一种改进的ARP 协议欺骗检测方法.docVIP

一种改进的ARP协议欺骗检测方法 张洁 武装 陆倜 （北京信息科技大学 北京 100085） 摘 要 ARP协议欺骗作为一种交换式局域网中获取数据信息的方法，当用做攻击手段时，给网络安全带来了严重威胁。本文通过分析ARP协议的漏洞及ARP欺骗的原理，设计并实现了一种基于IP地址和物理地址标准对应库的ARP欺骗检测方法，达到了及时有效地检测出网络中存在的ARP欺骗报文的目的，实测表明效果良好，具有实用价值。 关键词：ARP协议，ARP欺骗，检测 A Checking Method of ARP Spoofing Zhang Jie Wu Zhuang Lu Ti (Beijing Information science Technology University, Beijing ,100085) Abstract ARP spoofing ,When used as an attack mean, it brings serious threats to the security of LAN. This paper analyzes the defects of ARP protocol and the basic principle of ARP spoofing. A method is designed and accomplished to monitor ARP spoofing packets, and this method is based on a standard corresponding database of IP address and MAC address. The testing of this method shows that it can work effectively and has a practical value. Keywords: ARP protocol, ARP spoofing, checking method  1、引言 ARP欺骗，即利用ARP协议的漏洞，通过向目标主机发送虚假ARP报文，来实现监听或截获目标主机通信数据的一种手段。但一旦将ARP欺骗用作非法目的，则会对网络用户及网络运行产生影响和破坏，如一些具有ARP欺骗功能木马病毒，不仅盗取网络用户的账户、密码等重要信息，还通过发送大量虚假ARP报文，使用户在上网过程中频繁掉线，造成网络的拥塞甚至大面积的网络瘫痪等，对网络的管理及其安全的维护提出了严峻的考验。 本文通过剖析ARP欺骗的原理，并针对ARP欺骗报文的特点，设计实现了一种有效检测ARP欺骗报文的方法。文中具体描述了该方法的设计原理及实现步骤等。 2、ARP协议欺骗 ARP地址解析协议（Address Resolution Protocol）的功能就是在IP地址和硬件地址（MAC地址）间提供动态映射，使网络节点间通信的数据帧能够在链路中正确传输。 2.1、ARP协议的漏洞 ARP协议的实现，是建立在网络中各主机相互信任的基础上的，且保证了ARP协议的高效运行，但其协议本身却存在漏洞：首先，ARP高速缓存表通常是动态更新的。源主机并不是每一次在发送数据前，都广播ARP请求报文，而是先查找高速缓存中的地址映射表，且该表中的每条地址映射关系都设有超时限制，它只保存最近的地址对应关系。其次，ARP协议是无状态的。即使没有发送ARP请求报文，主机也可以接收ARP应答，并且，只要该应答是有效的，主机就会刷新其高速缓存表。这样攻击主机就可以随时向目标主机发送虚假ARP应答报文，篡改其缓存表中的地址映射关系，进而截获其通信数据。 2.2、ARP欺骗的原理 根据欺骗对象的不同，ARP欺骗可以分为两种形式：假冒主机的ARP欺骗，主要截获同网段中不同主机间的通信数据；假冒网关的ARP欺骗，主要截获内网主机与外网的通信数据。其基本原理为：攻击主机C分别向通信主机A和B发送伪造的ARP应答报文。其中，发送给主机A的ARP应答报文中的地址对应关系为“MAC C——IP B”，发送给主机B的ARP应答报文中的地址对应关系为“MAC C——IP A”，主机A和B收到应答报文后，分别更新其缓存。当主机A和B再相互发送数据时，实际上均发送到了主机C。此时，为了不中断主机A和B之间的通信，主机C还需要将截获到的数据再转发给双方。另外，由于ARP缓存的超时限制，主机A和B还会定期广播ARP请求，寻求对方的MAC地址，为了防止其ARP缓存被正确更新，主机C也要以一定的时间间隔不断地向两者发送虚假ARP应答。至此，主机C以“中间人”的身份，成功地监听到