基于ARP协议地非法主机接入监测系统地设计.docVIP

基于ARP协议的非法主机接入监测系统的设计-电气论文 基于ARP协议的非法主机接入监测系统的设计 韩少聪，陈玉慧，刘嘉华，康睿 （南瑞集团公司/国网电力科学研究院，江苏南京210003） 摘要：针对企事业内部网络中存在的非法主机接入网络产生的安全问题，设计了一种基于ARP协议的非法主机接入监测系统。在该系统中，通过底层驱动阻断操作系统ARP的收发，构造具有签名的私有ARP实现主机接入的监视及非法接入主机的识别和网络通信阻断。实验结果表明，该系统可以感知并识别非法接入的设备，阻断非法设备的通信，并可识别非法构造的ARP主机。通过该系统可以快速、及时发现非法接入设备，降低非法设备的存活时间。 关键词 ：ARP；主机接入；监测系统；非法主机阻断 中图分类号：TN702?34 文献标识码：A 文章编号：1004?373X（2015）16?0133?05 收稿日期：2015?03?14 基金项目：国家电网公司科技项目：网络与信息系统智能化监控技术研究及应用（524606130029） 0 引言 随着网络的日益普及，各企事业单位也都建立了自己的内部网络，如何及时感知接入网络的设备，并阻断非法接入设备通信，保护内部网络的信息安全成为网络管理面临的亟待解决的问题。目前在这方面已有许多较为成熟的研究[1?4]：通过IP与MAC地址对绑定，接入主机的IP及MAC地址与绑定列表中的对比判断接入主机的合法性[1?3]；通过监视代理是否收到新接入主机的请求判断其合法性[4]。这些方法存在以下不足： （1）非法主机通过修改其IP，MAC等信息冒充合法主机接入网络； （2）非法主机在合法主机上通过旁路侦听技术获取信息，并在非法主机上构造信息伪装成合法主机与监视代理通信； （3）非法主机接入后会存活一段时间导致病毒等传播。本文在研究ARP协议原理的基础上对ARP协议进行了扩展，设计了一种基于ARP 协议的非法主机接入监测系统，通过该系统可以快速、及时识别接入的设备并阻断非法接入的设备。 1 ARP 协议简介 1.1 ARP协议工作原理 ARP（Address Resolution Protocol）全称为地址解析协议，其基本功能就是实现设备IP地址和MAC地址的转换，通过在ARP缓存列表中查找IP及MAC地址的对应关系，确定目标设备IP对应的MAC地址，以便双方可以进行通信[5]。当主机接入网络后会主动发送ARP 广播，并接收其他主机的ARP响应。其工作原理如下： 每台主机都会有一个ARP 缓存区，其中存放着表示IP及MAC地址对应关系的ARP列表。当两台主机A和B要进行通信时，主机A首先会检查自己的ARP缓存列表中是否存在主机B的IP，MAC地址对，如果存在，则与主机B的IP对应的MAC地址进行通信；如果不存在，那么主机A就会在本地网段内发送ARP请求包，目的是查询主机B 的MAC 地址，请求包中包括源主机A 的IP地址和MAC 地址、目的主机B 的IP 地址和MAC 地址。本网段内的其他主机收到主机A的ARP请求包后会判断请求包中的目的IP 是否与自己的IP 相同，如果不同则忽略该请求包；当主机B收到请求包后发现目的IP与自己的IP相同，那么主机B就会根据请求包的信息更新自己的ARP 缓存列表，并向主机A 发送ARP 应答包说明自己就是A 要查询的主机。主机A 收到主机B 的应答包后会将得到的IP，MAC 地址对添加到自己的ARP列表中，如果A一直未收到ARP应答包，则表示ARP查询失败[6]。 1.2 ARP报文格式 ARP的数据包是封装在以太网数据包中进行传输的，以太网帧格式如图1所示，ARP数据报文格式如图2所示（单位：B）。 由图1 可以看出以太网帧长度最小为6+6+2+46+4=64 B，由图2 可以看出ARP 报文长度固定为6+6+2+28=42 B，要发送ARP数据包还需要填充18 B才能达到以太网帧长度的要求。 2 NDIS 协议驱动概述 监测系统需要从底层驱动实现对操作系统自身ARP的阻断，并构造私有ARP进行信息收发，需要网络接口标准（Network Driver Interface Specification，NDIS）的支持。NDIS为网络驱动抽象了网络硬件，屏蔽了底层物理硬件的不同，制定了底层物理硬件与协议驱动层的通信接口规范，使底层任何型号的物理网卡都能与上层的协议驱动程序进行通信。NDIS支持微端口（Mini?port）、中间层驱动（Intermediate）和协议驱