网络流量侦测ARP欺骗攻击研究.docVIP

网络流量侦测ARP欺骗攻击研究 SILIC0N LLEY鞠【技术研发】 网络流量侦测ARP欺骗攻击研究 夏德宏 (1.江西省水利水电学校汁算机应用与管理工程系江西南昌 万伟韬2 330013;2.江西教育学院教育培训学院江西南昌330029) 摘要:在局域网络中,ARP欺骗攻击是十分普遍的～种攻击形式,受攻击的机构内网会因为ARP欺骗攻击导致网络缓慢甚至停滞的现象发生.通过研究ARP欺 骗攻击原理,如何通过网络流量检测来查找~IARP欺骗攻击,从而解决网络缓慢的情况. 关键词:ARP欺骗;SNMP;网络流量 中圈分类号:TP393.08文献标识码:A文章编号:1671—7597(2011)0510092--01 1研究目的与意义 随着以太网络传输技术的进步与普及,现今局域网络大多使用交换器 做为连接设备.有效的改善以往使用集线器在局域网络内资料封包遭到窃 听的网络安全问题.然而取而代之的是利用ARP通信协议设训上的缺陷进 ~:ARP欺骗攻击以达到窃听的目的.本研究提出以收集网络设备SNMP流量 资讯,利用资料探讨研究中的分类分析技术侦~IJARP欺骗攻击系统架构 目前常见利用ARP通信协议设计上的缺陷进行的攻击~,ARP欺骗攻击. 当攻击者利用ARP欺骗攻击这种技术并将攻击端主机伪装为局域网络中的 通讯_删关发动攻击时,由于受害主机要对局域网络外连线并须将封包送往 通讯网关,然而其所送往的通讯网关的MAC地址由于已经遭受ARP欺骗攻击 而改为攻击主机的MAC地址,因此其封包无法正确的送出局域网络,如此 便会对受害主机造成另一种形式的阻断服务攻击.攻击者可借d]同时欺骗 通信网关与目标主机以取得该主机使用者在网络上所输入的帐号以及密 码,或是传递的私密信息~HEmail内容或即时通信的文字信息等;也可在 截获的封包加上讯息或更改内容再转送给受害主机,使该封包将病毒植入 受害主机使其中毒,再或更改封包内容的手法将受害者引导至特定网页使 其落入攻击者所设置的恶意网站中的陷阱. 由于ARP欺骗攻击只发生于局域网域内,目前多数的入侵侦测系统以 及入侵防御系统较难以发觉此类型的攻击行为.此外,若在传输时,机密 资讯遭窃取,则造成的损失更是难以估计.由此可见ARP欺骗攻击所造成 的影响非常大:因此开发～套有效的攻击侦测系统是极为重要的. 2ARP欺骗攻击技术 目前侦测方法主要可分为:1)以分析封包内容;2)收集网络设备资 讯两种.以分析封包内容为主的方法其在侦~tJARP欺骗攻击时,必须将侦 测主机架设于监控局域网络内,收集局域网络中的每一个封包检查其内容 判断是否为攻击行为.且侦测主机只能监控其所处的局域网络.而以网络 设备资讯为主的侦测方法,则是可架设侦测主机于远端的网络,不受地域 限制.此外,一部侦测主机可监控多个区域网络.但是目前的相关研究 中,所使用方法对于网络环境发生变化时,自动调整以符合网络环境状况 的能力较为不足. 当ARP欺骗攻击被发动时,我们观察攻击主机的网络流量与一般正常 使用电脑所产生的流量有所差异因此根据此特性,我们使用资料探讨研 究中的分类分析技术,希望能够借助攻击主机与正常主机所产生的流量其 特性问的差异,作为侦测局域网络中是否有ARP欺骗攻击事件发生的分类 条件.在此系统架构中,分为两部分来探讨.t)为我们预先收集攻击主 机与正常主机所产生的流量作为研究的实际资料,我们将侦测ARP欺骗攻 击视为一个二分类问题.在我们的分类预测模型中,我们分别使用资料探 勘研究中分类分析技术的贝氏分类,决策树分类法,以及支援向量机分类 法作为本研究分类模组的演算法.2)为在实际局域网络环境内的自动侦 测系统.利用第一部分所建立的预测模组,我们可建立一侦测主机,在远 端即时收集欲监控的局域网络的St~tP流量资讯,判断所收集的流量资料是 否为攻击流量.当侦测到有ARP欺骗攻击发生时,可对网络管理人员发出 即时的警告通知,使其能做必要的处理,降低ARP欺骗影响的范围. 3SNMP与实验评估 SNMP(Simp]eNetworkManagementProtocol,简单网络管理协议) 的前身是简单网关监控协议(SGMP),用来对通信线路进行管理.随后, 人们对SGMP进行了很大的修改,特别是加入了符合Intornet定义的SMI和 MIB体系结构,改进后的协议就是着名的SNMP.在复杂且庞大的网络环境 下,网络管理人员要有效的掌握各路由器,交换器以及服务器的状况并使 其维持正常运作并不是一件容易的事情.在SNMP运作的世界中,可分为两 个实体.第一个为管理者,通常又称为网络管理工作站.第二个为代理 者,即是支援sNMP协定的网络设备.通常网络管理人员会对其下主机在远 端定时的查询以取得网络设备的情况,如网络设备的运作是否正常,管辖