ARP欺骗监测与防范技术综述.doc

ARP欺骗监测与防范技术综述 　　 (1.山东大学 网络中心, 济南 250100； 2.清华大学 网络工程研究中心， 北京 100084） 　　?? 　　摘 要：目前已经提出许多针对ARP欺骗的安全技术，根据所起作用的不同，将其分为ARP欺骗监测、ARP欺骗防御和改进ARP协议的ARP欺骗避免技术。主要对这些技术进行分析和总结，比较其优缺点，并提出研究改进ARP协议需要综合考虑的因素。 　　?す丶?词：ARP协议； ARP欺骗； ARP欺骗监测； ARP欺骗防御； ARP欺骗避免 　　?ぶ型挤掷嗪牛?TP309 文献标志码：A 　　 文章编号：1001?B3695(2009)01?B0030?B04 　　?? 　　Overview of ARP spoofing detection and prevention techniques 　　QIN Fenglin??1， DUAN Haixin??2， GUO Ruting??1 　　?? 　　(1.Network Center, Shandong University, Jinan 250100, China; 2. Network Engineering Research Center, Tsinghua University, Beijing 100084, China） 　　?? 　　Abstract:Up to now, many schemes have been proposed to protect against ARP spoofing which can be classified into three categories as detecting, preventing and avoiding techniques according to their functions. This paper summarized and analyzed each of these schemes, identified their advantages and weaknesses, presented some factors that have to be considered in improving ARP protocol. 　　??Key words：ARP protocol; ARP spoofing; ARP spoofing detection; ARP spoofing prevention; ARP spoofing avoidance 　　?お? 　　ARP欺骗具有隐蔽性、随机性的特点，在Internet上随处可下载的ARP欺骗工具[1,2]使ARP欺骗更加普遍。攻击者可以利用ARP欺骗进行拒绝服务攻击(DoS)或中间人攻击，造成网络通信中断或数据被截取和窜改，严重影响网络的安全。目前利用ARP欺骗的木马病毒在局域网中广泛传播，给网络安全运行带来巨大隐患，是局域网安全的首要威胁[3]。如何有效地监测和防范ARP欺骗攻击成为当前网络管理者所面临的严峻挑战。由于ARP欺骗问题的严重性，研究者已经提出许多针对ARP欺骗的安全防范技术。?? 　　1 ARP欺骗原理?? 　　 ARP协议[4]即地址解析协议(address resolution protocol)，是网络层中的一个重要协议。地址解析是指在IP地址和采用不同网络技术的硬件地址之间提供的动态映射。在以太网中，当一台主机Y想与另外一台主机X通信时，需要获取主机X的MAC地址，获取流程如图1所示。Y首先检查ARP缓存表中是否有X的MAC，如果没有就会向局域网广播ARP请求“谁是x.x.x.x，请告诉MAC yyyyyyyyyyyy”，局域网内的所有主机都会收到这个ARP请求，但是只有主机X才会响应这个请求，它会回应一个单播的ARP应答包“我是x.x.x.x，MAC是xxxxxxxxxxxx”。这样，主机Y就把X的〈IP,MAC〉地址映射保存在ARP缓存表中，之后主机Y与X之间的通信就依靠两者缓存表中的MAC地址，直到这个〈IP,MAC〉地址映射超时(缺省ARP超时时间如表1所示)，才重新发起ARP解析请求。 　　?? 　　表1 缺省ARP超时时间?? 　　操作系统ARP超时时间/min操作系统ARP超时时间/min 　　Windows 2000/XP2 Linux1 　　Free BSD20Solaris5 　　ARP协议是建立在信任局域网内所有节点的基础上，虽然高效却并不安全。ARP协议是一种无状态的协议，它不会检查自己是否发过请求报文，也不管(其实也不知道)是否是合法应答，只要接收到目标MAC是自己的ARP广播报文，都会接收并更新缓存