文獻(xiàn)檢索正文

文獻(xiàn)綜述第頁學(xué)位論文開題報(bào)告文獻(xiàn)綜述學(xué)號(hào)100503011005工程領(lǐng)域軟件工程姓名李?yuàn)W飛指導(dǎo)教師羅回彬二○一三年五月十日ARP攻擊、防護(hù)措施及解決方案緒論1.1引言網(wǎng)絡(luò)安全問題一直是網(wǎng)絡(luò)發(fā)展中的突出問題，2008年5月公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局舉辦的2008年度信息網(wǎng)絡(luò)安全狀況與計(jì)算機(jī)病毒疫情調(diào)查結(jié)果顯示，我國信息網(wǎng)絡(luò)安全事件發(fā)生比例為62.7%，計(jì)算機(jī)病毒感染率下降為85.5%，感染計(jì)算機(jī)病毒、蠕蟲和木馬程序的情況依然最為突出，其次是網(wǎng)絡(luò)攻擊、端口掃描、垃圾郵件和網(wǎng)頁篡改。在發(fā)生的安全事件中，攻擊或傳播源涉及內(nèi)部人員的達(dá)到54%，比去年激增了15%；涉及外部人員的卻銳減了18%。由此可見，計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)安全的影響仍然很大，發(fā)生在局域網(wǎng)的網(wǎng)絡(luò)安全問題也更為突出，因此，網(wǎng)絡(luò)安全形勢(shì)依舊嚴(yán)峻。網(wǎng)絡(luò)的飛速發(fā)展改變了人們的工作和生活，在帶來便利的同時(shí)也帶來了很多麻煩。由于網(wǎng)絡(luò)安全問題的日益突出，使得計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊和犯罪頻繁發(fā)生。根據(jù)國家計(jì)算機(jī)病毒應(yīng)急處理中心發(fā)布的《中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告（2009年上半年）》中的數(shù)據(jù)顯示，2009年上半年，國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）通過技術(shù)平臺(tái)共捕獲約90萬個(gè)惡意代碼，比去年同期增長62.5%。每年都有相當(dāng)數(shù)量具有一定影響力的新計(jì)算機(jī)病毒出現(xiàn)，它們?cè)斐傻钠茐暮蛽p失也更大，人們花費(fèi)在病毒防治方面的精力和技術(shù)也越多。如2008年ARP（AddressResolutionProtocol）病毒就表現(xiàn)很突出，江民公司發(fā)布的《07年上半年病毒報(bào)告及十大病毒》中ＡＲＰ病毒排名第四，瑞星公司發(fā)布的《2007年上半年電腦病毒疫情和互聯(lián)網(wǎng)安全報(bào)告》中ARP病毒排名第六。造成信息和網(wǎng)絡(luò)安全問題的因素很多，主要可歸納為兩方面。一方面是技術(shù)方面的問題，目前的計(jì)算機(jī)操作系統(tǒng)和應(yīng)用軟件或多或少存在一定的安全漏洞，而攻擊者恰恰利用了這些漏洞，由于計(jì)算機(jī)病毒防治技術(shù)相對(duì)要落后于病毒攻擊，因此會(huì)造成病毒在一定范圍內(nèi)蔓延；另一方面是管理方面的問題，由于管理人員的技術(shù)水平不足和管理不善造成的安全問題也層出不窮，系統(tǒng)漏洞修復(fù)的滯后和安全防護(hù)措施的不夠給攻擊者提供了機(jī)會(huì)。再加之，互聯(lián)網(wǎng)是一個(gè)開放的系統(tǒng)，任何微小的漏洞和病毒都會(huì)快速蔓延，甚至殃及全球，因此網(wǎng)絡(luò)安全問題不容忽視。ARP病毒很大程度上是因?yàn)榧夹g(shù)方面的問題而導(dǎo)致的，因此，可以通過技術(shù)改進(jìn)加以防范。1.2研究背景及意義ARP協(xié)議是一個(gè)基礎(chǔ)協(xié)議，它的應(yīng)用非常廣泛。ARP由口層復(fù)用，用于解析局域網(wǎng)內(nèi)任意合法第3層協(xié)議地址和第2層硬件地址之間的映射關(guān)系。ARP協(xié)議工作在局域網(wǎng)中，早期的協(xié)議設(shè)計(jì)者認(rèn)為局域網(wǎng)是可信賴的，同時(shí)為了考慮傳輸效率，沒有加入安全機(jī)制?，F(xiàn)在的網(wǎng)絡(luò)規(guī)模已經(jīng)今非昔比，局域網(wǎng)已經(jīng)不再是原始意義上的局域網(wǎng)絡(luò)，但ARP協(xié)議仍然扮演著同樣重要的角色，攻擊者正是利用了這一特點(diǎn)，利用該協(xié)議實(shí)現(xiàn)攻擊目的。ARP欺騙攻擊通過偽造IP地址和MAC地址映射來實(shí)現(xiàn)，它造成目標(biāo)主機(jī)ARP高速緩存信息錯(cuò)誤，從而影響網(wǎng)絡(luò)通信、實(shí)施網(wǎng)絡(luò)欺騙。目前，“ARP”騙技術(shù)正在被越來越多的病毒所使用，成為局域網(wǎng)安全的新殺手?！恫《绢A(yù)報(bào)》（2008-2009）報(bào)道，國家計(jì)算機(jī)病毒應(yīng)急處理中心通過互聯(lián)網(wǎng)絡(luò)監(jiān)測(cè)發(fā)現(xiàn)，一種新型“地址解析協(xié)議欺騙”（簡稱：ARP欺騙）的惡意木馬程序的正在互聯(lián)網(wǎng)絡(luò)中傳播，并且它會(huì)在局域網(wǎng)絡(luò)中尋找網(wǎng)絡(luò)數(shù)據(jù)響應(yīng)包，在包內(nèi)加入惡意木馬程序的代碼信息，最終導(dǎo)致局域網(wǎng)中用戶計(jì)算機(jī)系統(tǒng)感染木馬程序，使得計(jì)算機(jī)系統(tǒng)中的信息篡改或丟失。該“ARP欺騙”的惡意木馬程序入侵某個(gè)局域網(wǎng)中的計(jì)算機(jī)系統(tǒng)后，它會(huì)試圖通過“ARP欺騙”手段截獲所在局域網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)系統(tǒng)的通信信息，導(dǎo)致該局域網(wǎng)出現(xiàn)突然掉線，過一段時(shí)間后又會(huì)恢復(fù)正常的現(xiàn)象。同時(shí)，網(wǎng)內(nèi)的其他計(jì)算機(jī)系統(tǒng)也會(huì)受到影響，出現(xiàn)IP地址沖突、頻繁斷網(wǎng)、瀏覽器頻繁出錯(cuò)，以及一些系統(tǒng)內(nèi)常用軟件出現(xiàn)故障等現(xiàn)象。除外，它會(huì)對(duì)局域網(wǎng)絡(luò)中所有的數(shù)據(jù)包進(jìn)行分析，過濾出網(wǎng)頁瀏覽請(qǐng)求的應(yīng)答數(shù)據(jù)包，并在數(shù)據(jù)包里面插入惡意代碼，一旦計(jì)算機(jī)系統(tǒng)中的IE瀏覽器存在漏洞，那么計(jì)算機(jī)用戶瀏覽網(wǎng)頁的同時(shí)就會(huì)自動(dòng)下載并運(yùn)行惡意木馬程序?！癆RP欺騙”類惡意木馬程序的危害性比較大，特別是對(duì)校園網(wǎng)、網(wǎng)吧等局域網(wǎng)會(huì)造成大范圍的破壞和影響，輕則影響網(wǎng)絡(luò)使用，重則導(dǎo)致網(wǎng)絡(luò)癱瘓，是個(gè)不容忽視的問題。目前，很多研究者已經(jīng)給出了針對(duì)ARP欺騙攻擊的防治方法，在一定程度上減少了ARP問題的發(fā)生，這類方法主要是通過保護(hù)ARP高速緩存等方法來實(shí)現(xiàn)，它們沒有從根本上解決ARP欺騙問題，因?yàn)锳RP欺騙問題的發(fā)生是因?yàn)锳RP協(xié)議本身存在在不可信網(wǎng)絡(luò)中運(yùn)行的漏洞。本文將從ARP協(xié)議本身出發(fā)，分析ARP協(xié)議的不安全因素，并針對(duì)存在的問題給出解決的具體方法，達(dá)到從根本上解決ARP病毒問題的目的。1.3本文研究內(nèi)容和組織結(jié)構(gòu)本文主要目的是通過研究ARP協(xié)議缺陷，來闡述ARP攻擊原理。然后根據(jù)此原理剖析ARP偵聽、病毒掛載等眾多攻擊手段。文章的創(chuàng)新點(diǎn)在于闡述了MAC地址綁定等常用方法只能針對(duì)單機(jī)防護(hù)，而在大型公眾上網(wǎng)環(huán)境中必須以MAC地址集中管理、ARP廣播包探測(cè)等綜合管理手段相輔助，進(jìn)行整體防護(hù)。文章最后以上海東方數(shù)字社區(qū)為實(shí)例說明綜合防護(hù)手段的實(shí)施方法。第一章緒論。本章介紹了本文的課題研究背景，闡述了課題的研究目的以及意義，然后說明了本文的主要?jiǎng)?chuàng)新點(diǎn)和全文結(jié)構(gòu)。第二章ARP攻擊原理綜述。本章首先用實(shí)例說明ARP攻擊的危害性，然后詳細(xì)介紹ARP協(xié)議概念、ARP幀結(jié)構(gòu)、以及其他相關(guān)概念。此章最后論證了ARP協(xié)議缺陷是ARP攻擊癥結(jié)所在。第三章ARP欺騙攻擊的實(shí)現(xiàn)。本章通過Socket程序代碼說明如何實(shí)現(xiàn)ARP欺騙攻擊，然后通過程序代碼敘述D.O.S拒絕服務(wù)攻擊、偵聽、病毒掛載、Windows系統(tǒng)攻擊、交換機(jī)攻擊等多種混合類攻擊的實(shí)現(xiàn)原理。第四章ARP欺騙攻擊的防范。針對(duì)如何在擁有上千個(gè)終端大型社區(qū)網(wǎng)絡(luò)中有效防止ARP攻擊蔓延，本章比較了常用的MAC地址綁定、系統(tǒng)安全加固等方法指出要在大范圍內(nèi)防止ARP攻擊需要用綜合手段，并提出ARP攻擊探測(cè)、MAC地址中央管理等適用于大型網(wǎng)絡(luò)的新方法。第五章總結(jié)與展望。本章對(duì)全文的研究工作進(jìn)行總結(jié)，提出了主要結(jié)論，并介紹了課題今后進(jìn)一步的改進(jìn)和發(fā)展方向。二、ARP攻擊原理綜述2.1ARP工作原理2.1.1以太網(wǎng)中的ＡＲＰ協(xié)議簡介IEEE的802標(biāo)準(zhǔn)委員會(huì)和802項(xiàng)目組定義了兩種主要的LAN傳輸方法——以太網(wǎng)和令牌環(huán)網(wǎng)。以太網(wǎng)在IEEE802.3規(guī)范中被定義為LAN標(biāo)準(zhǔn)，令牌環(huán)網(wǎng)則在IEEE802.5規(guī)范中定義。這兩種方法的使用范圍都很廣泛，本文的研究針對(duì)以太網(wǎng)進(jìn)行。以太網(wǎng)利用了總線和星形拓?fù)浣Y(jié)構(gòu)的優(yōu)點(diǎn)，采用了CSMA/CD技術(shù)，網(wǎng)絡(luò)上想要發(fā)送幀的結(jié)點(diǎn)與另外的結(jié)點(diǎn)競(jìng)爭資源，沒有哪個(gè)結(jié)點(diǎn)的優(yōu)先級(jí)比其他結(jié)點(diǎn)高，幀按照物理地址查找其特定的目標(biāo)，以太網(wǎng)通過一個(gè)廣播信道向所有結(jié)點(diǎn)發(fā)送數(shù)據(jù)，處于同一廣播域的結(jié)點(diǎn)都會(huì)收到該數(shù)據(jù)。雖然每臺(tái)主機(jī)都由一個(gè)IP地址，但是IP地址是運(yùn)行TCP/IP協(xié)議機(jī)器的通用標(biāo)識(shí)，IP地址自身不能使報(bào)文到達(dá)其目的地，數(shù)據(jù)傳輸必須依靠網(wǎng)絡(luò)適配器唯一的硬件地址，該地址也被稱為MAC地址或者數(shù)據(jù)鏈路地址，該地址通常在網(wǎng)絡(luò)適配器生產(chǎn)廠家唯一編址，具有全球唯一性。以太網(wǎng)中的硬件地址采用48位長度表示，ARP協(xié)議為IP地址到對(duì)應(yīng)的硬件地址之間提供動(dòng)態(tài)映射腳，因此，擔(dān)負(fù)IP地址和硬件地址轉(zhuǎn)換的ARP協(xié)議具有非常重要的地位。2.1.2ARP協(xié)議原理ARP協(xié)議起初是為DEC/Intel/Xerox的10兆以太網(wǎng)設(shè)計(jì)的，現(xiàn)在已允許用在其它類型的網(wǎng)絡(luò)上。當(dāng)來自上層的數(shù)據(jù)要發(fā)送時(shí)，需要知道目標(biāo)主機(jī)的硬件地址，這時(shí)就需要通過IP地址找到相應(yīng)的硬件地址，網(wǎng)絡(luò)接口輸出函數(shù)會(huì)調(diào)用ARP協(xié)議進(jìn)行ARP解析。ARP解析函數(shù)發(fā)送ARP請(qǐng)求（作為廣播包發(fā)送），目標(biāo)主機(jī)收到ARP請(qǐng)求后發(fā)送ARP應(yīng)答（作為單播包發(fā)送），當(dāng)發(fā)送主機(jī)收到ARP應(yīng)答后就可發(fā)送數(shù)據(jù)。為了避免頻繁發(fā)送ARP請(qǐng)求和應(yīng)答，實(shí)現(xiàn)時(shí)在主機(jī)中都會(huì)有一個(gè)ARP高速緩存用來存放已經(jīng)解析成功的ARP信息，所以通常數(shù)據(jù)發(fā)送前先查找ARP高速緩存，找不到時(shí)才會(huì)發(fā)送ARP請(qǐng)求。ARP分組格式RFC826定義了ARP分組的格式，在以太網(wǎng)上使用的ARP分組格式見圖2-1。該分組由以太網(wǎng)首部和以太網(wǎng)ARP字段兩部分組成。圖2-1ARP的分組格式以太網(wǎng)首部：以太網(wǎng)首部包括以太網(wǎng)目的地址、以太網(wǎng)源地址和幀類型三部分，以太網(wǎng)目的地址是通信目的端的MAC地址，長度為48位，目的地址為全1是廣播地址，這時(shí)，電纜上的所有以太接口都要接收此數(shù)據(jù)并進(jìn)行處理。以太網(wǎng)源地址是通信源端的MAC地址，長度為48位。幀類型表示以太網(wǎng)首部所攜帶數(shù)據(jù)的類型，如果是IP幀則為0x0800，如果是ＡＲＰ幀則為0x0806。（2）以太網(wǎng)ARP字段：包括ARP首部和ARP數(shù)據(jù)兩部分。其中ARP首部包括硬件類型、協(xié)議類型、硬件地址長度、協(xié)議地址長度和操作碼五部分，硬件類型字段值為1表示是以太網(wǎng)地址，協(xié)議類型字段值為0x8000表示IP地址，硬件地址長度為6表示是以太網(wǎng)硬件地址，協(xié)議地址長度字段值為4表示是IP地址，操作碼指出了ARP操作的四種類型，其中ARP請(qǐng)求值為1，ARP應(yīng)答值為2，RARP請(qǐng)求和應(yīng)答分別人3和4（可參見RARP協(xié)議的相關(guān)資料，本文不進(jìn)行介紹）；ARP數(shù)據(jù)部分包括了發(fā)送方硬件地址、發(fā)送方IP地址、目的硬件地址和目的IP地址，它們根據(jù)不同情況進(jìn)行填充，ARP請(qǐng)求包填充除目的硬件地址以外的所有數(shù)據(jù)，而ＡＲＰ應(yīng)答數(shù)據(jù)則填充全部數(shù)據(jù)。2.2ARP攻擊的危害ARP欺騙不同于通常攻擊可造成的巨大破壞。ARP欺騙可以造成內(nèi)部網(wǎng)絡(luò)的混亂，某些被欺騙的計(jì)算機(jī)無法正常訪問內(nèi)外網(wǎng)，讓網(wǎng)關(guān)無法和客戶端正常通信。實(shí)際上他的危害還不僅僅如此，一般來說IP地址的沖突我們可以通過多種方法和手段來避免，而ARP協(xié)議工作在更低層，隱蔽性更高。系統(tǒng)并不會(huì)判斷ARP緩存的正確與否，無法像IP地址沖突那樣給出提示。而且很多黑客工具，可以隨時(shí)發(fā)送ARP欺騙數(shù)據(jù)包和ARP恢復(fù)數(shù)據(jù)包，這樣就可以實(shí)現(xiàn)在一臺(tái)普通計(jì)算機(jī)上通過發(fā)送ARP數(shù)據(jù)包的方法來控制網(wǎng)絡(luò)中任何一臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)連接截獲其通訊數(shù)據(jù)并可做篡改以加入病毒代碼進(jìn)行傳播，甚至還可以直接對(duì)網(wǎng)關(guān)進(jìn)行攻擊，讓所有連接網(wǎng)絡(luò)的計(jì)算機(jī)都無法正常上網(wǎng)。這點(diǎn)在以前是不可能的，因?yàn)槠胀ㄓ?jì)算機(jī)沒有管理權(quán)限來控制網(wǎng)關(guān)所以說。ARP欺騙的危害是巨大的，而且非常難對(duì)付，非法用戶和惡意用戶可以隨時(shí)發(fā)送ARP欺騙和恢復(fù)數(shù)據(jù)包，這樣就增加了網(wǎng)絡(luò)管理員查找攻擊源的難度。歸納ARP欺騙類攻擊的危害性如下：(1)攻擊點(diǎn)范圍廣：不需要攻占具體服務(wù)器，在不獲得目標(biāo)主機(jī)的權(quán)限的條件下，只要在網(wǎng)絡(luò)環(huán)境的任何一個(gè)點(diǎn)上安放一臺(tái)“肉機(jī)”便可以感染整個(gè)網(wǎng)段；(2)攻擊非常隱蔽：不需要改動(dòng)任何目標(biāo)主機(jī)的頁面或者是配置,在網(wǎng)絡(luò)傳輸?shù)倪^程中間直接插入病毒的代碼；(3)發(fā)覺困難：如沒有機(jī)房網(wǎng)絡(luò)管理人員協(xié)助協(xié)查，服務(wù)器系統(tǒng)管理員光靠系統(tǒng)日志無法在短時(shí)間內(nèi)找到攻擊源；(4)恢復(fù)復(fù)雜：網(wǎng)站管理員即時(shí)發(fā)現(xiàn)被攻擊后，但是從系統(tǒng)層面上無法自己清除；(5)攻擊手段變化多樣：黑客可以最大化的利用ARP欺騙，將他與其他攻擊方法組合后運(yùn)用于多種攻擊，如，偵聽、拒絕服務(wù)、掛載病毒。從而實(shí)現(xiàn)多中攻擊目的，如：竊取信息、病毒傳播、破壞網(wǎng)絡(luò)路由，暴力廣告等等。三、ARP欺騙攻擊的實(shí)現(xiàn)3.1構(gòu)造ARP欺騙幀在知道了ARP欺騙攻擊的原理以及ARP數(shù)據(jù)請(qǐng)求與響應(yīng)幀格式后，接下來就是研究如何通過編程實(shí)現(xiàn)ARP攻擊黑客工具。在ARP攻擊程序編寫中，使用Parcket32開發(fā)包編寫程序?qū)崿F(xiàn)攻擊。假設(shè)使用windows2000/XP系統(tǒng)，則在ARP協(xié)議并不只在發(fā)送了ARP請(qǐng)求才接收ARP應(yīng)答。當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候，就會(huì)立即對(duì)本地的ARP緩存進(jìn)行更新，將應(yīng)答中的IP和MAC地址存儲(chǔ)在ARP緩存中。因此，在表2-2示例的網(wǎng)絡(luò)環(huán)境中，C向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答，而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是（B的IP地址），MAC地址是CC-CC-CC-CC-CC-CC（B的MAC地址本來應(yīng)該是BB-BB-BB-BB-BB-BB，這里被用C的MAC地址偽造了）。當(dāng)A接收到C偽造的ARP應(yīng)答后，由于A并不知道地址是被C偽造的，就會(huì)更新自己的ARP緩存?，F(xiàn)在的MAC地址在A上被改變成了攻擊源C的MAC地址。以下來研究如何使用編程實(shí)現(xiàn)這樣的ARP欺騙。編寫欺騙程序的主要思路是：首先，構(gòu)造一個(gè)ARP數(shù)據(jù)包，其中包含目標(biāo)主機(jī)的IP地址與欺騙主機(jī)的MAC地址；然后，將這個(gè)arp數(shù)據(jù)包利用底層API驅(qū)動(dòng)發(fā)送到A機(jī)器，致使A修改自己的緩存。ARP報(bào)文使用是工作在數(shù)據(jù)鏈接層的協(xié)議，所以可以用于其他類型的網(wǎng)絡(luò)以解析IP地址以外的地址（報(bào)文第13、14兩字節(jié)的“幀類型”以及15、16字節(jié)“硬件類型”以及17、18字節(jié)“協(xié)議類型”說明了解析的是什么網(wǎng)絡(luò)）。在以太網(wǎng)上解析IP地址時(shí)，ARP請(qǐng)求和應(yīng)答分組的格式如圖2-8所示，以太網(wǎng)報(bào)頭中的前兩個(gè)字段是以太網(wǎng)的源地址和目的地址。在以太網(wǎng)首部最后兩個(gè)字節(jié)長的以太網(wǎng)“幀類型”表示后面數(shù)據(jù)的類型。在表示ARP請(qǐng)求或應(yīng)答時(shí)該字段被設(shè)置成“0x0806”。頭部后面的2字節(jié)的“硬件類型”和兩字節(jié)的“協(xié)議類型”用來描述ARP分組中的各個(gè)字段。在以太網(wǎng)的解析中，一個(gè)ARP請(qǐng)求分組詢問“協(xié)議類型”填寫IP（0x0800即表示IP），硬件類型填寫以太網(wǎng)（值為1即表示以太網(wǎng)）。這些類型字段的值在以太網(wǎng)數(shù)據(jù)幀中是固定的。第19與20字段的兩個(gè)1字節(jié)的字段，“硬件地址長度”和“協(xié)議地址長度”分別指出硬件地址和協(xié)議地址的長度。當(dāng)用于在以太網(wǎng)上進(jìn)行IP地址的ARP查詢時(shí)，“硬件地址長度”的值為6，“協(xié)議地址長度”為4。注意：此處是以字節(jié)為單位。接下來的OP為“操作字段”，可以選擇四種操作類型，分別是ARP請(qǐng)求（值為1）、ARP應(yīng)答（值為2）、RARP請(qǐng)求（值為3）和RARP應(yīng)答（值為4）。由于在ARP請(qǐng)求和ARP應(yīng)答時(shí)的“幀類型”字段值相同（都為0x0806），所以需要從這個(gè)字段來區(qū)分是請(qǐng)求還是應(yīng)答。報(bào)文最后的四個(gè)字段將重復(fù)出現(xiàn)發(fā)送與接受端的硬件地址（在以太網(wǎng)的數(shù)據(jù)幀報(bào)頭中出現(xiàn)過）。最后四個(gè)字段分別是：發(fā)送源以太網(wǎng)地址、目的地以太網(wǎng)地址、發(fā)送源IP地址以及目的地IP地址。另外，由于ARP請(qǐng)求或回答的數(shù)據(jù)幀長都是42字節(jié)（28字節(jié)的ARP數(shù)據(jù)加上14字節(jié)的以太網(wǎng)幀頭），因此，每一幀都必須加入填充字符以達(dá)到以太網(wǎng)數(shù)據(jù)幀60字節(jié)的最小長度要求。在表2-2示例的網(wǎng)絡(luò)環(huán)境中，當(dāng)主機(jī)A在自己的緩存中找不到B的MAC地址而需要進(jìn)行詢問時(shí)。A發(fā)送了一個(gè)ARP詢問報(bào)文，在這個(gè)報(bào)文中，目的地址為全1（FF-FF-FF-FF-FF-FF）的特殊廣播地址。廣播域內(nèi)鏈接的所有以太卡網(wǎng)都會(huì)接收廣播的數(shù)據(jù)幀。廣播報(bào)文結(jié)構(gòu)如圖3-1所示：對(duì)于一個(gè)ARP請(qǐng)求來說，除目的端硬件地址外的所有其他的字段都有填充值。當(dāng)系統(tǒng)收到一份目的端為本機(jī)的ARP請(qǐng)求報(bào)文后，它就把硬件地址填進(jìn)去，然后用兩個(gè)目的端地址分別替換兩個(gè)發(fā)送端地址，并把操作字段置為2，最后把它發(fā)送回去。所以，我們要進(jìn)行ARP欺騙所需要構(gòu)造的偽裝應(yīng)答報(bào)文如下所示：構(gòu)造報(bào)文的結(jié)構(gòu)代碼可以這樣寫：(1)首先我們定義“14字節(jié)的以太網(wǎng)頭部”結(jié)構(gòu)ETHHDR1：typedefstructethhdr1(/*定義“14字節(jié)的以太網(wǎng)頭部”*/unsignedchareh_dst[6];/*目標(biāo)以太網(wǎng)地址6字節(jié)*/unsignedchareh_src[6];/*源以太網(wǎng)地址6字節(jié)*/unsignedshorteh_type;)/*幀類型2字節(jié)*/ETHHDR1,*PETHHDR1;(2)定義“28字節(jié)的ARP請(qǐng)求或應(yīng)答”的結(jié)構(gòu)：typedefstructarphdr1/*定義“28字節(jié)的ARP請(qǐng)求或應(yīng)答”*/unsignedshortarp_hrd;/*幀類型2字節(jié)*/unsignedshortarp_pro;/*協(xié)議類型2字節(jié)*/unsignedchararp_hln;/*硬件地址（MAC）長度1字節(jié)*/unsignedchararp_pln;/*協(xié)議地址（IP）長度1字節(jié)*/unsignedshortarp_op;/*op操作類型2字節(jié)*/unsignedchararp_sha[6];/*源以太網(wǎng)地址6字節(jié)*/unsignedlongarp_spa;/*源IP網(wǎng)地址4字節(jié)*/unsignedchararp_tha[6];/*目標(biāo)以太網(wǎng)地址6字節(jié)*/unsignedlongarp_tpa;/*目標(biāo)以IP地址4字節(jié)*/}ARPHDR1,*PARPHDR1;(3)接下來，將構(gòu)造好的前14字節(jié)與后28字節(jié)連在一起，成為ARP報(bào)文：typedefstructarpPacket1/*構(gòu)造42字節(jié)ARP報(bào)文arpPacket1結(jié)構(gòu)*/{ETHHDR1ethhdr1;/*“14字節(jié)的以太網(wǎng)頭部”結(jié)構(gòu)*/ARPHDR1arphdr1;/*“28字節(jié)的ARP請(qǐng)求或應(yīng)答”結(jié)構(gòu)*/}ARPPACKET1,*PARPPACKET1;(4)定義數(shù)據(jù)報(bào)文中的常量#defineT_IP0x0800/*常量IP協(xié)議表示IP的類型值*/#defineT_ARP0x0806/*常量ARP表示ARP的類型值*/#defineH_ARP0x0001/*值為1即表示以太網(wǎng)硬件類型*/#defineOP_ARPR0x0001/*OP操作類型1表示ARP請(qǐng)求*/#defineOP_ARPB0x0002/*OP操作類型2表示ARP應(yīng)答*/(5)當(dāng)報(bào)文結(jié)構(gòu)定義好后，需要定義一個(gè)報(bào)文并把數(shù)據(jù)填入：ARPPACKET1ARPPacket1;/*定義一個(gè)數(shù)據(jù)報(bào)文結(jié)構(gòu)ARPPacket1*/ToMacAddr("AAAAAAAAAAAA",MacAddr))/*將字符串AAAAAAAAAAAA轉(zhuǎn)化成MAC地址*/memcpy(ARPPacket1.e1hhdr1.eh_dst,MacAddr,6);/*定義目的MAC地址AAAAAAAAAAAA*/ToMacAddr("CCCCCCCCCCCC",MacAddr)/*將字符串CCCCCCCCCCCC轉(zhuǎn)化成MAC地址*/memcpy(ARPPacket1.ethhdr1.eh_src,MacAddr,6);/*定義源MAC地址CCCCCCCCCCCC*/ARPPacket1.ethhdr1.eh_type=htons(T_ARP);/*常量ARP表示ARP的類型值*/ARPPacket1.ethhdr1.arp_hrd=htons(H_ARP);/*值為1即表示以太網(wǎng)硬件類型*/ARPPacket1.ethhdr1.arp_pro=htons(T_IP);/*常量IP協(xié)議表示IP的類型值*/ARPPacket1.ethhdr1.arp_hln=6;/*MAC地址長度為6字節(jié)*/ARPPacket1.ethhdr1.arp_pln=4;/*IP地址長度為4字節(jié)*/ARPPacket1.ethhdr1.arp_op=htons(OP_ARPB);/*OP操作類型2表示ARP應(yīng)答*/ToMacAddr("CCCCCCCCCCCC",MacAddr))；memcpy(ARPPacket1.arphdr1.arp_sha,MacAddr,6);//偽造的B的MAC地址ARPPacket1.arphdr1.arp_spa=inet_addr("");//B的IP地址ToMacAddr("AAAAAAAAAAAA",MacAddr))memcpy(ARPPacket1.arphdr1.arp_tha,MacAddr,6);//目標(biāo)A的MAC地址ARPPacket1.arphdr1.arp_tpa=inet_addr("");//目標(biāo)A的IP地址四、ARP欺騙攻擊防范4.1ARP防護(hù)整體布局思路在上文我們分析了ARP欺騙攻擊的原理危害，以及關(guān)鍵攻擊源代碼。了解到ARP類攻擊的特征后，我們可以通過在計(jì)算機(jī)或者交換器上綁定MAC地址來防止ARP欺騙，但是在大型公眾上網(wǎng)網(wǎng)絡(luò)環(huán)境中作到每個(gè)單點(diǎn)都進(jìn)行MAC綁定就相當(dāng)困難了。所以需要在網(wǎng)絡(luò)環(huán)境中安插ARP欺騙包探測(cè)工具來進(jìn)行整體的布局，以應(yīng)對(duì)ARP欺騙可能存在的多種攻擊手段，如：拒絕服務(wù)、數(shù)據(jù)竊聽、病毒木馬掛載、強(qiáng)制訪問等。從上文ARP攻擊原理我們可以看出，防范ARP欺騙攻擊最大困難在于其攻擊不是針對(duì)服務(wù)器或交換機(jī)系統(tǒng)本身的，而且攻擊源可以在網(wǎng)段內(nèi)任何一個(gè)地方隱藏，其隱蔽性很高。所以有時(shí)候即使我們發(fā)現(xiàn)了攻擊的存在，要在最短時(shí)間內(nèi)快速定位攻擊源也是非常困難得事情。這就意味著像防治普通攻擊或病毒那樣單一的從服務(wù)器系統(tǒng)或者從網(wǎng)絡(luò)網(wǎng)關(guān)上進(jìn)行防范效果不是很好。因此，我們提出的ARP攻擊防范策略需要從三方面同時(shí)入手：計(jì)算機(jī)系統(tǒng)安全加固、MAC-ARP對(duì)應(yīng)表管理、以及網(wǎng)絡(luò)非法ARP包探測(cè)。Arp攻防體系在圖4-1中描述了ARP綜合防護(hù)體系中各種手段的組成。具體方法有：（1）設(shè)置靜態(tài)的MACtoIP對(duì)應(yīng)表，并防止黑客刷新靜態(tài)轉(zhuǎn)換表。不要把網(wǎng)絡(luò)安全信任關(guān)系建立在IP基礎(chǔ)上或MAC基礎(chǔ)上，盡量將信任關(guān)系應(yīng)該建立在IP+MAC上。（2）使用MAC地址管理服務(wù)器。通過該服務(wù)器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機(jī)器的ARP廣播。（3）使用代理IP的傳輸。（4）使用防火墻隔離非信任域?qū)?nèi)網(wǎng)機(jī)器的ARP包傳輸。（5）定期使用rarp請(qǐng)求來檢查ARP響應(yīng)的真實(shí)性。（6）定期輪詢檢查主機(jī)上的ARP緩存。（7）使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。（8）使用ARP探測(cè)工具，在網(wǎng)絡(luò)上探測(cè)非法ARP廣播數(shù)據(jù)幀。4.2計(jì)算機(jī)系統(tǒng)安全加固目前很多常見的普通ARP攻擊常常以病毒程序的形式存在。其中傳播甚廣的有“網(wǎng)游大盜”、“高波”等，這些ARP病毒寄存于Windows系統(tǒng)中，且一般會(huì)用到npptools.dll等系統(tǒng)漏洞，所以只要做好對(duì)操作系統(tǒng)的升級(jí)與加固可以防止此類病毒感染。（1）npptools.dll是windows系統(tǒng)的一個(gè)動(dòng)態(tài)庫(networkpacketprovideroolshelper)被ARP病毒利用，所以，禁止了npptools.dll將使此類病毒無法正常運(yùn)行。具體方法是：在安全模式中，打開WINDOWS\SYSTEM32\NPPTOOLS.DLL文件。刪除這個(gè)文件后，用零字節(jié)的文件替換。最后將nnptools.dll保存為只讀文件。（2）給系統(tǒng)安裝補(bǔ)丁程序。通過WindowsUpdate安裝好系統(tǒng)補(bǔ)丁程序(關(guān)鍵