ARP防火墻的研究與實現(xiàn).pdf

1、當(dāng)前針對ARP攻擊的主要防御措施是采用雙向綁定和運行ARP防火墻系統(tǒng)，但是這些措施都存在缺陷。雙向綁定需要用戶掌握一定的網(wǎng)絡(luò)管理知識，并且配置過程繁瑣，需要對客戶主機和網(wǎng)關(guān)兩端進行配置。運行ARP防火墻系統(tǒng)雖然解決“雙向綁定”需要人工手動配置的問題，但是防御效果不是很理想。當(dāng)前關(guān)于ARP防火墻系統(tǒng)內(nèi)部實現(xiàn)的研究資料甚少，對防御系統(tǒng)的研究主要通過系統(tǒng)的安裝使用說明，系統(tǒng)的功能測試結(jié)果以及網(wǎng)上網(wǎng)友對系統(tǒng)的一些使用心得總結(jié)而來。 目前

2、，ARP防火墻系統(tǒng)有單機版和網(wǎng)絡(luò)版兩種。通過對系統(tǒng)的功能測試結(jié)果，總結(jié)出單機版系統(tǒng)所存在的缺陷有：1.防御不全面：保證本地主機同網(wǎng)關(guān)之間正常通信，但不能保證同網(wǎng)絡(luò)內(nèi)其它主機之間正常通信，并且對某些ARP攻擊并不能起到防御效果。2.無法有效追蹤攻擊源：只是簡單地根據(jù)異常ARP數(shù)據(jù)包的源物理地址來進行攻擊源的追蹤。3.存在ARP廣播風(fēng)暴：當(dāng)出現(xiàn)攻擊，防御系統(tǒng)會定時地向網(wǎng)關(guān)發(fā)送通告本地主機ip,mac地址的ARP廣播請求報文。 網(wǎng)絡(luò)版

3、系統(tǒng)需要選擇網(wǎng)絡(luò)內(nèi)的一臺主機作為服務(wù)器端，其它主機為客戶端，通過服務(wù)器端對客戶端的有效監(jiān)控來實現(xiàn)對整個網(wǎng)絡(luò)的防御，因而存在不易維護管理的缺陷。 本文針對防御系統(tǒng)所存在的缺陷，提出一種防御模式。即通過建立動態(tài)更新的IP-MAC映射庫及采用主動驗證映射對的方法實現(xiàn)對整個網(wǎng)絡(luò)的全面防御，通過引入“新加入主機的檢測機制”來保證映射庫更新的同時又能克服ARP廣播風(fēng)暴，以及為不同攻擊類型分配不同信賴度來更有效地追蹤定位攻擊源。 文中