ARP协议的安全缺陷及改进

1、ARP协议的安全缺陷及改进 组员： ARP协议的安全缺陷及改进 1.ARP协议概述 2.ARP协议的缺陷 3.目前的一些改进技术 4.我们提出的改进方法 5.方法对比 ARP协议概述 ARP协议： ARP（AddressResolutionProtocol）地址解析协议用于将计算机的网络地址（IP地址32位）转化为物理地址（MAC地址48位）。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。 ARP32bit IP地址48bit MAC地址ARP协议概述ARP协议原理 A首先广播一个 ARP 查询

2、报文，请求 IP 地址为IPB的主机回答其物理地址， ARP 查询包同时带有主机 A 的 MAC地址 MA、PA。收到 ARP 查询包后，网上所有主机将其 MAC 地址缓冲区中的主机 A 的 MAC 地址更新为刚刚收到的 ARP查询包中携带的地址MA，并将此 ARP 报文中要查询的 IP 地址（IPB）和自己的 IP地址比较，显然，主机 B 收到这 ARP 请求包后作出回答：向 A 发回一个 ARP 应答包，回答自己的物理地址 MB。在查询主机 B 的 ARP 查询包中包含有主机 A 的 MAC 地址，B采用点对点的方式将 ARP 应答包发送给主机 A。这样B与A建立了连接。ARP协议的缺陷A

3、CDB路由PA MA PBPB MBARP工作原理图 A与B建立连接如图所示：ARP协议的缺陷 ARP协议的缺陷： 没有对ARP报文来源是否合法进行验证，也不会检查ARP是否发送过相应的报文，造成的攻击主要有： 1.ARP 中间人攻击“中间人”攻击策略是ARP 欺骗主要攻击方式。也是最危险的攻击方式。中间人攻击是指攻击者插入通信双方的连接中, 截获并转发双方的数据包的行为。通过这种行为, 攻击者可以探测到机密的信息, 甚至篡改信息的内容。ARP协议的缺陷BACMA PBMA PC 中间人攻击示意图 A在B、C没有发送请求的情况下分别向B、C直接发送应答报文，分别携带MA PC 、MA PB。B

4、、C更新缓存，A作为攻击者先后与A、C建立连接。最终使A成为了中间收听人。B、C之间的所有通信都要经过A。中间人ARP协议的缺陷 2.一请求，多回答 主机通过广播方式发送请求，网络中的所有其它主机都收到请求报文，并与自己的IP比对。如果存在恶意节点，即使IP地址与自己不匹配，也发出应答。这样，原主机将会受到多个应答报文，我们称这种方式为“一请求、多应答”。ARP协议的缺陷ACBDMA PA PBPB MBPB MD攻击者 主机发送ARP请求报文之后，结果收到多个回答，这种方式使得主机混乱，无法辨别真假。 多回答攻击示意图目前的一些改进技术 目前已有如下针对ARP 欺骗的一些方法： (1) (1

5、)静态静态ARPARP。 ARP ARP 缓存表是可以动态改变的，如果使用静态缓存表是可以动态改变的，如果使用静态ARPARP，在小型的局域网还是可以的，但其主要的缺点是在小型的局域网还是可以的，但其主要的缺点是不够灵活，如更换网卡，主机的加入和退出都要不够灵活，如更换网卡，主机的加入和退出都要重新配置重新配置ARPARP表。表。目前的一些改进技术(2)(2)会话加密。会话加密。 在通信过程中采用加密技术，即使连接被截获，在通信过程中采用加密技术，即使连接被截获，也不能够轻易获得有效数据，缺点是加密、解也不能够轻易获得有效数据，缺点是加密、解密过程相对来说比较消耗资源，性能较差。密过程相对来说

6、比较消耗资源，性能较差。（3 3）协议状态机）协议状态机在在ARP ARP 协议中加入一个有限状态机，其目的是在协议中加上合法验协议中加入一个有限状态机，其目的是在协议中加上合法验证过程。状态机设计如图所示，产生任何证过程。状态机设计如图所示，产生任何ARPARP请求时，置初始状态为请求时，置初始状态为InitialInitial，当成功发送，当成功发送ARP ARP 请求后置状态请求后置状态RequestedRequested，在该状态时，在该状态时，可能会收不到应答而超时，重新进入可能会收不到应答而超时，重新进入InitialInitial；收到；收到ARP ARP 应答时，应答时，进入进

7、入Answered Answered 状态，当状态，当ARPARP更新完成后，重新进入更新完成后，重新进入InitialInitial；凡是；凡是重新回到重新回到Initial Initial 状态时，都可以销毁该请求项。此方法没有解决状态时，都可以销毁该请求项。此方法没有解决“一请求，多应答一请求，多应答”问题。问题。目前的一些改进技术InitialRequestedAnswered发送请求发送请求超时超时收到应答收到应答更新更新ARP表表目前的一些改进技术 （4 4） ARP ARP 欺骗检测服务器欺骗检测服务器 其实现原理为其实现原理为: : 该服务器获取网段中的所有该服务器获取网段中的

8、所有ARP ARP 应答报文应答报文, , 并假设并假设这些报文是这些报文是ARP ARP 欺骗报文欺骗报文, ,提取应答报文中的源提取应答报文中的源IPIP地址后地址后, ,服务器向服务器向该该IPIP地址主机发送地址主机发送ARPARP请求请求, ,将得到的正确将得到的正确MACMAC地址与原应答报文中的地址与原应答报文中的MACMAC地址比较。若不一致地址比较。若不一致, ,则原应答报文存在欺骗。当检测到欺骗应则原应答报文存在欺骗。当检测到欺骗应答报文后答报文后, ,服务器向被欺骗的主机发送正确的服务器向被欺骗的主机发送正确的ARPARP应答应答, ,以恢复其缓存以恢复其缓存中的中的IP

9、-MACIP-MAC地址对应关系。但是地址对应关系。但是, ,当网络中存在当网络中存在ARPARP攻击时攻击时, ,会出现大会出现大量量ARPARP欺骗应答报文欺骗应答报文, , 并造成网络拥塞并造成网络拥塞, ,如果采用上述的恢复机制如果采用上述的恢复机制, ,对对每个欺骗报文都发送正确的每个欺骗报文都发送正确的ARP ARP 应答应答, ,只会加重网络负担只会加重网络负担, ,并且服务并且服务器在检验应答报文真实性时器在检验应答报文真实性时, ,也采取了主动发送也采取了主动发送ARPARP请求的方法请求的方法, ,增加增加了一定的网络负载。了一定的网络负载。改进方法1.1.终端处在关闭态时

10、，不接受任何终端处在关闭态时，不接受任何ARPARP应答报文应答报文2.2.当终端当终端ARPARP请求发送成功，转换到开启态。并记请求发送成功，转换到开启态。并记录目的端的录目的端的IPIP地址，例如：地址，例如：IP_aIP_a3.3.在开启态的时间在开启态的时间t t中，只接收源端中，只接收源端IPIP地址为地址为IP_aIP_a 的应答的应答ARPARP报文，经过时间报文，经过时间t t后后, ,转到关闭态转到关闭态 一.针对“中间人”缺陷的解决关闭态开启态ARP请求发送成功超过时间t改进方法二.针对“一请求，多回答”缺陷的解决1.服务器开始工作时发送一个广播服务器开始工作时发送一个广

11、播报文，通知各终端上报各自的报文，通知各终端上报各自的IP地址和地址和Mac地址地址2.收到收到IP地址和地址和Mac地址后，建立地址后，建立一张映射表，每一条记录存放一张映射表，每一条记录存放IP地址和地址和Mac地址的对应地址的对应0IP_aMac_a11IP_bMac_b12IP_cMac_c1CBA服务器改进方法3.3.当当A A遇到遇到“一请求，多回答一请求，多回答”的问题后，就立即向服务器发的问题后，就立即向服务器发送询问报文，来询问送询问报文，来询问IP_bIP_b地址地址所对应的所对应的MacMac地址地址4.4.收到询问报文后，服务器根收到询问报文后，服务器根据据IP_bIP

12、_b地址来查询映射表，如地址来查询映射表，如果查询到则返回果查询到则返回Mac_bMac_b，如果，如果没查询到则询问其他服务器。没查询到则询问其他服务器。若其他服务器也没查询到，则若其他服务器也没查询到，则返回错误返回错误5.A5.A收到回答后，若内容为收到回答后，若内容为MacMac地址，则更新地址，则更新ARPARP缓存，若内缓存，若内容为错误，则放弃通信容为错误，则放弃通信CBA服务器恶意B的请求报文B的应答报文C的恶意报文询问询问报文报文响应响应报文报文改进方法6.6.由于网络是动态变化的，所以必须保证服务器中映射由于网络是动态变化的，所以必须保证服务器中映射表的有效性。由于表的有效

13、性。由于ARPARP请求报文是广播的，而且包含源请求报文是广播的，而且包含源端端IPIP地址和源端地址和源端MacMac地址。所以可以通过获取每个地址。所以可以通过获取每个ARPARP请请求报文中源端求报文中源端IPIP地址和源端地址和源端MacMac地址来保证映射表的有地址来保证映射表的有效性。效性。7.7.在每条记录后面有个标志位。服务器会有个计时器，在每条记录后面有个标志位。服务器会有个计时器，每经过时间每经过时间T T一轮回（一轮回（T T为为ARPARP缓存更新间隔的缓存更新间隔的2 2倍）。当倍）。当标志位为标志位为1 1时，说明在时间时，说明在时间T T内收到了该记录的内收到了该

14、记录的ARPARP请求请求报文；当标志位为报文；当标志位为0 0时，说明在时间时，说明在时间T T内没有收到该记录内没有收到该记录的的ARPARP请求报文。请求报文。改进方法（1 1）当发生终端更换时）当发生终端更换时例如：例如：B B换成换成D D。即：。即：D D替代了替代了B B的位址，的位址，D D用的是用的是B B的的IPIP地址，地址，此时服务器的映射表必须相应改变。此时服务器的映射表必须相应改变。由于由于D D新加入到网络中，只要新加入到网络中，只要D D与其他终端通信或者与其他终端通信或者ARPARP定定时更新就会发送时更新就会发送ARPARP请求报文，此时服务器就可以得到该请

15、求报文，此时服务器就可以得到该报文，从而得到报文，从而得到D D的的IPIP地址和地址和MacMac地址，然后和表中的每条地址，然后和表中的每条记录比较，这时服务器发现记录比较，这时服务器发现D D的的IPIP地址和地址和B B的的IPIP地址一样，地址一样，就会向就会向B B和和D D分别发送点对点的试探报文。由于分别发送点对点的试探报文。由于B B不在了，不在了，所以服务器只收到了所以服务器只收到了D D的响应报文，服务器就将的响应报文，服务器就将B B记录删除，记录删除，D D记录写入，实现更新。记录写入，实现更新。改进方法0IP_aMac_a11IP_bMac_b12IP_cMac_c

16、1IP_dMac_dIP_d = IP_b0IP_aMac_a11IP_dMac_d12IP_cMac_c1CBA服务器D请求报文B试探报文D试探报文D响应报文改进方法 （2 2）当发生终端增加时）当发生终端增加时 例如：网络中增加了例如：网络中增加了E E 由于由于E E新加入到网络中，只要新加入到网络中，只要E E与其他终端通信或者与其他终端通信或者ARPARP定定时更新就会发送时更新就会发送ARPARP请求报文，此时服务器就可以得到该请求报文，此时服务器就可以得到该报文，从而得到报文，从而得到E E的的IPIP地址和地址和MacMac地址，然后和表中的每条地址，然后和表中的每条记录比较，

17、这时每条都不一样，就增加一条记录。如果映记录比较，这时每条都不一样，就增加一条记录。如果映射表已满，则依据每条记录后面的标志位决定。此时删除射表已满，则依据每条记录后面的标志位决定。此时删除标志位为标志位为0 0的记录，然后将的记录，然后将E E的记录写入。的记录写入。改进方法0IP_aMac_a11IP_bMac_b12IP_cMac_c1IP_eMac_eCBA服务器E0IP_aMac_a11IP_bMac_b12IP_cMac_c13IP_eMac_e1请求报文改进方法 （3 3）当发生终端减少时）当发生终端减少时 例如：例如：A A退出了网络退出了网络 此时服务器不做任何处理。由于此时

18、服务器不做任何处理。由于A A终端已退出网络，经过终端已退出网络，经过一段时间，一段时间，A A记录的标记必为记录的标记必为0 0，会被替换，会被替换，A A的记录自然的记录自然就删除了。就删除了。方法比较1.1.与静态与静态ARPARP相比，本方法采用动态相比，本方法采用动态ARPARP，灵活性高，灵活性高2.2.与会话加密相比，会话加密会增加终端资源消耗，不管与会话加密相比，会话加密会增加终端资源消耗，不管是否受到攻击。本方法在没有是否受到攻击。本方法在没有ARPARP攻击时，终端只需要攻击时，终端只需要比较比较ARPARP应答报文的源应答报文的源IPIP地址；在受到攻击时，增加向地址；在受到攻击时，增加向服务器询问的开销。两者相比本方法资源消耗小。服务器询问的开销。两者相比本方法资源消耗小。3.3.协议状态机没有解决协议状态机没有解决“一请求，多应答一请求，多应答”问题，本方法问题，本方法解决了解决了方法比较4.4.与与ARP ARP