交换机环境下ARP欺骗检测的新方法.pdfVIP

电子发烧友 电子技术论坛 交换机环境下ARP 欺骗检测的新方法 孔政，姜秀柱 （中国矿业大学计算机科学与技术学院 徐州） 摘要：本文集中讨论了一个关于在交换机构建的环境下降低ARP 欺骗威胁的新方法。首先， 文章简要地介绍了ARP 协议，并指出了该协议的漏洞，在此基础之上叙述了ARP 欺骗是如 何完成的，即ARP 欺骗的原理；然后，针对这种攻击提出了一种 ARP 欺骗检测的新方法, 即SACT 方法；最后，对于此方法进行了深入的分析，并得出了此方法是有效的方法的结论。 关键字：ARP 欺骗，侦听软件，SACT 中图分类号：TP393.08 文献标识码：A New Method of ARP Spoofing Detection in Switched Environment Kong Zheng, Jiang XiuZhu (Department of Computer Science and Technology, China University of Mining and Technology, Xu Zhou) 【Abstract 】This paper focuses on a new method to mitigate the threat of ARP spoofing. At first, the paper briefly introduces the ARP protocol and points out the security leak of the protocol; moreover, a new method to detect ARP spoofing is brought forward; finally, it analyses the method deeply and gets conclusion ，which the method is effective one. 【Keywords 】ARP spoofing, Sniff Software, SACT 1.概述 侦听软件往往被认为是对局域网内部安全的严重威胁。在非交换机局域网环境下，只要 某主机的网卡被设置为“混杂”模式，这个网络环境下的所有网络数据包都可以被该主机的侦 听软件接收到；又由于许多协议采用的是明文，侦听者很可能进一步得到诸如用户名和密码 等敏感信息，从而威胁到网络安全。从某种程度上来说，把集线器换成交换机可以较为有效 地降低侦听软件的威胁。但是，现在仍然可借助像“ARP 欺骗”之类的所谓“ 中间人”技术侦 听到网络上的数据包。对于ARP 欺骗的防范，可谓莫衷一是，目前国内外尚没有统一的有 效的防范措施，大致可分为两种：一种是通过交换机的网管功能来进行限制；另一种是在各 个用户端进行检测，本文提出的方法属于后者。 2.介绍 那么，ARP 欺骗是如何在交换机构建的网络环境下完成的呢？下面假设一个简单的网 络环境，分别对ARP 协议和ARP 欺骗的原理进行说明。目前，大多数局域网采用以太网技 术，其主要通过MAC 地址进行寻址的。ARP （Address Resolution Protocol ，地址解析协议） 用来将目标IP 地址转换成目标MAC 地址。例如，有三台主机（主机A 主机B 和主机C， 如图1）共同连接在同一台交换机上。 2.1 ARP 协议的工作原理 假设，A 要和C 进行通信，ARP 协议的工作过程大概可以分为三个步骤： 第一步：A 首先会检查自己的ARP Cache 表，如果发现里面有对应的C 的MAC 地址， 则直接进行通信；否则，发出ARP 请求包，其目标地址为广播地址。再假设，A 的ARP Cache 表里没有对应的C 的MAC 地址。随之，A 会发出ARP 请求包。 第二步：同一个广播域的B 和C 都会收到A 发来的ARP 请求包，B 抛弃，C 响应并发 出ARP 应答包，目标地址为A 。A 收到C 的ARP 应答包，更新自己的ARP Cache 表，添 加一条关于C 的IP 地址和MAC