ARP协议的安全缺陷及改进

ARP协议的安全缺陷及改进组员：ARP协议的安全缺陷及改进

1.ARP协议概述

2.ARP协议的缺陷

3.目前的一些改进技术

4.我们提出的改进方法

5.方法对比

ARP协议概述ARP协议：ARP（AddressResolutionProtocol）地址解析协议用于将计算机的网络地址（IP地址32位）转化为物理地址（MAC地址48位）。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。ARP32bitIP地址48bitMAC地址ARP协议概述ARP协议原理

A首先广播一个ARP查询报文，请求IP地址为IPB的主机回答其物理地址，ARP查询包同时带有主机A的MAC地址MA、PA。收到ARP查询包后，网上所有主机将其MAC地址缓冲区中的主机A的MAC地址更新为刚刚收到的ARP查询包中携带的地址MA，并将此ARP报文中要查询的IP地址（IPB）和自己的IP地址比较，显然，主机B收到这ARP请求包后作出回答：向A发回一个ARP应答包，回答自己的物理地址MB。在查询主机B的ARP查询包中包含有主机A的MAC地址，B采用点对点的方式将ARP应答包发送给主机A。这样B与A建立了连接。ARP协议的缺陷ACDB路由PAMAPBPBMBARP工作原理图A与B建立连接如图所示：ARP协议的缺陷

ARP协议的缺陷：没有对ARP报文来源是否合法进行验证，也不会检查ARP是否发送过相应的报文，造成的攻击主要有：1.ARP中间人攻击“中间人”攻击策略是ARP欺骗主要攻击方式。也是最危险的攻击方式。中间人攻击是指攻击者插入通信双方的连接中,截获并转发双方的数据包的行为。通过这种行为,攻击者可以探测到机密的信息,甚至篡改信息的内容。ARP协议的缺陷BACMAPBMAPC

中间人攻击示意图A在B、C没有发送请求的情况下分别向B、C直接发送应答报文，分别携带MAPC、MAPB。B、C更新缓存，A作为攻击者先后与A、C建立连接。最终使A成为了中间收听人。B、C之间的所有通信都要经过A。中间人ARP协议的缺陷

2.一请求，多回答

主机通过广播方式发送请求，网络中的所有其它主机都收到请求报文，并与自己的IP比对。如果存在恶意节点，即使IP地址与自己不匹配，也发出应答。这样，原主机将会受到多个应答报文，我们称这种方式为“一请求、多应答”。ARP协议的缺陷ACBDMAPAPBPBMBPBMD攻击者?主机发送ARP请求报文之后，结果收到多个回答，这种方式使得主机混乱，无法辨别真假。多回答攻击示意图目前的一些改进技术目前已有如下针对ARP欺骗的一些方法：(1)静态ARP。

ARP缓存表是可以动态改变的，如果使用静态ARP，在小型的局域网还是可以的，但其主要的缺点是不够灵活，如更换网卡，主机的加入和退出都要重新配置ARP表。目前的一些改进技术(2)会话加密。

在通信过程中采用加密技术，即使连接被截获，也不能够轻易获得有效数据，缺点是加密、解密过程相对来说比较消耗资源，性能较差。（3）协议状态机在ARP协议中加入一个有限状态机，其目的是在协议中加上合法验证过程。状态机设计如图所示，产生任何ARP请求时，置初始状态为Initial，当成功发送ARP请求后置状态Requested，在该状态时，可能会收不到应答而超时，重新进入Initial；收到ARP应答时，进入Answered状态，当ARP更新完成后，重新进入Initial；凡是重新回到Initial状态时，都可以销毁该请求项。此方法没有解决“一请求，多应答”问题。目前的一些改进技术InitialRequestedAnswered发送请求超时收到应答更新ARP表目前的一些改进技术

（4）ARP欺骗检测服务器

其实现原理为:该服务器获取网段中的所有ARP应答报文,并假设这些报文是ARP欺骗报文,提取应答报文中的源IP地址后,服务器向该IP地址主机发送ARP请求,将得到的正确MAC地址与原应答报文中的MAC地址比较。若不一致,则原应答报文存在欺骗。当检测到欺骗应答报文后,服务器向被欺骗的主机发送正确的ARP应答,以恢复其缓存中的IP-MAC地址对应关系。但是,当网络中存在ARP攻击时,会出现大量ARP欺骗应答报文,并造成网络拥塞,如果采用上述的恢复机制,对每个欺骗报文都发送正确的ARP应答,只会加重网络负担,并且服务器在检验应答报文真实性时,也采取了主动发送ARP请求的方法,增加了一定的网络负载。改进方法1.终端处在关闭态时，不接受任何ARP应答报文2.当终端ARP请求发送成功，转换到开启态。并记录目的端的IP地址，例如：IP_a3.在开启态的时间t中，只接收源端IP地址为IP_a的应答ARP报文，经过时间t后,转到关闭态

一.针对“中间人”缺陷的解决关闭态开启态ARP请求发送成功超过时间t改进方法二.针对“一请求，多回答”缺陷的解决1.服务器开始工作时发送一个广播报文，通知各终端上报各自的IP地址和Mac地址2.收到IP地址和Mac地址后，建立一张映射表，每一条记录存放IP地址和Mac地址的对应CBA服务器改进方法3.当A遇到“一请求，多回答”的问题后，就立即向服务器发送询问报文，来询问IP_b地址所对应的Mac地址4.收到询问报文后，服务器根据IP_b地址来查询映射表，如果查询到则返回Mac_b，如果没查询到则询问其他服务器。若其他服务器也没查询到，则返回错误5.A收到回答后，若内容为Mac地址，则更新ARP缓存，若内容为错误，则放弃通信CBA服务器恶意B的请求报文B的应答报文C的恶意报文询问报文响应报文改进方法6.由于网络是动态变化的，所以必须保证服务器中映射表的有效性。由于ARP请求报文是广播的，而且包含源端IP地址和源端Mac地址。所以可以通过获取每个ARP请求报文中源端IP地址和源端Mac地址来保证映射表的有效性。7.在每条记录后面有个标志位。服务器会有个计时器，每经过时间T一轮回（T为ARP缓存更新间隔的2倍）。当标志位为1时，说明在时间T内收到了该记录的ARP请求报文；当标志位为0时，说明在时间T内没有收到该记录的ARP请求报文。改进方法（1）当发生终端更换时例如：B换成D。即：D替代了B的位址，D用的是B的IP地址，此时服务器的映射表必须相应改变。由于D新加入到网络中，只要D与其他终端通信或者ARP定时更新就会发送ARP请求报文，此时服务器就可以得到该报文，从而得到D的IP地址和Mac地址，然后和表中的每条记录比较，这时服务器发现D的IP地址和B的IP地址一样，就会向B和D分别发送点对点的试探报文。由于B不在了，所以服务器只收到了D的响应报文，服务器就将B记录删除，D记录写入，实现更新。改进方法IP_d=IP_bCBA服务器D请求报文B试探报文D试探报文D响应报文改进方法（2）当发生终端增加时例如：网络中增加了E由于E新加入到网络中，只要E与其他终端通信或者ARP定时更新就会发送ARP请求报文，此时服务器就可以得到该报文，从而得到E的IP地址和Mac地址，然后和表中的每条记录比较，这时每条都不一样，就增加一条记录。如果映射表已满，则依据每条记录后面的标志位决定。此时删除标志位为0的记录，然后将E的记录写入。改进方法CBA服务器E请求报文改进方法

（3）当发生终端减少时例如：A退出了网络此时服务器不做任何处理。由于A终端已退出网络，经过一段时间，A记录的标记必为0，会被替换，A的记录自然就删除了。方法比较1.与静态ARP相比，本方法采用动态ARP，灵活性高2.与会话加密相比，会话加密会增加终端资源消耗，不管是否受到攻击。本方法在没有ARP攻击时，终端只需要比较ARP应答报文的源IP地址；在受到攻击时，增加向服务器询问的开销。两者相比