本科毕业论文---基于winpcap中的arp欺骗诊断分析.doc

1、陕西理工学院毕业设计 题 目 基于Winpcap中的ARP欺骗诊断分析 学生姓名 刘永超 学号 1113014135 所在学院 物理与电信工程学院 专业班级 电子1104 指导教师 李菊叶 完成地点 博远楼计算机信息处理实验室 2015 年 6 月 1 日 毕业论文设计任务书院(系) 物电学院 专业班级 电子信息工程1104 学生姓名 刘永超 一、毕业论文设计题目 基于WinPcap中的ARP欺骗诊断分析 二、毕业论文设计工作自 2015 _年 3 _月 10日 起至 2015_年 6 月 20 日止三、毕业论文设计进行地点: 物电学院计算机信息处理分室 四、毕业论文设计的内容要求：1、本次毕

2、业设计要求如下： ARP欺骗攻击是目前较为严重的一种网络安全问题，它利用ARP协议的漏洞来进行网络欺骗和攻击，通过发送错误的IP/MAC地址更新欺骗主机的ARP缓存表，使主机间不能正常通信，给网络安全构成了极大的威胁。本设计要求学生熟悉掌握ARP协议及工作原理，了解现有针对ARP欺骗攻击的防御方法。并要求在模拟环境中提出一种网络级的检测方法，进行抵御ARP欺骗攻击的测试，进行诊断分析。 2、毕业设计成果要求： 测试结果和论文，论文要求计算机打印（A4纸），论文有不少于3000词的相关英文中文翻译。 3、毕业设计时间安排： 14周：查阅相关资料，熟悉题目内容，完成系统需求分析、相关硬件及软件环境

3、的选择。提交开题报告； 510周：根据ARP的工作原理，及现有ARP欺骗攻击的防御方法，给出设计方案。 1112周：并在软件环境下进行运行调试，进一步完善系统功能，整理资料； 1314周：毕业设计验收； 1516周：撰写、修改、提交毕业论文，毕业答辩。 指 导 教 师 系(教 研 室) 系(教研室)主任签名 批准日期 接受论文 (设计)任务开始执行日期 学生签名 基于Winpcap中的ARP欺骗诊断分析刘永超（陕西理工学院物理与电信工程学院电子信息工程专业，2011级4班，陕西 汉中 723003）指导教师：李菊叶摘要近年来，ARP攻击日益严重。它主要利用ARP协议的漏洞来进行网络欺骗和攻击，

4、通过发送错误的IP/MAC地址更新欺骗主机的ARP缓存表，使主机间不能正常通信，给网络安全构成了极大的威胁。本设计是在熟悉掌握了ARP协议及工作原理的基础上，在模拟环境下提出了一种网络级的攻击和检测方法，进行ARP的攻击测试和分析诊断。并提出了一系列的防范方法，以抵御ARP的攻击。关键词ARP攻击;ARP检测;ARP防范Analysis of ARP deception based on WinpcapLiu Yongchao(Grade 11,Class 4,Major electronics and information engineering，School of Physics and

5、 Telecommunication Engineering，Shaanxi University of Technology，Hanzhong 723003，Shaanxi)Tutor: Li JuyeAbstract:Recently,ARPattackincreasinglyserious.ItARPvulnerabilitiestonetworkdeceptionandattacks,bysendingthewrongIP/MACaddressupdatecheatingonhostARPcachetable,makecantnormalcommunicationbetweentheh

6、ostandposesagreatthreattonetworksecurity.ThisdesignisfamiliarwiththemasteryoftheARPprotocolandworkingprincIPle,onthebasisofthesimulationenvironmentandputsforwardanetworkattackanddetectionmethods,ARPattacktestanalysisanddiagnosis.Andputforwardaseriesofpreventionmethods,toprotectagainstARPattacks.Key

7、words: ARPattack;ARPinspection;TopreventtheARP陕西理工学院毕业设计目录1 绪论11.1引言11.2研究背景及意义11.3 ARP 欺骗攻击在国内外的研究现状和发展趋势11.3.1 ARP 欺骗攻击研究现状11.3.2 ARP 欺骗攻击研究发展趋势21.4本文研究内容和组织结构32 ARP攻击原理综述42.1 ARP协议的概述42.2地址解析报文格式42.3 ARP工作原理52.4 ARP安全漏洞62.5 ARP攻击种类62.5.1 ARP泛洪攻击72.5.2 ARP溢出攻击72.5.3 ARP扫描攻击82.5.4虚拟主机攻击82.5.5“中间人”攻

8、击83 ARP防范103.1常用的防范方法103.1.1 DHCP Snooping功能103.1.2 ARP入侵检测功能103.1.3 静态绑定114 ARP欺骗攻击的实现134.1 WinPcap 简介及开发环境134.2构造ARP欺骗帧134.3发送ARP欺骗帧144.4 ARP代码和软件实现泛洪攻击154.4.1 ARP代码攻击154.4.2 ARP软件泛洪攻击165 ARP攻击的检测及结果195.1 ARP的检测器实现195.2 核心函数说明205.3 检测的过程206 结论23致谢24参考文献25附录A26附录B36附录C391 绪论1.1引言 网络的飞速发展改变了人们的工作和生活

9、，在带来便利的同时也带来了很多麻烦。由于网络安全问题的日益突出，使得计算机病毒、网络攻击和犯罪频繁发生。根据国家计算机病毒应急处理中心发布的中国互联网网络安全报告（2009年上半年）中的数据显示，2009年上半年，国家互联网应急中心（CNCERT）通过技术平台共捕获约90万个恶意代码，比去年同期增长62.5%。每年都有相当数量具有一定影响力的新计算机病毒出现，它们造成的破坏和损失也更大，人们花费在病毒防治方面的精力和技术也越多。如2008年ARP（Address Resolution Protocol）病毒就表现很突出，江民公司发布的07年上半年病毒报告及十大病毒中ARP病毒排名第四，瑞星公司

10、发布的2007年上半年电脑病毒疫情和互联网安全报告中ARP病毒排名第六。造成信息和网络安全问题的因素很多，主要可归纳为两方面。一方面是技术方面的问题，目前的计算机操作系统和应用软件或多或少存在一定的安全漏洞，而攻击者恰恰利用了这些漏洞，由于计算机病毒防治技术相对要落后于病毒攻击，因此会造成病毒在一定范围内蔓延；另一方面是管理方面的问题，由于管理人员的技术水平不足和管理不善造成的安全问题也层出不穷，系统漏洞修复的滞后和安全防护措施的不够给攻击者提供了机会。再加之，互联网是一个开放的系统，任何微小的漏洞和病毒都会快速蔓延，甚至殃及全球，因此网络安全问题不容忽视。1.2研究背景及意义在当今信息化时代

11、，信息交流、信息共享的需求推动着计算机网络化迅猛发展。随着计算机网络应用地不断普及深入，网络安全日益成为影响网络效能的重要问题。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，网络安全问题日益凸显，计算机网络的保密性、完整性、可用性正接受各种攻击的挑战，网络安全问题越来越受到人们的关注。目前Intemet安全的威胁主要来自黑客(Hacke:)入侵攻击!计算机病毒(virus)和拒绝服务(Denialfserviee)攻击三个方面与实现物理空间不同,Intemet由于具有高度自动化!接入的远程化以及技术的易传播化三个新特性,使得网络的攻击方式更普及!传播更快!跟踪!抓捕和证

12、明犯罪有罪就会更加困难,而且攻击所产生的后果将更具有灾难性。ARP协议是一个位于TCP/IP协议栈中网络层的协议,负责将某个IP地址解析成与其对应的MAC地址由于网络通信最终是按照MAC进行传输,因此,对于局域网而言,ARP协议是网络正常通信的基础但是,基于历史的原因,ARP协议当初设计的时候出于传输效率上的考虑,缺乏必要的身份认证和鉴别机制,导致安全性能的脆弱ARP欺骗攻击是一种利用TCP/IP协议族中ARP协议本身的漏洞(即为了提高效率,不对发送来ARP应答包进行验证,直接更新ARP地址缓存表)来进行攻击的它通过发送ARP应答包给目标主机,使目标主机更新自己的ARP缓存表即地址缓存表,使本

13、应该发送给被冒充机器的数据包发送给了自己,达到了欺骗信息的作用1。“ARP欺骗”类恶意木马程序的危害性比较大，特别是对校园网、网吧等局域网会造成大范围的破坏和影响，轻则影响网络使用，重则导致网络瘫痪，是个不容忽视的问题。目前，很多研究者已经给出了针对ARP欺骗攻击的防治方法，在一定程度上减少了ARP问题的发生，这类方法主要是通过保护ARP高速缓存等方法来实现，它们没有从根本上解决ARP欺骗问题，因为ARP欺骗问题的发生是因为ARP协议本身存在在不可信网络中运行的漏洞。本设计对ARP协议及工作原理进行了详细的分析，介绍了许多现有针对ARP欺骗攻击的防御方法。并在模拟环境中提出一种网络级的检测方法

14、，进行抵御ARP欺骗攻击的检测测试和诊断分析。1.3 ARP欺骗攻击在国内外的研究现状和发展趋势1.3.1 ARP欺骗攻击研究现状ARP欺骗攻击已经严重影响到人们进行安全地信息通讯，为了有效降低 ARP欺骗给局域网络带来的诸多安全隐患，前人已做了很多有意义的探索与实践，一些方案虽有一定的局限性，但在实际应用中已相对成熟。通过收集整理大量的相关文献资料，对国内外现有的常见 ARP 欺骗攻击的解决方案进行简单分析，并总结如下：（1）设置静态 ARP 缓存，这是一种常用的比较简单的防范措施2。每台主机都有一个临时存放 IP-MAC 的映射信息表，ARP 攻击就通过更改这个缓存来实施欺骗。在命令行下使

15、用 ARP-a 可以查看主机当前的 ARP 缓存表，使用 ARP-s 命令可以添加相应地静态 ARP缓存记录，使静态的 ARP 地址绑定正确的 MAC 地址。在这种状态下，攻击者如果向主机发送ARP应答报文，目标主机在接收此报文后是不会刷新ARP缓存中相关映射信息的，从而有效防止 ARP 攻击。但这种方法必须人工设置 IP 地址和 MAC 地址映射，因为静态的 ARP 条目在每次重启后都会消失，需要重新设置。此方法仅适用于小型的局域网络，并且对操作系统的版本也有限制要求。（2）定期检查主机的 ARP 缓存，并不断删除 ARP 缓存内容。通过一个简单的程序，以一个固定的频率（频率设定要大于 AR

16、P 欺骗的频率）不断使用 ARPd 命令删除 ARP缓存记录，这样才能保证主机缓存不保留伪造的 IP 地址和 MAC 地址映射信息，达到抑制 ARP 欺骗的目的。但是这种方法会导致网络中出现过多的 ARP 请求广播。（3）使用 ARP服务器。为克服上一方法中的不足，自然的解决方案是对上述维护静态记录的分散工作进行集中管理，即指定网络内一台专门的机器作为服务器，用来维护局域网内各主机的 IP 地址和 MAC 地址的映射信息，并且只有服务器具有应答 ARP请求的权限。这似乎是一个很好的解决方案，但是如何将一台主机配置成只信任来自服务器的ARP响应，并且能够保证 ARP服务器正常运行不被黑客攻击，这

17、对大多数系统来说，都是很难实现的。（4）建立 DHCP 服务器。因为 DHCP 不会占用太多的 CPU，而且 ARP欺骗攻击一般总是先攻击网关，所以将 DHCP 服务器建在网关上，并在网关上设置监控程序。另外所有客户机的IP地址及其相关主机信息，只能在网关 DHCP服务器这里获取。设置DHCP服务器防范措施需要给每个网卡绑定固定唯一的 IP 地址，即一定要保持网内主机的IP-MAC 是一一对应关系，每台主机必须从 DHCP 获取地址，且每次开机的 IP 地址都是一样的。（5）删除 Windows 系统中的 npptools.dll 动态连接库3。由于它易于被 ARP病毒利用来制造 ARP欺骗攻

18、击，因此可以将它用零字节的文件替换，并保存为只读文件，防止病毒覆盖该源文件。另外还有一些设置方法，也可在一定程度上防止 ARP欺骗攻击的发生，如：定期用响应的 IP 包获得一个 RARP请求来检查 ARP响应的真实性；使用防火墙连续监控网络；使用网关监听网络安全；除非很有必要，否则停止使用 ARP，将 ARP作为永久条目保存在对应表中等。除了上述对 ARP欺骗进行的诸多设置或者防范措施之外，对 ARP协议本身的改进或在设计新算法方面，前人也做了许多重要的创新工作，如Mahesh 等人提出防范 ARP欺骗的主要思想，可以归纳为拒绝接收无请求型应答。由于 ARP协议是建立在各主机之间相互信任基础之

19、上的，这使欺骗有机可乘，因此通过记录本地发送 ARP请求的目的 IP 地址，对无本地请求的 ARP应答包一律不信任，检测其源 IP 地址并与记录的 IP 地址比对，以决定是否更新缓存。但是这种方法没有考虑到，当局域网内某主机发送 ARP广播请求时，ARP攻击者可以在目的主机发送应答包之前，以自己的 MAC 地址假冒应答达到欺骗的目的。还有郑文兵等对 ARP协议进行了另一种改进4。针对 ARP欺骗“无状态”等特点，给 ARP协议添加了“先发送 ARP请求，后接收 ARP应答”的规则，将不符合规则的报文丢弃并记录，可以有效避免 ARP欺骗的发生。随着技术的发展，ARP攻击手段不断更新变化，以上各种

20、防范措施均存在不同程度的缺陷，因此研究一种新型 ARP欺骗攻击防御策略具有非常重要的现实意义。1.3.2 ARP欺骗攻击研究发展趋势由于现有的 ARP欺骗攻击防御方法都存在各自固有的缺陷，有的防御措施操作起来比较繁琐，对小规模的网络效果较好，但不适用于拓扑结构复杂的大规模网络，有时还会受到操作系统版本的限制；有的防御方法消耗资源很大，对硬件设置要求较高，且成本大，效率低。因此设计实现一种实用、高效、准确的防御体系是当前研究 ARP攻击防范的重点。新的 ARP攻击防范系统或防御体系应该具有以下特点：（1）简捷性简捷性是指防范系统或防御体系建立友好的用户界面，具有良好的操作性，使用者易于学习掌握，

21、便于操作实现。（2）准确性准确性是指得出的结果与真实结果的符合程度。对于 ARP欺骗攻击的防范系统，准确性是一个极为重要的标准，可以通过实现 ARP数据包的捕获、过滤等功能，准确的定位欺骗主机，这对于解决 ARP欺骗攻击具有非常重要的价值。（3）实时性实时性是指当事件发生时，系统可以进行及时的响应。ARP欺骗攻击的发生在很大程度上与时间关系紧密，如果能够实时的捕获并分析欺骗攻击行为，可尽可能的减少网络出现攻击的次数，降低攻击造成的损害。（4）高效性高效性是指系统在运行时应该具有很高的效率，特别是在架构防御系统时，及时高效是应该着重体现的性能之一。（5）扩展性一个好的系统应该具有良好的扩展性，以

22、适应未来新的需求。系统的硬软件应具有扩充升级的余地，不可因为硬软件扩充、升级或改型而使原有系统失去作用。这就要求系统在设计时，应尽量模块化，做 到低藕合、高内聚。 总之，有效利用 ARP协议，防止利用 ARP协议漏洞威胁到网络安全，对于局域网的顺畅运行有着重大的应用价值，可使单位或企业局域网的运营成本降低到最大限度。1.4本文研究内容和组织结构本文主要目的是通过研究ARP协议缺陷，来阐述ARP攻击原理。通过分析ARP协议工作原理及欺骗攻击的原理,分析现有的ARP欺骗攻击的方法,在校园网这个特定环境下分别利用软件和代码进行欺骗攻击和检测。第一章 绪论结合课题研究的目的和意义，对国内外的研究现状进

23、行综述分析，同时对课题研究的发展趋势进行分析总结。第二章 ARP协议的相关理论概述，及ARP的工作原理和ARP的漏洞做了简单的介绍，然后对ARP的攻击种类做了详细的介绍。第三章 对怎样进行ARP的防范进行了详细的介绍。第四章 对模拟环境进行了简单的介绍，然后在对 ARP欺骗原理详细分析的基础上，分别模拟实现一种 ARP欺骗攻击和软件攻击。第五章 ARP欺骗攻击检测器的设计，在此主要论述了系统的设计思想、和核心函数，并利用代码在模拟环境下进行攻击的检测。第六章 结论。2 ARP攻击原理综述2.1 ARP协议的概述根据 TCP/IP 协议原理可知，TCP/IP 网络内的每台主机都须具有一个合法的

24、IP 地址才能进行正常的通信。而当今互联网络以如此快的速度发展，使得 IP 地址资源日益紧张5。为了缓解 IP 地址匮乏的压力，大多数政府部门、企事业单位分别使用网络地址翻译（NAT）技术组建自己的局域网或者代理服务器访问外网，这种内外网络的物理隔绝，在一定程度上增强了网络内部的交互安全。然而实现简单、运行高效的 TCP/IP 协议，它所提供的信息和资源共享是建立在网络内部各节点之间相互信任基础之上的，这使得 TCP/IP 协议的完全开放性具有诸多安全隐患。ARP协议和ICMP协议是常用的TCP/IP底层协议。在对网络故障进行诊断的时候，它们也是最常用的协议。ARP协议是“Address Re

25、solution Protocol”（地址解析协议）的缩写，是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。在局域网中，网络中实际传输的是“帧（frame）”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机或网关进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是通过ARP（地址解析协议）获得的6。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。ARP协议对网络安全具有重要的意义。通过伪造IP地址和

26、MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。2.2地址解析报文格式ARP和RARP都是通过一对请求和应答报文来完成解析的。ARP和RARP请求应答报文格式是相同的，通过操作类型字段来区分，这个思想在TCP/IP协议的设计中被反复利用。表2.1 地址解析报文格式00 01 02 03 04 05 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 Bit广播MAC地址（全1）广播MAC地址（全1）源MAC地址源MAC地址协议类型硬件类型协议类型硬件地址长度协议

27、地址长度操作类型源MAC地址源MAC地址源IP地址源IP地址目标MAC地址（全0）目标MAC地址（全0）目标IP地址表2.1所示中前三部分是以太网（这里是Ethernet II类型）的帧头部。其中，第一个字段是广播类型的MAC地址：0XFF-FF-FF-FF-FF-FF，其目标是网络上的所有主机。第二个字段是源 MAC地址，即请求地址解析的主机MAC地址。第三个字段是协议类型，这里用0X0806代表封装的上层协议是ARP协议。硬件类型：16比特（2字节），定义ARP实现在何种类型的网络上,以太网的硬件类型值为“1”。协议类型：16位，2字节，定义使用ARP/RARP的协议类型，0x0800表示

28、IPv4。硬件地址长度：1字节，以字节为单位定义物理地址的长度，以太网为6。协议地址长度：1字节，以字节为单位定义协议地址的长度，IPv4为4。操作类型：16比特，2字节，定义报文类型，1为ARP请求，2为ARP应答，3为RARP请求，4为RARP应答。发送方硬件地址：发送方的MAC地址，6字节。发送方协议地址：发送方的协议地址(IP)，4字节，RARP请求中不填此字段。目的硬件地址：6字节，ARP请求中不填此字段（待解析）。目的协议地址：4字节，长度取决于协议地址长度，长度一共28字节。2.3 ARP工作原理 ARP工作原理将IP地址翻译成MAC地址。比如：A机 要与B机通讯在局域网中处在数

29、据链路层。这个层之间的主机互相通讯是通过MAC地址互相区分的。所以主机A与主机B通讯主机A 知道主机B的IP地址是不能通讯的，那么，主机A就要用ARP协议，通过，广播的方式去寻找主机B的MAC地址，当主机B接收到ARP的广播后，就会主动与主机A联系并告知主机A主机B的MAC地址是什么这样主机A知道了主机B的MAC地址后,就可以顺利的与主机B通讯了，进行ARP攻击最直接的方法，就是使用局域网中的一台机器去欺骗这个局域网里的其他机器让他们相信你使用的这台机器就是其他机器想要保持通讯的网关7。ARP协议的工作原理在每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一

30、一对应的，我们以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址8。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.1.1的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.1.1的MAC地址是00

31、-aa-00-62-c6-09”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。表2.2 ARP缓存表每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示。 主机IP地址MAC地址A192.168.16.1aaaa-aaaa-aaaaB192.168.16.2bbbb-bbbb-bbbbC192.16

32、8.16.3cccc-cccc-ccccD192.168.16.4dddd-dddd-dddd如表2.2所示,ARP缓存表是可以查看的，也可以添加和修改。在命令提示符下，输入“ARP-A”就可以查看ARP缓存表中的内容了。用“ARP-D”命令可以删除ARP表中某一行的内容；用“ARP-S”可以手动在ARP表中指定IP地址与MAC地址的对应。 当一个基于TCP/IP的应用程序需要从一台主机发送数据给另一台主机时，它把信息分割并封装成包，附上目的主机的IP地址。然后，寻找IP地址到实际MAC地址的映射，这需要发送ARP广播消息。当ARP找到了目的主机MAC地址后，就可以形成待发送帧的完整以太网帧头

33、。最后，协议栈将IP包封装到以太网帧中进行传送9。假如当主机A要和主机B通信（如主机A Ping主机B）时。主机A会先检查其ARP缓存内是否有主机B的MAC地址。如果没有，主机A会发送一个ARP请求广播包，此包内包含着其欲与之通信的主机的IP地址，也就是主机B的IP地址。当主机B收到此广播后，会将自己的MAC地址利用ARP响应包传给主机A，并更新自己的ARP缓存，也就是同时将主机A的IP地址/MAC地址对保存起来，以供后面使用。主机A在得到主机B的MAC地址后，就可以与主机B通信了。同时，主机A也将主机B的IP地址/MAC地址保存在自己的ARP缓存内。为了节省ARP缓冲区内存，被解析过的ARP

34、条目的寿命都是有限的。如果一段时间内该条目没有被参考过，则条目被自动删除。在工作站PC的Windows环境中，ARP条目的寿命是2分钟，在大部分Cisco交换机中，该值是5分钟。在工作站PC的Windows环境中，可以使用命令ARP -a查看当前的ARP缓存，如图2.1所示。图2.1 命令arp -a的输出注意：ARP不能通过IP路由器发送广播，所以不能用来确定远程网络设备的硬件地址。对于目标主机位于远程网络的情况，IP利用ARP确定默认网关（路由器）的硬件地址，并将数据包发到默认网关，由路由器按它自己的方式转发数据包。2.4 ARP安全漏洞ARP协议的安全问题主要来 自于其工作机制以及协议栈

35、的实现。每台主机都会维持一个IP地址与硬件MAC地址的高速映射缓存，该缓存称为ARP缓存表。ARP欺骗的实质就是刷新某台主机的ARP缓存表让其出现错误的IP地址与MAC地址的映射关系。 其安全漏洞主要体现在如下几个方面。（1）高速缓存漏洞之一来自于存放IP地址与硬件MAC地址映射关系的ARP高速缓存。ARP高速缓存利用动态更新机制及时地淘汰过时IP-MAC记录合理地利用缓存提高了查找的效率和缓存的使用效率。但是，这个优点却成了恶意者攻击的帮凶。虽然每个IP-MAC记录存在都是有生存期的， 但是只要恶意者在这个记录更新之前改变了这条记录， 那么似的记录就会存储在缓存在这个时间内，相应的主机就会被

36、欺骗10。（2）ARP的无状态性漏洞之二源于ARP协议请求和应答机制。ARP协议并没有对请求和应答进行必要的限制，使得局域网巾的任何主机都能够随意发送和接收请求数据包和应答数据包，而且接收方对数据包完全信任，并不验证收到的数据包中IP和MAC对应正确性。这是ARP协议的一个重大的漏洞。 只要是来自局域网内的ARP应答分组就会将其中的IP-ARP地址记录更新到本地ARP缓存中，而不进行任何认证，这就是ARP安全漏洞的本质:无状态性。这也是会造成ARP欺骗的一个重要原因。针对上述的漏洞局域网中的任何一台主机只要伪造一个虚假的ARP请求包并且不停地广播或不停发送应答包（如果伪造网关欺骗，就以广播方式

37、），局域网的主机收到请求包或应答包后不加认证地更新自己的ARP缓存。在这个环节上没有任何限制，ARP欺骗就水到渠成了。2.5 ARP攻击种类ARP攻击主要有以盗取数据为主要目的的ARP欺骗攻击，还有以捣乱破坏为目的的ARP泛洪攻击和IP地址冲突等几种。 IP地址冲突：制造出局域网上有另一台主机与受害主机共享一个IP的假象。由于违反了唯一性要求，受害主机会自动向用户弹出警告对话框。大量的攻击数据包能令受害主机 耗费大量的系统资源。对于Windows操作系统，只要接收到一个ARP数据包，不管该ARP数据包符不符合要求，只要该ARP数据包所记录的源IP地址同本地主机相同但MAC地址不同，Window

38、s系统就会弹出IP地址冲突的警告对话框11。根据IP地址冲突的攻击特征描述，这种类型的ARP攻击主要有以下几种：1.单播型的IP地址冲突：链路层所记录的目的物理地址为被攻击主机的物理地址，这样使得该ARP数据包只能被受攻击主机所接收而不被局域网内的其它主机所接收实现隐蔽式攻击。2.广播型的IP地址冲突：链路层所记录的目的物理地址为广播地址，这样使得局域网内的所有主机都会接受到该ARP数据包，虽然该ARP数据包所记录的目的IP地址不是受攻击主机的IP地址，但是由于该ARP数据包为广播数据包，这样受攻击主机也会接收到从而弹出IP地址冲突的警告对话框。IP地址相同但MAC地址不同的数据包12。2.5

39、.1 ARP泛洪攻击 ARP泛洪攻击是指攻击主机持续把伪造的MAC-IP映射对发给受害主机，对于局域网内的所有主机和网关进行广播，抢占网络带宽和干扰正常通信。会出现经常有人反馈上不了网，或网速很慢，查看ARP表项也都正确，但在网络中抓报文分析，发现大量ARP请求报文。（正常情况时，网络中ARP报文所占比例是很小的）的现象13。它产生的原因有：恶意用户利用工具构造大量ARP报文发往交换机、路由器或某台PC机的某个端口，导致CPU忙于处理ARP协议，负担过重，造成设备其他功能不正常甚至瘫痪。通俗地理解：李四为保障电话薄正确，会定时检查和刷新电话簿，王五就高频率地修改李四的电话簿，导致李四也只能忙着

40、刷新电话簿，无法做其它工作了。这种攻击类型，攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网14。主要是一种对局域网资源消耗的攻击手段。这种攻击方式的主要攻击特征包含：1.通过不断发送伪造的ARP广播数据报使得交换机拼于处理广播数据报耗尽网络带宽。2.令局域网内部的主机或网关找不到正确的通信对象，使得正常通信被阻断。3.用虚假的地址信息占满主机的ARP高速缓存空间，造成主机无法创建缓存表项，无法正常通信，这种攻击特征作者将其命名为ARP溢出攻击。ARP泛洪攻击不是以盗取用户数据为目的，它是以破坏网络为目的，

41、属于损人不利己的行为。2.5.2 ARP溢出攻击ARP溢出攻击是恶意用户发出大量的ARP报文，造成L3设备的ARP表项溢出，影响正常用户的转发。方面恶意耗尽了IP资源，使得合法用户无法获得IP资源ARP溢出攻击的特征主要有：1.所发送的伪造MAC-IP映射对的IP地址是非本地网的虚拟不存在的IP地址但MAC地址是固定的，由于当操作系统接收到一个源IP地址在ARP高速缓存表中不存在的ARP数据包时，就会在缓存表中创建一个对应MAC-IP的入口项15。2.所发送的伪造MAC-IP映射对的IP地址是非本地网的虚拟不存在的IP地址而且MAC地址也是虚拟变化的。发送这种类型的攻击数据包会引起交换机的CA

42、M表溢出。由于交换机是通过学习进入各端口数据帧的源MAC地址来构建CAM表，将各端口和端口所连接主机的MAC地址的对应关系进行记录，因而可根据CAM表来决定数据帧发往哪个端口。如果攻击源持续向交换机发送大量有错误的MAC地址ARP数据包，就会破坏端口与MAC的对应关系，并导致CAM表溢出。在这种情形之下，缺少防范措施的交换机就会以广播的模式处理报文，形成泛洪向所有接口转发通信信息流。最终使得交换机变成HUB，将交换式的网络变成广播式的网络，使得网络带宽急剧下降。假如主机A要与目的主机B进行通信，为了查找与目的主机IP地址相对应的MAC地址，主机A使用ARP协议来查找目的主机B的MAC地址。首先，源主机A会以广播的形式发送一个ARP请求数据包给以太网上的每一台主机，这个过程称为ARP广播。而在接收到ARP广播的所有计算机中，只有具有目的主机IP地址的主机B收到该广播报文后，才会向源主机A回送一个包含其MAC地址的应答，这样一次正常的地址解析过程就完成了16。为了尽量减少网络中ARP广播