ARP攻击与园区网安全技术研究.docVIP

ARP攻击与园区网安全技术研究 　　摘要：详细介绍了ARP泛洪、地址欺骗和中间人等常见的攻击方式及其原理。在VC++ 6.0下，基于WinPcap库和多线程技术，实现了ARP攻击的基本过程，并根据ARP攻击技术提出了园区网安全防御措施。 　　关键词：ARP攻击；WinPcap；网络安全 　　中图分类号：TP309.7文献标识码：A文章编号：1672-7800（2013）006-0125-02 　　作者简介：王素红（1980-），女，硕士，中北大学电子与计算机科学技术学院助教，研究方向为通信与信息系统。 　　0引言 　　目前的园区网通常运用ARP协议来完成IP地址转换为MAC地址。而ARP协议工作原理和机制给网络带来了一类安全问题——ARP攻击。要有效防范ARP攻击，必须了解ARP攻击技术的原理和攻击过程，并进行ARP攻击模拟，才能正确判断网络故障的类型，从而进行可靠的网络安全管理，因此，研究并模拟ARP攻击对园区网络安全具有极其重要的意义。 　　1ARP攻击技术 　　1.1ARP攻击实质及安全漏洞 　　ARP攻击的实质是刷新某台主机的ARP缓存表，让其内写入错误的IP地址与MAC地址的映射关系。 　　ARP安全漏洞主要体现在ARP高速缓存表和其无安全机制性。ARP高速缓存表利用动态更新机制及时地淘汰过时的IP-MAC记录，但如果使虚假的IP-MAC记录取代正确的IP-MAC记录存储在ARP缓存表中，从而使正确的报文不能被用户或者网关截获，就实现了对相应主机的ARP欺骗。同时ARP接收方不会对收到的IP-MAC记录进行检验，同时接收方的ARP进程还会自动将其中的IP-MAC地址记录更新到本地ARP缓存中，这也就是ARP安全漏洞的本质——无安全机制性。 　　1.2ARP泛洪攻击和中间人攻击 　　ARP泛洪攻击是黑客利用攻击软件，发送大量虚假的ARP请求和响应，使合法用户的ARP缓存表溢出，正常通信中断。ARP中间人攻击是黑客通过截获两台主机之间的ARP数据报文并进行修改，监听两台主机间的通信。 　　2ARP攻击模拟 　　2.1ARP攻击系统设计 　　ARP攻击模拟系统将根据扫描所得的网络适配器的实际情况和用户的选择对园区网内的主机进行相应的攻击操作，并同时对攻击结果进行分析，最后将结果回显给用户。 　　由于在Windows平台下，系统对网络底层的内核级封装，使得直接利用系统难以进行有效的网络数据包捕获，在此选取第三方网络软件包WinPcap提供的驱动接口，在数据链路层实现对网络数据流的截获、分析，模拟ARP攻击，并实现实时监测网络状态。 　　本系统底层是WinPcap的两个DLL文件（packet.dll，wpcap.dll），DLL文件可以在VC++ 6.0平台上调用并加强平台功能，最上层为Try. Exe可执行文件。 　　2.2ARP攻击系统流程 　　ARP欺骗线程和ARP转发线程组成了系统的基本流程。为了使程序能够实现无遗漏地捕获数据包，采用多线程技术，系统多线程流程见图1。 　　2.3ARP攻击系统实现 　　2.3.1ARP泛洪攻击实现 　　首先判断目标主机是否与本机在同一子网内，其次创建线程进行ARP响应报文的封装，之后向子网广播虚假ARP响应包，将目标计算机的“新”MAC地址告知子网内所有在线的活动主机，使目标计算机无法正常接收数据。相关代码如下： 　　（1）判断目标计算机与本机是否在同一子网内。 　　（2）封装虚假的ARP响应报文。 　　（3）广播虚假ARP响应包。 　　2.3.2关于ARP中间人攻击的实现 　　实现ARP中间人攻击的设计目标是让本机充当中间人，使目标计算机与网关之间的信息需经过本机，由本机进行转发，同时在攻击结束之后，分别向网关和目标主机发送正确的ARP报文，保证目标计算机与网关之间正常通信。相关代码如下： 　　3园区网安全技术防御 　　为防范ARP攻击，满足园区网在移动性、安全性、高质量等方面管理需求，可从以下几个方面进行防御。 　　（1）接入设备。接入设备可能受到的攻击类型为仿冒网关、ARP中间人攻击和ARP泛洪攻击。针对这三种攻击可以采用的防范措施为：①针对仿冒网关攻击：对ARP报文的合法性进行检查，如果合法则进行后续处理，如果非法则丢弃报文；②针对ARP中间人攻击：对ARP报文的合法性进行检查，如果合法则进行后续处理，如果非法则丢弃报文；③针对ARP泛洪攻击：对上送CPU的ARP报文进行限速，可以防止大量ARP报文对CPU进行冲击。 　　（2）网关设备。网关设备可能受到的攻击类型为ARP中间人攻击和ARP泛洪攻击。针对这两种攻击可以采用的防范措施为：①针对ARP中间人攻击：通过合法方式建立正确的ARP表项，并阻止攻击者修改