ARP攻击防御解决方案(毕业论文).doc

******学院 毕业设计（论文） 论文题目 ARP攻击防御解决方案 学 生 *********************** 指导教师 ******* 学 院 ********** 专 业 ***************** 年 月 ARP攻击防御解决方案 摘 要 随着信息技术的高速发展，计算机网络逐渐覆盖全球，于此同时人们对网络的依赖性也逐渐增大，人们使用计算机网络交流也愈加普遍，网络内的资源也就越来越丰富，于是通过网络安全的漏洞获取非法利益的人也越来越多，使用的手段也愈加丰富。ARP攻击便是黑客攻击手段中运用非常普遍的一种，研究如何防范ARP攻击对网络安全的提高具有非常高的价值。 Abstract Along with the telematics speediness development,the Internet is degreesing to world,so people crescentingby the net,people communication with others by computerat large,the table is more and more in Internet，the peoplethat using hole to make unlawfuk advantages being more andmore,and the wises about the attack are much more.ARP attack is the familiar fashion in Hacker attacks.Disquisition how to keep away the ARP attack has enormous value. 关键字：ARP；ARP防护；ARP攻击；网络安全 目 录 1 背景介绍 3 1.1 网管仿冒 3 1.2 欺骗网关 3 1.3 欺骗终端用户 4 1.4 ARP泛洪攻击 5 2 ARP攻击的原理及其泛滥原因 6 3 解决方案介绍 7 3.1 认证模式 7 3.1.1 总体思路 7 3.1.2 认证模式之终端防护 7 3.1.3 认证模式之接入绑定 9 3.2 DHCP监控模式 10 3.2.1 总体思路 10 3.2.2 相关技术 10 ARP入侵检测机制 10 3.3 其他技术 13 3.3.1 基于网关IP/MAC的ARP报文过滤功能 13 3.3.2 ARP报文源MAC一致性检查功能 14 4 典型组网部署 15 4.1 DHCP监控模式的部署 15 4.1.1 典型组网 15 4.1.2 部署思路 15 4.2 认证模式的部署 16 4.2.1 典型组网 16 4.2.2 部署步骤 16 总结 18 参考文献 19 致谢 20 背景介绍 湖南师大校园网遭受ARP攻击问题日渐突出。严重时甚至造成大面积网络不能正常访问外网，根据ARP攻击的特点，大致分为以下4种类型。 网管仿冒 ARP病毒通过发送错误的网关MAC对应关系给其他受害者，导致其他终端用户不能正常访问网关。这种攻击形式在校园网中非常常见。见下图： 图1网关仿冒攻击示意图 如上图所示，攻击者发送伪造的网关ARP报文，欺骗同网段内的其它主机。从而网络中主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。 欺骗网关 攻击者发送错误的终端用户的IP＋MAC的对应关系给网关，导致网关无法和合法终端用户正常通信。这种攻击在校园网中也有发生，但概率和“网关仿冒”攻击类型相比，相对较少。见下图： 图2 欺骗网关攻击示意图 如上图，攻击者伪造虚假的ARP报文，欺骗网关相同网段内的某一合法用户的MAC地址已经更新。网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网。 欺骗终端用户 这种攻击类型，攻击者发送错误的终端用户/服务器的IP＋MAC的对应关系给受害的终端用户，导致同网段内两个终端用户之间无法正常通信。这种攻击在校园网中也有发生，但概率和“网关仿冒”攻击类型相比，相对较少。见下图： 图3 欺骗终端攻击示意图 如上图，攻击者伪造虚假的ARP报文，欺骗相同网段内的其他主机该网段内某一合法用户的MAC地址已经更新。导致该网段内其他主机发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网。 ARP泛洪攻击 这种攻击类型，攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户