ARP协议的安全缺陷及改进重点详解.ppt

ARP协议的安全缺陷及改进 组员： ARP协议的安全缺陷及改进 1.ARP协议概述 2.ARP协议的缺陷 3.目前的一些改进技术 4.我们提出的改进方法 5.方法对比 ARP协议概述 ARP协议： ARP（AddressResolutionProtocol）地址解析协议用于将计算机的网络地址（IP地址32位）转化为物理地址（MAC地址48位）。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。 ARP 32bit IP地址 48bit MAC地址 ARP协议概述 ARP协议原理 A首先广播一个 ARP 查询报文，请求 IP 地址为IPB的主机回答其物理地址， ARP 查询包同时带有主机 A 的 MAC地址 MA、PA。收到 ARP 查询包后，网上所有主机将其 MAC 地址缓冲区中的主机 A 的 MAC 地址更新为刚刚收到的 ARP查询包中携带的地址MA，并将此 ARP 报文中要查询的 IP 地址（IPB）和自己的 IP地址比较，显然，主机 B 收到这 ARP 请求包后作出回答：向 A 发回一个 ARP 应答包，回答自己的物理地址 MB。在查询主机 B 的 ARP 查询包中包含有主机 A 的 MAC 地址，B采用点对点的方式将 ARP 应答包发送给主机 A。这样B与A建立了连接。 ARP协议的缺陷 A C D B 路由 PA MA PB PB MB ARP工作原理图 A与B建立连接如图所示： ARP协议的缺陷 ARP协议的缺陷： 没有对ARP报文来源是否合法进行验证，也不会检查ARP是否发送过相应的报文，造成的攻击主要有： 1.ARP 中间人攻击 “中间人”攻击策略是ARP 欺骗主要攻击方式。也是最危险的攻击方式。中间人攻击是指攻击者插入通信双方的连接中, 截获并转发双方的数据包的行为。通过这种行为, 攻击者可以探测到机密的信息, 甚至篡改信息的内容。 ARP协议的缺陷 B A C MA PB MA PC 中间人攻击示意图 A在B、C没有发送请求的情况下分别向B、C直接发送应答报文，分别携带MA PC 、MA PB。B、C更新缓存，A作为攻击者先后与A、C建立连接。最终使A成为了中间收听人。B、C之间的所有通信都要经过A。 中间人 ARP协议的缺陷 2.一请求，多回答 主机通过广播方式发送请求，网络中的所有其它主机都收到请求报文，并与自己的IP比对。如果存在恶意节点，即使IP地址与自己不匹配，也发出应答。这样，原主机将会受到多个应答报文，我们称这种方式为“一请求、多应答”。 ARP协议的缺陷 A C B D MA PA PB PB MB PB MD 攻击者 主机发送ARP请求报文之后，结果收到多个回答，这种方式使得主机混乱，无法辨别真假。 多回答攻击示意图 目前的一些改进技术 目前已有如下针对ARP 欺骗的一些方法： (1)静态ARP。 ARP 缓存表是可以动态改变的，如果使用静态ARP，在小型的局域网还是可以的，但其主要的缺点是不够灵活，如更换网卡，主机的加入和退出都要重新配置ARP表。 目前的一些改进技术 (2)会话加密。 在通信过程中采用加密技术，即使连接被截获，也不能够轻易获得有效数据，缺点是加密、解密过程相对来说比较消耗资源，性能较差。 （3）协议状态机 在ARP 协议中加入一个有限状态机，其目的是在协议中加上合法验证过程。状态机设计如图所示，产生任何ARP请求时，置初始状态为Initial，当成功发送ARP 请求后置状态Requested，在该状态时，可能会收不到应答而超时，重新进入Initial；收到ARP 应答时，进入Answered 状态，当ARP更新完成后，重新进入Initial；凡是重新回到Initial 状态时，都可以销毁该请求项。此方法没有解决“一请求，多应答”问题。 目前的一些改进技术 Initial Requested Answered 发送请求 超时 收到应答 更新ARP表 目前的一些改进技术 （4）