ARP攻擊的技術原理及防范措施研究目錄TOC\o"1-2"\h\u15466ARP攻擊的技術原理及防范措施研究 1586一.引言 122478二.ARP工作原理 2130662.1.以太網中的ARP協(xié)議簡介 2231502.2.ARP協(xié)議原理 25037三.利用虛擬機進行ARP過濾測試 624623.1.測試環(huán)境搭建 6294243.2.功能測試 912743.3測試報告和總結 115771四.總結和展望 1213758參考文獻 13摘要：ARP協(xié)議負責實現(xiàn)IP地址到網絡接口硬件地址的映射，是計算機網絡運行的基礎協(xié)議之一，它最早運行在可信局域網之上。而今，局域網已經不再是可信網絡，因而，ARP運行中出現(xiàn)了一些不安全因素。目前在網絡上已經出現(xiàn)了很多利用ARP協(xié)議進行黑客攻擊的行為，給網絡安全造成了很大的影響，本文將對這一問題給出一個全面深刻的剖析，并給出一個有效的解決方案。關鍵詞：ARP；虛擬機；ARP過濾一.引言ARP協(xié)議是一個基礎協(xié)議，它的應用非常廣泛。ARP由IP層復用，用于解析局域網內任意合法第3層協(xié)議地址和第2層硬件地址之間的映射關系。ARP協(xié)議工作在局域網中，早期的協(xié)議設計者認為局域網是可信賴的，同時為了考慮傳輸效率，沒有加入安全機制。現(xiàn)在的網絡規(guī)模已經今非昔比，局域網已經不再是原始意義上的局域網絡，但ARP協(xié)議仍然扮演著同樣重要的角色，攻擊者正是利用了這一特點，利用該協(xié)議實現(xiàn)攻擊目的。ARP欺騙攻擊通過偽造IP地址和MAC地址映射來實現(xiàn)，它造成目標主機ARP高速緩存信息錯誤，從而影響網絡通信、實施網絡欺騙。二.ARP工作原理2.1.以太網中的ARP協(xié)議簡介IEEE的802標準委員會和802項目組定義了兩種主要的LAN傳輸方法—以太網和令牌環(huán)網。以太網在IEEE8023規(guī)范中被定義為LAN標準，令牌環(huán)網則在IEEE802.5規(guī)范中定義。這兩種方法的使用范圍都很廣泛，本文的研究針對以太網進行。以太網利用了總線和星形拓撲結構的優(yōu)點，采用了CSMA/CD技術，網絡上想要發(fā)送幀的結點與另外的結點競爭資源，沒有哪個結點的優(yōu)先級比其他結點高，幀按照物理地址查找其特定的目標，以太網通過一個廣播信道向所有結點發(fā)送數(shù)據(jù)，處于同一廣播域的結點都會收到該數(shù)據(jù)。雖然每臺主機都由一個IP地址，但是IP地址是運行TCP/IP協(xié)議機器的通用標識，IP地址自身不能使報文到達其目的地，數(shù)據(jù)傳輸必須依靠網絡適配器唯一的硬件地址，該地址也被稱為MAC地址或者數(shù)據(jù)鏈路地址，該地址通常在網絡適配器生產廠家唯一編址，具有全球唯一性。以太網中的硬件地址采用48位長度表示，ARP協(xié)議為IP地址到對應的硬件地址之間提供動態(tài)映射，因此，擔負IP地址和硬件地址轉換的ARP協(xié)議具有非常重要的地位。2.2.ARP協(xié)議原理ARP協(xié)議起初是為DEC/Intel/Xerox的10兆以太網設計的，現(xiàn)在己允許用在其它類型的網絡上。當來自上層的數(shù)據(jù)要發(fā)送時，需要知道目標主機的硬件地址，這時就需要通過IP地址找到相應的硬件地址，網絡接口輸出函數(shù)會調用ARP協(xié)議進行ARP解析。ARP解析函數(shù)發(fā)送ARP請求(作為廣播包發(fā)送)，目標主機收到ARP請求后發(fā)送ARP應答(作為單播包發(fā)送)，當發(fā)送主機收到ARP應答后就可發(fā)送數(shù)據(jù)。為了避免頻繁發(fā)送ARP請求和應答，實現(xiàn)時在主機中都會有一個ARP高速緩存用來存放己經解析成功的ARP信息，所以通常數(shù)據(jù)發(fā)送前先查找ARP高速緩存，找不到時才會發(fā)送ARP請求。1．ARP分組格式RFC826定義了ARP分組的格式，在以太網上使用的ARP分組格式見圖2-1。該分組由以太網首部和以太網ARP字段兩部分組成。圖2-1以太網A丑P分組格式(1)以太網首部:以太網首部包括以太網目的地址、以太網源地址和幀類型三部分，以太網目的地址是通信目的端的MAC地址，長度為48位，目的地址為全1則是廣播地址，這時，電纜上的所有以太接口都要接收此數(shù)據(jù)并進行處理。以太網源地址是通信源端的MAC地址，長度為48位。幀類型表示以太網首部所攜帶數(shù)據(jù)的類型，如果是IP幀則為ox0800，如果是ARP幀則為0x0806。(2)以太網ARP字段:包括ARP首部和ARP數(shù)據(jù)兩部分。其中ARP首部包括硬件類型、協(xié)議類型、硬件地址長度、協(xié)議地址長度和操作碼五部分，硬件類型字段值為1表示是以太網地址，協(xié)議類型字段值為ox0800表示IP地址，硬件地址長度為6表示是以太網硬件地址，協(xié)議地址長度字段值為4表示是IP地址，操作碼指出了ARP操作的四種類型，其中ARP請求值為1，ARP應答值為2，RARP請求和應答分別人3和4(可參見RARP協(xié)議的相關資料，本文不進行介紹)；ARP數(shù)據(jù)部分包括了發(fā)送方硬件地址、發(fā)送方IP地址、目的硬件地址和目的IP地址，它們根據(jù)不同情況進行填充，ARP請求包填充除目的硬件地址以外的所有數(shù)據(jù)，而ARP應答數(shù)據(jù)則填充全部數(shù)據(jù)。2.ARP發(fā)包和收包流程(1)發(fā)包①當網絡層往下傳來一個包，路由選擇將確定該包下一跳的協(xié)議地址(目的主機的IP地址)，為了正確發(fā)送該數(shù)據(jù)包，必須知道目的主機的硬件地址，這時就需要進行IP地址到MAC地址的解析，為此需要發(fā)送ARP請求，即發(fā)送一個幀類型字段為0xO806的以太網包，該包中以太網目的地址全為1(ARP請求以廣播形式發(fā)送)，除了目的硬件地址外全部填充，其中以太網源地址、發(fā)送者硬件地址和發(fā)送者IP地址填充本機的信息，ARP操作碼填充1，協(xié)議地址長度填充4，硬件地址長度填充6，目的IP地址填充路由確定的下一跳協(xié)議地址，目的硬件地址的值是想要得到的值。ARP請求包會被廣播到所有在以太網電纜上的主機，如果目的主機得到該ARP請求包則會發(fā)送一個ARP應答包，如果一定時間沒有收到ARP應答包，則會繼續(xù)發(fā)送若干次，如果還沒有收到應答包，則認為該主機不可達到，停止發(fā)送ARP請求。為了提高通信效率，通常主機中會保存已經解析到的IP和MAC地址的映射，通常稱之為ARP高速緩存。它保存了IF索引(物理接口索引)、IP和MAC地址的映射，以及該映射的類型信息等，類型有4種可能的值，值2意味著表項是無效的，值3意味著映射是動態(tài)的(表項可能改變)，值4說明是靜態(tài)項(表項不變化)，值1意味著不是上面的任何一種情況。動態(tài)表項有一定的生存期，動態(tài)ARP表項如果在一定時間沒有被使用，則會因超時被刪除，如果在生存期內被使用，則生存期會被重置為最大值。通常，在數(shù)據(jù)發(fā)送前先會查找ARP高速緩存尋找相應的MAC地址，如果沒有找到才會發(fā)送相應的ARP請求。②免費ARP主機在啟動時會主動發(fā)送一個ARP請求包，該包中發(fā)送端的協(xié)議地址和目的端的協(xié)議地址一致。免費ARP包可以檢測在以太網中是否存在IP地址沖突，可以使其他機器更新其相應信息，使得網絡通信快速恢復。如果發(fā)送免費ARP的主機正好改變了硬件地址(有可能是更換網絡適配器，然后重新啟動)，那么這個免費ARP就可以使其它主機ARP高速緩存中舊的硬件地址進行相應的更新。(2)收包①當接口收到ARP請求包后會進行檢查，檢查該包的硬件地址類型及長度和協(xié)議地址類型及長度是不是符合本接口，如果符合，那么在ARP高速緩存中查找發(fā)送者IP地址相關的映射，如果找到一個相符的表項，那么更新此表項(覆蓋原來的硬件地址為新的硬件地址)。②判斷本機是不是通信的目標主機，如果是，并且沒有進行過①中的更新，那么更新ARP高速緩存。③如果收到的是一個ARP請求，那么生成一個相應的ARP應答包，并且將這個ARP應答包發(fā)送給對方，ARP應答包以單播的形式發(fā)送，它填充了ARP包中的所有內容。三.利用虛擬機進行ARP過濾測試3.1.測試環(huán)境搭建驅動程序運行在內核模式下，擁有操作系統(tǒng)的最高權限，在用戶模式下的各種保護措施，在內核模式下都沒有。驅動程序的設計缺陷可能導致系統(tǒng)崩潰，另外，ARP欺騙也有可能干擾網絡的正常運行，因此利用宿主計算機和虛擬機進行ARP過濾測試。1.宿主計算機表3-1給出了宿主計算機的主要配置情況2.虛擬計算機計算機虛擬機是指可以在某種類型的計算機中模擬出另外一種計算機的硬件環(huán)境，并能在虛擬的計算機中運行另外一種操作系統(tǒng)及應用軟件的虛擬機。典型的虛擬機軟件有VMware和VirtualPC，本文采用VMWare軟件建立虛擬機。VMware安裝完成后會在宿主機中安裝兩塊虛擬網卡，分別是“VMWareVirtualEthernetAdapterforVMnetl”和“VMwareVirtualEthemetAdapterforVMnets”，它們用于建立宿主機和虛擬機之間的網絡連接。安裝的虛擬網卡也會創(chuàng)建兩個網絡連接，網絡連接中的詳細信息見圖3-1。圖3-1VMware安裝后的網絡連接信息虛擬機軟件將部分內存和硬盤空間劃分出來運行虛擬的操作系統(tǒng)及其應用程序，表3-2列出了新建虛擬機的主要配置情況。表3-2新建虛擬機的主要配置情況虛擬機的虛擬網絡適配器選擇“Usebridgednetworking”選項，這樣創(chuàng)建的虛擬機和宿主機在局域網建立連接，并且可以自動從DHCP服務器獲得IP地址。在虛擬機中安裝完Windows操作系統(tǒng)以后，需要安裝VMWareTools組件以幫助虛擬機很好地運行。VMWare軟件運行見圖3-2。圖3-2虛擬機運行圖3.通信連接設置(1)由于宿主計算機沒有COM口，而WinDbg雙機調試操作中使用COM口連接，所以需要在宿主計算機中虛擬一個COM口，因此采用軟件VSPM進行。VSPM軟件是一款免費軟件，它可以將TCP/IP連接、UDP廣播，映射成本機的虛擬COM口，應用程序通過訪問虛擬串口，就可以完成遠程控制、數(shù)據(jù)傳輸?shù)裙δ?。在測試中，虛擬COM口軟件VSPM設置運行在serve膜式，并且本地監(jiān)聽地址為58.206.176.213:6019，VSPM運行情況見圖3-3。圖3-3VSPM軟件虛擬的COM口(2)winDbg的運行參數(shù)設置為:-kcom:port=\\.\pipe\com_1，baud=11520，pipe。除此之外，調試時還要進行工作路徑、符號文件等的設置。(3)在虛擬計算機中添加COM口(見圖3-2)，設置為“outputtonamedpipe”，設置COM口的速度為115200。添加調試運行模式:修改boot.ini文件，增加新的啟動菜單選項:multi(0)disk(0)rdisk(0)partition(1)\WINNT=MicrosoftWindows2000Professional-debug”/fastdetect/debug/debugport=coml/baudrate=115200。這樣在虛擬機中選擇調式模式并等待WinDbg連接，就可以順利實現(xiàn)雙機調試。3.2.功能測試1.數(shù)據(jù)包過濾測試在表3-3列出了主要的測試數(shù)據(jù)，為了表述方便，表中采用了相應的記號。除表中列出的字段外，一個完整的ARP幀中還包括一些其它字段，如幀類型(0x0806)、硬件類型(1)、協(xié)議地址類型(0x0800)及長度(4)等，這些字段的值在測試環(huán)境中為固定值，這里不進行列舉。其中發(fā)送ARP請求時硬件地址長度為0，這時的目的硬件地址也為全O，ARP應答包中的硬件地址長度為6。以下是測試中各個主機的參數(shù)和相應的記號:(1)宿主機PC1為攻擊發(fā)起者，IP1(58.206.176.213)，MAC1(00-03-OD-49-AS-53)；(2)虛擬機PC2為被攻擊對象，IP2(58.206.176.241)，MAC2(00-50-56-CO-00-01)；(3)網關計算機PC3，IP3(58.206.176.1)，MAC3(00-03-OF-OE-42-32)；(4)廣播地址表示為MAC4(FF-FF-FF-FF-FF-FF)；(5)一個不存在的MAC地址表示為MACS(00-11-22-33-44-53-66)。(6)需要查詢的MAC地址初始為全0，表示為00。在表3-3中列出的主要測試數(shù)據(jù)涵蓋了本文中發(fā)現(xiàn)的所有情況，PC1作為發(fā)送者，PC2作為接收者，進行表中1-7的測試，PC1作為接收者，PC2作為發(fā)送者進行表中8-12的測試。測試中的ARP包發(fā)送通過saiffer軟件進行，本文采用的是SnifferProtable4.70.530版。表3-3主要測試數(shù)據(jù)2.數(shù)據(jù)過濾情況在虛擬機安裝過濾驅動程序和用戶程序，啟動用戶程序以后，進行測試。利用sniffer分別發(fā)送測試數(shù)據(jù)包，可以看到，所有假冒數(shù)據(jù)都被成功過濾，PC2的ARP緩存也沒有發(fā)生變化。用戶程序運行結果見圖3-4。圖3-4用戶程序運行圖3.3測試報告和總結在測試中，從WinDbg可以跟蹤驅動程序的運行、觀察驅動程序所有操作的調試信息，通過這些調試信息可以看到，除了測試時通過sniffer發(fā)送的偽造包外，網絡上還有一些其它的ARP包(包括部分主機發(fā)送的針對其它主機的請求包和部分的偽造包)，所有偽造包和本機非目的ARP數(shù)據(jù)包都被過濾，因此，用戶程序提取的數(shù)據(jù)顯得比較雜亂(本機非目的主機占了很大部分)。在整個測試過程中，正常數(shù)據(jù)包可以順利通過，偽造包被成功過濾，網絡通信不受過濾驅動程序的影響。在用戶程序的顯示界面中，可以看到過濾驅動程序成功實現(xiàn)了ARP欺騙包的攔截過濾，被攻擊計算機的ARP高速緩存沒有發(fā)生改變，計算機的網絡性能也沒有發(fā)生明顯的變化?？偟膩碚f，過濾驅動程序順利實現(xiàn)了ARP數(shù)據(jù)包的過濾，保護了主機中ARP高速緩存的安全，從而有效保護了主機不受ARP病毒的侵犯，保護了主機網絡的安全和暢通。因此，本文對ARP的研究達到了預期的目的，研究結論正確無誤，可以作為針對ARP安全防范的依據(jù)。四.總結和展望隨著計算機網絡技術的發(fā)展，網絡安全問題層出不窮，對于安全問題的防范有很多的做法，但從問題的根本出發(fā)來解決效果會更好。目前，對ARP欺騙的研究很多，關于ARP欺騙的防護軟件也很多，但它們主要是基于對ARP高速緩存的保護，這些軟件通常工作