【ARP攻击的技术原理及防范措施探究5000字（论文）】

ARP攻击的技术原理及防范措施研究目录TOC\o"1-2"\h\u15466ARP攻击的技术原理及防范措施研究 1586一.引言 122478二.ARP工作原理 2130662.1.以太网中的ARP协议简介 2231502.2.ARP协议原理 25037三.利用虚拟机进行ARP过滤测试 624623.1.测试环境搭建 6294243.2.功能测试 912743.3测试报告和总结 115771四.总结和展望 1213758参考文献 13摘要：ARP协议负责实现IP地址到网络接口硬件地址的映射，是计算机网络运行的基础协议之一，它最早运行在可信局域网之上。而今，局域网已经不再是可信网络，因而，ARP运行中出现了一些不安全因素。目前在网络上已经出现了很多利用ARP协议进行黑客攻击的行为，给网络安全造成了很大的影响，本文将对这一问题给出一个全面深刻的剖析，并给出一个有效的解决方案。关键词：ARP；虚拟机；ARP过滤一.引言ARP协议是一个基础协议，它的应用非常广泛。ARP由IP层复用，用于解析局域网内任意合法第3层协议地址和第2层硬件地址之间的映射关系。ARP协议工作在局域网中，早期的协议设计者认为局域网是可信赖的，同时为了考虑传输效率，没有加入安全机制。现在的网络规模已经今非昔比，局域网已经不再是原始意义上的局域网络，但ARP协议仍然扮演着同样重要的角色，攻击者正是利用了这一特点，利用该协议实现攻击目的。ARP欺骗攻击通过伪造IP地址和MAC地址映射来实现，它造成目标主机ARP高速缓存信息错误，从而影响网络通信、实施网络欺骗。二.ARP工作原理2.1.以太网中的ARP协议简介IEEE的802标准委员会和802项目组定义了两种主要的LAN传输方法—以太网和令牌环网。以太网在IEEE8023规范中被定义为LAN标准，令牌环网则在IEEE802.5规范中定义。这两种方法的使用范围都很广泛，本文的研究针对以太网进行。以太网利用了总线和星形拓扑结构的优点，采用了CSMA/CD技术，网络上想要发送帧的结点与另外的结点竞争资源，没有哪个结点的优先级比其他结点高，帧按照物理地址查找其特定的目标，以太网通过一个广播信道向所有结点发送数据，处于同一广播域的结点都会收到该数据。虽然每台主机都由一个IP地址，但是IP地址是运行TCP/IP协议机器的通用标识，IP地址自身不能使报文到达其目的地，数据传输必须依靠网络适配器唯一的硬件地址，该地址也被称为MAC地址或者数据链路地址，该地址通常在网络适配器生产厂家唯一编址，具有全球唯一性。以太网中的硬件地址采用48位长度表示，ARP协议为IP地址到对应的硬件地址之间提供动态映射，因此，担负IP地址和硬件地址转换的ARP协议具有非常重要的地位。2.2.ARP协议原理ARP协议起初是为DEC/Intel/Xerox的10兆以太网设计的，现在己允许用在其它类型的网络上。当来自上层的数据要发送时，需要知道目标主机的硬件地址，这时就需要通过IP地址找到相应的硬件地址，网络接口输出函数会调用ARP协议进行ARP解析。ARP解析函数发送ARP请求(作为广播包发送)，目标主机收到ARP请求后发送ARP应答(作为单播包发送)，当发送主机收到ARP应答后就可发送数据。为了避免频繁发送ARP请求和应答，实现时在主机中都会有一个ARP高速缓存用来存放己经解析成功的ARP信息，所以通常数据发送前先查找ARP高速缓存，找不到时才会发送ARP请求。1．ARP分组格式RFC826定义了ARP分组的格式，在以太网上使用的ARP分组格式见图2-1。该分组由以太网首部和以太网ARP字段两部分组成。图2-1以太网A丑P分组格式(1)以太网首部:以太网首部包括以太网目的地址、以太网源地址和帧类型三部分，以太网目的地址是通信目的端的MAC地址，长度为48位，目的地址为全1则是广播地址，这时，电缆上的所有以太接口都要接收此数据并进行处理。以太网源地址是通信源端的MAC地址，长度为48位。帧类型表示以太网首部所携带数据的类型，如果是IP帧则为ox0800，如果是ARP帧则为0x0806。(2)以太网ARP字段:包括ARP首部和ARP数据两部分。其中ARP首部包括硬件类型、协议类型、硬件地址长度、协议地址长度和操作码五部分，硬件类型字段值为1表示是以太网地址，协议类型字段值为ox0800表示IP地址，硬件地址长度为6表示是以太网硬件地址，协议地址长度字段值为4表示是IP地址，操作码指出了ARP操作的四种类型，其中ARP请求值为1，ARP应答值为2，RARP请求和应答分别人3和4(可参见RARP协议的相关资料，本文不进行介绍)；ARP数据部分包括了发送方硬件地址、发送方IP地址、目的硬件地址和目的IP地址，它们根据不同情况进行填充，ARP请求包填充除目的硬件地址以外的所有数据，而ARP应答数据则填充全部数据。2.ARP发包和收包流程(1)发包①当网络层往下传来一个包，路由选择将确定该包下一跳的协议地址(目的主机的IP地址)，为了正确发送该数据包，必须知道目的主机的硬件地址，这时就需要进行IP地址到MAC地址的解析，为此需要发送ARP请求，即发送一个帧类型字段为0xO806的以太网包，该包中以太网目的地址全为1(ARP请求以广播形式发送)，除了目的硬件地址外全部填充，其中以太网源地址、发送者硬件地址和发送者IP地址填充本机的信息，ARP操作码填充1，协议地址长度填充4，硬件地址长度填充6，目的IP地址填充路由确定的下一跳协议地址，目的硬件地址的值是想要得到的值。ARP请求包会被广播到所有在以太网电缆上的主机，如果目的主机得到该ARP请求包则会发送一个ARP应答包，如果一定时间没有收到ARP应答包，则会继续发送若干次，如果还没有收到应答包，则认为该主机不可达到，停止发送ARP请求。为了提高通信效率，通常主机中会保存已经解析到的IP和MAC地址的映射，通常称之为ARP高速缓存。它保存了IF索引(物理接口索引)、IP和MAC地址的映射，以及该映射的类型信息等，类型有4种可能的值，值2意味着表项是无效的，值3意味着映射是动态的(表项可能改变)，值4说明是静态项(表项不变化)，值1意味着不是上面的任何一种情况。动态表项有一定的生存期，动态ARP表项如果在一定时间没有被使用，则会因超时被删除，如果在生存期内被使用，则生存期会被重置为最大值。通常，在数据发送前先会查找ARP高速缓存寻找相应的MAC地址，如果没有找到才会发送相应的ARP请求。②免费ARP主机在启动时会主动发送一个ARP请求包，该包中发送端的协议地址和目的端的协议地址一致。免费ARP包可以检测在以太网中是否存在IP地址冲突，可以使其他机器更新其相应信息，使得网络通信快速恢复。如果发送免费ARP的主机正好改变了硬件地址(有可能是更换网络适配器，然后重新启动)，那么这个免费ARP就可以使其它主机ARP高速缓存中旧的硬件地址进行相应的更新。(2)收包①当接口收到ARP请求包后会进行检查，检查该包的硬件地址类型及长度和协议地址类型及长度是不是符合本接口，如果符合，那么在ARP高速缓存中查找发送者IP地址相关的映射，如果找到一个相符的表项，那么更新此表项(覆盖原来的硬件地址为新的硬件地址)。②判断本机是不是通信的目标主机，如果是，并且没有进行过①中的更新，那么更新ARP高速缓存。③如果收到的是一个ARP请求，那么生成一个相应的ARP应答包，并且将这个ARP应答包发送给对方，ARP应答包以单播的形式发送，它填充了ARP包中的所有内容。三.利用虚拟机进行ARP过滤测试3.1.测试环境搭建驱动程序运行在内核模式下，拥有操作系统的最高权限，在用户模式下的各种保护措施，在内核模式下都没有。驱动程序的设计缺陷可能导致系统崩溃，另外，ARP欺骗也有可能干扰网络的正常运行，因此利用宿主计算机和虚拟机进行ARP过滤测试。1.宿主计算机表3-1给出了宿主计算机的主要配置情况2.虚拟计算机计算机虚拟机是指可以在某种类型的计算机中模拟出另外一种计算机的硬件环境，并能在虚拟的计算机中运行另外一种操作系统及应用软件的虚拟机。典型的虚拟机软件有VMware和VirtualPC，本文采用VMWare软件建立虚拟机。VMware安装完成后会在宿主机中安装两块虚拟网卡，分别是“VMWareVirtualEthernetAdapterforVMnetl”和“VMwareVirtualEthemetAdapterforVMnets”，它们用于建立宿主机和虚拟机之间的网络连接。安装的虚拟网卡也会创建两个网络连接，网络连接中的详细信息见图3-1。图3-1VMware安装后的网络连接信息虚拟机软件将部分内存和硬盘空间划分出来运行虚拟的操作系统及其应用程序，表3-2列出了新建虚拟机的主要配置情况。表3-2新建虚拟机的主要配置情况虚拟机的虚拟网络适配器选择“Usebridgednetworking”选项，这样创建的虚拟机和宿主机在局域网建立连接，并且可以自动从DHCP服务器获得IP地址。在虚拟机中安装完Windows操作系统以后，需要安装VMWareTools组件以帮助虚拟机很好地运行。VMWare软件运行见图3-2。图3-2虚拟机运行图3.通信连接设置(1)由于宿主计算机没有COM口，而WinDbg双机调试操作中使用COM口连接，所以需要在宿主计算机中虚拟一个COM口，因此采用软件VSPM进行。VSPM软件是一款免费软件，它可以将TCP/IP连接、UDP广播，映射成本机的虚拟COM口，应用程序通过访问虚拟串口，就可以完成远程控制、数据传输等功能。在测试中，虚拟COM口软件VSPM设置运行在serve膜式，并且本地监听地址为58.206.176.213:6019，VSPM运行情况见图3-3。图3-3VSPM软件虚拟的COM口(2)winDbg的运行参数设置为:-kcom:port=\\.\pipe\com_1，baud=11520，pipe。除此之外，调试时还要进行工作路径、符号文件等的设置。(3)在虚拟计算机中添加COM口(见图3-2)，设置为“outputtonamedpipe”，设置COM口的速度为115200。添加调试运行模式:修改boot.ini文件，增加新的启动菜单选项:multi(0)disk(0)rdisk(0)partition(1)\WINNT=MicrosoftWindows2000Professional-debug”/fastdetect/debug/debugport=coml/baudrate=115200。这样在虚拟机中选择调式模式并等待WinDbg连接，就可以顺利实现双机调试。3.2.功能测试1.数据包过滤测试在表3-3列出了主要的测试数据，为了表述方便，表中采用了相应的记号。除表中列出的字段外，一个完整的ARP帧中还包括一些其它字段，如帧类型(0x0806)、硬件类型(1)、协议地址类型(0x0800)及长度(4)等，这些字段的值在测试环境中为固定值，这里不进行列举。其中发送ARP请求时硬件地址长度为0，这时的目的硬件地址也为全O，ARP应答包中的硬件地址长度为6。以下是测试中各个主机的参数和相应的记号:(1)宿主机PC1为攻击发起者，IP1(58.206.176.213)，MAC1(00-03-OD-49-AS-53)；(2)虚拟机PC2为被攻击对象，IP2(58.206.176.241)，MAC2(00-50-56-CO-00-01)；(3)网关计算机PC3，IP3(58.206.176.1)，MAC3(00-03-OF-OE-42-32)；(4)广播地址表示为MAC4(FF-FF-FF-FF-FF-FF)；(5)一个不存在的MAC地址表示为MACS(00-11-22-33-44-53-66)。(6)需要查询的MAC地址初始为全0，表示为00。在表3-3中列出的主要测试数据涵盖了本文中发现的所有情况，PC1作为发送者，PC2作为接收者，进行表中1-7的测试，PC1作为接收者，PC2作为发送者进行表中8-12的测试。测试中的ARP包发送通过saiffer软件进行，本文采用的是SnifferProtable4.70.530版。表3-3主要测试数据2.数据过滤情况在虚拟机安装过滤驱动程序和用户程序，启动用户程序以后，进行测试。利用sniffer分别发送测试数据包，可以看到，所有假冒数据都被成功过滤，PC2的ARP缓存也没有发生变化。用户程序运行结果见图3-4。图3-4用户程序运行图3.3测试报告和总结在测试中，从WinDbg可以跟踪驱动程序的运行、观察驱动程序所有操作的调试信息，通过这些调试信息可以看到，除了测试时通过sniffer发送的伪造包外，网络上还有一些其它的ARP包(包括部分主机发送的针对其它主机的请求包和部分的伪造包)，所有伪造包和本机非目的ARP数据包都被过滤，因此，用户程序提取的数据显得比较杂乱(本机非目的主机占了很大部分)。在整个测试过程中，正常数据包可以顺利通过，伪造包被成功过滤，网络通信不受过滤驱动程序的影响。在用户程序的显示界面中，可以看到过滤驱动程序成功实现了ARP欺骗包的拦截过滤，被攻击计算机的ARP高速缓存没有发生改变，计算机的网络性能也没有发生明显的变化。总的来说，过滤驱动程序顺利实现了ARP数据包的过滤，保护了主机中ARP高速缓存的安全，从而有效保护了主机不受ARP病毒的侵犯，保护了主机网络的安全和畅通。因此，本文对ARP的研究达到了预期的目的，研究结论正确无误，可以作为针对ARP安全防范的依据。四.总结和展望随着计算机网络技术的发展，网络安全问题层出不穷，对于安全问题的防范有很多的做法，但从问题的根本出发来解决效果会更好。目前，对ARP欺骗的研究很多，关于ARP欺骗的防护软件也很多，但它们主要是基于对ARP高速缓存的保护，这些软件通常工作