毕业设计论文-arp病毒的攻击与防范

毕业设计论文-arp病毒的攻击与防范内容摘要：

台共捕获约 90万个恶意代码，比去年同期增长 %。 每年都有相当数量具有一定影响力的新计算机病毒出现，它 们造成的破坏和损失也更大，人们花费在病毒防治方面的精力和技术也越多。 如 2020年 ARP（ Address Resolution Protocol）病毒就表现很突出，江民公司发布的《 07年上半年病毒报告及十大病毒》中ＡＲＰ病毒排名第四，瑞星公司发布的 《 2020年上半年电脑病毒疫情和互联网安全报告》中 ARP病毒排名第六。 造成信息和网络安全问题的因素很多，主要可归纳为两方面。 一方面是技术方面的问题，目前的计算机操作系统和应用软件或多或少存在一定的安全漏洞，而攻击者恰恰利用了这些漏洞，由于计算机病毒防治技术相对要落后 于病毒攻击，因此会造成病毒在一定范围内蔓延；另一方面是管理方面的问题，由于管理 人员的技术水平不足和管理不善造成的安全问题也层出不穷，系统漏洞修复的滞 后和安全防护措施的不够给攻击者提供了机会。 再加之，互联网是一个开放的系统，任何微小的漏洞和病毒都会快速蔓延，甚至殃及全球，因此网络安全问题不 容忽视。 ARP病毒很大程度上是因为技术方面的问题而导致的，因此，可以通过 技术改进加以防范。 ARP 病毒的攻击与防范 2 研究 背景及意义 ARP协议是一个基础协议，它的应用非常广泛。 ARP由口层复用，用于解析 局域网内任意合法第 3层协议地址和第 2层硬 件地址之间的映射关系。 ARP协议工 作在局域网中，早期的协议设计者认为局域网是可信赖的，同时为了考虑传输效 率，没有加入安全机制。 现在的网络规模已经今非昔比，局域网已经不再是原始意义上的局域网络，但 ARP协议仍然扮演着同样重要的角色，攻击者正是利用了这一特点，利用该协议实现攻击目的。 ARP欺骗攻击通过伪造 IP地址和 MAC地址映射来实现，它造成目标主机 ARP高速缓存信息错误，从而影响网络通信、实施网络欺骗。 目前， “ ARP” 骗技术正在被越来越多的病毒所使用，成为局域网安全的新杀手。 《病毒预报》（ 20202020）报道，国家计算机病毒应急处理中心通过互联网络监测发现，一种新型 “地址解析协议欺骗 ”（简称： ARP欺骗）的恶意木马程序的正在互联网络中传播，并且它会在局域网络中寻找 网络数据响应包，在包内加入恶意木马程序的代码信息，最终导致局域网中用户 计算机系统感染木马程序，使得计算机系统中的信息篡改或丢失。 该 “ ARP欺骗 ” 的恶意木马程序入侵某个局域网中的计算机系统后，它会试图通过 “ ARP欺骗 ” 手段截获所在局域网络内其它计算机系统的通信信息，导致该局域网出现突然掉线，过一段时间后又会恢复正常的现象。 同时，网内的其他计算机系统 也会受到影响，出现 IP地址冲突、频繁断网、浏览器频繁出错，以及一些系统内常用软件出现故障等现象。 除外，它会对局域网络中所有的数据包进行分析，过滤出网 页浏览请求的应答数据包，并在数据包里面插入恶意代码，一旦计算机系统中的 IE浏览器存在漏洞，那么计算机用户浏览网页的同时就会自动下载并运行恶意木马程序。 “ ARP欺骗” 类恶意木马程序的危害性比较大，特别是对校园网、网吧等局 域网会造成大范围的破坏和影响，轻则影响网络使用，重则导致网络瘫痪，是个不容忽视的问题。 目前，很多研究者已经给出了针对 ARP欺骗攻击的防治方法， 在一定程度上减少了 ARP问题的发生，这类方法主要是通过保护 ARP高速缓存等方法来实现，它们没有从根本上解决 ARP欺骗问题，因为 ARP欺骗问题的发生是因为 ARP协议本身存在在不可信网络中运行的漏洞。 本文将从 ARP协议本身出发，分析 ARP协 议的不安全因素，并针对存在的问题给出解决的具体方法，达到从根本上解决 ARP病毒问题ARP 病毒的攻击与防范 3 的目的。 本文研究内容和组织结构 本文主要目的是通过研究 ARP协议缺陷，来阐述 ARP攻击原理。 然后根据此原理剖析 ARP侦听、病毒挂载等众多攻击手段。 文章的创新点在于阐述了 MAC地址绑定等 常用方法只能针对单机防护，而在大型公众上网环境中必须以 MAC地址集中管理、 ARP广播包探测等综合管理手段相辅助，进行整体防护。 文章最后以上海东方数字社区为实例说明综合防护手段的实施方法。 第一章绪论。 本章介绍了本文的课题研究背景，阐述了课题的研究目的以及意义，然后说明了本文的主要创新点和全文结构。 第二章 ARP攻击原理综述。 本章首先用实例说明 ARP攻击的危害性，然后详细介绍 ARP协议概念、 ARP帧结构、以及其他相关概念。 此章最后论证了 ARP协议缺陷是 ARP攻击症结所在。 第三章 ARP欺骗攻击的实现。 本章 通过 Socket程序代码说明如何实现 ARP欺骗攻击，然后通过程序代码叙述 、侦听、病毒挂载、 Windows系统攻击、交换机攻击等多种混合类攻击的实现原理。 第四章 ARP欺骗攻击的防范。 针对如何在拥有上千个终端大型社区网络中有效防止 ARP攻击蔓延，本章比较了常用的 MAC地址绑定、系统安全加固等方法指出要在大范围内防止 ARP攻击需要用综合手段，并提出 ARP攻击探测、 MAC地址中央管理等适用于大型网络的新方法。 第 五 章总结与展望。 本章对全文的研究工作进行总结，提出了主要结论，并介绍了课题今后 进一步的改进和发展方向。 第 2 章 ARP 攻击原理综述 工作原理 以太网中的ＡＲＰ协议简介 IEEE的 802标准委员会和 802项目组定义了两种主要的 LAN传输方法 ——以 太网和令牌环网。 以太网在 LAN标准，令牌环网则在。 这两种方法的使用范围都很广泛，本文的研究针对以 太网进ARP 病毒的攻击与防范 4 行。 以太网利用了总线和星形拓扑结构的优点，采用了 CSMA/CD技术，网络上 想要发送帧的结点与另外的结点竞争资源，没有哪个结点的优先级比其他结点高，帧按照物理地址 查找其特定的目标，以太网通过一个广播信道向所有结点发送数据，处于同一广播域的结点都会收到该数据。 虽然每台主机都 由一个 IP地址， 但是 IP地址是运行 TCP/IP协议机器的通用标识， IP地址自身不能使报文到达其目 的地，数据传输必须依靠网络适配器唯一的硬件地址，该地址也被称为 MAC地址或者数据链路地址，该地址通常在网络适配器生产厂家唯一编址，具有全球唯 一性。 以太网中的硬件地址采用 48位长度表示， ARP协议为 IP地址到对应的硬件地址之间提供动态映射脚，因此，担负 IP地址和硬件地址转换的 ARP协议具有非常重要的地位。 协议原理 ARP协议起初是为 DEC/Intel/Xerox的 10兆以太网设计的，现在已允许用在其它类型的网络上。 当来自上层的数据要发送时，需要知道目标主机的硬件地址，这时就需要通过 IP地址找到相应的硬件地址，网络接口输出函数会调用 ARP协议 进行ARP解析。 ARP解析函数发送 ARP请求（作为广播包发送），目标主机收到 ARP请求后发送 ARP应答（作为单播包发送），当发送主机收到 ARP应答后就可发送数据。 为了避免频繁发送 ARP请求和应答，实现时在主机中都会有一个 ARP高速缓存用来存放已经解析成功的 ARP信息，所以通常数据发送前先查找 ARP高 速缓存，找不到时才会发送 ARP请求。 分组格式 RFC826定义了 ARP分组的格式，在以太网上使用的 ARP分组格式见图 21。 该分组由以太网首部和以太网 ARP字段两部分组成。 ． 图 21ARP的分组格式 （ 1） 以太网首部：以太网首部包括以太网目的地址、以太网源地址和帧类型三ARP 病毒的攻击与防范 5 部分，以太网目的地址是通信目的端的 MAC地址，长度为 48位，目的地址为全 1是广播地址，这时，电缆上的所有以太接口都要接收此数据并进行处理。 以太网源地址是通信源端的 MAC地 址，长度为 48位。 帧类型表示以太网首部所携带数据的类型，如果是 IP帧则为 0x0800，如果是ＡＲＰ帧则为 0x0806。 （ 2） 以太网 ARP字段：包括 ARP首部和 ARP数据两部分。 其中 ARP首部包括硬件类型、协议类型、硬件地址长度、协议地址长度和操作码五部分，硬件类型 字段值为 1表示是以太网地址，协议类型字段值为 0x8000表示 IP地址，硬件地址长度为 6表示是以太网硬件地址，协议地址长度字段值为 4表示是 IP地址，操作码指出了 ARP操作的四种类型，其中 ARP请求值为 1， ARP应答值为 2， RARP请求 和应答分别人 3和 4（可参见 RARP协议的相关资料，本文不进行介绍）； ARP数据部分包括了发送方硬件地址、发送方 IP地址、目的硬件地址和目的 IP地址，它们根据不同情况进行填充， ARP请求包填充除目的硬件地址以外的所有数据，而ＡＲＰ应答数据则填充全部数据。 发包和收包流程 （ 1） 发包 ① 当网络层往下传来一个包，路由选择将确定该包下一跳的协议地址（目的主机的口地址），为了正确发送该数据包，必须知道目的主机的硬件地址，这 时就需要进行 IP地址至 MAC地址的解析，为此需要发送 ARP请求，即发送 一 个帧 类型字段为 0x0806的以太网包，该包中以太网目的地址全为１（ ARP请求以广播 形式发送），除了目的硬件地址外全部填充，其中以太网源地址、发送者硬件地址和发送者 IP地址填充本机的信息， ARP操作码填充 1，协议地址长度填充 4，硬件地址长度填充 6，目的 IP地址填充路由确定的下一跳协议地址，目的硬件地址 的值是想要得到的值。 ARP请求包会被广播到所有在以太网电缆上的主机，如果目的主机得到该 ARP请求包则会发送一个 ARP应答包，如果一定时间没有收到 ARP应答包，则会继续发送若干次，如果还没有收到应答包，则认为该主机不可达到，停止发送 ARP请求。 为了提高通信效率，通常主机中会保存已经解析到的 IP和 MAC地址的映射，通常称之为ARP高速缓存。 它保存了 IF索引（物理接口索引）、 IP和 MAC地址的映射，以及该映射的类型信息等，类型有 4种可能的值，值 2意味着表项是无效 的，值 3意味着映射是动态的（表项可能改变），值 4说明是静态项（表项不变化）， 值 1意味着不是上ARP 病毒的攻击与防范 6 面的任何一种情况。 动态表项有一定的生存期，动态 ARP表项如果在一定时间没有被使用，则会因超时被删除，如果在生存期内被使用，则生存期会被重置为最大值。 通常，在数据发送前先会查找 ARP高速缓存寻 找相应的 MAC地址，如果没有找到才会发送相应的 ARP请求。 ② 免费 ARP 主机在启动时会主动发送一个 ARP请求包，该包中发送端的协议地址和目的端的协议地址一致。 免费 ARP包可以检测在以太网中是否存在 IP地址冲突，可以 使其他机器更新其相应信息，使得网络通信快速恢复。 如果发送免费 ARP的主机 正好改变了硬件地址（有可能是更换网络适配器，然后重新启动），那么这个免 费 ARP就可以使其它主机 ARP高速缓存中旧的硬件地址进行相应的更新。 （ 2） 收包 ① 当接口收到 ARP请求包后会进行检查，检查该包的硬件地址类型及长度 和协议 地址类型及长度是不是符合本接口，如果符合，那么在 ARP高速缓存中查 找发送者 IP地址相关的映射，如果找到一个相符的表项，那么更新此表项（覆盖 原来的硬件地址为新的硬件地址）。 ② 判断本机是不是通信的目标主机，如果是，并且没有进行过 ① 中的更新， 那么更新 ＡＲＰ 高速缓存。 ③ 如果收到的是一个 ARP请求，那么生成一个相应的 ARP应答包，并且将这个ARP应答包发送给对方， ARP应答包以单播的形式发送，它填充了 ARP包中 的 所有内容。 ARP 攻击的危害 ARP欺骗不同于通常攻击可造成的巨大破坏。 ARP欺骗可以造成内部 网络的混乱，某些被欺骗的计算机无法正常访问内外网，让网关无法和客户端正常通信。 实际上他的危害还不仅仅如此，一般来说 IP地址的冲突我们可以通过多种方法和手段来避免，而 ARP协议工作在更低层，隐蔽性更高。 系统并不会判断 ARP缓存的正确与否，无法像 IP地址冲突那样给出提示。 而且很多黑客工具，可以随时发送 ARP欺骗数据包和 ARP恢复数据包，这样就可以实现在一台普通计算机上通过发送 ARP数据包的方法来控制网络中任何一台计算机的网络连接截获其通讯数据并可做篡改以加入病毒代码进行传播，甚至还可以直接对网关进行攻击，让所有 连接网络的计算ARP 病毒的攻击与防范 7 机都无法正常上网。 这点在以前是不可能的，因为普通计算机没有管理权限来控制网关所以说。 ARP欺骗的危害是巨大的，而且非常难对付，非法用户和恶意用户可以随时发送 ARP欺骗和恢复数据包，这样就增加了网络管理员查找攻击源的难度。 归纳 ARP欺骗类攻击的危害性如下： (1)攻击点范围广：不需要攻占具体服务器，在不获得目标主机的权限的条件下，只要在网络环境的任何一个点上安放一台 “肉机 ”便可以感染整个网段； (2)攻击非常隐蔽：不需要改动任何目标主机的页面或者是配置 ,在网络传输的过 程中间直接插入病毒的代码； (3)发觉困难：如没有机房网络管理人员协助协查，服务器系统管理员光靠系统日志无法在短时间内找到攻击源； (4)恢复复杂：网站管理员即时发现被攻击后，但是从系统层面上无法自己清除； (5)攻击手段变化多样：黑客可以最大化的利用 ARP欺骗，将他与其他攻击方法组合后运用于多种攻击，如。