǎng)絡(luò)情況的變化，保存在緩存中的靜態(tài)記錄會(huì)因無效而失去作用。假設(shè)主機(jī) A 的ARP 緩存中保存著另一網(wǎng)絡(luò)主機(jī)B 的動(dòng)態(tài)映射，假如動(dòng)

37、態(tài)記錄永久保存在緩存表中，下列情況就會(huì)發(fā)生：(1)主機(jī)的硬件發(fā)生改變：若主機(jī)B 更換了網(wǎng)卡，由于記錄中的MAC 地址可不能再出現(xiàn)，主機(jī)A 的ARP 緩存中保存的動(dòng)態(tài)映射信息變?yōu)闊o效。(2)主機(jī)的IP 地址發(fā)生改變：假如設(shè)備B 的IP 地址發(fā)生了改變，保存在設(shè)備A 中的映射記錄也會(huì)變?yōu)闊o效。(3)設(shè)備被移除：假如設(shè)備B 從網(wǎng)絡(luò)中移除，設(shè)備A 不需要再向它發(fā)送信息，但映射記錄照舊保存在設(shè)備A 的地址緩存中，如此不僅白費(fèi)緩存空間，而且還會(huì)在設(shè)備A 查詢緩存表時(shí)耗費(fèi)時(shí)刻。為了幸免這些問題的出現(xiàn)，將動(dòng)態(tài)地址記錄設(shè)置一定的生存周期，一般為10 分鐘或20 分鐘。規(guī)定時(shí)刻過后，記錄自動(dòng)從緩存中刪除，下次再通

38、信就需要刷新緩存。相關(guān)于靜態(tài)記錄，這種方法在效率上僅存在微乎其微的差距，每10分鐘或20 分鐘發(fā)送兩個(gè)28 字節(jié)的信息對網(wǎng)絡(luò)幾乎沒有任何阻礙。假如主機(jī) A 初次開始地址解析時(shí)發(fā)送一個(gè)標(biāo)準(zhǔn)的ARP 申請，在網(wǎng)絡(luò)中每個(gè)接收到申請信息的主機(jī)都需要刷新自己的ARP 緩存記錄。然而，第三方設(shè)備不必為設(shè)備A 創(chuàng)建新的緩存記錄。從對主機(jī) A 進(jìn)行地址解析的角度來講，為主機(jī)A 創(chuàng)建新的緩存記錄能夠?yàn)橐院蟮耐ㄐ盘峁┓奖?，但這意味著網(wǎng)絡(luò)中所有設(shè)備的ARP 緩存表會(huì)專門快被其他主機(jī)的地址解析信息填滿。有些主機(jī)可能會(huì)創(chuàng)建如此的緩存記錄，但一定會(huì)把這些記錄設(shè)置好有效期，以幸免緩存表被填滿。2.2.5 代理 ARP在同一

39、網(wǎng)絡(luò)中連接的設(shè)備通過ARP 協(xié)議進(jìn)行通信。網(wǎng)絡(luò)中的每臺(tái)主機(jī)都能夠向其他主機(jī)發(fā)送單播或廣播信息。通常情況下，假如主機(jī)A 和主機(jī)B 被路由器分開，主機(jī)A 就不能與主機(jī)B 直接通信。他們會(huì)通過數(shù)據(jù)鏈路層先向路由器傳輸信息，依照IP 地址通過兩跳到達(dá)主機(jī)B。與一般情況不同的是，有些網(wǎng)絡(luò)是由兩個(gè)網(wǎng)絡(luò)通過路由器連接組成的，兩個(gè)網(wǎng)絡(luò)具有相同的IP 地址段和子網(wǎng)掩碼。也確實(shí)是講，主機(jī)A 和主機(jī)B 在數(shù)據(jù)鏈路層分不處于不同的局域網(wǎng)，但卻具有相同的IP 地址段。因此，當(dāng)發(fā)送IP 數(shù)據(jù)包時(shí)，主機(jī)A 與主機(jī)B 都認(rèn)為對方和自己處于同一個(gè)局域網(wǎng)。假如主機(jī)A 要向主機(jī)B 發(fā)送數(shù)據(jù)包，可它的地址緩存中并沒有主機(jī)B 的MAC

40、 地址，則主機(jī)A 只好進(jìn)行地址解析。但實(shí)際上主機(jī)B 與主機(jī)A 并不在同一個(gè)局域網(wǎng)中，連接兩個(gè)網(wǎng)絡(luò)的路由器并可不能自動(dòng)將主機(jī)A 的廣播發(fā)給主機(jī)B 所在的網(wǎng)絡(luò)，主機(jī)B 也不回接收到來自主機(jī)A 的請求，因此主機(jī)A 可不能接到包含主機(jī)B 的MAC 地址的回復(fù)。對這種情況所作的 ARP 的改進(jìn)稱作ARP 代理。架在兩個(gè)局域網(wǎng)之間的路由器用來代表主機(jī)B 回復(fù)主機(jī)A 的廣播，它告之主機(jī)A 的并不是主機(jī)B 的MAC地址，即主機(jī)A 不可能直接與主機(jī)B 通信。而路由器告訴主機(jī)A 的是路由器本身的MAC 地址。假如主機(jī)A 想與主機(jī)B 通信，主機(jī)A 先向路由器發(fā)送信息。反過來的過程也是一樣的。路由器并不自動(dòng)轉(zhuǎn)發(fā)ARP

41、 廣播，它只作為一個(gè)ARP代理設(shè)備。ARP 代理的優(yōu)勢確實(shí)是同意通信雙方能夠處于不同的局域網(wǎng)。當(dāng)它也有缺點(diǎn)，首先，它增加了復(fù)雜度。其次，假如兩個(gè)有相同IP 地址段的網(wǎng)絡(luò)中間出現(xiàn)多個(gè)路由器，那么問題就會(huì)升級。ARP 代理同樣會(huì)帶來潛在的安全問題。因此，ARP代理應(yīng)該被重新規(guī)劃設(shè)計(jì)，并盡可能在兩個(gè)局域網(wǎng)中架設(shè)一個(gè)路由器。2.3 ARP 欺騙2.3.1 ARP 欺騙原理當(dāng)IP 數(shù)據(jù)報(bào)預(yù)備發(fā)送時(shí)，由數(shù)據(jù)鏈路層將它封裝入以太網(wǎng)數(shù)據(jù)幀，然后才能在以太網(wǎng)中傳送。然而在封裝過程中，數(shù)據(jù)鏈路層并不明白以太網(wǎng)數(shù)據(jù)幀頭中目的主機(jī)的MAC 地址。唯一的信息是IP 數(shù)據(jù)報(bào)頭中的目的主機(jī)的IP 地址。為了找到與目的主機(jī)I

42、P 地址相對應(yīng)的MAC 地址，依照地址解析協(xié)議(ARP)，源主機(jī)會(huì)以廣播的形式發(fā)送一個(gè)ARP 請求以太網(wǎng)數(shù)據(jù)幀給以太網(wǎng)上的每一個(gè)主機(jī)。ARP 請求數(shù)據(jù)幀中包含目的主機(jī)的IP 地址，只有具有此IP 地址的主機(jī)收到這份廣播報(bào)文后，才會(huì)向源主機(jī)回送一個(gè)包含其MAC 地址的ARP 應(yīng)答。同時(shí)為了盡量減少廣播ARP 請求的次數(shù)，每個(gè)主機(jī)都有一個(gè)ARP 緩存，那個(gè)緩存存放了最近的IP 地址與MAC 地址之間的映射記錄。主機(jī)每隔一定時(shí)刻或者當(dāng)收到ARP應(yīng)答，就會(huì)用新的地址映射對更新ARP 緩存。因?yàn)锳RP 是一個(gè)無狀態(tài)協(xié)議，因此關(guān)于大多數(shù)操作系統(tǒng)來講，假如收到一個(gè)ARP 應(yīng)答，它們不管自己是否在此之前曾經(jīng)發(fā)

43、出ARP 請求，都會(huì)更新自己的ARP 緩存。這就為系統(tǒng)安全留下了專門大的隱患。ARP 欺騙的核心思想確實(shí)是向目標(biāo)主機(jī)發(fā)送偽造的ARP 應(yīng)答，并使目標(biāo)主機(jī)依照顧答中偽造的IP 地址與MAC 地址之間的映射對，更新目標(biāo)主機(jī)ARP 緩存。假設(shè)S 代表源主機(jī)，立即要被欺騙的主機(jī)；D 代表目的主機(jī)，源主機(jī)S 本來是向它發(fā)送數(shù)據(jù)的；A 代表攻擊者主機(jī)，進(jìn)行ARP 欺騙。假設(shè)主機(jī)A 已知主機(jī)D 的IP 地址，因此它臨時(shí)將自己的IP 地址改為主機(jī)D 的IP 地址。當(dāng)源主機(jī)S 想要向主機(jī)D 發(fā)送數(shù)據(jù)時(shí)，假設(shè)目前其ARP 緩存中沒有關(guān)于目的主機(jī)D 的記錄，那么它首先在局域網(wǎng)中廣播包含主機(jī)D 的IP 地址的ARP

44、請求。但現(xiàn)在攻擊者主機(jī)A 具有與目的主機(jī)D 相同的IP 地址，因此分不來自攻擊者主機(jī)A 與目的主機(jī)D的ARP 響應(yīng)報(bào)文將相繼到達(dá)源主機(jī)S?，F(xiàn)在，攻擊者主機(jī)A 是否能夠欺騙成功就取決于源主機(jī)S 的操作系統(tǒng)處理重復(fù)ARP 響應(yīng)報(bào)文的機(jī)制。不妨假設(shè)該機(jī)制總是用后到達(dá)的ARP 響應(yīng)中的地址對刷新緩存中的內(nèi)容。那么假如攻擊者主機(jī)A 操縱自己的ARP 響應(yīng)晚于目的主機(jī)D 的ARP 響應(yīng)到達(dá)源主機(jī)S，源主機(jī)S 就會(huì)將如下偽造映射：將目的主機(jī)D 的IP 地址對應(yīng)攻擊者主機(jī)A 的MAC 地址，保存在自己的ARP 緩存中。在那個(gè)記錄過期之前，凡是源主機(jī)S 發(fā)送給目的主機(jī)D 的數(shù)據(jù)實(shí)際上都將發(fā)送給攻擊者主機(jī)A，而源

45、主機(jī)S 卻毫不察覺?；蛘吖粽咧鳈C(jī)A 在上述過程中，利用其它方法直接抑制來自目的主機(jī)D 的ARP 應(yīng)答將是一個(gè)更有效的方法而不用依靠于不同操作系統(tǒng)的處理機(jī)制。進(jìn)一步分析，攻擊者主機(jī)A 可不依靠于上述過程，直接在底層偽造ARP 響應(yīng)報(bào)文來達(dá)到同樣的欺騙目的。2.3.2 ARP 欺騙的攻擊方式ARP 攻擊發(fā)生時(shí)，攻擊者利用地址解析協(xié)議本身的運(yùn)行機(jī)制發(fā)動(dòng)攻擊行為。包括進(jìn)行對主機(jī)發(fā)動(dòng)IP 沖突攻擊、數(shù)據(jù)包轟炸，切斷局域網(wǎng)上任何一臺(tái)主機(jī)的網(wǎng)絡(luò)連接等9。ARP 欺騙的攻擊方式有如下幾種：(1)中間人攻擊：中間人攻擊確實(shí)是攻擊者將自己插入兩個(gè)目標(biāo)主機(jī)通信路徑之間，使它如同兩個(gè)目標(biāo)主機(jī)通信路徑上的一個(gè)中繼，如

46、此攻擊者就能夠監(jiān)聽兩個(gè)目標(biāo)主機(jī)之間的通信。其過程如下：C 侵染目標(biāo)主機(jī)A 與B 的ARP 緩存，使得當(dāng)A 向B 發(fā)送數(shù)據(jù)時(shí)，使用的是B 的IP 地址與C 的MAC 地址，同時(shí)當(dāng)B 向A 發(fā)送數(shù)據(jù)時(shí)，使用的是A 的IP 地址與C 的MAC 地址。因此，所有A 與B 之間的通信數(shù)據(jù)都將通過C，再由C 轉(zhuǎn)發(fā)給它們。假如攻擊者對一個(gè)目標(biāo)主機(jī)與它所在的局域網(wǎng)的路由器實(shí)施中間人攻擊，那么攻擊者就能夠竊取網(wǎng)絡(luò)上與那個(gè)目標(biāo)主機(jī)之間的全部通信數(shù)據(jù)，同時(shí)能夠?qū)?shù)據(jù)進(jìn)行竄改和偽造。但動(dòng)態(tài)映射對存在過期的問題，而且主機(jī)A 與B 之間也會(huì)進(jìn)行正常的ARP 數(shù)據(jù)包交互。要解決那個(gè)問題，主機(jī)C 能夠選擇比較小的時(shí)刻間隔持續(xù)

47、發(fā)送偽造的數(shù)據(jù)包，如此就能夠使主機(jī)A 與B 之間的通信一直中斷。(2)IP 地址沖突9：主機(jī)發(fā)送更改的ARP 報(bào)文，將偽裝的MAC 地址映射到目標(biāo)主機(jī)的IP 地址，制造出局域網(wǎng)上有另一臺(tái)主機(jī)與受害主機(jī)共享一個(gè)IP 地址的假象，系統(tǒng)會(huì)檢測到兩個(gè)不同的MAC 地址對應(yīng)同一個(gè)IP 地址，由于違反了唯一性要求，出現(xiàn)了IP 地址沖突，受害主機(jī)會(huì)自動(dòng)向用戶彈出警告對話框。最終導(dǎo)致被攻擊主機(jī)無法正常上網(wǎng)。(3)拒絕服務(wù)攻擊8：拒絕服務(wù)攻擊確實(shí)是使目標(biāo)主機(jī)不能正常響應(yīng)外部請求，從而不能對外提供服務(wù)的攻擊方式。假如攻擊者將目標(biāo)主機(jī)ARP 緩存中的MAC地址全部改為全然就不存在的物理地址，那么目標(biāo)主機(jī)向外發(fā)送的所

48、有以太網(wǎng)數(shù)據(jù)幀會(huì)丟失，使得上層應(yīng)用忙于處理這種異常而無法響應(yīng)的外來請求，也就導(dǎo)致目標(biāo)主機(jī)產(chǎn)生拒絕服務(wù)。還有其他方式的拒絕服務(wù)攻擊。拒絕服務(wù)攻擊還會(huì)對本子網(wǎng)內(nèi)所有的 ARP請求信息進(jìn)行響應(yīng)，應(yīng)答的MAC 地址全部填寫為本子網(wǎng)網(wǎng)關(guān)的MAC 地址，由于網(wǎng)關(guān)自身是具有IP 轉(zhuǎn)發(fā)功能的，因此導(dǎo)致本子網(wǎng)內(nèi)部的任何數(shù)據(jù)通信都需要通過網(wǎng)關(guān)進(jìn)行一次轉(zhuǎn)發(fā)，加重網(wǎng)關(guān)負(fù)荷，會(huì)造成網(wǎng)關(guān)超負(fù)荷而崩潰或者等待隊(duì)列過長，進(jìn)而子網(wǎng)內(nèi)部主機(jī)之間、子網(wǎng)內(nèi)部與外部主機(jī)之間的通信連接全部失敗或者收發(fā)數(shù)據(jù)超時(shí)。假如某一子網(wǎng)內(nèi)存在專門多具有IP 轉(zhuǎn)發(fā)功能的主機(jī)(如該子網(wǎng)內(nèi)存在專門多路由器或者提供NAT 服務(wù)的服務(wù)器)，利用篡改ARP 緩沖

49、的技術(shù)就能夠?qū)崿F(xiàn)多種形式的訊息洪泛(Message Flood)。例如某子網(wǎng)存在具有IP 轉(zhuǎn)發(fā)功能的主機(jī)A、B 和C， 將主機(jī) A 本地ARP 緩沖中默認(rèn)網(wǎng)關(guān)對應(yīng)的MAC 地址篡改為B 的MAC 地址，再將B 本地ARP 緩沖中默認(rèn)網(wǎng)關(guān)對應(yīng)的MAC 地址篡改為C 的MAC 地址，如此A 與網(wǎng)關(guān)的數(shù)據(jù)通道就變成了A 先到B，然后再通過C，最后到達(dá)網(wǎng)關(guān)，假如A 的數(shù)據(jù)流量專門大，則B 與C 也會(huì)有較高的負(fù)荷，同時(shí)在本子網(wǎng)內(nèi)將會(huì)產(chǎn)生較之原來3 倍的數(shù)據(jù)流量，也確實(shí)是講主機(jī)越多，隨之產(chǎn)生的流量也成倍增加，從而形成訊息洪泛，導(dǎo)致整個(gè)子網(wǎng)的性能急劇降低。一般交換網(wǎng)絡(luò)采納的二層交換機(jī)自身維護(hù)的一個(gè) ARP

50、緩沖，用于映射MAC地址對應(yīng)的交換機(jī)端口號，那個(gè)緩沖中可容納的映射條目數(shù)是有限的，假如不足夠大，我們向其發(fā)送大量MAC 地址不重復(fù)的ARP 數(shù)據(jù)包，就有可能造成交換機(jī)拒絕服務(wù)，不能正常轉(zhuǎn)發(fā)數(shù)據(jù)包。(4)克隆攻擊：通過修改網(wǎng)絡(luò)接口的MAC 地址，攻擊者首先對目標(biāo)主機(jī)實(shí)施拒絕服務(wù)攻擊，使其不能對外部做出任何反應(yīng)。然后攻擊者就能夠?qū)⒆约旱腎P地址與MAC 地址分不改為目標(biāo)主機(jī)的IP 地址與MAC 地址，如此攻擊者的主機(jī)就變成了與目標(biāo)主機(jī)一樣的副本。攻擊者就能夠?qū)δ繕?biāo)主機(jī)進(jìn)一步實(shí)施各種非法攻擊，竊取各種通信數(shù)據(jù)。(5)ARP 應(yīng)答畸形包攻擊：假如我們自己精心構(gòu)造一個(gè)小于正常ARP 報(bào)文大小的ARP 應(yīng)

51、答報(bào)文，由于目前的網(wǎng)絡(luò)交換設(shè)備沒有充分考慮到這種情況的出現(xiàn)，當(dāng)網(wǎng)絡(luò)上連續(xù)出現(xiàn)這種畸形報(bào)文達(dá)到一定數(shù)量的時(shí)候，交換機(jī)的MAC 緩存表就無法正常刷新，常用的操作系統(tǒng)對這種畸形報(bào)文臨時(shí)沒有專門好的處理方法，其嚴(yán)峻后果確實(shí)是導(dǎo)致整個(gè)局域網(wǎng)癱瘓。(6) ARP 緩沖區(qū)溢出攻擊：進(jìn)行攻擊的主機(jī)持續(xù)把偽造的MAC-IP 地址映射對發(fā)給受害主機(jī)，受害主機(jī)會(huì)耗費(fèi)大量的系統(tǒng)資源去維護(hù)ARP 高速緩存。假如進(jìn)一步采納分布式攻擊，能夠由一臺(tái)進(jìn)攻主機(jī)操縱遠(yuǎn)端幾臺(tái)中間主機(jī)發(fā)動(dòng)進(jìn)攻，如此攻擊能夠取得更好的效果。2.3.3 ARP 攻擊的檢測當(dāng)局域網(wǎng)內(nèi)有某些用戶遭受了ARP 欺騙攻擊時(shí)，由于攻擊端不斷向被攻擊者發(fā)送ARP 欺

52、騙數(shù)據(jù)包，被攻擊的主機(jī)會(huì)出現(xiàn)網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)的現(xiàn)象。同時(shí)，被感染主機(jī)感染ARP 病毒后，也會(huì)向本網(wǎng)段內(nèi)所有其他主機(jī)發(fā)送ARP 欺騙報(bào)文，謊稱自己是那個(gè)網(wǎng)段的網(wǎng)關(guān)設(shè)備，讓原本流向網(wǎng)關(guān)的數(shù)據(jù)流改道流向染毒主機(jī)，致使受害者盡管能構(gòu)正常進(jìn)行網(wǎng)絡(luò)通訊，但信息卻被竊取了。要定位感染ARP 病毒的電腦，有如下幾種方法10：(1)能夠查看三層交換機(jī)網(wǎng)段里面的ARP 信息，假如發(fā)覺里面存在有多個(gè)不同IP 地址對應(yīng)相同的MAC 地址列表的情況，就能夠確信該網(wǎng)段內(nèi)有ARP 欺騙，那個(gè)MAC 地址確實(shí)是感染了ARP 病毒的電腦MAC 地址。(2)用戶端能夠通過在命令窗口輸入命令的方式，輸入arp -a 命令即可顯示在該局

53、域網(wǎng)內(nèi)，與該電腦曾進(jìn)行過通信的主機(jī)MAC 地址，如此就會(huì)發(fā)覺電腦網(wǎng)關(guān)所對應(yīng)的MAC 地址是否被修改，假如被修改，即可判定該電腦感染了ARP病毒。(3)還能夠通過安裝網(wǎng)絡(luò)檢測軟件來檢測電腦是否遭受ARP 病毒的侵襲，假如在網(wǎng)段中有ARP 攻擊，檢測軟件會(huì)有報(bào)警，一般情況下ARP 病毒軟件會(huì)自動(dòng)彈出攻擊者的MAC 地址，或者顯示一個(gè)與MAC 地址對應(yīng)的兩個(gè)IP 地址，其中一個(gè)IP 地址必定為網(wǎng)關(guān)，那么該MAC 地址對應(yīng)的電腦確實(shí)是發(fā)起ARP 欺騙的攻擊者。(4) 另外，ARP 欺騙需要不停地向外發(fā)送ARP 應(yīng)答包，因此容易造成網(wǎng)絡(luò)擁塞。一旦懷疑有ARP 攻擊，我們能夠使用抓包工具來抓包，假如發(fā)覺網(wǎng)

54、內(nèi)存在大量ARP 應(yīng)答包，同時(shí)將所有的MAC 地址都指向同一個(gè)IP 地址，那么就講明存在ARP 欺騙攻擊，那個(gè)MAC 地址確實(shí)是用來進(jìn)行ARP 欺騙攻擊的主機(jī)MAC地址，如此就能夠采取相應(yīng)的操縱措施。此外，利用三層交換機(jī)設(shè)備可檢查其三層交換機(jī)設(shè)備上的ARP 表。假如發(fā)覺有多個(gè)IP 地址對應(yīng)同一MAC 地址，則講明此地址對應(yīng)的計(jì)算機(jī)專門可能中了此病毒?？赏ㄟ^下連的二層交換機(jī)的轉(zhuǎn)發(fā)表查到此對應(yīng)的交換機(jī)端口，從而定位出有問題的計(jì)算機(jī)，進(jìn)而采取進(jìn)一步的行動(dòng)。還能夠掃描本網(wǎng)段內(nèi)的全部IP 地址，然后查看ARP 緩存表。假如有一3 個(gè)IP 地址對應(yīng)的MAC 地址與網(wǎng)關(guān)的MAC地址相同，那么那個(gè)IP 地址和

55、MAC 地址確實(shí)是中了ARP 病毒計(jì)算機(jī)的IP 地址和MAC 地址。2.3.4 ARP 病毒的防備依照ARP 欺騙原理，在防備過程中要緊關(guān)注點(diǎn)確實(shí)是ARP 緩存表。因此，重點(diǎn)應(yīng)放在目標(biāo)主機(jī)拒絕偽造ARP 應(yīng)答上。在不同的情況下，對ARP 欺騙的防備應(yīng)該視ARP 欺騙的種類不同，采取不同的防備方法6。(1)設(shè)置靜態(tài)ARP 緩存表：ARP 協(xié)議攻擊最全然的原理確實(shí)是改變IP 地址與MAC 地址的正確對應(yīng)關(guān)系。因此能夠采取靜態(tài)ARP 表來防范，確實(shí)是在目標(biāo)主機(jī)的ARP 緩存中設(shè)置靜態(tài)地址映射記錄。如此，當(dāng)主機(jī)A 向主機(jī)B 發(fā)送數(shù)據(jù)前，就不需要通過向所在的局域網(wǎng)廣播ARP 請求來獲得B 的MAC 地址

56、，它會(huì)直接查詢ARP 靜態(tài)記錄表來獲得B 的MAC地址。攻擊者也就沒有機(jī)會(huì)向A發(fā)送ARP應(yīng)答。然而，攻擊者在未接收到ARP 請求的情況下仍會(huì)憑空偽造ARP 應(yīng)答發(fā)送給主機(jī)A，主機(jī)A 將拒絕用偽造的數(shù)據(jù)更新ARP 緩存中的靜態(tài)記錄。但這種方法有專門明顯的缺點(diǎn)，確實(shí)是在經(jīng)常更換IP 地址的局域網(wǎng)環(huán)境里，由于每個(gè)主機(jī)都采納ARP 靜態(tài)記錄，其手工維護(hù)會(huì)十分繁瑣，工作量特不大，因此這種方法在實(shí)際上應(yīng)用中專門少采納。(2)設(shè)置ARP 服務(wù)器：為了解決上述方法中維護(hù)靜態(tài)記錄工作分散的缺點(diǎn),能夠采納在局域網(wǎng)內(nèi)部指定一臺(tái)機(jī)器作為ARP 服務(wù)器來集中治理，專門保存和維護(hù)一個(gè)相對可信的局域網(wǎng)環(huán)境下所有主機(jī)的IP-

57、MAC 地址映射記錄。該服務(wù)器通過查閱自己的ARP 緩存靜態(tài)記錄并以被查詢主機(jī)的名義來響應(yīng)局域網(wǎng)內(nèi)部的ARP 請求。按照一定的時(shí)刻間隔廣播網(wǎng)段內(nèi)所有正確的IP-MAC 地址表，同時(shí)能夠設(shè)置局域網(wǎng)內(nèi)部的其它主機(jī)只使用來自該ARP 服務(wù)器的ARP 響應(yīng)?，F(xiàn)在的問題是，如何將一臺(tái)主機(jī)配置成只相信來自ARP 服務(wù)器的ARP 響應(yīng)，目前依舊專門困難的。(3)交換機(jī)上綁定端口和MAC 地址：設(shè)置交換機(jī)的每個(gè)端口與唯一的MAC地址相對應(yīng)，一旦來自該端口的MAC 地址發(fā)生變動(dòng)，就自動(dòng)封鎖該端口，使主機(jī)無法連接到局域網(wǎng)。如此，攻擊者就無法發(fā)送偽造ARP 數(shù)據(jù)幀，從而阻止了ARP 欺騙的發(fā)生。但該方法的缺點(diǎn)是不夠

58、靈活。(4)禁用網(wǎng)絡(luò)接口做ARP 解析：在操作系統(tǒng)中禁止某個(gè)網(wǎng)絡(luò)接口做ARP 解析協(xié)議以對抗ARP 欺騙的攻擊，能夠做靜態(tài)ARP 協(xié)議設(shè)置(因?yàn)閷Ψ娇刹荒茼憫?yīng)ARP請求報(bào)文)。例如手工輸入“arp -s IP 地址 MAC 地址”。絕大多數(shù)操作系統(tǒng)如Unix、BSD、Windows NT 等，都能夠結(jié)合“禁用網(wǎng)絡(luò)接口做ARP 解析”和“使用靜態(tài)ARP 緩存表”的設(shè)置來對抗ARP 欺騙攻擊。關(guān)于Linux 操作系統(tǒng)，其靜態(tài)ARP緩存表可不能被動(dòng)態(tài)刷新，在Linux 下使用ifconfig arp，能夠使網(wǎng)卡驅(qū)動(dòng)程序停止使用ARP 協(xié)議，因此不需要“禁用網(wǎng)絡(luò)接口做ARP 解析”即可對抗ARP 欺騙

59、的攻擊。(5)數(shù)據(jù)加密傳輸：通常情況下, ARP 欺騙攻擊導(dǎo)致數(shù)據(jù)包從源主機(jī)流向攻擊方，使得網(wǎng)絡(luò)通信被非法截取和監(jiān)聽。因此能夠使用數(shù)據(jù)加密傳輸方法，即使攻擊方得到發(fā)送的通信數(shù)據(jù)包，也不能解密獲得有價(jià)值的信息。當(dāng)前常用的加密傳輸有：1)針對特定的單一應(yīng)用的加密方法，這些加密協(xié)議工作在應(yīng)用層，針對特定的應(yīng)用進(jìn)行加密。如應(yīng)用于遠(yuǎn)程登錄的SSH(Secure Shell)，用于E-mail 保密的PGP(Pretty Good Privacy) 和S/MIME(Secure MIME) ， 用于WWW 服務(wù)的SSL(Secure Sockets Layer)等。2)針對網(wǎng)絡(luò)傳輸?shù)奶摂M專用網(wǎng)(VPN)，

60、VPN 工作在網(wǎng)絡(luò)層，對所有的應(yīng)用提供加密服務(wù)。它采納隧道技術(shù)，將內(nèi)部專網(wǎng)的數(shù)據(jù)加密封裝后，透過虛擬的公網(wǎng)隧道進(jìn)行傳輸，從而防止敏感數(shù)據(jù)被竊。3)針對認(rèn)證機(jī)制的加密方法。比如用于增強(qiáng)Telnet 和FTP 安全性的Stanford SRP(Secure RemotePassword) 。(6)第三層交換方式：目前，基于IP 地址變換進(jìn)行路由的第三層交換機(jī)逐漸被采納，第三層交換技術(shù)采納的是P 路由交換協(xié)議，以往的數(shù)據(jù)鏈路層的MAC地址和ARP 協(xié)議差不多不起作用。但第三層交換機(jī)的價(jià)格比較昂貴。(7)安全ARP的應(yīng)用：安全ARP是ARP功能的一種擴(kuò)展，使用非對稱加密技術(shù)。SARP協(xié)議是建立在ARP