1、 题 目 基于 Winpcap 中的 ARP 欺骗诊断分析 学生姓名 刘永超 学号 1113014135 所在学院 物理与电信工程学院 专业班级 电子 1104 指导教师 李菊叶 完成地点 博远楼计算机信息处理实验室 2015 年 6 月 1 日毕 业 论 文 设 计 任 务 书院(系) 物电学院 专业班级 电子信息工程 1104 学生姓名 刘永超 一、毕业论文设计题目 基于 WinPcap 中的 ARP 欺骗诊断分析 二、毕业论文设计工作自 2015 _年 3 _月 10 日 起至 2015_年 6 月 20 日止三、毕业论文设计进行地点: 物电学院计算机信息处理分室 四、毕业论文设计的内容
2、要求:1、本次毕业设计要求如下: ARP 欺骗攻击是目前较为严重的一种网络安全问题,它利用 ARP 协议的漏洞来进行网络欺骗和攻击,通过发送错误的 IP/MAC 地址更新欺骗主机的 ARP 缓存表,使主机间不能正常通信,给网络安全构成了极大的威胁。本设计要求学生熟悉掌握 ARP 协议及工作原理,了解现有针对 ARP 欺骗攻击的防御方法。并要求在模拟环境中提出一种网络级的检测方法,进行抵御 ARP 欺骗攻击的测试,进行诊断分析。2、毕业设计成果要求: 测试结果和论文,论文要求计算机打印(A4 纸),论文有不少于 3000 词的相关英文中文翻译。 3、毕业设计时间安排: 14 周:查阅相关资料,熟
3、悉题目内容,完成系统需求分析、相关硬件及软件环境的选择。提交开题报告; 510 周:根据 ARP 的工作原理,及现有 ARP 欺骗攻击的防御方法,给出设计方案。 1112 周:并在软件环境下进行运行调试,进一步完善系统功能,整理资料; 1314 周:毕业设计验收; 1516 周:撰写、修改、提交毕业论文,毕业答辩。 指 导 教 师 系 (教 研 室 ) 系(教研室) 主任签名 批 准 日 期 陕西理工学院毕业设计接 受 论 文 (设 计 )任 务 开 始 执 行 日 期 学 生 签 名 基于 Winpcap 中的 ARP 欺骗诊断分析刘永超(陕西理工学院物理与电信工程学院电子信息工程专业,20
4、11 级 4 班,陕西 汉中 723003)指导教师:李菊叶摘要近年来,ARP 攻击日益严重。它主要利用 ARP 协议的漏洞来进行网络欺骗和攻击,通过发送错误的IP/MAC 地址更新欺骗主机的 ARP 缓存表,使主机间不能正常通信,给网络安全构成了极大的威胁。本设计是在熟悉掌握了 ARP 协议及工作原理的基础上,在模拟环境下提出了一种网络级的攻击和检测方法,进行 ARP 的攻击测试和分析诊断。并提出了一系列的防范方法,以抵御 ARP 的攻击。关键词ARP 攻击;ARP 检测;ARP 防范陕西理工学院毕业设计Analysis of ARP deception based on WinpcapLi
5、u Yongchao(Grade 11,Class 4,Major electronics and information engineering,School of Physics and Telecommunication Engineering,Shaanxi University of Technology,Hanzhong 723003,Shaanxi)Tutor: Li JuyeAbstract:Recently, ARP attack increasingly serious . It ARP vulnerabilities to network deception and at
6、tacks, by sending the wrong IP/MAC address update cheating on host ARP cache table, make cant normal communication between the host and poses a great threat to network security. This design is familiar with the mastery of the ARP protocol and working princIPle, on the basis of the simulation environ
7、ment and puts forward a network attack and detection methods, ARP attack test analysis and diagnosis. And put forward a series of prevention methods, to protect against ARP attacks.Key words: ARP attack; ARP inspection; To prevent the ARP陕西理工学院毕业设计目录1 绪论 .11.1 引言 .11.2 研究背景及意义 .11.3 ARP 欺骗攻击在国内外的研究现
8、状和发展趋势 .11.3.1 ARP 欺骗攻击研究现状 .11.3.2 ARP 欺骗攻击研究发展趋势 .21.4 本文研究内容和组织结构 .32 ARP 攻击原理综述 .42.1 ARP 协议的概述 .42.2 地址解析报文格式 .42.3 ARP 工作原理 .52.4 ARP 安全漏洞 .62.5 ARP 攻击种类 .62.5.1 ARP 泛洪攻击 .72.5.2 ARP 溢出攻击 .72.5.3 ARP 扫描攻击 .82.5.4 虚拟主机攻击 .82.5.5“中间人”攻击 .83 ARP 防范 .103.1 常用的防范方法 .103.1.1 DHCP Snooping 功能 .103.1.
9、2 ARP 入侵检测功能 .103.1.3 静态绑定 .114 ARP 欺骗攻击的实现 .134.1 WinPcap 简介及开发环境 .13陕西理工学院毕业设计I4.2 构造 ARP 欺骗帧 .134.3 发送 ARP 欺骗帧 .14陕西理工学院毕业设计4.4 ARP 代码和软件实现泛洪攻击 .154.4.1 ARP 代码攻击 .154.4.2 ARP 软件泛洪攻击 .165 ARP 攻击的检测及结果 .195.1 ARP 的检测器实现 .195.2 核心函数说明 .205.3 检测的过程 .206 结论 .23致谢 .24参考文献 .25附录 A .26附录 B .36附录 C .39陕西理
10、工学院毕业设计I陕西理工学院毕业设计第 0 页 共 53 页1 绪论1.1 引言 网络的飞速发展改变了人们的工作和生活,在带来便利的同时也带来了很多麻烦。由于网络安全问题的日益突出,使得计算机病毒、网络攻击和犯罪频繁发生。根据国家计算机病毒应急处理中心发布的中国互联网网络安全报告(2009 年上半年)中的数据显示,2009 年上半年,国家互联网应急中心(CNCERT )通过技术平台共捕获约 90 万个恶意代码,比去年同期增长 62.5%。每年都有相当数量具有一定影响力的新计算机病毒出现,它们造成的破坏和损失也更大,人们花费在病毒防治方面的精力和技术也越多。如 2008 年 ARP(Addres
11、s Resolution Protocol)病毒就表现很突出,江民公司发布的07 年上半年病毒报告及十大病毒中 ARP 病毒排名第四,瑞星公司发布的2007 年上半年电脑病毒疫情和互联网安全报告中 ARP 病毒排名第六。造成信息和网络安全问题的因素很多,主要可归纳为两方面。一方面是技术方面的问题,目前的计算机操作系统和应用软件或多或少存在一定的安全漏洞,而攻击者恰恰利用了这些漏洞,由于计算机病毒防治技术相对要落后于病毒攻击,因此会造成病毒在一定范围内蔓延;另一方面是管理方面的问题,由于管理人员的技术水平不足和管理不善造成的安全问题也层出不穷,系统漏洞修复的滞后和安全防护措施的不够给攻击者提供了
12、机会。再加之,互联网是一个开放的系统,任何微小的漏洞和病毒都会快速蔓延,甚至殃及全球,因此网络安全问题不容忽视。1.2 研究背景及意义在当今信息化时代,信息交流、信息共享的需求推动着计算机网络化迅猛发展。随着计算机网络应用地不断普及深入,网络安全日益成为影响网络效能的重要问题。Internet 所具有的开放性、国际性和自由性在增加应用自由度的同时,网络安全问题日益凸显,计算机网络的保密性、完整性、可用性正接受各种攻击的挑战,网络安全问题越来越受到人们的关注。目前 Intemet 安全的威胁主要来自黑客(Hacke:)入侵攻击!计算机病毒(virus)和拒绝服务 (Denial“fserviee
13、)攻击三个方面与实现物理空间不同,Intemet 由于具有高度自动化!接入的远程化以及技术的易传播化三个新特性,使得网络的攻击方式更普及!传播更快!跟踪!抓捕和证明犯罪有罪就会更加困难,而且攻击所产生的后果将更具有灾难性“。ARP 协议是一个位于 TCP/IP 协议栈中网络层的协议,负责将某个 IP 地址解析成与其对应的MAC 地址“由于网络通信最终是按照 MAC 进行传输,因此,对于局域网而言,ARP 协议是网络正常通信的基础“但是,基于历史的原因,ARP 协议当初设计的时候出于传输效率上的考虑,缺乏必要的身份认证和鉴别机制,导致安全性能的脆弱“ARP 欺骗攻击是一种利用 TCP/IP 协议
14、族中 ARP 协议本身的漏洞(即为了提高效率,不对发送来 ARP 应答包进行验证,直接更新 ARP 地址缓存表)来进行攻击的“它通过发送 ARP 应答包给目标主机,使目标主机更新自己的 ARP 缓存表即地址缓存表,使本应该发送给被冒充机器的数据包发送给了自己,达到了欺骗信息的作用“ 1。“ARP 欺骗” 类恶意木马程序的危害性比较大,特别是对校园网、网吧等局域网会造成大范围的破坏和影响,轻则影响网络使用,重则导致网络瘫痪,是个不容忽视的问题。目前,很多研究者已经给出了针对 ARP 欺骗攻击的防治方法,在一定程度上减少了 ARP 问题的发生,这类方法主要是通过保护 ARP 高速缓存等方法来实现,
15、它们没有从根本上解决 ARP 欺骗问题,因为 ARP 欺骗问题的发生是因为 ARP 协议本身存在在不可信网络中运行的漏洞。本设计对ARP 协议及工作原理进行了详细的分析,介绍了许多现有针对 ARP 欺骗攻击的防御方法。并在模拟环境中提出一种网络级的检测方法,进行抵御 ARP 欺骗攻击的检测测试和诊断分析。1.3 ARP 欺骗攻击在国内外的研究现状和发展趋势1.3.1 ARP 欺骗攻击研究现状ARP 欺骗攻击已经严重影响到人们进行安全地信息通讯,为了有效降低 ARP 欺骗给局域网络陕西理工学院毕业设计第 1 页 共 53 页带来的诸多安全隐患,前人已做了很多有意义的探索与实践,一些方案虽有一定的
16、局限性,但在实际应用中已相对成熟。通过收集整理大量的相关文献资料,对国内外现有的常见 ARP 欺骗攻击的解决方案进行简单分析,并总结如下:(1)设置静态 ARP 缓存,这是一种常用的比较简单的防范措施 2。每台主机都有一个临时存放 IP-MAC 的映射信息表, ARP 攻击就通过更改这个缓存来实施欺骗。在命令行下使用 ARP-a 可以查看主机当前的 ARP 缓存表,使用 ARP-s 命令可以添加相应地静态 ARP 缓存记录,使静态的 ARP 地址绑定正确的 MAC 地址。在这种状态下,攻击者如果向主机发送 ARP 应答报文,目标主机在接收此报文后是不会刷新 ARP 缓存中相关映射信息的,从而有
17、效防止 ARP 攻击。但这种方法必须人工设置 IP 地址和 MAC 地址映射,因为静态的 ARP 条目在每次重启后都会消失,需要重新设置。此方法仅适用于小型的局域网络,并且对操作系统的版本也有限制要求。(2)定期检查主机的 ARP 缓存,并不断删除 ARP 缓存内容。通过一个简单的程序,以一个固定的频率(频率设定要大于 ARP 欺骗的频率)不断使用 ARPd 命令删除 ARP 缓存记录,这样才能保证主机缓存不保留伪造的 IP 地址和 MAC 地址映射信息,达到抑制 ARP 欺骗的目的。但是这种方法会导致网络中出现过多的 ARP 请求广播。(3)使用 ARP 服务器。为克服上一方法中的不足,自然
18、的解决方案是对上述维护静态记录的分散工作进行集中管理,即指定网络内一台专门的机器作为服务器,用来维护局域网内各主机的 IP 地址和 MAC 地址的映射信息,并且只有服务器具有应答 ARP 请求的权限。这似乎是一个很好的解决方案,但是如何将一台主机配置成只信任来自服务器的 ARP 响应,并且能够保证 ARP 服务器正常运行不被黑客攻击,这对大多数系统来说,都是很难实现的。(4)建立 DHCP 服务器。因为 DHCP 不会占用太多的 CPU,而且 ARP 欺骗攻击一般总是先攻击网关,所以将 DHCP 服务器建在网关上,并在网关上设置监控程序。另外所有客户机的 IP地址及其相关主机信息,只能在网关
19、DHCP 服务器这里获取。设置 DHCP 服务器防范措施需要给每个网卡绑定固定唯一的 IP 地址,即一定要保持网内主机的 IP-MAC 是一一对应关系,每台主机必须从 DHCP 获取地址,且每次开机的 IP 地址都是一样的。(5)删除 Windows 系统中的 npptools.dll 动态连接库 3。由于它易于被 ARP 病毒利用来制造 ARP 欺骗攻击,因此可以将它用零字节的文件替换,并保存为只读文件,防止病毒覆盖该源文件。另外还有一些设置方法,也可在一定程度上防止 ARP 欺骗攻击的发生,如:定期用响应的 IP 包获得一个 RARP 请求来检查 ARP 响应的真实性;使用防火墙连续监控网
20、络;使用网关监听网络安全;除非很有必要,否则停止使用 ARP,将 ARP 作为永久条目保存在对应表中等。除了上述对 ARP 欺骗进行的诸多设置或者防范措施之外,对 ARP 协议本身的改进或在设计新算法方面,前人也做了许多重要的创新工作,如 Mahesh 等人提出防范 ARP 欺骗的主要思想,可以归纳为拒绝接收无请求型应答。由于 ARP 协议是建立在各主机之间相互信任基础之上的,这使欺骗有机可乘,因此通过记录本地发送 ARP 请求的目的 IP 地址,对无本地请求的 ARP 应答包一律不信任,检测其源 IP 地址并与记录的 IP 地址比对,以决定是否更新缓存。但是这种方法没有考虑到,当局域网内某主
21、机发送 ARP 广播请求时, ARP 攻击者可以在目的主机发送应答包之前,以自己的 MAC 地址假冒应答达到欺骗的目的。还有郑文兵等对 ARP 协议进行了另一种改进4。针对 ARP 欺骗“无状态 ”等特点,给 ARP 协议添加了“先发送 ARP 请求,后接收 ARP 应答”的规则,将不符合规则的报文丢弃并记录,可以有效避免 ARP 欺骗的发生。随着技术的发展,ARP 攻击手段不断更新变化,以上各种防范措施均存在不同程度的缺陷,因此研究一种新型 ARP欺骗攻击防御策略具有非常重要的现实意义。1.3.2 ARP 欺骗攻击研究发展趋势由于现有的 ARP 欺骗攻击防御方法都存在各自固有的缺陷,有的防御措施操作起来比较繁琐,对小规模的网络效果较好,但不适用于拓扑结构复杂的大规模网络,有时还会受到操作系统版本的限制;有的防御方法消耗资源很大,对硬件设置要求较高,且成本大,效率低。因此设计实现一种
