畢業(yè)論文設計_論文封面

1、教學單位學生學號2反£/xiaogan university本科畢業(yè)論文（設計）題 冃學生姓名專業(yè)名稱指導教師摘要簡單網絡管理協議(simple network management protocol, snmp)是h前應用最廣泛的 tcp/ip網絡管理協議。隨著網絡技術的發(fā)展，越來越多的網絡設備部提供了對snmp的支 持，如路由器、交換機、各種通信設備等。利用snmp協議，可以了解網絡的運行情況， 設置設備參數，收集相關數據，了解網絡的使用效率。arp攻擊是大型局域網面臨的最大威脅之一。利用此攻擊進行網絡監(jiān)聽是黑客們經常用的 招數。論文介紹了 arp攻擊的原理及簾見的攻擊方式，防御

2、方式。木文重點介紹了通過監(jiān)控網絡設備來主動防御arp欺騙的解決方案。該方案通過簡單網絡 管理協議(snmp)提取網絡設備的運行狀態(tài)相關信息，發(fā)現并定位arp欺騙者，然后采 取相應隔離arp欺騙者的措施，排除arp欺騙對網絡正常運行的危害。關鍵詞：簡單網絡管理協議；arp欺騙；mib；主動防御；網絡安全abstractsnmp (simple network management protocol, snmp) is the most universal protocol for tcp/ip network management today. with the development of n

3、etwork technology,more and more network equipments,e.g. routers,switches,communication equipmentsetc,have been developed to support snmp. using snmp, we can monitor running status,set parameters,collect data and view efficiency of networkarp attack is one of zhe most dangerous threats to large lan.

4、many hackers uses this method to listen in the network. the theory of arp attack, common attack fashions and the deffences to this attack are presented in this paper.this paper introduces through monitoring network equipment to active defense arp deception solutions. this scheme through simple netwo

5、rk management protocol (snmp) extract, network equipment operation related information, and found the arp deception, and adopt corresponding measures to isolate the arp deception, eliminate the arp deception on the normal operation of the networkkeywords: simple network management protocol； arp dece

6、ive； mib；active defense； network security1緒論1.1研究背景隨著網絡的發(fā)展和普及，網絡的開放性、互聯性隨之增人。網絡互聯一般采用tcp/ip協議， 其最初的設計思想是認為網絡中的所有使用者都按照正常的規(guī)則來利用網絡，設計者在設計 此協議時，更多的考慮到了通訊的效率，而沒有過多的考慮其安全性，所以協議中存在很多 的安全漏洞，致使網絡極易受到黑客的攻擊。而arp攻擊是其屮比較常見的攻擊手段之一。 近年來，冇一類叫做arp的病毒開始不斷地向各個行業(yè)的網絡環(huán)境擴散，其冃的從鼓初的 竊取qq、網游、網銀等賬號，發(fā)展到后來的&門搶占網絡帶寬以及純粹破壞網絡

7、通訊等等。 2006年，arp欺騙対教育行業(yè)的影響達到頂峰。多所國內知名大學網絡中心相繼發(fā)布了專 門針對防治arp病毒的公告。這兩年arp病毒肆崔大學校園網，嚴重地干擾著用戶的正常 上網。因此分析arp協議的缺陷以及如何對arp病毒進行冇效防御成為冃前研究的熱門。 1.2研究現狀雖然arp欺騙的原理已經十分的明了，但是對arp欺騙的防范措施卻不是很有效，國內外 冃前大多沒有功能很強的網絡軟件，可以很快的檢查到網絡中出現了 arp欺騙怙:況，當然, 這主要也與arp協議本身和地址解析表有關，因為地址解析表通常存在在各自主機上，通 過網絡軟件（防火墻）監(jiān)控起來比較麻煩。利用arp手段進行攻擊的軟件

8、冇很多，但是防 范軟件還沒有十分好的。目前主耍防御措施或多或少存在缺陷。1.3論文的主要工作本文百先研究了 arp協議的實現及漏洞分析，重點針對當前防御系統(tǒng)所存在的缺陷，提出 一種全新的防御模式，該防御模式通過網絡設備建立實時更新的ip-mac表來實現對整個網 絡arp欺騙的主動防御。1.4論文的組織結構及主要創(chuàng)新點1.4.1本文的主要結構首先在緒論部分本文詳細介紹arp欺騙的研究現狀，以及論文的研究背景。最后說明本文 所采取的技術路線、研究的內容和工作重點，對論文的組織結構了以介紹。其次本文簡要介紹了 arp協議以及該協議的漏洞，分析了 arp的攻擊方式以及ii前常用的 防御模式的利與弊。再

9、次本文詳細分析介紹了簡單網絡管理協議（snmp）網絡管理模型的結構以及其核心部分 管理信息庫（mib）的訪問流程及原理；并詳細闡述了主動防御機制。接下來在此基礎上木文概括分析了此機制的總體框架和工作流程，分析幾個主要功能模塊的 詳細設計與實現，給出測試方案和測試結果。最后木文對上述要點和主要工作進行了總結，并闡述了木文的研究成果和后續(xù)工作。1.4.2本文的創(chuàng)新點（1）研究方法的創(chuàng)新。本文從簡單網絡管理協議出發(fā)，運用了歸納法和演繹法，較為系統(tǒng) 全面的闡述了 arp欺騙主動防御的機制。（2）研究角度的創(chuàng)新。目前，無論是國外還是國內，對病毒的主動防御研究都不是很充分。 因此本文主要針對arp欺騙的主

10、動防御進行了研究，并提出了相應的對策建議，為病毒防 御的更新實踐捉供冇價值的參考。2 arp協議分析及其相關的防御技術研究2.1 arp協議簡介arp （address resolution protocol）地址解析協議，顧名思義，就是丿ij來解釋地址的協議。 具休來說,就是將網絡層（相當于iso/osi的笫三層）地址解析為數據鏈路層（相當于iso/osi 的第二層）的mac地址。在tcp/ip協議中，每臺主機分配一個32位ip地址，運行在tcp/ip協議z上的軟件只能使 用預先分配的ip地址來發(fā)送和接收ip數據包。而在包括以太網的所有物理網絡屮都有白己 的尋址機制，當網絡上的兩臺機器之間要

11、傳輸數據時，必須使用物理的網絡地址才能保證互 相通信。因此當主機或路由器需要在一個物理網絡上發(fā)送分組時，必須要知道對方的ip地 址所對應的物理地址，即解決地址解析問題1 。對于不同的物理網絡采用不同的地址解碼方案,對于那些具冇地址空間較小但可以靈活配置 的網絡可以采用直接映射的方法，即依據一定的映射關系根據客戶機的ip地址來配置他的 物理地址，因此1p地址可以通過映射關系直接轉換成物理地址。但對于以太網來講，因為 以太網地址為48位，無法將32位的ip地址直接映射為物理地址，所以tcp/ip協議設計人 員使用了低層協議的動態(tài)地址綁定，即地址解析協議arpoarp協議處于ip層和鏈路層之間，以太

12、網屮通常采用arp協議實現動態(tài)地址綁定，解決地 址轉換問題。arp動態(tài)地址轉換基本思路：當主機a要轉換ip地址i時，他廣播一個特殊 的分組，請求ip地址為i的主機用物理地址p做出響應。包括b在內的所有主機接收到這 個請求，但只有上機b識別它的ip地址，并發(fā)出一個包含其物理地址的應答。當a收到應 答后，就用該物理地址吧互聯網分組直接發(fā)送給b2o如圖2.1、2.2所示：地址轉換i辦議arp允許主機在只知道同一物理網絡上一個目的詁ip地址的情況卜，找到目 的主機的物理地址。為了更深入的了解arp協議，我們必須了解一下概念：1、arp報文：當-哈主機提出arp請求或響應arp請求時均需要使用arp報文

13、來傳遞信 息，圖2.3顯示了在以太網碩件（物理地址為48位）:轉換ip協議地址時所用的arp報 文。硬件類型字段指明了發(fā)送方想知道的硬件接口類型，以太網的值為lo協議類型字段指明了發(fā)送方捉供的高層協議類型，ip為0806 （16進制）。硬件地址長度和協議地址氏度指明了硬件地址和高層協議地址的氏度，以太網中分別為6 和4,這樣arp報文就可以在任意硬件和任意協議的網絡中使用。操作字段用來表示這個報文的目的，arp請求為1, arp響應為2, rarp請求為3, rarp 響應為4o當發(fā)出請求時，發(fā)送方將“目標硬件地址”字段留出等待接收方填入，“目標ip地址”字段 填入其所請求的目標ip地址。在h

14、標主機響應z前，它填入所缺的物理地址，交換目標和 發(fā)送方地址對屮的數據位置，并把操作改成應答。因此，一個應答攜帶了最初請求方的ip 和硬件地址，以及所尋找機器綁定1p和硬件地址。而目標主機在應答arp請求的同時也獲 得了發(fā)送方的碩件地址和ip地址的綁定信息。2、arp高速緩存：每臺主機都要有一個arp高速緩存，存放著其他主機的ip地址和mac 地址的映射關系，當源主機需要將一個數據包發(fā)送到目的主機時，首先檢查占己arp列衣 屮是否存在該ip地址對應的mac地址，如果存在就直接將數據包發(fā)送到該mac地址：如 果沒有，就向本地網段發(fā)起一個arp請求的廣播包，查詢此目的主機對應的mac地址。此arp

15、廣播包里有源主機的1p地址、硬件地址以及目的主機的ip地址等。網絡屮所有主 機收到這個arp請求示，會自動檢杳該包屮的目的ip是否和自己的ip 致，如果不同就 忽略此數據包；如果相同，該主機首先將發(fā)送端的mac地址和ip地址添加到自己的arp 列表中：如果arp表中已經存在該ip的信息，則將其覆蓋，然后給源主機發(fā)送一個arp 響應數據包，告訴對方自己是其需要查找的mac地址。源主機收到這個arp響應數據包 后，將得到的目的主機的ip地址和mac地址添加到自己的arp列表中，并利用此信息開 始數據的傳輸。如果源主機一直沒有收到arp響應數據包，則表示arp查詢失敗。arp高速緩存是動態(tài)更新的，為

16、了節(jié)省arp高速緩存空間，加快查詢速度，arp表使用了 老化機制即如果在一段時間內該記錄沒有被引用過，則該記錄被白動刪除。一般地windows 系統(tǒng)的arp記錄壽命是2分鐘，但也有部分交換機arp高速緩存更新的時間間隔是20分 鐘。3、arp t播：由于事先不知道目標機的硬件地址，以太網屮一般使用廣播的方式來傳播 arp報文，因此，當一臺主機發(fā)出arp請求時，所冇主機都能接收到arp報文，包括哪 些不是arp報文中所指定的f1標機，這些主機同樣可以獲収發(fā)送方的ip地址和硬件地址， 并更新自己的arp高速緩存。所以肖主機首次接入網絡或改變自己的ip地址時，通常會廣 播一個新的arp請求報文，通知

17、網絡中所有主機刷新arp緩存。2.2 arp協議漏洞由以上可知，arp協議雖然是一個高效的數據鏈路層協議，但是作為一個局域網協議，它 是建立在各主機相互信任的基礎上，因此存在一些問題。1、主機arp列表是基于高速緩存動態(tài)更新的。由于止常的主機間的mac地址刷新都是有 時限的。這樣惡意用戶如果在下次交換之前成功地修改了被欺毓機器上的地址緩存，就可以 進行假冒和拒絕服務攻擊4。2、arp請求吋以廣播方式進行。這個問題是不nj避免的，因為止是由于主機不知道通信對 方的mac地址，才需要進行arp f播請求的。這樣，攻擊者就可以偽裝arp應答，與廣 播者真正要通信的目標主機進行竟爭。3、可任意發(fā)送ar

18、p應答分組。由于arp協議是無狀態(tài)的，任何主機即使在沒有請求的時 候也可以作出應答，因此任何時候都可以發(fā)送arp應答。只要應答分組有效，接收到arp 應答分組的主機就無條件的根據應答分組刷新本機高速緩存4。4、arp應答無須認證。由于arp協議時局域網協議，一般來講，一個局域網內的主機是 屬于同一個組織，局域網內的主機間通信基本上是互相信任的，處于傳輸效率上的考慮，在 數據鏈路層上就沒有安全上的考慮。在使用arp協議交換mac協議時，無須認證。只要 收到來自局域網內的arp應答分組，就會將其中的mac/ip地址對刷新到木機的高速緩存 中，而不進行任何認證5。針對 arp協議的上述漏洞，可以通過

19、定時發(fā)送arp應答分組，不斷更新被欺騙主機的緩存, 就可以達到arp欺騙的口的。2.3 arp攻擊方式arp攻擊，指的是攻擊者利用地址解析協議本身的運行機制而發(fā)動的攻擊行為。包括進行 對主機發(fā)動ip沖突攻擊、數據包轟炸，切斷局域網上任何一臺主機的網絡連接等6。主要 分為以盜取數據為目的的arp欺騙攻擊和以破壞為目的的arp泛洪攻擊兩種。針対這兩種 方式又可分為以下幾種類型。2.3.1 ip地址沖突制造出局域網上有另一臺主機與受害主機共亨一個ip的假象。由于違反了唯一性要求，受 害主機會自動向用戶彈出警告對話框。對于windows操作系統(tǒng)，接收到一個arp數據包， 不管該arp數據包符不符合要求

20、，只要該arp數據包所記錄的源ip地址痛本地主機相同 但mac地址不同，windows系統(tǒng)就會彈出ip地址沖突的警告對話框7。根據ip地址沖突 的攻擊特征描述，這種類型的arp攻擊主要有單播型和廣播型。2.3.2 arp泛洪攻擊攻擊主機持續(xù)吧偽造的mac-ip映射對發(fā)給受害主機，對丁局域網內的所有主機和網關進行 廣播，搶占網絡帶寬和十擾正常通信。這種攻擊方式的主要攻擊特征包含：（1）通過不斷發(fā)送偽造的arp廣播數據報使得交換機不停的處理廣播數據報而耗盡網絡帶 寬8。（2）令局域網內部的主機或網關找不到正確的通信對象，使得正常通信被阻斷。（3）用虛假的地址信息占滿主機的arp高速緩存空間，造成主

21、機無法創(chuàng)建緩存表項，無法 正常通信，這種攻擊特征為arp溢出攻擊。2.3.3 arp掃描攻擊arp掃描是網絡黑客發(fā)動arp攻擊的前奏，其步驟是向局域網內的所有主機發(fā)送arp請 求，從而獲得正在運行主機的ip和mac地址映射對，然后通過精心的掃描和過濾，從中 窺探出所要攻擊主機的ip和mac地址，從而為網絡監(jiān)聽、盜取用戶數據、實現隱蔽式攻 擊做準備。2.3.4虛擬主機攻擊網絡黑客往往通過在網絡內虛擬構建網卡，將自己虛擬成網絡內的一臺主機，擁冇虛擬的物 理地址和ip地址。主要是通過在鏈路層捕獲所冇流經的arp請求數據包進行分析，若是對 虛擬主機的arp請求就會發(fā)送対應焜擬物理地址的arp響應，并u

22、虛擬主機本身也會發(fā)送 arp請求。虛擬主機攻擊會占用局域網內的ip地址資源，大量的虛擬主機攻擊會使局域網 內的主機無法正常獲得ip地址。2.3.5 arp欺騙攻擊2.3.5.1 arp欺騙原理為了減少網路流量，當一臺主機的arp處理機制中接收到一個arp應答的時候，該主機不 進行驗證，即使該主機從未發(fā)出任何的arp請求，任然會把接收到的mac地址映射信息 放入arp緩存屮去，也就是說，一臺主機從網上接收到任何arpm答都會更新自己的地址 映射表，而不管其是否真實。利用這個缺陷，欺騙就產牛了。例如：一個局域網內有3臺主機a, b, co主機a和主機bz間進行正常的通信，c在平 常情況下無法獲得a

23、和b z間的通信數據。c希望插入到a和b z間的通信中去，使a發(fā) 給b的數據先發(fā)到c這里，c接收之后再轉發(fā)給b, b發(fā)給a的數據也先發(fā)給c, c接收 到后再轉發(fā)給a。這樣c就可以得到ab之間的通信內容了，如果其中有機密的數據，諸如 用戶名和密碼，就被c得到了。c的工作是這樣進行的：a 的 ip 地址為：192.168.0.1, mac 地址為：010101010101；b 的 ip 地址為：192.168.0.2, mac 地址為：020202020202；c 的 ip 地址為:192.168.0.3, mac 地址為:030303030303；開始的時候，a和b各自維護自己的地址解析表（緩存

24、），這是正確的地址解析表。如圖2.4 所示：圖2.4各個主機各自維護自己的arp地址表主機c開始發(fā)送arp的應答信息給主機a, c發(fā)的arp應答數據包信息為：“ip地址： 192.168.0.2, mac地址:030303030303”這顯然是在欺騙,因為這個信息屮，ip地址是b 的，但mac地址卻是主機c的。主機a接收到這條arp應答信息后，因為沒有驗證機制, 直接修改了自己的映射表，把ip地址192.16&0.2對應到mac地址030303030303.主機c 再向b發(fā)送arp應答包：“ip地址：192.168.0.1, mac地址：030303030303”同樣的，b 接收到后也

25、修改了 &己的地址映射表，如圖2.5所示：圖2.5主機c對主機人和13進行arp欺騙后，主機a, b的arp地址表2.352 arp欺騙利啖1、拒絕服務攻擊：拒絕服務攻擊就是使冃標主機不能響應外界請求，從而不能對外提供服 務的攻擊方法。如果攻擊者將目標主機arp緩存屮的mac地主全部改為根本就不存在的 地址，那么目標主機向外發(fā)送的所有以太網數據幀就會丟失，使得上層應用忙于處理這種界 常而無法響應外來的請求，而導致冃標主機產生拒絕服務。2、中間人攻擊：屮間人攻擊就是攻擊者將自己的主機插入兩個日標主機通信路徑之間，使 他的主機如同兩個目標主機通信路徑上的一個中繼，這樣攻擊者就可以監(jiān)聽兩個目

26、標主機之 間的通信。3、多主機欺騙i：篡改被攻擊主機群屮關于網絡內某一臺主機x的arp記錄，被攻擊的主 機群為網絡中的多臺主機而非一臺主機。主機x為網關或網絡內任何一臺非網關的止在運 行的主機。被篡改后的mac地址可以為網絡內正在運行主機的mac地址或隨機偽造的 mac地址。4、全子網輪詢欺騙：全子網倫詢欺騙是網絡黑客取得小范圍內的突破后，為了擴大其“戰(zhàn) 果”，繼續(xù)篡改被攻擊主機x中關于網絡內多臺主機的arp記錄，這臺被攻擊的主機為網 關或網絡內任何一臺非網關的主機，被篡改后的mac地址可以為網絡內正在運行的主機 mac地址或隨機偽造的mac地址5、網絡臨聽：監(jiān)聽又叫嗅探，在協助網絡管理員監(jiān)測網絡傳輸數據，排除網絡故障等方面 具有不可替代的作用，因而一肓倍受網絡管理員的青睞。然而在另一方而，網絡監(jiān)聽也給以 太網安全帶來了極大的隱患，許多的網絡入侵往往都伴隨著以太網內網絡臨聽行為，從而造 成密碼失竊，敏感數據被截獲等連鎖性的安全事件，攻