ARP協(xié)議的安全缺陷及改進(jìn)

ARP協(xié)議的安全缺陷及改進(jìn)組員：ARP協(xié)議的安全缺陷及改進(jìn)

1.ARP協(xié)議概述

2.ARP協(xié)議的缺陷

3.目前的一些改進(jìn)技術(shù)

4.我們提出的改進(jìn)方法

5.方法對(duì)比

ARP協(xié)議概述ARP協(xié)議：ARP（AddressResolutionProtocol）地址解析協(xié)議用于將計(jì)算機(jī)的網(wǎng)絡(luò)地址（IP地址32位）轉(zhuǎn)化為物理地址（MAC地址48位）。在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就是通過(guò)地址解析協(xié)議獲得的。ARP32bitIP地址48bitMAC地址ARP協(xié)議概述ARP協(xié)議原理

A首先廣播一個(gè)ARP查詢報(bào)文，請(qǐng)求IP地址為IPB的主機(jī)回答其物理地址，ARP查詢包同時(shí)帶有主機(jī)A的MAC地址MA、PA。收到ARP查詢包后，網(wǎng)上所有主機(jī)將其MAC地址緩沖區(qū)中的主機(jī)A的MAC地址更新為剛剛收到的ARP查詢包中攜帶的地址MA，并將此ARP報(bào)文中要查詢的IP地址（IPB）和自己的IP地址比較，顯然，主機(jī)B收到這ARP請(qǐng)求包后作出回答：向A發(fā)回一個(gè)ARP應(yīng)答包，回答自己的物理地址MB。在查詢主機(jī)B的ARP查詢包中包含有主機(jī)A的MAC地址，B采用點(diǎn)對(duì)點(diǎn)的方式將ARP應(yīng)答包發(fā)送給主機(jī)A。這樣B與A建立了連接。ARP協(xié)議的缺陷ACDB路由PAMAPBPBMBARP工作原理圖A與B建立連接如圖所示：ARP協(xié)議的缺陷

ARP協(xié)議的缺陷：沒(méi)有對(duì)ARP報(bào)文來(lái)源是否合法進(jìn)行驗(yàn)證，也不會(huì)檢查ARP是否發(fā)送過(guò)相應(yīng)的報(bào)文，造成的攻擊主要有：1.ARP中間人攻擊“中間人”攻擊策略是ARP欺騙主要攻擊方式。也是最危險(xiǎn)的攻擊方式。中間人攻擊是指攻擊者插入通信雙方的連接中,截獲并轉(zhuǎn)發(fā)雙方的數(shù)據(jù)包的行為。通過(guò)這種行為,攻擊者可以探測(cè)到機(jī)密的信息,甚至篡改信息的內(nèi)容。ARP協(xié)議的缺陷BACMAPBMAPC

中間人攻擊示意圖A在B、C沒(méi)有發(fā)送請(qǐng)求的情況下分別向B、C直接發(fā)送應(yīng)答報(bào)文，分別攜帶MAPC、MAPB。B、C更新緩存，A作為攻擊者先后與A、C建立連接。最終使A成為了中間收聽人。B、C之間的所有通信都要經(jīng)過(guò)A。中間人ARP協(xié)議的缺陷

2.一請(qǐng)求，多回答

主機(jī)通過(guò)廣播方式發(fā)送請(qǐng)求，網(wǎng)絡(luò)中的所有其它主機(jī)都收到請(qǐng)求報(bào)文，并與自己的IP比對(duì)。如果存在惡意節(jié)點(diǎn)，即使IP地址與自己不匹配，也發(fā)出應(yīng)答。這樣，原主機(jī)將會(huì)受到多個(gè)應(yīng)答報(bào)文，我們稱這種方式為“一請(qǐng)求、多應(yīng)答”。ARP協(xié)議的缺陷ACBDMAPAPBPBMBPBMD攻擊者?主機(jī)發(fā)送ARP請(qǐng)求報(bào)文之后，結(jié)果收到多個(gè)回答，這種方式使得主機(jī)混亂，無(wú)法辨別真假。多回答攻擊示意圖目前的一些改進(jìn)技術(shù)目前已有如下針對(duì)ARP欺騙的一些方法：(1)靜態(tài)ARP。

ARP緩存表是可以動(dòng)態(tài)改變的，如果使用靜態(tài)ARP，在小型的局域網(wǎng)還是可以的，但其主要的缺點(diǎn)是不夠靈活，如更換網(wǎng)卡，主機(jī)的加入和退出都要重新配置ARP表。目前的一些改進(jìn)技術(shù)(2)會(huì)話加密。

在通信過(guò)程中采用加密技術(shù)，即使連接被截獲，也不能夠輕易獲得有效數(shù)據(jù)，缺點(diǎn)是加密、解密過(guò)程相對(duì)來(lái)說(shuō)比較消耗資源，性能較差。（3）協(xié)議狀態(tài)機(jī)在ARP協(xié)議中加入一個(gè)有限狀態(tài)機(jī)，其目的是在協(xié)議中加上合法驗(yàn)證過(guò)程。狀態(tài)機(jī)設(shè)計(jì)如圖所示，產(chǎn)生任何ARP請(qǐng)求時(shí)，置初始狀態(tài)為Initial，當(dāng)成功發(fā)送ARP請(qǐng)求后置狀態(tài)Requested，在該狀態(tài)時(shí)，可能會(huì)收不到應(yīng)答而超時(shí)，重新進(jìn)入Initial；收到ARP應(yīng)答時(shí)，進(jìn)入Answered狀態(tài)，當(dāng)ARP更新完成后，重新進(jìn)入Initial；凡是重新回到Initial狀態(tài)時(shí)，都可以銷毀該請(qǐng)求項(xiàng)。此方法沒(méi)有解決“一請(qǐng)求，多應(yīng)答”問(wèn)題。目前的一些改進(jìn)技術(shù)InitialRequestedAnswered發(fā)送請(qǐng)求超時(shí)收到應(yīng)答更新ARP表目前的一些改進(jìn)技術(shù)

（4）ARP欺騙檢測(cè)服務(wù)器

其實(shí)現(xiàn)原理為:該服務(wù)器獲取網(wǎng)段中的所有ARP應(yīng)答報(bào)文,并假設(shè)這些報(bào)文是ARP欺騙報(bào)文,提取應(yīng)答報(bào)文中的源IP地址后,服務(wù)器向該IP地址主機(jī)發(fā)送ARP請(qǐng)求,將得到的正確MAC地址與原應(yīng)答報(bào)文中的MAC地址比較。若不一致,則原應(yīng)答報(bào)文存在欺騙。當(dāng)檢測(cè)到欺騙應(yīng)答報(bào)文后,服務(wù)器向被欺騙的主機(jī)發(fā)送正確的ARP應(yīng)答,以恢復(fù)其緩存中的IP-MAC地址對(duì)應(yīng)關(guān)系。但是,當(dāng)網(wǎng)絡(luò)中存在ARP攻擊時(shí),會(huì)出現(xiàn)大量ARP欺騙應(yīng)答報(bào)文,并造成網(wǎng)絡(luò)擁塞,如果采用上述的恢復(fù)機(jī)制,對(duì)每個(gè)欺騙報(bào)文都發(fā)送正確的ARP應(yīng)答,只會(huì)加重網(wǎng)絡(luò)負(fù)擔(dān),并且服務(wù)器在檢驗(yàn)應(yīng)答報(bào)文真實(shí)性時(shí),也采取了主動(dòng)發(fā)送ARP請(qǐng)求的方法,增加了一定的網(wǎng)絡(luò)負(fù)載。改進(jìn)方法1.終端處在關(guān)閉態(tài)時(shí)，不接受任何ARP應(yīng)答報(bào)文2.當(dāng)終端ARP請(qǐng)求發(fā)送成功，轉(zhuǎn)換到開啟態(tài)。并記錄目的端的IP地址，例如：IP_a3.在開啟態(tài)的時(shí)間t中，只接收源端IP地址為IP_a的應(yīng)答ARP報(bào)文，經(jīng)過(guò)時(shí)間t后,轉(zhuǎn)到關(guān)閉態(tài)

一.針對(duì)“中間人”缺陷的解決關(guān)閉態(tài)開啟態(tài)ARP請(qǐng)求發(fā)送成功超過(guò)時(shí)間t改進(jìn)方法二.針對(duì)“一請(qǐng)求，多回答”缺陷的解決1.服務(wù)器開始工作時(shí)發(fā)送一個(gè)廣播報(bào)文，通知各終端上報(bào)各自的IP地址和Mac地址2.收到IP地址和Mac地址后，建立一張映射表，每一條記錄存放IP地址和Mac地址的對(duì)應(yīng)CBA服務(wù)器改進(jìn)方法3.當(dāng)A遇到“一請(qǐng)求，多回答”的問(wèn)題后，就立即向服務(wù)器發(fā)送詢問(wèn)報(bào)文，來(lái)詢問(wèn)IP_b地址所對(duì)應(yīng)的Mac地址4.收到詢問(wèn)報(bào)文后，服務(wù)器根據(jù)IP_b地址來(lái)查詢映射表，如果查詢到則返回Mac_b，如果沒(méi)查詢到則詢問(wèn)其他服務(wù)器。若其他服務(wù)器也沒(méi)查詢到，則返回錯(cuò)誤5.A收到回答后，若內(nèi)容為Mac地址，則更新ARP緩存，若內(nèi)容為錯(cuò)誤，則放棄通信CBA服務(wù)器惡意B的請(qǐng)求報(bào)文B的應(yīng)答報(bào)文C的惡意報(bào)文詢問(wèn)報(bào)文響應(yīng)報(bào)文改進(jìn)方法6.由于網(wǎng)絡(luò)是動(dòng)態(tài)變化的，所以必須保證服務(wù)器中映射表的有效性。由于ARP請(qǐng)求報(bào)文是廣播的，而且包含源端IP地址和源端Mac地址。所以可以通過(guò)獲取每個(gè)ARP請(qǐng)求報(bào)文中源端IP地址和源端Mac地址來(lái)保證映射表的有效性。7.在每條記錄后面有個(gè)標(biāo)志位。服務(wù)器會(huì)有個(gè)計(jì)時(shí)器，每經(jīng)過(guò)時(shí)間T一輪回（T為ARP緩存更新間隔的2倍）。當(dāng)標(biāo)志位為1時(shí)，說(shuō)明在時(shí)間T內(nèi)收到了該記錄的ARP請(qǐng)求報(bào)文；當(dāng)標(biāo)志位為0時(shí)，說(shuō)明在時(shí)間T內(nèi)沒(méi)有收到該記錄的ARP請(qǐng)求報(bào)文。改進(jìn)方法（1）當(dāng)發(fā)生終端更換時(shí)例如：B換成D。即：D替代了B的位址，D用的是B的IP地址，此時(shí)服務(wù)器的映射表必須相應(yīng)改變。由于D新加入到網(wǎng)絡(luò)中，只要D與其他終端通信或者ARP定時(shí)更新就會(huì)發(fā)送ARP請(qǐng)求報(bào)文，此時(shí)服務(wù)器就可以得到該報(bào)文，從而得到D的IP地址和Mac地址，然后和表中的每條記錄比較，這時(shí)服務(wù)器發(fā)現(xiàn)D的IP地址和B的IP地址一樣，就會(huì)向B和D分別發(fā)送點(diǎn)對(duì)點(diǎn)的試探報(bào)文。由于B不在了，所以服務(wù)器只收到了D的響應(yīng)報(bào)文，服務(wù)器就將B記錄刪除，D記錄寫入，實(shí)現(xiàn)更新。改進(jìn)方法IP_d=IP_bCBA服務(wù)器D請(qǐng)求報(bào)文B試探報(bào)文D試探報(bào)文D響應(yīng)報(bào)文改進(jìn)方法（2）當(dāng)發(fā)生終端增加時(shí)例如：網(wǎng)絡(luò)中增加了E由于E新加入到網(wǎng)絡(luò)中，只要E與其他終端通信或者ARP定時(shí)更新就會(huì)發(fā)送ARP請(qǐng)求報(bào)文，此時(shí)服務(wù)器就可以得到該報(bào)文，從而得到E的IP地址和Mac地址，然后和表中的每條記錄比較，這時(shí)每條都不一樣，就增加一條記錄。如果映射表已滿，則依據(jù)每條記錄后面的標(biāo)志位決定。此時(shí)刪除標(biāo)志位為0的記錄，然后將E的記錄寫入。改進(jìn)方法CBA服務(wù)器E請(qǐng)求報(bào)文改進(jìn)方法

（3）當(dāng)發(fā)生終端減少時(shí)例如：A退出了網(wǎng)絡(luò)此時(shí)服務(wù)器不做任何處理。由于A終端已退出網(wǎng)絡(luò)，經(jīng)過(guò)一段時(shí)間，A記錄的標(biāo)記必為0，會(huì)被替換，A的記錄自然就刪除了。方法比較1.與靜態(tài)ARP相比，本方法采用動(dòng)態(tài)ARP，靈活性高2.與會(huì)話加密相比，會(huì)話加密會(huì)增加終端資源消耗，不管是否受到攻擊。本方法在沒(méi)有ARP攻擊時(shí)，終端只需要比較ARP應(yīng)答報(bào)文的源IP地址；在受到攻擊時(shí)，增加向服務(wù)器詢問(wèn)的開銷。兩者相比