局域网ARP攻击及防御策略的研究论文

1、PAGE PAGE 37辽宁科技技大学继继续教育育学院毕业设计计(论文文)题 目： 局域网网ARPP攻击及及防御策策略的研研究学院、系系： 鞍山山科技大大学 专业班级级： 计算算机应用用专科 学生姓名名： 姜明明程 指导教师师： 迟呈呈英 20013年年 4 月 115 日日局域网AARP攻攻击及防防御策略略的研究究摘要当今的信信息社会会是建立立在计算算机网络络的基础础之上的的，网络络信息安安全形势势十分严严峻。网网络协议议安全是是网络安安全的重重要环节节，对网网络协议议的分析析、利用用越来越越受到人人们的关关注。ARP协协议是网网络协议议中的基基础协议议，虽然然ARPP协议使使用起来来非常方

2、方便快捷捷，但其其中却隐隐藏着很很多漏洞洞。本文文首先对对ARPP 协议议进行了了详细的的分析，深入了了解了AARP 协议的的工作原原理，并并对ARRP 欺欺骗发生生的条件件和欺骗骗原理做做了深入入的介绍绍，同时时总结了了ARPP 欺骗骗攻击的的检测方方法，细细致的分分析了对对各种不不同的AARP 欺骗方方式相对对应的防防御手段段。其次针对对局域网中中出现的的 ARPP 欺骗骗的攻击击方式进进行有针针对性的的分析，使用抓抓包工具具截获攻攻击包后后进行相相关研究究，并制制定出防防御局域域网中出出现的AARP欺欺骗的方方法，同同时对该该方法进进行适当当改进以以提高防防御效率率。ARP欺欺骗病毒毒一

3、直是是网络中中爆发范范围较广广且很难难根除的的顽疾，最近几几年针对对ARPP欺骗病病毒的防防御研究究在不断断进行，但由于于互联网网布局的的复杂性性特征，很难在在防御该该病毒方方面获得得统一的的管理和和部署，本文提提出的检检测和防防御方法法经小范范围应用用取得了了较好的的效果，希望在在以后的的继续学学习与研研究过程程中能够够将该方方法完善善并推广广。关键词：ARPP欺骗，ARPP协议，8022.1xx协议，认证扩扩展，病病毒防御御目 录摘 要2目 录33-4第1 章章 绪 论71.1 课题背背景和意意义771.2 国内外外研究现现状991.3 论文的的研究内内容及组组织结构构1121.3.1 论

4、文的的研究内内容131.3.2 论文的的组织结结构113第2 章章 ARRP 协协议 142.1 ARPP 协议议介绍1442.1.1 地址解解析的作作用1142.1.2 直接映映射法1552.1.3 动态地地址解析析法172.1.4 动态地地址解析析的缓冲冲区与高高效率1882.2 ARPP 协议议的应用用182.2.1 AARP 的标准准与历史史1882.2.2 AARP 地址详详述与基基本操作作1192.2.3 AARP 信息的的格式212.2.4 AARP 缓存2222.2.5 代理ARRP 242.3 ARPP 欺骗骗252.3.1 AARP 欺骗原原理2552.3.2 AARP 欺

5、骗的的攻击方方式2772.3.3 AARP 攻击的的检测292.3.4 AARP 病毒的的防御302.4 本章小小结30第3 章章 局域网网ARPP 病毒毒检测与与防御3113.1 局域网网遭受ARRP 病病毒攻击击的症状状及危害害5773.2 检测与与分析583.2.1 正常网网络数据据的捕获获与分析析583.2.2 AARP 欺骗数数据包的的捕获与与分析593.3 ARPP 欺骗骗的防御御603.3.1 针对网网关ARRP 欺欺骗的防防御613.3.2 针对网网内主机机ARPP 欺骗骗的防御御6223.4 ARPP 欺骗骗防御方方法的改改进6623.5 本章小小结633总结 355参考文献

6、献 355第1 章章 绪 论1.1 课题背背景和意意义随着互连连网的发发展，网网络的安安全问题题随之浮浮出水面面，并一一直是计计算机网网络安全全体系的的重要方方面。网网络作为为信息的的共享平平台，其其开放性性与跨地地域性令令网络攻攻击难以以循迹，一旦重重要的网网络信息息系统陷陷入瘫痪痪，对社社会是一一种毁灭灭性的打打击。最最近几年年，网络络安全问问题日益益严重，关于网网络安全全的报道道层出不不穷，造造成的经经济损失失越来越越大。黑黑客往往往通过网网络入侵侵的手段段达到窃窃取敏感感信息的的目的，也有人人通过网网络攻击击达到不不可告人人的目的的。ARP 协议是是一个位位于TCCP/IIP 协协议栈

7、中中网络层层的协议议，负责责将IPP 地址址解析成成对应的的MACC 地址址。由于于网络通通信是按按照MAAC 地地址进行行传输的的，因此此，对于于局域网网而言，ARPP 协议议是网络络正常通通信的基基础。但但基于历历史原因因，ARRP 协协议在设设计之初初，考虑虑到传输输效率的的问题，缺乏必必要的身身份认证证和鉴别别机制，导致安安全性能能弱不禁禁风。AARP 欺骗攻攻击是一一种利用用TCPP/IPP 协议议中ARRP 协协议本身身漏洞3( 即为为了提高高效率，不对发发送来的的ARPP 应答答包进行行验证，直接更更新ARRP 地地址缓存存表)进行攻攻击的。它通过过发送AARP 应答包包给目标标

8、主机，让目标标主机更更新自己己的ARRP地址址缓存表表，使本本应该发发送给被被冒充机机器的数数据包发发送给了了自己，达到了了欺骗信信息的作作用。因此，制制定出一一套高效效的 ARPP 欺骗骗攻击防防御策略略具有很很大的现现实意义义。1.2 国内外外研究现现状ARP 欺骗攻攻击的核核心思想想就是向向目标主主机发送送伪造AARP 应答, 并使目目标主机机接收应应答中伪伪造的IIP 地地址与MMAC 地址之之间的映映射对, 以此此来更新新目标主主机的AARP 缓存。ARPP 欺骗骗的原理理已经十十分明了了，但对对ARPP 欺骗骗的防范范措施却却并不十十分有效效。目前前国内外外还没有有功能很很强的软软

9、件能够够很好的的防御网网络中的的ARPP欺骗。因此，如何防防御ARRP 欺欺骗攻击击及怎样样降低这这种攻击击所带来来的后果果引起了了全社会会网络专专家们的的广泛关关注，并并成为目目前网络络安全界界研究的的热点问问题。ARP 欺骗攻攻击主要要是利用用了ARRP 协协议的安安全缺陷陷，体现现在如下下几点：(1)AARP请请求均以以广播方方式进行行：当源源主机要要和目的的主机通通信而没没有目的的主机的的MACC 地址址时, 便会向向整个局局域网广广播ARRP请求求数据包包。这使使得攻击击者可以以伪装AARP应应答, 与真正正的目的的主机展展开竞争争, 并由由此确定定子网内内机器什什么时候候刷新AAR

10、P缓缓存, 以实现现最大限限度的假假冒和欺欺骗。(2)AARP 地址转转换表自自我动态态更新：这种机机制的动动态更新新方式较较为灵活活，但同同时也带带来了安安全隐患患。由于于正常的的ARPP 地址址转换表表都是有有时间限限制的，这使得得假冒者者如果在在下次交交换之前前成功修修改了源源主机的的地址，就可以以毫无阻阻拦的进进行ARRP 欺欺骗行为为。(3)AARP 响应无无控制且且无认证证：ARRP 协协议设计计之初，为了获获得较高高的传输输效率，在数据据链路层层没有做做安全上上的防范范，在使使用ARRP 协协议时无无需认证证，使用用ARPP协议的的局域网网假设通通信双方方是相互互信任和和相互独独

11、立的。ARP 欺骗的的攻击方方法主要要有以下下几种：(1)中中间人攻攻击：中中间人攻攻击就是是攻击者者将自己己插入两两个目标标主机通通信路径径之间，使它如如同两个个目标主主机通信信路径上上的一个个中继，这样攻攻击者就就可以监监听两个个目标主主机之间间的通信信。(2)IIP 地地址冲突突：主机机发送更更改的AARP 报文，将伪装装的MAAC 地地址映射射到目标标主机的的IP 地址，系统检检测到两两个不同同的MAAC 地地址对应应同一个个IP 地址，因此表表现为IIP 地地址冲突突。(3)拒拒绝服务务攻击：拒绝服服务攻击击就是使使目标主主机不能能正常响响应外部部请求，从而不不能对外外提供服服务的攻

12、攻击方式式。(4)克克隆攻击击：通过过修改网网络接口口的MAAC 地地址，攻攻击者首首先对目目标主机机实施拒拒绝服务务攻击，使其不不能对外外部做出出任何反反应。然然后攻击击者就可可以将自自己的IIP地址址与MAAC 地地址分别别改为目目标主机机的IPP 地址址与MAAC 地地址，这这样攻击击者就可可以对目目标主机机进一步步实施各各种非法法攻击，窃取各各种通信信数据。(5)AARP 应答畸畸形包攻攻击：正正常的AARP 报文至至少是446 个个字节，但是如如果我们们自己精精心构造造一个只只有300 个字字节长的的ARPP 应答答报文，由于目目前的网网络交换换设备没没有充分分考虑到到这种情情况的出

13、出现，当当网络上上连续出出现这种种畸形报报文达到到一定数数量的时时候，交交换机的的MACC 缓存存表就无无法正常常刷新，其严重重后果就就是整个个局域网网瘫痪。针对以上上的 ARPP 欺骗骗攻击手手段，已已经制定定出如下下的防御御措施6,77,8：(1)制制定静态态ARPP 缓存存表：AARP 协议攻攻击最根根本的原原理就是是改变IIP 地地址与MMAC 地址的的正确对对应关系系。因此此可以在在目标主主机的AARP 缓存中中设置静静态地址址映射记记录来防防止ARRP 欺欺骗攻击击。但该该方法的的缺点是是如果网网络上节节点较多多或者节节点经常常发生变变化则不不易进行行管理。(2)设设置ARRP 服

14、服务器：为了解解决静态态ARPP 缓存存表中维维护静态态记录的的工作分分散的缺缺点，可可以采用用在局域域网内部部指定一一台机器器作为AARP 服务器器来集中中保存和和维护一一个相对对可信的的局域网网环境下下所有主主机的IIP-MMAC 地址映映射记录录。但该该方法首首先要保保证ARRP 服服务器的的网络安安全，如如果一旦旦该主机机瘫痪，ARPP 缓存存表将无无法维护护，整个个网络系系统会受受到影响响。(3)数数据加密密传输：例如采采用SSSH 替替代teelneet，采采用sfftp 替代传传统的fftp，即使连连接被截截获，也也不可能能被轻易易伪造数数据。该该方法的的缺点是是加密和和解密过过

15、程相对对来说比比较消耗耗系统资资源。(4)交交换机绑绑定端口口和MAAC 地地址：设设置交换换机的每每个端口口与唯一一的MAAC 地地址相对对应，一一旦来自自该端口口的MAAC 地地址发生生变动，就自动动封锁该该端口，使主机机无法连连接到局局域网。攻击者者就无法法发送伪伪造ARRP 数数据帧，从而阻阻止了AARP 欺骗的的发生。这种方方法的缺缺点是不不灵活。(5)引引入硬件件设备：目前, 基于于IP 地址变变换进行行路由的的第三层层交换机机逐渐被被采用，第三层层交换技技术采用用的是PP 路由由交换协协议，以以往的数数据链路路层的MMAC 地址和和ARPP 协议议已经不不起作用用。但第第三层交交

16、换机的的价格普普遍比较较昂贵，而且普普及率不不高。1.3 论文的的研究内内容及组组织结构构1.3.1 论文的的研究内内容计算机网网络体系系包含两两大方面面，终端端体系与与网络通通信体系系。而各各自的安安全要求求则衍生生了可信信计算平平台以及及可信网网络连接接的规范范。保护护整个终终端体系系和网络络通信体体系的完完整性与与安全性性就需要要综合考考虑两方方面的需需求。构构建可信信网络平平台，采采用8002.11x 在在宽带及及无线接接入方面面的优势势是显而而易见的的。同时时也被众众多互联联网服务务提供商商所广泛泛采纳。本文的主主要工作作是针对对ARPP 病毒毒的特点点，详细细论述了了ARPP 协议

17、议的原理理，发展展过程以以及ARRP 协协议的应应用。对对ARPP 协议议的实现现及漏洞洞进行了了详细的的分析，并针对对ARPP 欺骗骗攻击的的特征，对其攻攻击方法法进行了了详细的的介绍。同时，根据AARP欺欺骗的攻攻击方法法总结出出ARPP 欺骗骗的各种种检测方方法，并并有针对对性的制制订了AARP 欺骗的的防御措措施。由于 AARP 欺骗经经常在局局域网中中爆发，局域网网是ARPP 欺骗骗病毒肆肆虐的典典型网络络。本文文结合局局域网中中ARPP 欺骗骗攻击的的实际现现象，使使用抓包包软件对对其进行行检测并并加以分分析，再再根据常常见网络络设备的的特点逐逐步制定定出防御御局域网网中ARPP欺

18、骗的的措施，并加以以改进。1.3.2 论论文的组组织结构构本文共分分为3 个章节节，各章章节主要要内容如如下：第 1 章，绪绪论。介介绍了AARP 欺骗的的攻击行行为与对对其进行行防御的的研究背背景和现现状，分分析了现现有防御御方法的的不足。描述本本文的研研究内容容，给出出了本论论文的组组织结构构。第 2 章，ARRP 协协议。详详细的介介绍了AARP 协议，ARPP 协议议的工作作原理以以及ARRP 协协议的应应用。同同时也对对ARPP 协议议本身存存在的漏漏洞，AARP欺欺骗攻击击的原理理，以及及对现有有的ARRP 欺欺骗攻击击既定检检测与防防御方法法进行了了细致介介绍，并并分析了了他们各

19、各自的优优缺点。第 3 章，局域域网ARRP 病病毒检测测与防御御。该章章节针对对局域网网中频繁繁出现的的ARPP 欺骗骗攻击现现象，进进行抓包包采样，经分析析后逐步步制定出出应对方方案，并并对其进进行适当当改进。第2 章章 ARRP 协协议2.1 ARPP 协议议介绍ARP(Adddresss RResooluttionn Prrotoocoll)即地地址解析析协议，就是用用来进行行地址解解析的协协议。网网络中的的通信是是通过使使用网络络层(OOSI 网络结结构中的的第三层层)地址发发送数据据完成的的。但实实际上，网络中中数据的的传输是是通过使使用数据据链路层层(OSSI 网网络结构构中的第

20、第二层)地址实实现的。这就意意味着网网络中的的每一个个设备都都要拥有有网络层层地址和和数据链链路层地地址。这这就需要要定义某某种方式式将网络络层地址址与数据据链路层层地址有有效联系系起来。那么，这种将将网络层层地址与与数据链链路层地地址一一一映射的的过程就就被称为为地址解析析。2.1.1 地址解解析的作作用当我们研研究OSSI 网网络参考考模型时时，分别别有两层层携带地地址：网网络层与与数据链链路层。处于网网络层以以上的各各层均通通过网络络层地址址进行信信息传输输。而网网络层地地址与数数据链路路层地址址是两种种截然不不同的地地址类型型并且具具有不同同的功能能，数据据链路层层地址用用于局域域网内

21、两两个硬件件设备间间的信息息直传，它们多多用于执执行基本本的LAAN，WLAAN 与与WANN 的网网络通信信，而网网络层地地址则用用于网际际间的等等价传输输。通俗俗地说就就是数据据链路层层用于处处理直接接连接的的网络设设备间的的信息传传输，而而网络层层地址则则用于非非直连的的网络设设备间的的数据传传输。网络层地地址与数数据链路路层地址址的关系系：事实上，当我们们通过网网络层连连接两个个设备时时，这仅仅仅是概概念上的的连接，当你使使用IPP 发送送一个请请求，每每一跳都都发生在在数据链链路层。当你的的请求传传送到本本地路由由器的网网络层时时，实际际的请求求已经被被封装在在一个桢桢中，并并使用路

22、路由器的的数据链链路层地地址传送送出去。传送的的每一步步都是基基于第三三层的网网络地址址，但实实际的传传输执行行是使用用数据链链路层地地址进行行路由的的。地址解析析将网网络层地地址转换换为数据据链路层层地址。IP 地地址(网络层层地址)对于网网络硬件件来说是是一个处处于OSSI 网网络模型型较上层层的地址址，当你你要访问问一个网网站，输输入网址址后路由由器得到到的信息息是该网网站的IIP 地地址，但但实际上上信息是是向网络络服务器器的MAAC 地地址(数据链链路层地地址)传送的的。在LLAN 网络中中同样使使用这样样的传输输原理，即使网网络服务务器就摆摆设在发发送请求求电脑的的旁边，也一定定要

23、通过过数据链链路层完完成这一一过程。所以我我们需要要一种解解析这两两种地址址的方法，这个个过程就就叫做地地址解析析。地址解析析的方法法：地址解析析的功能能固然重重要，但但地址解解析的效效率也不不容忽视视，耗费费大量网网络资源源的地址址解析方方法是不不可取的的。现如如今有两两种地址址解析的的方法：(1)直直接映射射：有一一个公式式可以将将高层地地址转化化为底层层地址，这是比比较简单单有效的的方法，但当数数据链路路层地址址长度大大于网络络层地址址时会受受到一些些限制。(2)动动态解析析：一个个特殊的的协议用用来通过过网络设设备的IIP 地地址就可可知道其其相应的的数据链链路层地地址，即即一个数数据

24、链路路层地址址对应一一个给定定的 IP 地址。这种方方法虽然然比直接接映射法法复杂，但具有有更大的的灵活性性。2.1.2 直接映映射法当每一个个数据报报在网络络中传输输的过程程中，网网络层地地址被无无数次解解析成数数据链路路层地址址。因此此我们希希望这个个过程能能够尽可可能的简简单快捷捷，完成成这一过过程最简简单的方方法就是是将两类类地址直直接映射射。直接映射射法的基基本思想想就是将将对应的的网络地地址与数数据链路路层地址址存放在在一个表表中，我我们可以以通过非非常简单单的算法法通过其其中之一一找到对对应项。无论何何时都可可以通过过网络层层地址找找到对应应的数据据链路层层地址。数据链路路层地址

25、址和网络络层地址址具有同同样的结结构和语语义是不不切实际际的，因因为这两两类地址址基于不不同的工工作目的的和完全全不相容容的执行行标准。但如果果我们创创建的网网络层地地址足够够大，可可将数据据链路层层地址编编码入其其中的话话，我们们便可以以将两类类地址做做直接映映射。这这样，数数据链路路层地址址就成为为网络层层地址的的一部分分。当 MAAC 地地址的长长度小于于IP 地址时时，可以以用直接接映射的的方法从从IP 地址中中得到硬硬件地址址。这使使地址解解析变得得非常简简单，但但大大降降低了地地址编排排的弹性性。在硬件地地址较大大的情况况下，直直接映射射已成为为不可能能：不幸的是是，只有有在 MA

26、CC 地址址作为IIP 地地址一部部分时才才能使用用直接映映射的方方法。但但在以太太网中，MACC 地址址直接嵌嵌入硬件件，更重重要的是是MACC 地址址长度大大于IPP 地址址，因此此这种情情况下无无法使用用直接映映射的方方法。在在现如今今，使用用最广泛泛的以太太网的数数据链路路层地址址是488 位，而IPP 地址址仅有332 位位，这就就是为什什么直接接映射法法无法应应用在以以太网环环境中。直接映射射的缺点点：在下一代代网络 IPvv6 中中，由于于IPvv6 支支持1228 位位的大地地址空间间，远远远大于MMAC地地址的长长度，理理论上可可以在IIPv66 网络络环境中中使用直直接映射

27、射进行地地址解析析。然而而在IPPv6 网络中中人们决决定使用用动态地地址解析析，因为为在IPPv4 网络中中已经使使用动态态地址解解析，更更重要的的原因是是因为直直接映射射的非弹弹性化缺缺点，因因为动态态地址解解析允许许IP 地址与与MACC 地址址相对独独立。2.1.3 动态地地址解析析法直接映射射法是一一种简单单且高效效的将网网络地址址解析为为数据链链路层地地址的方方法，但但这种方方法不能能应用在在如今的的主题网网络结构构中，当当数据链链路层地地址长度度大于网网络层地地址时直直接映射射法就行行不通了了。动态地址址解析方方法可以以很好的的弥补直直接映射射法的缺缺陷。当当设备 A 向要要向设

28、备备B 发送送信息时时，设备备A 只知知道设备备B 的IP 地址，而不知知道设备备B 的MACC 地址址，设备备A 首先先向网络络中每个个设备发发送一个个包含设设备B 的IP 地址的的数据报报，除设设备B 之外的的所有设设备都忽忽略这个个数据报报，因为为数据报报中含有有设备BB 的IP 地址，设备BB 接收收到数据据报后向向设备AA 恢复复一个直直接应答答数据报报，告知知设备AA 究竟竟设备BB 的MACC 地址址是什么么，这就就是动态态地址解解析的整整个过程程。在动态地地址解析析方法中中，网络络层地址址与数据据链路层层地址可可以有完完全不同同的结构与长度度，他们们之间不不用有任任何关系系。2

29、.1.4 动态地地址解析析的缓冲冲区与高高效率动态地址址解析剔剔除了直直接映射射法的约约束，并并且可以以很容易易的将IIP 地地址与MMAC 地址建建立关联联，但是是不是每每次进行行地址解解析都要要发送额额外的信信息来确确认对方方的MAAC 地地址呢？发送单单个额外外的信息息看起来来并不耗耗费资源源，但如如果每一一步都进进行这样样的操作作，网络络的负载载就会急急剧增加加。因此此，仅有有动态地地址解析析是不够够的，为了降低低该操作作带来的的影响，我们引引入了地地址缓冲冲区。在一个设设备将网网络层地地址解析析为数据据链路层层地址后后，两者者之间的的对应关关系会被被存放在在缓存中中一段时时间。当当下

30、次需需要用到到书数据据路层地地址时，设备在在其缓存存中快速速进行查查询。也也就是说说每次发发送数据据包之前前，我们们只需要要在缓存存表中查查询一下下，而不不需要发发送广播播请求。ARP 缓存在在增强动动态地址址解析能能力方面面扮演很很重要的的角色，但如果果其他设设备的地地址信息息变更了了，存储储在缓存存表中的的信息就就会失效效，因此此缓存表表中的数数据都会会有一个个生存周周期，过过期则信信息作废废。两个个在网络络中通讯讯的设备备会互相相添加彼彼此的地地址到自自己的缓缓存表中中。有了了ARPP 缓存存表，我我们只需需要做一一次地址址解析，而不用用多次做做重复的的操作。2.2 ARPP 协议议的应

31、用用目前，世世界上应应用范围围最广的的网络协协议就是是TCPP/IPP 网络络协议。而最重重要的地地址解析析协议就就是与YYCP/IP 协议齐齐名的AARP 协议了了。2.2.1 AARP 的标准准与历史史OSI 网络参参考模型型的第一一层是物物理层，第二层层是数据据链路层层，物理理层和数数据链路路层使用用数据链链路层地地址实现现物理功功能。可可是网络络协议的的功能应应用在第第三层，也就是是网络层层，将这这些由物物理硬件件组成的的网络连连接起来来形成一一个大的的因特网网，相互之间使使用网络络层地址址传输信信息。地地址解析析是将网网络层地地址解析析为数据据链路层层地址的的过程，数据传传输一次次经

32、过一一个设备备。在 TCCP/IIP 协协议开发发的初期期，地址址解析所所设计的的问题就就很突出出。最初初的IPP 协议议是在以以太网的的雏形技技术上运运行的，即便以以太网以以IEEEE8002.33 作为为其官方方标准，也很有有必要定定义一种种方法使使IP 地址与与MACC 地址址实现映映射以便便在网际际之间实实现信息息传输。有两种基基本方法法用来实实现地址址解析功功能：直直接映射射与动态态地址解解析。可可是MAAC 地地址长度度是488 位，而IPP 地址址仅有332 位位，这已已完全不不符合直直接映射射法，动动态地址址解析的的模型应应运而生生，这就就是TCCP/IIP 协协议的地地址解析

33、析协议(ARPP)。ARP 协议主主要是为为了用某某种方法法改进网网络传输输的执行行效率。最开始始的每发发一次数数据包都都进行一一次广播播，效率率很低而而且很繁繁琐。后后来使用用ARPP 缓冲冲区，使使得本地地IP 地址与与MACC 地址址有效关关联起来来保存在在缓冲表表中。现现在，各各种各样样的技术术已经逐逐渐被研研发出来来，用于于改进并并维护AARP 地址缓缓冲表。支持跨跨区域信信息传输输的代理理ARPP 技术术也早已已经问世世，并被被列入基基本ARRP 特特征库中中。2.2.2 AARP 地址详详述与基基本操作作地址解析析协议的的执行是是在一台台源主机机要发送送IP 数据包包开始的的。首

34、先先需要确确定目标标主机是是否与它它处于同同一网络络中，如如果两者者在同一一网络中中，它向向目标主主机直接接发送信信息即可可；如果果不在同同一网络络中，源源主机需需要向与与它处于于同一网网络的路路由器发发送数据据包，之之后通过过ARPP 软件件进行地地址解析析。ARP 协议最最基本的的操作就就是在本本地网络络上发送送请求或或进行应应答，源源主机发发送广播播请求得得到目标标主机的的地址，目标主主机接收收到请求求后单播播回应，告之源源主机它它的MAAC 地地址是什什么。从源主机机发向目目的主机机的信息息包和从从目的主主机发向向源主机机的数据据包是不不同的，主机作作为发送送方与接接收方的的身份是是来

35、回互互换的。通信双双方都各各自有自自己的IIP地址址与MAAC 地地址，四四个地址址表达各各自的信信息：发送方 MACC 地址址：ARRP 数数据包中中发送方方的数据据链路层层地址。发送方 IP 地址：ARPP 数据据包中发发送方的的网络层层地址。接收方 MACC 地址址：ARRP 数数据包中中接收方方的数据据链路层层地址。接收方 IP 地址：ARPP 数据据包中接接收方的的网络层层地址。这四个地地址在 ARPP 信息息包中都都有各自自固定的的位置。而ARRP 请请求与应应答也分分为如下下几步：(1)源源主机首首先在AARP 缓冲表表中查找找目标主主机的硬硬件地址址：源主主机首先先在自己己的A

36、RRP 缓缓冲表中中查找其其中是否否对目标标主机进进行过地地址解析析。如果果做过，它便可可以直接接跳到最最后一步步。(2)源源主机创创建ARRP 申申请报文文：源主主机创建建一个AARP 申请信信息，它它将其自自己的MMAC 地址作作为发送送方的MMAC 地址，将其自自己的IIP 地地址作为为发送方方的IPP 地址址。而它它将目标标主机的的IP 地址作作为接收收方的IIP 地地址，目目标主机机的MAAC 地地址是需需要确定定的信息息，将其其留作空空白。(3)源源主机广广播ARRP 请请求信息息：源主主机在它它所处的的局域网网内广播播ARPP 请求求信息。(4)本本地局域域网设备备对ARRP 请

37、请求信息息进行处处理：AARP 广播信信息被本本地局域域网中所所有主机机接收到到，所有有主机都都进行匹匹配对照照，不匹匹配的将将该信息息丢弃，如果匹匹配则进进行下一一步处理理。(5)目目标主机机创建AARP 应答信信息：自自身IPP 地址址与ARRP 申申请信息息中IPP 地址址匹配的的目标主主机创建建一个AARP 应答信信息，此此时该目目标主机机的身份份已经从从接收方方转换为为发送方方，信息息中包含含从ARRP 申申请信息息中获得得的发送送方的MMAC 地址和和发送方方IP 地址，并将其其作为目目标主机机的MAAC 地地址与IIP 地地址，并并将它自自己的MMAC地地址与IIP 地地址作为为

38、发送方方信息。(6)目目标主机机刷新自自己的AARP 缓存：作为一一种最优优化的方方法，目目标主机机将会向向自己的的ARPP 缓存存中添加加源主机机的MAAC 地地址与IIP 地地址，这这是为目目标主机机为后续续操做做做准备。(7)目目标主机机发送AARP 应答信信息：目目标主机机发送的的ARPP 应答答信息是是专门向向源主机机单播发发送的，因为已已经没有有必要再再发送广广播信息息了。(8)源源主机处处理ARRP 应应答信息息：源主主机对接接收到的的ARPP 应答答信息进进行处理理，将发发送端(目的主主机)的MACC 地址址作为目目标主机机的数据据链路层层地址，并发送送IP 数据包包。(9)

39、源主机机刷新自自己的AARP 缓存：源主机机用接收收到的AARP 应答信信息刷新新自己的的ARPP 缓存存，以便便以后再再与该目目标主机机通信。ARPP 协议议是一种种相对简简单的请请求/应答协协议。源源主机通通过目标标主机的的IP 地址发发送ARRP 请请求，目目标主机机向源主主机回送送ARPP 应答答信息告告知目标标主机的的MACC 地址址。ARRP 缓缓存的使使用和自自动更新新缓存信信息的应应用大大大增强了了地址解解析的效效率，这这也是为为什么将将其列入入ARPP 协议议特征的的重要原原因。2.2.3 AARP 信息的的格式用 ARRP 协协议进行行地址解解析是通通过在源源主机与与目的主

40、主机之间间互换信信息来完完成的。在其他他协议中中，地址址解析的的每一步步所涉及及的信息息都包含含在其他他协议的的信息格格式中。ARP 信息的的格式相相对较简简单，其其中有用用于描述述信息类类型的信信息，还还有关于于通信双双方IPP 地址址与MAAC 地地址的信信息，为为方便不不同长度度地址的的存放，特意为为IP地址址与MAAC 地地址划分分了不同同长度的的地址空空间。ARP 的信息息格式如如下：硬件类型型协议类型型硬件地址址长度协议长度度操作字段段发送方硬硬件地址址(字节0-3)发送方硬硬件地址址(字节4-5)发送方IIP 地地址(字节0-1)发送方IIP 地地址(字节2-3)目的硬件件地址(

41、字节0-1)目的方硬硬件地址址(字节2-5)目的方IIP 地地址(字节0-3)图2.11 ARRP 信信息格式式下面用一一个图表表来说明明ARPP 信息息中各部部分所代代表的内内容：表 2.1 AARP 信息说说明字段 名名大小属 性硬件类型型2字节发送方想想知道的的硬件接接口类型型，以太太网的值值为 1。协议类型型2字节协议类型型是硬件件类型的的补充，描述了了 IP 地址的的类型，并指明发送送方提供供的高层层协议类类型。对对于IPPv4 网络来来说，IP 值值为08800(16 进制)。硬件地址址长度1字节定义硬件件地址的的长度，对以太太网或其其他以 IEEEE8002 作作为标准的网网络的

42、MMAC 地址来来说，值值为6。协议长度度1字节指明高层层协议地地址的长长度，对对于 IPvv4 地地址来说说值为44。操作字段段2字节定义 AARP 信息的的属性，ARPP 请求求为1，ARPP 应答答为2，RARPP 请求求为3，RARRP 应应答为44。发送方硬硬件地址址变长发送方的的硬件地地址发送方 IP 地址变长发送方的的 IP 地址目的硬件件地址变长目的主机机的硬件件地址目的 IIP 地地址变长目的主机机的 IP 地址址当 ARRP 数数据包构构造完成成后，将将其向下下传递到到数据链链路层，然后发发送出去去。整个个ARPP 数据据包作为为有效载载荷在网网络中传传输。由由于地址址字段

43、的的信息是是变长的的，因此此整个AARP 数据包包的大小小是可变变的。但但其实一一个完整整的ARRP 数数据包是是非常小小的。2.2.4 AARP 缓存ARP 协议是是一种动动态地址址解析协协议，也也就是说说每进行行一次地地址解析析都要求求在网络络上互换换地址信信息。虽虽说ARRP 信信息包并并不大，但如果果每一个个IP 数据包包在网络络上的每每一跳都都这样做做，网络络上的压压力将会会达到无无法预料料的大。那么，相对于于简单的的直接映映射来说说，这种种方法既既耗费资资源又浪浪费时间间。总的的来说，ARPP 请求求信息包包发送出出去后，网络上上的每台台主机都都要把接接收到的的信息与与自己比比较一

44、下下，看是是否与之之匹配。动态地址址解析方方法效率率问题的的总体解解决方案案就是引引入地址址缓存。另外，为了降降低网络络交通的的压力，地址缓缓存也保保证了地地址解析析所耗费费的时间间非常少少。这也也是地址址缓存功功能从一一开始就就被写入入ARPP 协议议的重要要原因。ARP 缓存以以表的形形式保存存映射的的IP 地址与与MACC 地址址对，网网络中的的每个设设备管理理其自己己的ARRP 缓缓存表。有两种种方式向向ARPP 缓存存表中写写入数据据：(1)静静态ARRP 缓缓存：在在进行动动态解析析时人工工向ARRP 缓缓存表中中添加记记录信息息，并在在缓存中中永久保保存。静静态记录录一般由由AR

45、PP 管理理软件进进行管理理。(2)动动态ARRP 缓缓存：该该方式在在经过AARP 地址解解析后，IP 地址与与MACC 地址址对由软软件自动动填写入入ARPP 地址址缓存中中。他们们在ARRP 地地址缓存存中仅保保存一段段时间，之后便便从中删删除。一个设备备的 ARPP 缓存存中包括括动态和和静态的的记录，每种记记录方式式都有其其优点与与缺点。但在大大多数情情况下使使用动态态ARPP 缓存存记录，因为它它是自动动添加，而且不不会牵涉涉管理员员的经历历。在规范网网络中，静态 ARPP 缓存存记录得得到很好好的应用用，但这这种方法法的缺点点就是需需要人工工添加记记录，并并且一旦旦MACC 地址

46、址或IPP 地址址有变更更需要人人工修改改。每条条静态记记录都会会占据缓缓存表的的空间，因此，缓存表表中静态态记录数数量有限限，不能能使用太太多静态态记录。动态记录录是自动动添加进进缓存的的，不需需要人工工添加和和人工服服务。但但动态记记录不可可能永远远保存在在缓存中中，因为为随着网网络情况况的变化化，保存存在缓存存中的静静态记录录会因无无效而失失去作用用。假设主机机 A 的ARPP 缓存存中保存存着另一一网络主主机B 的动态态映射，如果动动态记录录永远保保存在缓缓存表中中，下列列情况就就会发生生：(1)主主机的硬硬件发生生改变：若主机机B 更换换了网卡卡，由于于记录中中的MAAC 地地址不会

47、会再出现现，主机机A 的ARP 缓存中中保存的的动态映映射信息息变为无无效。(2)主主机的IIP 地地址发生生改变：如果设设备B 的IP 地址发发生了改改变，保保存在设设备A 中的映映射记录录也会变变为无效效。(3)设设备被移移除：如如果设备备B 从网网络中移移除，设设备A 不需要要再向它它发送信信息，但但映射记记录仍旧旧保存在在设备AA 的地地址缓存存中，这这样不仅仅浪费缓缓存空间间，而且且还会在在设备AA 查询询缓存表表时耗费费时间。为了避免免这些问问题的出出现，将将动态地地址记录录设置一一定的生生存周期期，一般般为100 分钟钟或200 分钟钟。规定定时间过过后，记记录自动动从缓存存中删

48、除除，下次次再通信信就需要要刷新缓缓存。相相对于静静态记录录，这种种方法在在效率上上仅存在在微乎其其微的差差距，每每10分钟钟或200 分钟钟发送两两个288 字节节的信息息对网络络几乎没没有任何何影响。如果主机机 A 初次次开始地地址解析析时发送送一个标标准的AARP 申请，在网络络中每个个接收到到申请信信息的主主机都需需要刷新新自己的的ARPP 缓存存记录。然而，第三方方设备不不必为设设备A 创建新新的缓存存记录。从对主机机 A 进行行地址解解析的角角度来说说，为主主机A 创建新新的缓存存记录可可以为以以后的通通信提供供方便，但这意意味着网网络中所所有设备备的ARRP 缓缓存表会会很快被被

49、其他主主机的地地址解析析信息填填满。有有些主机机可能会会创建这这样的缓缓存记录录，但一一定会把把这些记记录设置置好有效效期，以以避免缓缓存表被被填满。2.2.5 代理 AARP在同一网网络中连连接的设设备通过过ARPP 协议议进行通通信。网网络中的的每台主主机都可可以向其其他主机机发送单单播或广广播信息息。通常常情况下下，如果果主机AA 和主主机B 被路由由器分开开，主机机A 就不不能与主主机B 直接通通信。他他们会通通过数据据链路层层先向路路由器传传输信息息，根据据IP 地址经经过两跳跳到达主主机B。与一般情情况不同同的是，有些网网络是由由两个网网络通过过路由器器连接组组成的，两个网网络具有

50、有相同的的IP 地址段段和子网网掩码。也就是是说，主主机A 和主机机B 在数数据链路路层分别别处于不不同的局局域网，但却具具有相同同的IPP 地址址段。因因此，当当发送IIP 数数据包时时，主机机A 与主主机B 都认为为对方和和自己处处于同一一个局域域网。如如果主机机A 要向向主机BB 发送送数据包包，可它它的地址址缓存中中并没有有主机BB 的MACC 地址址，则主主机A 只好进进行地址址解析。但实际际上主机机B 与主主机A 并不在在同一个个局域网网中，连连接两个个网络的的路由器器并不会会自动将将主机AA 的广广播发给给主机BB 所在在的网络络，主机机B 也不不回接收收到来自自主机AA 的请请

51、求，因因此主机机A 不会会接到包包含主机机B 的MACC 地址址的回复复。对这种情情况所作作的 ARPP 的改改进称作作ARPP 代理理。架在在两个局局域网之之间的路路由器用用来代表表主机BB 回复复主机AA 的广广播，它它告之主主机A 的并不不是主机机B 的MACC地址，即主机机A 不可可能直接接与主机机B 通信信。而路路由器告告诉主机机A 的是是路由器器本身的的MACC 地址址。如果果主机AA 想与与主机BB 通信信，主机机A 先向向路由器器发送信信息。反反过来的的过程也也是一样样的。路路由器并并不自动动转发AARP 广播，它只作作为一个个ARPP代理设设备。ARP 代理的的优势就就是允许

52、许通信双双方可以以处于不不同的局局域网。当它也也有缺点点，首先先，它增增加了复复杂度。其次，如果两两个有相相同IPP 地址址段的网网络中间间出现多多个路由由器，那那么问题题就会升升级。AARP 代理同同样会带带来潜在在的安全全问题。因此，ARPP代理应应该被重重新规划划设计，并尽可可能在两两个局域域网中架架设一个个路由器器。2.3 ARPP 欺骗骗2.3.1 AARP 欺骗原原理当IP 数据报报准备发发送时，由数据据链路层层将它封封装入以以太网数数据帧，然后才才能在以以太网中中传送。然而在在封装过过程中，数据链链路层并并不知道道以太网网数据帧帧头中目目的主机机的MAAC 地地址。唯唯一的信信息

53、是IIP 数数据报头头中的目目的主机机的IPP 地址址。为了了找到与与目的主主机IPP 地址址相对应应的MAAC 地地址，根根据地址址解析协协议(AARP)，源主主机会以以广播的的形式发发送一个个ARPP 请求求以太网网数据帧帧给以太太网上的的每一个个主机。ARP 请求数数据帧中中包含目目的主机机的IPP 地址址，只有有具有此此IP 地址的的主机收收到这份份广播报报文后，才会向向源主机机回送一一个包含含其MAAC 地地址的AARP 应答。并且为为了尽量量减少广广播ARRP 请请求的次次数，每每个主机机都有一一个ARRP 缓缓存，这这个缓存存存放了了最近的的IP 地址与与MACC 地址址之间的的

54、映射记记录。主主机每隔隔一定时时间或者者当收到到ARPP应答，就会用用新的地地址映射射对更新新ARPP 缓存存。因为为ARPP 是一一个无状状态协议议，所以以对于大大多数操操作系统统来说，如果收收到一个个ARPP 应答答，它们们不管自自己是否否在此之之前曾经经发出AARP 请求，都会更更新自己己的ARRP 缓缓存。这这就为系系统安全全留下了了很大的的隐患。ARPP 欺骗骗的核心心思想就就是向目目标主机机发送伪伪造的AARP 应答，并使目目标主机机根据应应答中伪伪造的IIP 地地址与MMAC 地址之之间的映映射对，更新目目标主机机ARPP 缓存存。假设设S 代表表源主机机，即将将要被欺欺骗的主主

55、机；DD 代表表目的主主机，源源主机SS 本来来是向它它发送数数据的；A 代表表攻击者者主机，进行AARP 欺骗。假设主主机A 已知主主机D 的IP 地址，于是它它暂时将将自己的的IP 地址改改为主机机D 的IP 地址。当源主主机S 想要向向主机DD 发送送数据时时，假设设目前其其ARPP 缓存存中没有有关于目目的主机机D 的记记录，那那么它首首先在局局域网中中广播包包含主机机D 的IP 地址的的ARPP 请求求。但此此时攻击击者主机机A 具有有与目的的主机DD 相同同的IPP 地址址，于是是分别来来自攻击击者主机机A 与目目的主机机D的ARPP 响应应报文将将相继到到达源主主机S。此时时，攻

56、击击者主机机A 是否否能够欺欺骗成功功就取决决于源主主机S 的操作作系统处处理重复复ARPP 响应应报文的的机制。不妨假假设该机机制总是是用后到到达的AARP 响应中中的地址址对刷新新缓存中中的内容容。那么么如果攻攻击者主主机A 控制自自己的AARP 响应晚晚于目的的主机DD 的ARPP 响应应到达源源主机SS，源主主机S 就会将将如下伪伪造映射射：将目目的主机机D 的IP 地址对对应攻击击者主机机A 的MACC 地址址，保存存在自己己的ARRP 缓缓存中。在这个个记录过过期之前前，凡是是源主机机S 发送送给目的的主机DD 的数数据实际际上都将将发送给给攻击者者主机AA，而源源主机SS 却毫毫

57、不察觉觉。或者者攻击者者主机AA 在上上述过程程中，利利用其它它方法直直接抑制制来自目目的主机机D 的ARPP 应答答将是一一个更有有效的方方法而不不用依赖赖于不同同操作系系统的处处理机制制。进一一步分析析，攻击击者主机机A 可不不依赖于于上述过过程，直直接在底底层伪造造ARPP 响应应报文来来达到同同样的欺欺骗目的的。2.3.2 AARP 欺骗的的攻击方方式ARP 攻击发发生时，攻击者者利用地地址解析析协议本本身的运运行机制制发动攻攻击行为为。包括括进行对对主机发发动IPP 冲突突攻击、数据包包轰炸，切断局局域网上上任何一一台主机机的网络络连接等等9。ARP 欺骗的的攻击方方式有如如下几种种

58、：(1)中中间人攻攻击：中中间人攻攻击就是是攻击者者将自己己插入两两个目标标主机通通信路径径之间，使它如如同两个个目标主主机通信信路径上上的一个个中继，这样攻攻击者就就可以监监听两个个目标主主机之间间的通信信。其过过程如下下：C 侵染目目标主机机A 与B 的ARPP 缓存存，使得得当A 向B 发送送数据时时，使用用的是BB 的IP 地址与与C 的MACC 地址址，并且且当B 向A 发送送数据时时，使用用的是AA 的IP 地址与与C 的MACC 地址址。因此此，所有有A 与B 之间间的通信信数据都都将经过过C，再由由C 转发发给它们们。如果果攻击者者对一个个目标主主机与它它所在的的局域网网的路由

59、由器实施施中间人人攻击，那么攻攻击者就就可以窃窃取网络络上与这这个目标标主机之之间的全全部通信信数据，并且可可以对数数据进行行窜改和和伪造。但动态态映射对对存在过过期的问问题，而而且主机机A 与B 之间间也会进进行正常常的ARRP 数数据包交交互。要要解决这这个问题题，主机机C 可以以选择比比较小的的时间间间隔持续续发送伪伪造的数数据包，这样就就可以使使主机AA 与B 之间间的通信信一直中中断。(2)IIP 地地址冲突突9：主机机发送更更改的AARP 报文，将伪装装的MAAC 地地址映射射到目标标主机的的IP 地址，制造出出局域网网上有另另一台主主机与受受害主机机共享一一个IPP 地址址的假象

60、象，系统统会检测测到两个个不同的的MACC 地址址对应同同一个IIP 地地址，由由于违反反了唯一一性要求求，出现现了IPP 地址址冲突，受害主主机会自自动向用用户弹出出警告对对话框。最终导导致被攻攻击主机机无法正正常上网网。(3)拒拒绝服务务攻击8：拒绝服服务攻击击就是使使目标主主机不能能正常响响应外部部请求，从而不不能对外外提供服服务的攻攻击方式式。如果果攻击者者将目标标主机AARP 缓存中中的MAAC地址址全部改改为根本本就不存存在的物物理地址址，那么么目标主主机向外外发送的的所有以以太网数数据帧会会丢失，使得上上层应用用忙于处处理这种种异常而而无法响响应的外外来请求求，也就就导致目目标主