（计算机应用技术专业论文）arp防火墙的研究与实现.pdf

摘要 当前针对址心攻击的主要防御措施是采用双向绑定和运行a r p 防火墙系 统，但是这些措施都存在缺陷。双向绑定需要用户掌握一定的网络管理知识，并 且配置过程繁琐，需要对客户主机和网关两端进行配置。运行a r p 防火墙系统 虽然解决“双向绑定”需要人工手动配置的问题，但是防御效果不是很理想。当 前关于灿冲防火墙系统内部实现的研究资料甚少，对防御系统的研究主要通过 系统的安装使用说明，系统的功能测试结果以及网上网友对系统的一些使用心得 总结而来。当前灿冲防火墙系统有单机版和网络版两种，通过对系统的功能测 试结果，总结出单机版系统所存在的缺陷有： ( 1 ) 防御不全面：保证本地主机同网关之间正常通信，但不能保证同网络 内其它主机之间正常通信，并且对某些卅攻击并不能起到防御效果。 ( 2 ) 无法有效追踪攻击源：只是简单地根据异常a r p 数据包的源物理地址 来进行攻击源的追踪。 ( 3 ) 存在灿冲广播风暴：当出现攻击，防御系统会定时地向网关发送通告 本地主机i p ，m a c 地址的a r p 广播请求报文。 网络版系统需要选择网络内的一台主机作为服务器端，其它主机为客户端， 通过服务器端对客户端的有效监控来实现对整个网络的防御，因而存在不易维护 管理的缺陷。 针对以上防御系统所存在缺陷，本文提出一种防御模式。即通过建立动态更 新的口一m a c 映射库及采用主动验证映射对的方法实现对整个网络的全面防 御，通过引入“新加入主机的检测机制”来保证映射库更新的同时又能克服a r p 广播风暴，以及为不同攻击类型分配不同信赖度来更有效地追踪定位攻击源。 本文基于该防御模式设计并实现了一套防御系统，该防御系统有效地克服了 以往系统在防御a r p 攻击方面所存在的缺陷，解决手动配置交换机所存在的操 作繁琐不易管理的问题，通过在一台主机上安装防御系统实现对整个网络的防 御，为用户和网络管理员提供一种高效便捷、可集中化管理的解决方法。系统可 运行在多种工作模式下，为不同网络应用环境用户提供不同网络防御解决方案。 关键词：a r p 防火墙，n e 咖t 盯，n e t l i n l ( ，l i b p c a p ，p f - p a c k e t ，a r p 欺骗 a b s t r a c t t h em a i l ld e 矗m s ew a y s 幻c l l l d eb i d i 崩m o n a lb i n d i n ga i l d 九l | m i l l ga i 冲f i 朋a 1 1 s y s t e i nc t m 锄n y ，b u ta l lm e s ew a y sh a v ed i s a d v 锄t a g e s b i d i r e c t i o n a lb i i l d i i l gn d s n l eu s c rt 0m 硼t e rac e r t a i nn e 脚o r km 锄a g e n l tt c c h n o l o 百e s ，a 1 1 dm ec o n f j g u r ei s c o m p l e x nn e e d st oc o n f i g u r e0 n 伽s t o m c rm a 出n ea i l dg a t e w a y 刖t h o u 曲删1 n i n g a l pf i r e w a us y s t e n ls 0 1 v e st h em a n u a lc o n f i g u r et a k e nb yb i d i r e c t i o n a lb i i l d i n g ，也e d e 胁s ee 脏c ti s n ti d e a l t h er e s e a r c h i n gd o c u m e n t sa b o u t 血e 舢冲f i r e w a l ls y s t e mi s 佬w t h er c s e a r c ho ft l l ea r pf i r e w a l ls y s t 锄 i s c u n 铷t l yb ym e u s e r m a n l l a l ，劬c t i o n a lt e s ta t l dm eu s i n gc x p 商c n c co fn e t 向e i l d q l r r e n ym ev e r s i o 璐 a b o u ta r pf i r e w a l ls y s t 锄i n d u d es t a l l d a l o n e 踽dn e t w o r k sv e r s i o n b y 恤 f h c t i o n a lt e s tr c s u l to fm es y s t 锄，m es t 孤d a l o n es y s t 锄i l l c l u d e sm ed i s a d v 柚t a g e s b d o w ： ( 1 ) 1 1 l c o m p l e t ed e f h s i n gm e c h a l l i s m ：i to i l l y 硒s u r e st l l en o 皿a lc o i n i n u n i 训o n b e t w e e n1 0 c a lh o s t 卸dg a t e w a yb u tn o tb d w 嘲廿l el o c a lh o s ta i l d 血eo t l l e rl l o s t s a n di tt a ：k e sn oe f f 宅c ti ns o m ea r pa t t a c l 【s ( 2 ) i n e 墒d e l l ta t i a c k 盯昀c i r 培m e c h a i l i 锄：i tj l l s t 廿a c e sm ea t t a c k 盯b yt h es o 哪 p h y s i c a la d d r e s so f a b n o m a la r pp a c k e t ( 3 ) a r pb m a d c a s tn o o d ：w h 饥m ea t t a c k 印p e a r s ，m es y s t e m 祈1 1s e n dm ea r p r e q u e s tt 0m eg a t e w a yi n t e n r a l ly t h en e t w o r kv e r s i o n ss y s t e mn e e d st 0c h o o s eo n eh o s ta ss e r v e r 衄dt l l eo t 】l e r h o s t s 龃c l i e n t s i ti m p l 锄e n t si t sd e f 葫s et om ew h 0 1 en e t 、v o r kb yt l l es e r v e r s m o 血t o r i n gt ot l l ec l i e m s s oi th a st 1 1 ed i s a d v a m a g eo f c o m p l c xm a i m e n a i l c e t h ep 印e r 抽t i d d u c e sa 矗r e n e wd e f 缸s i n gm o d eb a s c do nt l l ed i s a d v a i l t a g e so f a g os y s t c i n sl i s t c dd b o v e t h em o d ei m p l 锄e n t si t sd e f b n s et ot 1 1 ew h o l en e t w o r kb y b u i l d i i 培a i ld y i l 锄i c a l l yu p d a t e dm a p p e db 船e 肌da c t i v d yc x 锄i i l i n ga r pp a c k e t i t i 曲r o d u c e sa i ln e wh o s td e t e c t i n gm e c h a i l i 锄t l l i sm e c h a i l i s mn o to n l ya s s i l r e sa n d y 姗i c a l l yu p d a t e dm a p p e db 嬲eb u ta l s oo v e r c o m e st h ea r p b r o a d c a s tf l o o d t b 仃_ a c et 1 1 ea t t a c k e re 舭“v d y ，t h ep 印e ra s s i 印sad i f 衙e 1 1 tr d i a b l i t y 矗wd i f f h e ma r p a t t a c k 1 1 1 ep 印e rd e s i 印sa i l di m p l 锄肌t sa na r pf i 旧砌ls ) r s t 锄b a s e so nt h e d e f e l l s i n gm o d el i s t e d a b o v e t 1 1 e s y s t e mo v 删e sm ed i s a d v a i l t a g 铬o fa g o s y s t e m s ，s 0 1 v e st h ec o m p l e xm a t l u a lc o n f i g i 】o nt h es w i t c h i ti m p l e i l l e i l t si t sd e f b i l s e t o 也ew h 0 1 en e t w o r kb yi i l s t a l l i n gt h es y s t e i l l0 no n j yo n eh o s ta i l ds u p p l i 髂m e n e t w o r ka d l l l i 血s 仃a t o rw i ma 工le 衔c i c n t ，c e n 仃a l i z e dm a n a g e m e n t t h es y s t e mc a nr u n o nm u l t i p l em o d e st op r o v i d ed i f f 柏1 td e f b n s ew a y st ot l l eu s e r si nd i f f 打e n tn e t w o r k e n “m m t 髓yw o i t d s ：a r pf i r e w a l l ，n e t f i l t 盯，n e t l i i l l 【，l i b p c 印，p f p a c k e t ，a r p d e c e i v e 学位论文独创性声明： 本人所呈交的学位论文是我个人在导师指导下进行的研究工作 及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果。与我一 同工作的同事对本研究所做的任何贡献均已在论文中作了明确的说 明并表示了谢意。如不实，本人负全部责任。 论文作者( 签名) ： 主缸堡堑：扩年f 月习日 学位论文使用授权说明 河海大学、中国科学技术信息研究所、国家图书馆、中国学术期 刊( 光盘版) 电子杂志社有权保留本人所送交学位论文的复印件或电 子文档，可以采用影印、缩印或其他复制手段保存论文。本人电子文 档的内容和纸质论文的内容相一致。除在保密期内的保密论文外，允 许论文被查阅和借阅。论文全部或部分内容的公布( 包括刊登) 授权河 海大学研究生院办理。 论文作者( 签名) ：盅址硝年妇即 河海大学硕士研究生论文a r p 防火墙的研究与实现 1 1 研究背景 第一章绪论 随着网络的发展和普及，网络的开放性、互连性随之扩大。网络互连一般采 用t c p 口协议，而t c p m 协议是一个工业标准的协议族，在该协议族制定之初， 没有过多地考虑其安全性，所以协议中存在很多的安全漏洞，致使网络极易受到 黑客的攻击吐而a i 冲攻击是其中比较常见的攻击手段之一。【2 】 2 0 0 4 年开始，一种叫做埘的病毒开始不断地向各个行业的网络环境扩散， 其目的从最初的窃取q q 、网游、网银等账号，发展到后来的专门抢占网络带宽 以及纯粹破坏网络通信等等。2 0 0 6 年，a r p 欺骗对教育行业的影响达到顶峰。 清华大学、中国人民大学、上海交通大学、哈尔滨工业大学等高校网络中心相继 发布了专门针对防治u 冲病毒的公告。这两年m 心病毒肆虐大学校园网以及公 网，严重地干扰着用户的正常上网。a r p 的破坏能力之所以强悍，原因在于a r p 协议的缺陷。因此分析研究a r p 协议的缺陷以及如何对其进行有效防御成为目 前研究的热门。 1 2 研究现状 a r p 攻击是近几年出现在网络上的，目前主要防御措施是采用双向绑定和 安装监控软件。 ( 1 ) 双向绑定主要是在网关、客户主机两端静态绑定对方的口一m a c 地 址，或者通过交换机的端口设置、v u 州设置功能来实现对两端的静态绑定。这 种防御措施需要用户掌握一定的网络管理知识，在绑定的过程中需要配备支持绑 定功能的网关设备，并且所能防御的a r _ p 攻击种类有限。 ( 2 ) 安装监控软件即a r p 防火墙系统，当前的j u 冲防火墙系统分为单机 版和网络版两种。单机版的系统用于实现对网络内单台主机的防御。当前的单机 版防御系统通过向默认网关发送a r p 请求来获得网关的物理地址，然后将默认 网关的口一m a c 映射对静态绑定到内核a r p 缓存表中去，从而防止网关的a r p 河海大学硕士研究生论文 a r p 防火墙的研究与实现 缓存记录被篡改，保证本地主机同默认网关的正常通信。由于网络内的主机情况 是变化的，例如新主机的加入、旧主机的退出、主机更换i p 地址、添加新的i p 地址、更换网卡等，若防御系统需要对网络内其它主机进行绑定，就要定时地对 其它主机发送广播请求，这样就会造成a r p 广播风暴，因此如何建立一个动态 实时更新的i p m a c 映射库又能有效地克服a r p 广播风暴成为困扰当前防御系 统的一个主要问题。当前的防御系统还不能防止非网关的a r p 缓存记录被篡改， 因此对于分布式计算环境中的主机，由于主机之间需要协同操作，这些防御系统 是无法起到防御效果的。 网络版的防御系统用于实现对整个网络而非单台主机的防御，它所实现的是 网络级检测的功能。该防御系统拥有服务器和客户端两套软件，可以选择网络内 的某一台主机作为服务器，其它主机作为客户端，每当有新的主机加入都会将本 地主机的m m a c 映射对上报给服务器由其统一管理，客户端也会定时地将本 地主机的a r p 缓存表内容上报给服务器，服务器会对上报的内容进行审核，监 测客户端的a r p 缓存表是否被篡改。由于网络版的防御系统需要在网络内的所 有主机上安装客户端软件，安装的工作量大且不易管理。 目前市场上的a r p 防火墙系统主要有金山a r p 防火墙、3 6 0 安全卫士的a r p 防火墙，还有早期便开始涉足该领域的锄t i a r p 。这些防御系统在防御a i 口攻 击的同时也带来一些严重问题，例如南开大学网络中心一次经过调查分析，发现 a n t 认r p 软件( 或类似的垤p 防火墙软件) 产生大量的a r p 广播包，已经超过 整个网络广播包的5 5 以上，初步确定本次网络频繁中断不是由于a r p 病毒本 身造成，而是由于a 1 1 t i a r p 软件产生的a r p 广播包造成的。引起灿冲广播风暴 的原因就是a r p 防火墙软件在遭受了舢冲攻击之后，会立刻主动向网关发起 a r p 请求，与网关交换m 心信息，从而达到同时保护网关上的a r p 缓存记录。 如果被攻击的频率非常快，灿心防火墙软件所发送的a i 冲数据包也就非常快， 从而对网关造成很大的压力。这说明，现在的a r p 防火墙在某种程度上是带着 “以毒攻毒”的思想来进行防御的。这势必给大型局域网带来很大的危险，那就 是a i 冲广播风暴，影响整个局域网的正常使用。还有伽冲防火墙软件在发现攻 击，追踪攻击源时不能很有效地判断攻击源，它们只是简单地根据异常a r p 数 据包中关于源物理地址的记录来追踪攻击源，可靠性较低。 2 河海人学硕士研究生论文a r p 防火墙的研究与实现 1 3 论文的主要工作 针对当前防御系统所存在的缺陷，本文提出一种全新的的防御模式，该防御 模式通过建立动态实时更新的p m a c 映射库及采用主动验证映射对的方法来 实现对整个网络的全面防御，并且通过引入“新加入主机的检测机制”来抑制 a r p 广播风暴，从而在建立动态实时更新的i p m a c 映射库和抑制u 心广播 风暴之间提出一种有效的解决方法。 基于该防御模式作者在l i n u x 操作系统上设计并实现了一套a r p 防火墙系统， 该防御系统在链路层为不同的捕获对象提供不同的捕获架构来提高系统的捕获 效率，通过在应用层设置缓冲区并且为缓冲区管理模块引入多线程写入读出的 “生产者消费者”模型来降低链路层的丢包率，以及利用多极检测机制来更可 靠地检测主机的存在。 1 4 论文的组织结构 第一章绪论 介绍a r p 防火墙的研究现状，以及论文的研究背景。最后说明本文所采取 的技术路线、研究的内容和工作重点，对论文的组织结构予以介绍。 第二章a r p 协议分析及其相关的防御技术研究 介绍a r p ( a d d r e s sr 鼯0 1 v ep m t o c 0 1 地址解析协议) 的工作原理，分析其所 存在的各种漏洞，重点研究当前所存在的各种a r p 攻击方式和针对这些攻 击方式所采用的各种相关防御技术以及这些防御技术所存在的缺陷。 第三章内核防火墙和捕获技术研究 对l i n _ 1 1 ) 【内核防火墙中的n e t f i l t e r 和n e t l i i l k 机制及其所涉及到的技术进行分 析和介绍。同时还介绍了链路层的数据包捕获原理及原始套接字和l i b p c 印 两种不同捕获架构的工作原理。 第四章系统总体设计 概述了系统的总体框架和工作流程，简单描述系统的设计目标和各个功能 模块的主要功能，分析系统实现的关键技术。 第五章主要功能模块设计与实现 河海大学硕士研究生论文a r p 防火墙的研究与实现 分析系统中几个主要功能模块的详细设计与实现，给出系统在不同网络应 用环境中的实施方案，最后给出实验系统的测试方案和测试结果。 第六章总结与展望 对全文的要点和主要工作进行总结，阐述本文的研究成果和后续工作。 4 河海大学硕j j 研究生论文 a r p 防火墙的研究与实现 第二章a r p 协议分析及其相关的防御技术研究 地址解析协议( a r p ) 是一种无状态检测的数据链路层协议，由于缺乏用户认 证机制，使得协议很容易遭受外部攻击。攻击者利用地址解析协议的漏洞，所发 动的攻击行为主要有以盗取数据为主要目的的u 冲欺骗攻击和以捣乱破坏为目 的的a r p 泛洪攻击两种。当前针对舢冲攻击的防御措施主要是通过配置支持防 御功能的硬件网关设备和安装软件防火墙系统，这些防御措旌存在不易管理维 护、防御不全面等缺陷。 2 1a r p 协议简介 在t c p i p 协议中，每台主机分配一个3 2 位m 地址，运行在t c p 口协议之 上的软件只能使用预先分配的口地址来发送和接收口数据包。而在包括以太网 的所有物理网络中都有自己的寻址机制，当网络上的两台机器之间要传输数据 时，必须使用物理的网络地址才能保证互相通信。因此当主机或路由器需要在一 个物理网络上发送分组时，必须要知道对方的口地址所对应的物理地址，即解 决地址解析问题p 】。 对于不同的物理网络采用不同的地址编码方案，对于那些具有地址空间较小 但可以灵活配置的网络可以采用直接映射的方法，即依据一定的映射关系根据客 户机的i p 地址来配置它的物理地址，因此d 地址可以通过映射关系直接转换成 物理地址。但对于以太网来讲，因为以太网地址为4 8 位，无法将3 2 位的口地 址直接映射为物理地址。为了解决这一问题，t c p 协议设计人员使用了低层 协议的动态地址绑定，即地址解析协议a r p ( a d d r e s sr e s 0 1 u t i o np r o t o c 0 1 ) 。 a r p 协议处于口层和链路层之间，以太网中通常采用a r p 协议实现动态地 址绑定，解决地址转换问题。如图2 1 、2 2 所示，a r p 动态转换体现的思路非 常简单：当主机a 要转换口地址i b 时，它广播一个特殊的分组，请求p 地址 为i b 的主机用物理地址p b 做出响应。包括b 在内的所有主机接收到这个请求， 但只有主机b 识别它的i p 地址，并发出一个包含其物理地址的应答。当a 收到 应答后，就用该物理地址把互联网分组直接交给b 【4 j 。 河海大学硕士研究生论文a r p 防火墙的研究与实现 图2 1 主机a 向网上所有机器广播一个包含i b 的a r p 请求 图2 2 主机b 响应一个包含( i b ，p b ) 对的a r p 应答 考虑到效率问题，a r p 协议在实际实现过程中比上述原理要稍微复杂一些， 为了更深入的了解a r p 协议，我们必须了解以下概念： l 、a r _ p 报文：当一台主机提出a r p 请求或响应a r p 请求时均需要使用a r _ p 报文来传递信息，图2 3 显示了在以太网硬件( 其物理地址为4 8 比特) 上转换 i p 协议地址时所用的a r p 报文。 0 8 1 62 43 l 瑚律类氆m 没樊趔 硬扑地址i 乏缆协坟地_ | l l = 装琏撵作 发送办以太棚逾址( 8 位缀o _ 一3 ) 投送疗以a 嘲地址( 8 位组4 5 )发送疗妒地址( 8 位| i o 一1 ) 发送矗i p 地址 8 但缀2 3 ) 标以 蝌地址( 8 位缀。一1 ) h 杯以a 闷地址( 8 位组2 5 ) l = ! 标瑶地址( 8 垃组卜3 ) 图2 3 a r p 报文格式 硬件类型字段指明了发送方想知道的硬件接口类型：对于以太网，该类型的 值为“1 ”。协议类型字段指明了发送方提供的高层协议地址类型：对于p 地址， 这个值为0 8 0 6 。操作字段指明是此报文是：( 1 ) a r p 请求、( 2 ) a r p 响应。硬 件地址长度字段和协议地址长度字段允许a r p 用在任意网络中，因为它们指明 了硬件地址和高层协议地址的长度，在以太网中它们分别是6 和4 。发送方如果 6 河海火学硕l 研究生论文 a r p 防火墙的研究与实现 知道硬件地址和i p 地址，则会在发送方硬件地址和发送方d 地址字段中给出它 的硬件地址和口地址。 当发出请求时，发送方将“目标硬件地址”字段留出等待接收方填入，“目 标口地址”字段填入其所请求的目标口地址。在目标主机响应之前，它填入所 缺的物理地址，交换目标和发送方地址对中数据的位置，并把操作改成应答。因 此，一个应答携带了最初请求方的口和硬件地址，以及所寻找机器绑定m 和硬 件地址。而目标主机在应答舢廿请求的同时也获得了发送方的硬件地址和口地 址的绑定信息。 2 、a r p 高速缓存：网络中的两台主机通过口协议交换信息时，通常要收发 多个数据包，如果在发送每个数据包之前都使用u 冲协议获取目标的硬件地址 显然是很低效的。因此在每台主机上都配置了一个a r p 高速缓存，用以存放最 近口地址到硬件地址之间的映射关系。当主机要发送信息，先检查本机的a r _ p 缓存，只有在缓存中没有相应记录时，才发出a r p 报文，请求目标主机的硬件 地址。考虑到网络中的m 地址和硬件地址的绑定关系不是一成不变的，所以高 速缓存中的每一项都存在一个生命时间，一般为1 也分钟，起始时间从被创建时 开始算起 5 】。 3 、a r p 广播：由于事先不知道目标机的硬件地址，以太网中一般使用广播 的方式来传播a r p 报文，因此，当一台主机发出a r p 请求时所有的主机都能接 受到a i 冲报文，包括那些不是a r p 报文中所指定的目标机，这些主机同样可以 获取发送方的口地址和硬件地址，并更新自己的a r p 高速缓存。所以当主机首 次接入网络或改变自己的口地址时，通常会广播一个新的触冲请求报文，通知 网络中的所有主机刷新a r p 缓存。 2 2 a r p 协议漏洞 由以上可知，a r p 协议虽然是一个高效的数据链路层协议，但是作为一个 局域网协议，它是建立在各主机相互信任的基础上，因此存在一些问题。 ( 1 ) 主机地址映射表是基于高速缓存，动态更新的。这是a r p 协议的特色 之一，但也是安全问题之一。由于正常的主机间的m a c 地址刷新都是有时限的， 这样恶意用户如果在下次交换之前成功地修改了被欺骗机器上的地址缓存，就可 河海大学硕士研究生论文 a r p 防火墙的研究与实现 以进行假冒或拒绝服务攻击1 6 】。 ( 2 ) a r p 请求是以广播方式进行。这个问题是不可避免的，因为正是由于 主机不知道通信对方的m a c 地址，才需要进行a r p 广播请求的。这样，攻击 者就可以伪装a r p 应答，与广播者真正要通信的目标主机进行竞争。 ( 3 ) 可以随意发送a r p 应答分组。这是由于a r p 协议是无状态的，任何 主机即使在没有请求的时候也可以做出应答，因此任何时候都可以发送a r p 应 答。只要应答分组是有效的，接收到a r p 应答分组的主机就无条件地根据应答 分组的内容刷新本机高速缓存【6 。 ( 4 ) a r p 应答无须认证。由于a r p 协议是一局域网协议，一般来讲，一 个局域网内的主机是属于同一个组织，局域网内的主机问通信基本上是相互信任 的，出于传输效率上的考虑，在数据链路层上就没有安全上的考虑。在使用a r p 协议交换m a c 协议时，无需认证。只要收到来自局域网内的触冲应答分组， 就会将其中的m a c 口地址对刷新到本机的高速缓存中，而不进行任何认证【7 】。 针对a r p 协议的上述弱点，可以通过定时发送a r p 应答分组，不断更新被 欺骗主机的m a c 缓存，就可以达到a r p 欺骗的目的。 2 3 a r p 攻击方式 a r p 攻击，是指攻击者利用地址解析协议本身的运行机制而发动的攻击行 为。包括进行对主机发动m 冲突攻击、数据包轰炸，切断局域网上任何一台主 机的网络连接等8 1 。主要有以盗取数据为主要目的的刖冲欺骗攻击，还有以捣 乱破坏为目的的a r p 泛洪攻击两种。争对这两种主要攻击方式，又可细分为下 面几种攻击类型。 2 3 1i p 地址冲突 制造出局域网上有另一台主机与受害主机共享一个口的假象。由于违反了 唯一性要求，受害主机会自动向用户弹出警告对话框。对于、v i n d o w s 操作系统， 只要接收到一个a r p 数据包，不管该a r p 数据包符不符合要求，只要该a r p 数据包所记录的源i p 地址同本地主机相同但m a c 地址不同，w i n d o w s 系统就会 弹出i p 地址冲突的警告对话框 9 】。根据i p 地址冲突的攻击特征描述，这种类型 河海大学硕r 上研究生论文 a r p 防火墙的研究与实现 的a i 冲攻击主要有以下几种： ( 1 ) 单播型的口地址冲突：链路层所记录的目的物理地址为被攻击主机的 物理地址，这样攻击数据包只会被受攻击主机所接收，从而实现隐蔽式攻击。 ( 2 ) 广播型的i p 地址冲突：链路层所记录的目的物理地址为广播地址，这 样局域网内的所有主机都会接受到该a r p 数据包，对于同该攻击数据包所记录 的源地址相同的主机就会弹出地址冲突的对话框。 2 3 2a r p 泛洪攻击 攻击主机持续把伪造的m a c 口映射对发给受害主机，对于局域网内的所有 主机和网关进行广播，抢占网络带宽和干扰正常通信。这种攻击方式的主要攻击 特征包含( 1 ) 通过不断发送伪造的a r p 广播数据报使得交换机不停地处理广播 数据报而耗尽网络带弹1 0 】。( 2 ) 令局域网内部的主机或网关找不到正确的通信对 象，使得正常通信被阻断。( 3 ) 用虚假的地址信息占满主机的川廿高速缓存空 间，造成主机无法创建缓存表项，无法正常通信，这种攻击特征作者将其命名为 a r p 溢出攻击。a r p 泛洪攻击不是以盗取用户数据为目的，它是以破坏网络为 目的，属于损人不利己的行为。 2 3 2 1a r p 溢出攻击 a r p 溢出攻击的特征主要有： ( 1 ) 攻击数据包的源i p 地址是非本地网的虚拟不存在的i p 地址，但m a c 地址是固定的，当操作系统接收到一个源i p 地址在a r p 高速缓存表中不存在的 a r p 数据包时，就会在缓存表中创建一个对应m a c 一的入口项。 ( 2 ) 攻击数据包的源i p 地址是非本地网的虚拟不存在的i p 地址，而且m a c 地址也是虚拟变化的。发送这种类型的攻击数据包会引起交换机的c w 表溢出。 由于交换机是通过学习进入各端口数据帧的源m a c 地址来构建c a m 表，对各 端口和端口所连接主机的m a c 地址的对应关系进行记录，因而可根据c a m 表 来决定数据帧发往哪个端口。如果攻击源持续向交换机发送大量有错误的m a c 地址a r p 数据包，就会破坏端口与m a c 的对应关系，并导致c a m 表溢出。在 这种情形之下，缺少防范措施的交换机就会以广播的模式处理报文，形成泛洪向 所有接口转发通信信息流 1 1 】。最终使得交换机变成h u b ，将交换式的网络变成 9 河海大学硕士研究生论文 a r p 防火墙的研究与实现 广播式的网络，使得网络带宽急剧下降。 2 3 3 a r p 欺骗攻击 2 3 3 1a r p 欺骗原理 假设一个局域网环境中，网内有三台主机，分别是a 、b 、c 主机位于同一 个局域网中，如下描述： a 主机地址为：口：1 9 2 1 6 8 1 2 1m a c ：从a a a a a a a a _ a a b 主机地址为：1 9 2 1 6 8 1 2 2m a c ：b b b b b b b b b b b b c 主机地址为：口：1 9 2 1 6 8 1 2 3m a c ：c c c c c c c c c c c c 假如a 和c 之间正在进行通讯，此时b 向a 发送一个自己伪造的a r p 应 答，而这个应答中的数据为发送方口地址1 9 2 1 6 8 1 2 3 ( c 的口地址) ，m a c 地 址是b b b b ，b b b b b b b b 。 当a 接收到b 伪造的a r p 应答，就会更新本地的a r p 缓存，这时b 就伪 装成c 了。同时b 同样向c 发送一个a r p 应答，应答包中为发送方口地址 1 9 2 1 6 8 1 2 1 ( a 的i p 地址) ，m a c 地址是b b b b b b b b b b b b ( a 的m a c 地址 本来应该是a a a a a a a a a a - a a ) ，当c 收到b 伪造的a i 冲应答，也会更 新本地a r p 缓存，这时b 又伪装成了a 。这时主机a 和c 都被主机b 欺骗，a 和c 之间通讯的数据都经过了b ，主机b 完全劫持目标主机与其它主机的会话。 这就是典型的灿冲欺骗过程。 2 3 3 2a r p 欺骗种类 ( 1 ) 拒绝服务攻击：拒绝服务攻击就是使目标主机不能响应外界请求，从 而不能对外提供服务的攻击方法。如果攻击者将目标主机蝴缓存中的m a c 地址全部改为根本就不存在的地址，那么目标主机向外发送的所有以太网数据帧 会丢失，使得上层应用忙于处理这种异常而无法响应外来请求，也就导致目标主 机产生拒绝服务。 ( 2 ) 中间人攻击：中问人攻击就是攻击者将自己的主机插入两个目标主机 通信路径之间，使他的主机如同两个目标主机通信路径上的一个中继，这样攻击 l o 河海大学硕七研究生论文 a r p 防火墙的研究与实现 者就可以监听两个目标主机之间的通信。例如局域网内的三台机子a 、s 、d ， 现在a 要监听s 与d 之间的通信。攻击过程如下：a 侵染目标主机s 与d 的 a r p 缓存，使得s 向d 发送数据时，使用的是d 的口地址与a 的m a c 地址， 并且d 向s 发送数据时，使用的是s 的口地址与a 的m a c 地址，因此所有s 与d 之间的数据都将经过a ，再由a 转发给他们。 如果攻击者对一个目标主机与它所在局域网的路由器实施中间人攻击，那么 攻击者就可以截取该目标机同外部网的全部通信【1 2 1 。 ( 3 ) 多主机欺骗：篡改被攻击主机群中关于网络内某一台主机x 的a r p 记录，主机x 为网络内正在运行主机。被篡改后的m a c 地址可以为网络内正在 运行主机的m a c 地址或随机伪造的m a c 地址【1 3 1 。 t 时刻，主机a 关于主机x 的u 埽记录被篡改； t + n 时刻，主机b 关于主机x 的a i 冲记录被篡改； t + m 时刻，主机z 关于主机x 的a r p 记录被篡改： 例如当攻击主机要仿冒网关就会向局域网内的主机群发送a r p 数据包，以 自身m a c 地址来冒充真正的网关，使受骗主机群的a r p 缓冲区的m a c 地址错 误地更新为攻击源的m a c 地址，导致受骗主机群向假网关发送通信信息，而不 是通过路由器或交换途径寻找真正的网关。这时攻击主机可以把自己设置成一台 路由器负责对数据包转发，从而达到仿冒网关的目的。这是一种比较常见的欺骗 形式，这种欺骗方式可以控制同一网关下的所有主机对网络的访问。网吧内经常 发生游戏密码被盗现象就是因为遭受到仿冒网关的a r p 攻击。 ( 4 ) 全子网轮询欺骗：篡改被攻击主机x 中关于网络内多台主机的a r p 记录，这台被攻击的主机为网络内正在运行的主机，被篡改后的m a c 地址可以 为网络内正在运行的主机m a c 地址或随机伪造的m a c 地址【1 3 l 。 t 时刻，主机x 关于主机a 的a i 冲记录被篡改； t + n 时刻，主机x 关于主机b 的a j 冲记录被篡改： t + m 时刻，主机x 关于主机z 的a r p 记录被篡改； ( 5 ) 网络监听：攻击主机利用上述多主机欺骗来仿冒网关，利用全子网轮 河海大学硕士研究生论文 a r p 防火墙的研究与实现 询欺骗来篡改真正网关上关于局域网内所有正在运行主机的a r p 缓存记录，从 而实现在交换式网络环境下，对网络内所有正在运行主机同外部网的通信进行监 听。 2 3 4a r p 扫描攻击 向局域网内的所有主机发送a r p 请求，从而获得正在运行主机的i p 和m a c 地址映射对【1 4 1 。a r p 扫描往往是为发动a r p 攻击做准备。攻击源通过a r p 扫 描来获得所要攻击主机的i p 和m a c 地址。从而为网络监听、盗取用户数据，实 现隐蔽式攻击做准备。 2 3 5 虚拟主机攻击 攻击主机将自己虚拟成网络内的一台主机，拥有虚拟的物理地址和i 口地址 【1 5 l 。主要是通过在链路层捕获所有流经的a r p 请求数据包进行分析，若是对虚 拟i p 地址的a r p 请求就会发送对应虚拟物理地址的a r p 响应，并且会定时发 送对应虚拟i p 地址的a r p 通告。虚拟主机攻击会占用局域网内的i p 地址资源， 使得正常运行的主机发生i p 地址冲突，而且新加入的主机也无法正常获得i p 地 址。 2 4a r p 攻击造成的现象 a r p 的攻击问题影响很大，局域网内一旦有a r p 的攻击存在，会欺骗局域 网内所有的主机和网关，让所有上网的流量必须经过a r p 攻击者控制的主机【旧。 其它用户原来直接通过网关上网，现在却转由通过被控主机转发上网。由于被控 主机性能和程序性能的影响，这种转发并不会非常流畅，因此就会导致用户上网 的速度变慢甚至频繁断线。另外a r p 欺骗需要不停地发送u 冲应答包，会造成 网络拥塞。而且网络节点间的连通也会出现异常。对于a r p 欺骗攻击还会有其 它表现，如出现网络内大面积账号丢失和数据失密等。对于口地址冲突攻击会 使得主机不断弹出i p 地址冲突的警告信息。 河海火学硕士研究生论文 a r p 防火墙的研究与实现 2 5 防御a r p 攻击的相关技术 2 5 1 添加静态记录 在目标主机的a r p 缓存中设置静态地址映射记录，静态记录也被称为永久 记录，它的特点是永不过期用。主要是通过在网关路由器上绑定局域网内每台主 机的i p 和m a c 地址，并且也在每台电脑上面绑定对应网关路由器的i p 和m a c 地 址对。 缺陷：使用这种方法可以防御a r p 欺骗，但是对于其它的a r p 攻击例如 a r p 泛洪攻击显得无能为力，而且在一个局域网内部人们经常会出于各种正当 的原因修改主机的口地址。如果每个主机都采用a r p 静态记录，那么当对主机 i p 地址进行调整时，如果忘记重新设置该静态记录，局域网内部就会出现混乱。 对于小型的局域网当然在口地址出现变动时，可以方便及时地更新静态记录， 但是在大规模网络中这种方法就存在不易部署、难管理的缺陷。 2 5 2 设置a r p 服务器 为克服上面提到的不足，自然的解决方案是对上述维护静态记录的分散工作 进行集中管理。也就是指定局域网内部的一台机器作为a r p 服务器，专门保存 并且维护可信范围内的所有主机的p 地址与m a c 地址映射记录。该服务器通 过查阅自己的a r p 缓存的静态记录并以被查询主机的名义响应局域网内部的 埘请求。同时可以设置局域网内部的其它主机只使用来自啪服务器的a r p 响应。 缺陷：如何将一台主机配置成只相信来自趾冲服务器的6 时响应，对于大 多数系统来说仍是很难实现的【1 8 1 。 2 5 3 网络级检测 配置主机定期向中心管理主机报告其a r p 缓存的内容。这样中心管理主机 上的程序就会查找出两台主机报告信息的不一致，以及同一台主机前后报告内容 的变化。这些情况反映了潜在的安全问题。例如网络版的a 1 1 t i a r p 软件就是依据 该原理来实现的，它有服务器端和客户端两套软件。可以选择局域网内的一台主 河海大学硕士研究生论文a r p 防火墙的研究与实现 机作为服务器，其它所有主机作为客户端，若客户端的主机接收到一个a r p 数 据包，该数据包会引起本地a r p 缓存的变化，这时客户端就会向服务器端发送 请求判断该u 冲数据包是否符合要求，若符合要求则允许其通过。服务器端判 断客户端发送来的a r p 数据包是否符合要求的依据是各个客户端所传送过来的 本地主机i p 和m a c 地址映射对。 缺陷：使用这种方法需要在网络内的所有主机上安装客户端软件，工作量巨 大且可操作性不高。 2 5 4 交换机端口设置 利用交换机等具有管理端口及节点的m a c 地址功能的网络设备，将网络进 行分段。该交换机知道所连主机的m a c 地址，并将这些m a c 地址及其对应的 端口保存在内部表格中。当某个端口接收到a r p 数据包时，交换机就会将包中 记录的源地址与端口读到的源地址进行比较。如果源地址发生改变，该数据包就 会被丢弃。 缺陷：使用这种方法对于那些移动终端设备例如笔记本电脑，当需要从一个 端口移动到另外一个端口时，都需要通知管理员修改对应的端口设置，因而不易 配置管理。 2 5 5 定期轮询 网关定期的发送通告本地i p 地址和m a c 地址的a r p 报文，这样被篡改的 a r p 记录又会恢复到正常状态。对于这种防御方法当欺骗报文比通告报文晚些 到达被攻击的主机时，被攻击主机的灿冲缓存又会被篡改。如果网关想通过增 大通告报文发送次数，由于网关广播的速度赶不上欺骗报文的发送速度，那么不 但起不到恢复效果，相反由于所发送通告报文的频率增大，不但占用了网关的 c p u 资源而且耗费了网络带宽。而且这种简单的防御方法，只能防御局域网内 主机的部分a r p 欺骗攻击，对于针对网关本身的攻击却起不到防御效果。 2 5 6 划分虚拟局域网 欺骗攻击无法跨网段工作，将网络进行越细致地分段，无漏洞渗透成功的可 1 4 河海大学硕士研究生论文 a r p 防火墙的研究与实现 能性就越小。将受信任主机设置在同一社区v 】。a n 中，将绝密性主机设置在隔 离v l n 中，可以有效地防止无漏洞渗透的渗入。 缺陷：通过v n 技术隔离广播域，从一定程度上缩减a r p 攻击范围。但 是对于同一v k n 内的主机之间还是存在攻击的可能性，这并不是从实质上根 除u 冲攻击的良药。 2 5 7 安装a r p 防火墙软件 安装一些商业版的防火墙软件。通过安装这些软件可以解决普通用户无需掌 握复杂的a i 冲攻击防御知识的困难，只需要简单地安装这些软件。但是目前这 些软件还存在很多的缺陷不足，例如在追踪攻击源方面，只是简单地根据异常 a r p 数据包中关于源物理地址的记录来判断攻击源，对于那些源物理地址如果 是伪造的情况，明显缺乏可靠性。而且不能实现全面的防御，当面对一些高级的 a r p 攻击时显得力不从心。在对本地j 蟠口缓存记录进行防护时，也只能对一些 特定的保护对象例如网关进行防护，对于局域网内其它主机的舢冲记录起不到 防护效果。而且现在的a r p 防火墙在某种程度上带着“以毒攻毒”的思想来进 行防御的。这就给大型局域网带来其它一些问题，例如灿心广播风暴。 2 5 8 动态a r p 检测 d a i ( d y i l 锄i cj 蝴h l s p c c d o n ) 动态a r p 检测【卸】依据一个信任的数据库( 如 手工配置或d h c p 监听绑定表) 中合法的i p 对应m a c 地址的条目来判断数据包 的合法性。这个