【ARP攻擊的技術(shù)原理及防范措施探究5000字（論文）】

ARP攻擊的技術(shù)原理及防范措施研究目錄TOC\o"1-2"\h\u15466ARP攻擊的技術(shù)原理及防范措施研究 1586一.引言 122478二.ARP工作原理 2130662.1.以太網(wǎng)中的ARP協(xié)議簡介 2231502.2.ARP協(xié)議原理 25037三.利用虛擬機進(jìn)行ARP過濾測試 624623.1.測試環(huán)境搭建 6294243.2.功能測試 912743.3測試報告和總結(jié) 115771四.總結(jié)和展望 1213758參考文獻(xiàn) 13摘要：ARP協(xié)議負(fù)責(zé)實現(xiàn)IP地址到網(wǎng)絡(luò)接口硬件地址的映射，是計算機網(wǎng)絡(luò)運行的基礎(chǔ)協(xié)議之一，它最早運行在可信局域網(wǎng)之上。而今，局域網(wǎng)已經(jīng)不再是可信網(wǎng)絡(luò)，因而，ARP運行中出現(xiàn)了一些不安全因素。目前在網(wǎng)絡(luò)上已經(jīng)出現(xiàn)了很多利用ARP協(xié)議進(jìn)行黑客攻擊的行為，給網(wǎng)絡(luò)安全造成了很大的影響，本文將對這一問題給出一個全面深刻的剖析，并給出一個有效的解決方案。關(guān)鍵詞：ARP；虛擬機；ARP過濾一.引言ARP協(xié)議是一個基礎(chǔ)協(xié)議，它的應(yīng)用非常廣泛。ARP由IP層復(fù)用，用于解析局域網(wǎng)內(nèi)任意合法第3層協(xié)議地址和第2層硬件地址之間的映射關(guān)系。ARP協(xié)議工作在局域網(wǎng)中，早期的協(xié)議設(shè)計者認(rèn)為局域網(wǎng)是可信賴的，同時為了考慮傳輸效率，沒有加入安全機制?，F(xiàn)在的網(wǎng)絡(luò)規(guī)模已經(jīng)今非昔比，局域網(wǎng)已經(jīng)不再是原始意義上的局域網(wǎng)絡(luò)，但ARP協(xié)議仍然扮演著同樣重要的角色，攻擊者正是利用了這一特點，利用該協(xié)議實現(xiàn)攻擊目的。ARP欺騙攻擊通過偽造IP地址和MAC地址映射來實現(xiàn)，它造成目標(biāo)主機ARP高速緩存信息錯誤，從而影響網(wǎng)絡(luò)通信、實施網(wǎng)絡(luò)欺騙。二.ARP工作原理2.1.以太網(wǎng)中的ARP協(xié)議簡介IEEE的802標(biāo)準(zhǔn)委員會和802項目組定義了兩種主要的LAN傳輸方法—以太網(wǎng)和令牌環(huán)網(wǎng)。以太網(wǎng)在IEEE8023規(guī)范中被定義為LAN標(biāo)準(zhǔn)，令牌環(huán)網(wǎng)則在IEEE802.5規(guī)范中定義。這兩種方法的使用范圍都很廣泛，本文的研究針對以太網(wǎng)進(jìn)行。以太網(wǎng)利用了總線和星形拓?fù)浣Y(jié)構(gòu)的優(yōu)點，采用了CSMA/CD技術(shù)，網(wǎng)絡(luò)上想要發(fā)送幀的結(jié)點與另外的結(jié)點競爭資源，沒有哪個結(jié)點的優(yōu)先級比其他結(jié)點高，幀按照物理地址查找其特定的目標(biāo)，以太網(wǎng)通過一個廣播信道向所有結(jié)點發(fā)送數(shù)據(jù)，處于同一廣播域的結(jié)點都會收到該數(shù)據(jù)。雖然每臺主機都由一個IP地址，但是IP地址是運行TCP/IP協(xié)議機器的通用標(biāo)識，IP地址自身不能使報文到達(dá)其目的地，數(shù)據(jù)傳輸必須依靠網(wǎng)絡(luò)適配器唯一的硬件地址，該地址也被稱為MAC地址或者數(shù)據(jù)鏈路地址，該地址通常在網(wǎng)絡(luò)適配器生產(chǎn)廠家唯一編址，具有全球唯一性。以太網(wǎng)中的硬件地址采用48位長度表示，ARP協(xié)議為IP地址到對應(yīng)的硬件地址之間提供動態(tài)映射，因此，擔(dān)負(fù)IP地址和硬件地址轉(zhuǎn)換的ARP協(xié)議具有非常重要的地位。2.2.ARP協(xié)議原理ARP協(xié)議起初是為DEC/Intel/Xerox的10兆以太網(wǎng)設(shè)計的，現(xiàn)在己允許用在其它類型的網(wǎng)絡(luò)上。當(dāng)來自上層的數(shù)據(jù)要發(fā)送時，需要知道目標(biāo)主機的硬件地址，這時就需要通過IP地址找到相應(yīng)的硬件地址，網(wǎng)絡(luò)接口輸出函數(shù)會調(diào)用ARP協(xié)議進(jìn)行ARP解析。ARP解析函數(shù)發(fā)送ARP請求(作為廣播包發(fā)送)，目標(biāo)主機收到ARP請求后發(fā)送ARP應(yīng)答(作為單播包發(fā)送)，當(dāng)發(fā)送主機收到ARP應(yīng)答后就可發(fā)送數(shù)據(jù)。為了避免頻繁發(fā)送ARP請求和應(yīng)答，實現(xiàn)時在主機中都會有一個ARP高速緩存用來存放己經(jīng)解析成功的ARP信息，所以通常數(shù)據(jù)發(fā)送前先查找ARP高速緩存，找不到時才會發(fā)送ARP請求。1．ARP分組格式RFC826定義了ARP分組的格式，在以太網(wǎng)上使用的ARP分組格式見圖2-1。該分組由以太網(wǎng)首部和以太網(wǎng)ARP字段兩部分組成。圖2-1以太網(wǎng)A丑P分組格式(1)以太網(wǎng)首部:以太網(wǎng)首部包括以太網(wǎng)目的地址、以太網(wǎng)源地址和幀類型三部分，以太網(wǎng)目的地址是通信目的端的MAC地址，長度為48位，目的地址為全1則是廣播地址，這時，電纜上的所有以太接口都要接收此數(shù)據(jù)并進(jìn)行處理。以太網(wǎng)源地址是通信源端的MAC地址，長度為48位。幀類型表示以太網(wǎng)首部所攜帶數(shù)據(jù)的類型，如果是IP幀則為ox0800，如果是ARP幀則為0x0806。(2)以太網(wǎng)ARP字段:包括ARP首部和ARP數(shù)據(jù)兩部分。其中ARP首部包括硬件類型、協(xié)議類型、硬件地址長度、協(xié)議地址長度和操作碼五部分，硬件類型字段值為1表示是以太網(wǎng)地址，協(xié)議類型字段值為ox0800表示IP地址，硬件地址長度為6表示是以太網(wǎng)硬件地址，協(xié)議地址長度字段值為4表示是IP地址，操作碼指出了ARP操作的四種類型，其中ARP請求值為1，ARP應(yīng)答值為2，RARP請求和應(yīng)答分別人3和4(可參見RARP協(xié)議的相關(guān)資料，本文不進(jìn)行介紹)；ARP數(shù)據(jù)部分包括了發(fā)送方硬件地址、發(fā)送方IP地址、目的硬件地址和目的IP地址，它們根據(jù)不同情況進(jìn)行填充，ARP請求包填充除目的硬件地址以外的所有數(shù)據(jù)，而ARP應(yīng)答數(shù)據(jù)則填充全部數(shù)據(jù)。2.ARP發(fā)包和收包流程(1)發(fā)包①當(dāng)網(wǎng)絡(luò)層往下傳來一個包，路由選擇將確定該包下一跳的協(xié)議地址(目的主機的IP地址)，為了正確發(fā)送該數(shù)據(jù)包，必須知道目的主機的硬件地址，這時就需要進(jìn)行IP地址到MAC地址的解析，為此需要發(fā)送ARP請求，即發(fā)送一個幀類型字段為0xO806的以太網(wǎng)包，該包中以太網(wǎng)目的地址全為1(ARP請求以廣播形式發(fā)送)，除了目的硬件地址外全部填充，其中以太網(wǎng)源地址、發(fā)送者硬件地址和發(fā)送者IP地址填充本機的信息，ARP操作碼填充1，協(xié)議地址長度填充4，硬件地址長度填充6，目的IP地址填充路由確定的下一跳協(xié)議地址，目的硬件地址的值是想要得到的值。ARP請求包會被廣播到所有在以太網(wǎng)電纜上的主機，如果目的主機得到該ARP請求包則會發(fā)送一個ARP應(yīng)答包，如果一定時間沒有收到ARP應(yīng)答包，則會繼續(xù)發(fā)送若干次，如果還沒有收到應(yīng)答包，則認(rèn)為該主機不可達(dá)到，停止發(fā)送ARP請求。為了提高通信效率，通常主機中會保存已經(jīng)解析到的IP和MAC地址的映射，通常稱之為ARP高速緩存。它保存了IF索引(物理接口索引)、IP和MAC地址的映射，以及該映射的類型信息等，類型有4種可能的值，值2意味著表項是無效的，值3意味著映射是動態(tài)的(表項可能改變)，值4說明是靜態(tài)項(表項不變化)，值1意味著不是上面的任何一種情況。動態(tài)表項有一定的生存期，動態(tài)ARP表項如果在一定時間沒有被使用，則會因超時被刪除，如果在生存期內(nèi)被使用，則生存期會被重置為最大值。通常，在數(shù)據(jù)發(fā)送前先會查找ARP高速緩存尋找相應(yīng)的MAC地址，如果沒有找到才會發(fā)送相應(yīng)的ARP請求。②免費ARP主機在啟動時會主動發(fā)送一個ARP請求包，該包中發(fā)送端的協(xié)議地址和目的端的協(xié)議地址一致。免費ARP包可以檢測在以太網(wǎng)中是否存在IP地址沖突，可以使其他機器更新其相應(yīng)信息，使得網(wǎng)絡(luò)通信快速恢復(fù)。如果發(fā)送免費ARP的主機正好改變了硬件地址(有可能是更換網(wǎng)絡(luò)適配器，然后重新啟動)，那么這個免費ARP就可以使其它主機ARP高速緩存中舊的硬件地址進(jìn)行相應(yīng)的更新。(2)收包①當(dāng)接口收到ARP請求包后會進(jìn)行檢查，檢查該包的硬件地址類型及長度和協(xié)議地址類型及長度是不是符合本接口，如果符合，那么在ARP高速緩存中查找發(fā)送者IP地址相關(guān)的映射，如果找到一個相符的表項，那么更新此表項(覆蓋原來的硬件地址為新的硬件地址)。②判斷本機是不是通信的目標(biāo)主機，如果是，并且沒有進(jìn)行過①中的更新，那么更新ARP高速緩存。③如果收到的是一個ARP請求，那么生成一個相應(yīng)的ARP應(yīng)答包，并且將這個ARP應(yīng)答包發(fā)送給對方，ARP應(yīng)答包以單播的形式發(fā)送，它填充了ARP包中的所有內(nèi)容。三.利用虛擬機進(jìn)行ARP過濾測試3.1.測試環(huán)境搭建驅(qū)動程序運行在內(nèi)核模式下，擁有操作系統(tǒng)的最高權(quán)限，在用戶模式下的各種保護(hù)措施，在內(nèi)核模式下都沒有。驅(qū)動程序的設(shè)計缺陷可能導(dǎo)致系統(tǒng)崩潰，另外，ARP欺騙也有可能干擾網(wǎng)絡(luò)的正常運行，因此利用宿主計算機和虛擬機進(jìn)行ARP過濾測試。1.宿主計算機表3-1給出了宿主計算機的主要配置情況2.虛擬計算機計算機虛擬機是指可以在某種類型的計算機中模擬出另外一種計算機的硬件環(huán)境，并能在虛擬的計算機中運行另外一種操作系統(tǒng)及應(yīng)用軟件的虛擬機。典型的虛擬機軟件有VMware和VirtualPC，本文采用VMWare軟件建立虛擬機。VMware安裝完成后會在宿主機中安裝兩塊虛擬網(wǎng)卡，分別是“VMWareVirtualEthernetAdapterforVMnetl”和“VMwareVirtualEthemetAdapterforVMnets”，它們用于建立宿主機和虛擬機之間的網(wǎng)絡(luò)連接。安裝的虛擬網(wǎng)卡也會創(chuàng)建兩個網(wǎng)絡(luò)連接，網(wǎng)絡(luò)連接中的詳細(xì)信息見圖3-1。圖3-1VMware安裝后的網(wǎng)絡(luò)連接信息虛擬機軟件將部分內(nèi)存和硬盤空間劃分出來運行虛擬的操作系統(tǒng)及其應(yīng)用程序，表3-2列出了新建虛擬機的主要配置情況。表3-2新建虛擬機的主要配置情況虛擬機的虛擬網(wǎng)絡(luò)適配器選擇“Usebridgednetworking”選項，這樣創(chuàng)建的虛擬機和宿主機在局域網(wǎng)建立連接，并且可以自動從DHCP服務(wù)器獲得IP地址。在虛擬機中安裝完Windows操作系統(tǒng)以后，需要安裝VMWareTools組件以幫助虛擬機很好地運行。VMWare軟件運行見圖3-2。圖3-2虛擬機運行圖3.通信連接設(shè)置(1)由于宿主計算機沒有COM口，而WinDbg雙機調(diào)試操作中使用COM口連接，所以需要在宿主計算機中虛擬一個COM口，因此采用軟件VSPM進(jìn)行。VSPM軟件是一款免費軟件，它可以將TCP/IP連接、UDP廣播，映射成本機的虛擬COM口，應(yīng)用程序通過訪問虛擬串口，就可以完成遠(yuǎn)程控制、數(shù)據(jù)傳輸?shù)裙δ堋Ｔ跍y試中，虛擬COM口軟件VSPM設(shè)置運行在serve膜式，并且本地監(jiān)聽地址為58.206.176.213:6019，VSPM運行情況見圖3-3。圖3-3VSPM軟件虛擬的COM口(2)winDbg的運行參數(shù)設(shè)置為:-kcom:port=\\.\pipe\com_1，baud=11520，pipe。除此之外，調(diào)試時還要進(jìn)行工作路徑、符號文件等的設(shè)置。(3)在虛擬計算機中添加COM口(見圖3-2)，設(shè)置為“outputtonamedpipe”，設(shè)置COM口的速度為115200。添加調(diào)試運行模式:修改boot.ini文件，增加新的啟動菜單選項:multi(0)disk(0)rdisk(0)partition(1)\WINNT=MicrosoftWindows2000Professional-debug”/fastdetect/debug/debugport=coml/baudrate=115200。這樣在虛擬機中選擇調(diào)式模式并等待WinDbg連接，就可以順利實現(xiàn)雙機調(diào)試。3.2.功能測試1.數(shù)據(jù)包過濾測試在表3-3列出了主要的測試數(shù)據(jù)，為了表述方便，表中采用了相應(yīng)的記號。除表中列出的字段外，一個完整的ARP幀中還包括一些其它字段，如幀類型(0x0806)、硬件類型(1)、協(xié)議地址類型(0x0800)及長度(4)等，這些字段的值在測試環(huán)境中為固定值，這里不進(jìn)行列舉。其中發(fā)送ARP請求時硬件地址長度為0，這時的目的硬件地址也為全O，ARP應(yīng)答包中的硬件地址長度為6。以下是測試中各個主機的參數(shù)和相應(yīng)的記號:(1)宿主機PC1為攻擊發(fā)起者，IP1(58.206.176.213)，MAC1(00-03-OD-49-AS-53)；(2)虛擬機PC2為被攻擊對象，IP2(58.206.176.241)，MAC2(00-50-56-CO-00-01)；(3)網(wǎng)關(guān)計算機PC3，IP3(58.206.176.1)，MAC3(00-03-OF-OE-42-32)；(4)廣播地址表示為MAC4(FF-FF-FF-FF-FF-FF)；(5)一個不存在的MAC地址表示為MACS(00-11-22-33-44-53-66)。(6)需要查詢的MAC地址初始為全0，表示為00。在表3-3中列出的主要測試數(shù)據(jù)涵蓋了本文中發(fā)現(xiàn)的所有情況，PC1作為發(fā)送者，PC2作為接收者，進(jìn)行表中1-7的測試，PC1作為接收者，PC2作為發(fā)送者進(jìn)行表中8-12的測試。測試中的ARP包發(fā)送通過saiffer軟件進(jìn)行，本文采用的是SnifferProtable4.70.530版。表3-3主要測試數(shù)據(jù)2.數(shù)據(jù)過濾情況在虛擬機安裝過濾驅(qū)動程序和用戶程序，啟動用戶程序以后，進(jìn)行測試。利用sniffer分別發(fā)送測試數(shù)據(jù)包，可以看到，所有假冒數(shù)據(jù)都被成功過濾，PC2的ARP緩存也沒有發(fā)生變化。用戶程序運行結(jié)果見圖3-4。圖3-4用戶程序運行圖3.3測試報告和總結(jié)在測試中，從WinDbg可以跟蹤驅(qū)動程序的運行、觀察驅(qū)動程序所有操作的調(diào)試信息，通過這些調(diào)試信息可以看到，除了測試時通過sniffer發(fā)送的偽造包外，網(wǎng)絡(luò)上還有一些其它的ARP包(包括部分主機發(fā)送的針對其它主機的請求包和部分的偽造包)，所有偽造包和本機非目的ARP數(shù)據(jù)包都被過濾，因此，用戶程序提取的數(shù)據(jù)顯得比較雜亂(本機非目的主機占了很大部分)。在整個測試過程中，正常數(shù)據(jù)包可以順利通過，偽造包被成功過濾，網(wǎng)絡(luò)通信不受過濾驅(qū)動程序的影響。在用戶程序的顯示界面中，可以看到過濾驅(qū)動程序成功實現(xiàn)了ARP欺騙包的攔截過濾，被攻擊計算機的ARP高速緩存沒有發(fā)生改變，計算機的網(wǎng)絡(luò)性能也沒有發(fā)生明顯的變化?？偟膩碚f，過濾驅(qū)動程序順利實現(xiàn)了ARP數(shù)據(jù)包的過濾，保護(hù)了主機中ARP高速緩存的安全，從而有效保護(hù)了主機不受ARP病毒的侵犯，保護(hù)了主機網(wǎng)絡(luò)的安全和暢通。因此，本文對ARP的研究達(dá)到了預(yù)期的目的，研究結(jié)論正確無誤，可以作為針對ARP安全防范的依據(jù)。四.總結(jié)和展望隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全問題層出不窮，對于安全問題的防范有很多的做法，但從問題的根本出發(fā)來解決效果會更好。目前，對ARP欺騙的研究很多，關(guān)于ARP欺騙的防護(hù)軟件也很多，但它們主要是基于對ARP高速緩存的保護(hù)，這些軟件通常工作