局域网arp攻击及防御策略的研究毕业论文(编辑修改稿)

局域网arp攻击及防御策略的研究毕业论文(编辑修改稿)内容摘要：

播信息被本地局域网中所有主机接收到，所有主机都进行匹配对照，不匹配的将该信息丢弃，如果匹配则进行下一步处理。 (5)目标主机创建 ARP 应答信息：自身 IP 地址与 ARP 申请信息中IP 地址匹配的目标主机创建一个 ARP 应答信息，此时该目标主机的身份已经从接收方转换为发送方，信息中包含从 ARP 申请信息中获得的发送方的 MAC 地 址和发送方 IP 地址，并将其作为目标主机的MAC 地址与 IP 地址，并将它自己的 MAC地址与 IP 地址作为发送方信息。 (6)目标主机刷新自己的 ARP 缓存：作为一种最优化的方法，目标主机将会向自己的 ARP 缓存中添加源主机的 MAC 地址与 IP 地址，这是为目标主机为后续操做做准备。 (7)目标主机发送 ARP 应答信息：目标主机发送的 ARP 应答信息是专门向源主机单播发送的，因为已经没有必要再发送广播信息了。 18 (8)源主机处理 ARP 应答信息：源主机对接收到的 ARP 应答信息进行处理，将发送端 (目的主机 )的 MAC 地址作为目标主机的数据链路层地址，并发送 IP 数据包。 (9) 源主机刷新自己的 ARP 缓存：源主机用接收到的 ARP 应答信息刷新自己的 ARP 缓存，以便以后再与该目标主机通信。 ARP 协议是一种相对简单的请求 /应答协议。 源主机通过目标主机的 IP 地址发送 ARP 请求，目标主机向源主机回送 ARP 应答信息告知目标主机的MAC 地址。 ARP 缓存的使用和自动更新缓存信息的应用大大增强了地址解析的效率，这也是为什么将其列入 ARP 协议特征的重要原因。 ARP 信息的格式 用 ARP 协议进 行地址解析是通过在源主机与目的主机之间互换信息来完成的。 在其他协议中，地址解析的每一步所涉及的信息都包含在其他协议的信息格式中。 ARP 信息的格式相对较简单，其中有用于描述信息类型的信息，还有关于通信双方 IP 地址与 MAC 地址的信息，为方便不同长度地址的存放，特意为 IP地址与 MAC 地址划分了不同长度的地址空间。 ARP 的信息格式如下： 硬件类型 协议类型 硬件地址长度 协议长度 操作字段 发送方硬件地址 (字节 03) 发送方硬件地址 (字节 45) 发送方 IP 地址 (字节 01) 发送方 IP 地址 (字节 23) 目的硬件地址 (字节 01) 目的方硬件地址 (字节 25) 19 目的方 IP 地址 (字节 03) 图 ARP 信息格式 下面用一个图表来说明 ARP 信息中各部分所代表的内容： 表 ARP 信息说明 字段 名 大小 属 性 硬件类型 2字节 发送方想知道的硬件接口类型，以太网的值为 1。 协议类型 2字节 协议类型是硬件类型的补充，描述了 IP 地址的类型，并 指明发送方提供的高层协议类型。 对于 IPv4 网络来说， IP 值为 0800(16 进制 )。 硬件地址长度 1字节 定义硬件地址的长度，对以太网或其他以 IEEE802 作为 标准的网络的 MAC 地址来说，值为 6。 协议长度 1字节 指明高层协议地址的长度，对于 IPv4 地址来说值为 4。 操作字段 2字节 定义 ARP 信息的属性， ARP 请求为 1， ARP 应答为 2， RARP 请求为 3， RARP 应答为 4。 发送方硬件地址 变长 发送方的硬件地址 发送方 IP 地址 变长 发送方的 IP 地址 目的硬件地址 变长 目的主机的硬件地址 目的 IP 地址 变长 目的主机的 IP 地址 当 ARP 数据包构 造完成后，将其向下传递到数据链路层，然后发送出去。 整个 ARP 数据包作为有效载荷在网络中传输。 由于地址字段的信息是变长的，因此整个 ARP 数据包的大小是可变的。 但其实一个完整的 ARP 数据包是非常小的。 ARP 缓存 20 ARP 协议是一种动态地址解析协议，也就是说每进行一次地址解析都要求在网络上互换地址信息。 虽说 ARP 信息包并不大，但如果每一个 IP 数据包在网络上的每一跳都这样做，网络上的压力将会达到无法预料的大。 那么，相对于简单的直接映射来说，这种方法既耗费资源又浪费时间。 总的来说， ARP 请求信息包发送出去后，网络上的每台主机都要把接收到的信息与自己比较一下，看是否与之匹配。 动态地址解析方法效率问题的总体解决方案就是引入地址缓存。 另外，为了降低网络交通的压力，地址缓存也保证了地址解析所耗费的时间非常少。 这也是地址缓存功能从一开始就被写入 ARP 协议的重要原因。 ARP 缓存以表的形式保存映射的 IP 地址与 MAC 地址对，网络中的每个设备管理其自己的 ARP 缓存表。 有两种方式向 ARP 缓存表中写入数据： (1)静态 ARP 缓存：在进行动态解析时人工向 ARP 缓存表中添加记录信息，并在缓存中永 久保存。 静态记录一般由 ARP 管理软件进行管理。 (2)动态 ARP 缓存：该方式在经过 ARP 地址解析后， IP 地址与MAC 地址对由软件自动填写入 ARP 地址缓存中。 他们在 ARP 地址缓存中仅保存一段时间，之后便从中删除。 一个设备的 ARP 缓存中包括动态和静态的记录，每种记录方式都有其优点与缺点。 但在大多数情况下使用动态 ARP 缓存记录，因为它是自动添加，而且不会牵涉管理员的经历。 在规范网络中，静态 ARP 缓存记录得到很好的应用，但这种方法的缺点就是需要人工添加记录，并且一旦 MAC 地址或 IP 地 址有变更需要人工修改。 每条静态记录都会占据缓存表的空间，因此，缓存表中静态记录数量有限，不能使用太多静态记录。 动态记录是自动添加进缓存的，不需要人工添加和人工服务。 但动态记录不可能永远保存在缓存中，因为随着网络情况的变化，保存 21 在缓存中的静态记录会因无效而失去作用。 假设主机 A 的 ARP 缓存中保存着另一网络主机 B 的动态映射，如果动态记录永远保存在缓存表中，下列情况就会发生： (1)主机的硬件发生改变：若主机 B 更换了网卡，由于记录中的MAC 地址不会再出现，主机 A 的 ARP 缓存中保存的动态映射信息变 为无效。 (2)主机的 IP 地址发生改变：如果设备 B 的 IP 地址发生了改变，保存在设备 A 中的映射记录也会变为无效。 (3)设备被移除：如果设备 B 从网络中移除，设备 A 不需要再向它发送信息，但映射记录仍旧保存在设备 A 的地址缓存中，这样不仅浪费缓存空间，而且还会在设备 A 查询缓存表时耗费时间。 为了避免这些问题的出现，将动态地址记录设置一定的生存周期，一般为 10 分钟或 20 分钟。 规定时间过后，记录自动从缓存中删除，下次再通信就需要刷新缓存。 相对于静态记录，这种方法在效率上仅存在微乎其微的差距，每 10分 钟或 20 分钟发送两个 28 字节的信息对网络几乎没有任何影响。 如果主机 A 初次开始地址解析时发送一个标准的 ARP 申请，在网络中每个接收到申请信息的主机都需要刷新自己的 ARP 缓存记录。 然而，第三方设备不必为设备 A 创建新的缓存记录。 从对主机 A 进行地址解析的角度来说，为主机 A 创建新的缓存记录可以为以后的通信提供方便，但这意味着网络中所有设备的 ARP 缓存表会很快被其他主机的地址解析信息填满。 有些主机可能会创建这样的缓存记录，但一定会把这些记录设置好有效期，以避免缓存表被填满。 代理 ARP 在同一网络中连接的设备通过 ARP 协议进行通信。 网络中的每台主机都可以向其他主机发送单播或广播信息。 通常情况下，如果主机A 和主机 B 被路由器分开，主机 A 就不能与主机 B 直接通信。 他们 22 会通过数据链路层先向路由器传输信息，根据 IP 地址经过两跳到达主机 B。 与一般情况不同的是，有些网络是由两个网络通过路由器连接组成的，两个网络具有相同的 IP 地址段和子网掩码。 也就是说，主机A 和主机 B 在数据链路层分别处于不同的局域网，但却具有相同的IP 地址段。 因此，当发送 IP 数据包时，主机 A 与主机 B 都认 为对方和自己处于同一个局域网。 如果主机 A 要向主机 B 发送数据包，可它的地址缓存中并没有主机 B 的 MAC 地址，则主机 A 只好进行地址解析。 但实际上主机 B 与主机 A 并不在同一个局域网中，连接两个网络的路由器并不会自动将主机 A 的广播发给主机 B 所在的网络，主机 B 也不回接收到来自主机 A 的请求，因此主机 A 不会接到包含主机 B 的 MAC 地址的回复。 对这种情况所作的 ARP 的改进称作 ARP 代理。 架在两个局域网之间的路由器用来代表主机 B 回复主机 A 的广播，它告之主机 A 的并不是主机 B 的 MAC地址，即 主机 A 不可能直接与主机 B 通信。 而路由器告诉主机 A 的是路由器本身的 MAC 地址。 如果主机 A 想与主机 B 通信，主机 A 先向路由器发送信息。 反过来的过程也是一样的。 路由器并不自动转发 ARP 广播，它只作为一个 ARP代理设备。 ARP 代理的优势就是允许通信双方可以处于不同的局域网。 当它也有缺点，首先，它增加了复杂度。 其次，如果两个有相同 IP 地址段的网络中间出现多个路由器，那么问题就会升级。 ARP 代理同样会带来潜在的安全问题。 因此， ARP代理应该被重新规划设计，并尽可能在两个局域网中架设一个路由器。 ARP 欺骗 ARP 欺骗原理 当 IP 数据报准备发送时，由数据链路层将它封装入以太网数据帧，然后才能在以太网中传送。 然而在封装过程中，数据链路层并不知道以太网数据帧头中目的主机的 MAC 地址。 唯一的信息是 IP 数据 23 报头中的目的主机的 IP 地址。 为了找到与目的主机 IP 地址相对应的MAC 地址，根据地址解析协议 (ARP)，源主机会以广播的形式发送一个 ARP 请求以太网数据帧给以太网上的每一个主机。 ARP 请求数据帧中包含目的主机的 IP 地址，只有具有此 IP 地址的主机收到这份广播报文后 ，才会向源主机回送一个包含其 MAC 地址的 ARP 应答。 并且为了尽量减少广播 ARP 请求的次数，每个主机都有一个 ARP 缓存，这个缓存存放了最近的 IP 地址与 MAC 地址之间的映射记录。 主机每隔一定时间或者当收到 ARP应答，就会用新的地址映射对更新 ARP 缓存。 因为 ARP 是一个无状态协议，所以对于大多数操作系统来说，如果收到一个 ARP 应答，它们不管自己是否在此之前曾经发出 ARP 请求，都会更新自己的 ARP 缓存。 这就为系统安全留下了很大的隐患。 ARP 欺骗的核心思想就是向目标主机发送伪造的 ARP 应答， 并使目标主机根据应答中伪造的 IP 地址与 MAC 地址之间的映射对，更新目标主机 ARP 缓存。 假设 S 代表源主机，即将要被欺骗的主机； D 代表目的主机，源主机 S 本来是向它发送数据的； A 代表攻击者主机，进行 ARP 欺骗。 假设主机 A 已知主机D 的 IP 地址，于是它暂时将自己的 IP 地址改为主机 D 的 IP 地址。 当源主机 S 想要向主机 D 发送数据时，假设目前其 ARP 缓存中没有关于目的主机 D 的记录，那么它首先在局域网中广播包含主机 D 的IP 地址的 ARP 请求。 但此时攻击者主机 A 具有与目的主机 D 相同的 IP 地址，于是分别来自攻击者主机 A 与目的主机 D的 ARP 响应报文将相继到达源主机 S。 此时，攻击者主机 A 是否能够欺骗成功就取决于源主机 S 的操作系统处理重复 ARP 响应报文的机制。 不妨假设该机制总是用后到达的 ARP 响应中的地址对刷新缓存中的内容。 那么如果攻击者主机 A 控制自己的 ARP 响应晚于目的主机 D 的 ARP 响应到达源主机 S，源主机 S 就会将如下伪造映射：将目的主机 D 的IP 地址对应攻击者主机 A 的 MAC 地址，保存在自己的 ARP 缓存中。 在这个记录过期之前，凡是源主机 S 发送给目的主机 D 的数 据实际上都将发送给攻击者主机 A，而源主机 S 却毫不察觉。 或者攻击 24 者主机 A 在上述过程中，利用其它方法直接抑制来自目的主机 D 的ARP 应答将是一个更有效的方法而不用依赖于不同操作系统的处理机制。 进一步分析，攻击者主机 A 可不依赖于上述过程，直接在底层伪造 ARP 响应报文来达到同样的欺骗目的。 ARP 欺骗的攻击方式 ARP 攻击发生时，攻击者利用地址解析协议本身的运行机制发动攻击行为。 包括进行对主机发动 IP 冲突攻击、数据包轰炸，切断局域网上任何一台主机的网络连接等 [9]。 ARP 欺骗的攻击 方式有如下几种： (1)中间人攻击：中间人攻击就是攻击者将自己插入两个目标主机通信路径之间，使它如同两个目标主机通信路径上的一个中继，这样攻击者就可以监听两个目标主机之间的通信。 其过程如下： C 侵染目标主机 A 与 B 的 ARP 缓存，使得当 A 向 B 发送数据时，使用的是 B 的 IP 地址与 C 的 MAC 地址，并且当 B 向 A 发送数据时，使用的是A 的 IP 地址与 C 的 MAC 地址。 因此，所有 A 与 B 之间的通信数据都将经过。