基于ARP 偽裝技術(shù)的IP 地址防盜用方案的研究

1、基于ARP偽裝技術(shù)的IP地址防盜用方案的研究杜暖男 馬瑩瑩（平頂山工業(yè)職業(yè)技術(shù)學(xué)院，河南平頂山 467001）1 研究背景眾所周之，IP地址的盜用對網(wǎng)絡(luò)的正常運(yùn)行是十分有害的。一方面，非法用戶盜用合法用戶的IP地址以獲得特殊的訪問權(quán)限；另一方面，非法用戶盜用未分配的IP地址，對正常的網(wǎng)絡(luò)運(yùn)行和應(yīng)用進(jìn)行破壞。因此，當(dāng)前找出在通用網(wǎng)絡(luò)模型下IP地址防盜用的方法是十分有必要的。2 IP地址防盜用方案模式分析2.1 IP-MAC模型IP-MAC模型是人們較早提出的一種模型。IP地址盜用的問題歸根結(jié)底是解決IP地址的唯一性的問題，而在實(shí)踐中IP地址的唯一性很難保證。正如前面所分析的，在目前日益廣泛應(yīng)用的

2、Linux系統(tǒng)下，用戶可以隨意地更改所使用的主機(jī)的IP地址，因此IP地址的唯一性需要依賴于其他本身具有唯一性的因素來保持。2.2 IP-MAC-USER模型針對成對修改IP-MAC地址和動態(tài)修改IP的IP地址盜用方式，人們提出了IP-MAC-USER模型。IP-MAC-USER模型的原理是，在采用IP-MAC模型實(shí)現(xiàn)IP綁定MAC地址的基礎(chǔ)上，在重點(diǎn)、高危險(xiǎn)網(wǎng)段實(shí)施IP同時(shí)綁定MAC地址和用戶，即在IP-MAC綁定的同時(shí)，檢驗(yàn)與IP相對應(yīng)的用戶名和口令，實(shí)現(xiàn)IP綁定用戶。這種方案對成對修改IP-MAC地址和動態(tài)修改IP的IP地址盜用方式能夠進(jìn)行徹底的防范，是一種普遍防御和重點(diǎn)防范相結(jié)合的方案。

3、IP-MAC-USER模型不能簡化為IP-USER模型，那樣就會帶來大量IP用戶管理的麻煩，同時(shí)造成網(wǎng)絡(luò)使用的不便。2.3 IP-MAC-PORT模型隨著共享式以太網(wǎng)向交換式以太網(wǎng)的發(fā)展，具有簡單網(wǎng)絡(luò)管理功能的交換機(jī)越來越為人們所采用。在這種形勢下人們提出了IP-MAC-PORT模型。IP-MAC-PORT模型的原理是，在交換以太網(wǎng)環(huán)境下，將IP地址與MAC地址、主機(jī)所連接的交換機(jī)端口同時(shí)綁定，即在檢驗(yàn)（IP，MAC）地址對的同時(shí)，檢驗(yàn)IP對應(yīng)的交換機(jī)端口。3 基于ARP偽裝技術(shù)的IP地址防盜用方案3.1 ARP協(xié)議分析ARP（地址解析協(xié)議）用于將IP地址映射為硬件地址（MAC地址），它是TC

4、P/IP協(xié)議組中的一個非常重要的協(xié)議，在OSI七層網(wǎng)絡(luò)模型中，網(wǎng)絡(luò)層下面是數(shù)據(jù)鏈路層，為了它們可以互通，需要轉(zhuǎn)換協(xié)議。ARP（地址解析協(xié)議）用于把網(wǎng)絡(luò)層（第三層）地址映射到數(shù)據(jù)鏈路層（第二層）地址，RARP（反向地址解析協(xié)議）則反之。網(wǎng)絡(luò)層地址是由網(wǎng)絡(luò)管理員定義的抽象映射，它不去關(guān)心下層是哪種數(shù)據(jù)鏈路層協(xié)議。然而，網(wǎng)絡(luò)接口只能根據(jù)第二層地址來互相通信，第二層地址通過ARP從第三層地址得到。并不是發(fā)送每個數(shù)據(jù)包都需要進(jìn)行ARP請求，ARP應(yīng)答被緩存在本地的ARP表中，這樣就減少了網(wǎng)絡(luò)中的ARP包。3.2 ARP偽裝技術(shù)利用ARP協(xié)議的無認(rèn)證特性，假設(shè)主機(jī)Q與X，Y在同一局域網(wǎng)內(nèi)，Y向X發(fā)送ARP

5、應(yīng)答后，Q偽裝成Y，再向X發(fā)送一個以<Ipy，MACq>為源地址的ARP包或向Y發(fā)一個以<Ipx，MACq>為源地址的ARP包，就會更新X或Y的ARP緩存表，使X將Ipy的MAC地址解析為MACq或使Y將Ipx的地址解析為MACq，這就是ARP偽裝技術(shù)。Q應(yīng)用ARP偽裝技術(shù)修改X和Y的ARP緩存表后，X和Y發(fā)給對方的IP數(shù)據(jù)報(bào)都會發(fā)向MAC地址MACq.若MACq為網(wǎng)絡(luò)內(nèi)不存在的空MAC地址，則X，Y可以繼續(xù)向?qū)Ψ桨l(fā)IP數(shù)據(jù)包，但對方收不到，X，Y之間的網(wǎng)絡(luò)通信無法實(shí)現(xiàn)，本文稱之為ARP截?cái)??；贏RP偽裝技術(shù)的IP防盜用方法就是采用ARP截?cái)嗟姆椒ǎ笽P盜用主機(jī)無法

6、進(jìn)行網(wǎng)絡(luò)通信，從而實(shí)現(xiàn)IP地址防盜用。3.3 應(yīng)用ARP偽裝技術(shù)實(shí)現(xiàn)IP-MAC模型隨著技術(shù)的發(fā)展，有些IP盜用者采用修改主機(jī)MAC地址的方法，來避開IP防盜用系統(tǒng)。雖然修改MAC并不容易，但I(xiàn)P防盜用系統(tǒng)也應(yīng)對其防范。對于修改MAC的盜用方法，可在子網(wǎng)的IP-MAC地址庫中增加一項(xiàng)IP開關(guān)狀態(tài)標(biāo)志，此標(biāo)志項(xiàng)由用戶自行管理，當(dāng)用戶要退出網(wǎng)絡(luò)時(shí)，訪問IP-MAC地址庫，將分配給他的IP地址所對應(yīng)的開關(guān)狀態(tài)標(biāo)志項(xiàng)設(shè)置為關(guān)閉；當(dāng)用戶重新使用網(wǎng)絡(luò)時(shí)，再次訪問IP-MAC地址庫將開關(guān)狀態(tài)標(biāo)志打開。對于ARP監(jiān)聽模塊，在將ARP包中的源IP地址與IP-MAC地址庫比對時(shí)，增加一個判斷IP地址開關(guān)狀態(tài)標(biāo)志項(xiàng)

7、的進(jìn)程，如開關(guān)狀態(tài)標(biāo)志項(xiàng)己關(guān)閉，就可判斷為修改MAC地址的IP地址盜用，隨即調(diào)用ARP截?cái)嗄K。ARP截?cái)嗄K不必做修改。在IP防盜用軟件運(yùn)行的系統(tǒng)上開啟Web服務(wù)，采用JSP技術(shù)開發(fā)一個B/S模式的Web數(shù)據(jù)庫系統(tǒng)，使用戶可以經(jīng)過必要的用戶、口令認(rèn)證后，用瀏覽器訪問IP-MAC地址庫，管理IP地址開關(guān)狀態(tài)標(biāo)志。通過以上方案的實(shí)施即實(shí)現(xiàn)了基于IP-MAC-USER三元素的IP地址防盜用模型，又可對成對修改IP-MAC地址和動態(tài)修改IP地址的IP地址盜用方式進(jìn)行有效地防范。3.4 通過ARP地址欺騙技術(shù)防范IP地址盜用下面以例子的方式說明ARP地址解析和ARP地址欺騙防：止IP地址盜用。A機(jī)器上

8、運(yùn)行如下：C：>arp aInterface 1 92 1 68 1 0 1 on Interface 0x1 000003Internet Address PhysicaI Address Type192.168.10.3 CCCCCCCCCCCC dynamic這是192. 168. 1 01（主機(jī)A）上的ARP緩存表，假設(shè)A進(jìn)行一次ping 192. 168. 10 .3（主機(jī)C）操作，會查詢本地的ARP緩存表，找到C的IP地址對應(yīng)的MAC地址。以便對傳輸?shù)膸M(jìn)行封裝，這樣就可以進(jìn)行數(shù)據(jù)傳輸，幀的目的MAC地址就是C的MAC地址。如果A中沒有C的ARP記錄，那么A首先要廣播一次AR

9、P請求。當(dāng)C接收到A的請求后就發(fā)送一個應(yīng)答，應(yīng)答中包含有C的MAC地址，這就是ARP地址解析的過程，然后A接收到C的應(yīng)答就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數(shù)據(jù)。因此本地高速緩存的這個ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個緩存是動態(tài)的。但是ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應(yīng)答。這也就是利用ARP地址欺騙技術(shù)達(dá)到防止IP地址盜用的理論基礎(chǔ)了。當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候，就會對本地的ARP緩存進(jìn)行更新，將應(yīng)答中的IP-TnMAC地址存儲在ARP緩存中。因此，在上面的假設(shè)網(wǎng)絡(luò)中，B向A發(fā)送一個自己偽造的ARP應(yīng)答 而這個應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192. 168. 10.3（C的IP地址） MAC地址是DDDDDDDDDD-DD(C的MAC地址本來應(yīng)該是CCCCCCCCCCCC 這里被偽造了)。當(dāng)A接收到B偽造的ARP應(yīng)答，就會更新本地的ARP緩存(A可不知道被偽造了)。4 小結(jié)盜用技術(shù)的發(fā)展與反盜用技術(shù)的進(jìn)步是一個此長彼消，互相促進(jìn)的過程。要很好解決這個問題，一方面需要依靠反盜用技術(shù)的不斷提高，另一方面還需要法律、法規(guī)和各項(xiàng)網(wǎng)絡(luò)管理制度的健全和完善。亦即，一方面要不斷地提高網(wǎng)絡(luò)的管理水平，研究新的網(wǎng)絡(luò)技術(shù)，另一方面還要對敢于進(jìn)行IP地址盜用、破壞網(wǎng)絡(luò)安全的人，按