arp病毒檢測定位與防范

1、<p><b>　　成都東軟學院</b></p><p><b>　　畢業(yè)設(shè)計（論文）</b></p><p><b>　　成都東軟學院</b></p><p>　　Chengdu Neusoft University </p><p>　系 所：計算機科學與技

2、術(shù)系 </p><p>　專 業(yè)：</p><p>　學生姓名：</p><p>　學生學號：</p><p>　指導(dǎo)教師：</p><p>　導(dǎo)師職稱：副教授 助教 </p><p>　完成日期：

3、年 月 日 </p><p>　　ARP病毒的檢測定位和防范研究</p><p><b>　　摘 要</b></p><p>　　隨著互聯(lián)網(wǎng)的發(fā)展和計算機的普及,網(wǎng)絡(luò)己經(jīng)成為人們工作、生活中的一個重要部分,網(wǎng)絡(luò)在帶給人們巨大便利的同時,也存在著嚴重的安全隱患。在當今網(wǎng)絡(luò)安全防范中,大部分研究的是如何

4、預(yù)防和抵御來自外網(wǎng)的不安全因素,因此網(wǎng)絡(luò)邊界安全得到了重視,但內(nèi)部局域網(wǎng)的安全問題同樣是一個不可忽略的重要部分。</p><p>　　本文主要研究的是ARP病毒檢測定位與防范，并分析了ARP欺騙攻擊的方法，從而對ARP病毒進行檢測定位，并提出具體的防范措施。目前，ARP 攻擊是局域網(wǎng)的主要攻擊手段之一，可以用來監(jiān)聽特定主機的通信數(shù)據(jù)，甚至可以惡意破壞指定主機與外部的通信，并且具有隱蔽性、隨機性的特點，給網(wǎng)絡(luò)安全運

5、行帶來巨大隱患，是局域網(wǎng)安全的首要威脅。因此，如何準確、高效、快速地檢測出網(wǎng)絡(luò)中是否存在 ARP攻擊，并對攻擊主機進行精確的定位，是每個網(wǎng)絡(luò)管理者都必須要解決的一個難題。本文提出了一種檢測定位和防范的系統(tǒng)，利用該方法可以檢測到網(wǎng)絡(luò)中存在的絕大多數(shù) ARP 攻擊包并對發(fā)送攻擊包的主機進行定位和防范。</p><p>　　關(guān)鍵字：網(wǎng)絡(luò)安全，ARP病毒，檢測定位與防范</p><p>　　Res

6、earch on the positioning and prevent ARP virus detection</p><p><b>　　Abstract</b></p><p>　　With the development of the Internet and the popularity of computer, network has become an

7、important part in people's work and life, network in brings people great convenience, at the same time there are serious security hidden danger. In today's network security, most of the research is how to prevent

8、 and resist the unsafe factors from the network, so network importance is given to border security, but the internal LAN security issue is also a important part that cannot be ignored.</p><p>　　This paper ma

9、inly studies the ARP virus detection location and prevention, and analyses the method of ARP spoofing attacks, and to test the ARP virus, and specific preventive measures are put forward. At present, the ARP attack is on

10、e of the main attack means of local area network (LAN), which can be used to monitor specific host communication data, and can even malicious damage specified host and external communication, and has the characteristics

11、of concealment, randomness, lead to huge hidden</p><p>　　Key words: network security, the ARP virus, detection location and prevention</p><p><b>　　目 錄</b></p><p><b&g

12、t;　　摘 要I</b></p><p>　　AbstractII</p><p><b>　　第一章 緒論1</b></p><p>　　1.1 課題研究的背景1</p><p>　　1.2 課題研究的意義與目的2</p><p>　　1.3 研究內(nèi)容與方法2&

13、lt;/p><p>　　第2章　ARP協(xié)議介紹3</p><p>　　2.1 ARP協(xié)議闡述3</p><p>　　2.2 ARP協(xié)議原理3</p><p>　　2.3 ARP協(xié)議的漏洞4</p><p>　　第3章　ARP欺騙攻擊的實現(xiàn)5</p><p>　　3.1 ARP欺騙攻

14、擊原理5</p><p>　　3.2 ARP病毒的表現(xiàn)形式6</p><p>　　3.3 ARP病毒的分類8</p><p>　　3.4 ARP病毒的攻擊對象9</p><p>　　第4章 ARP病毒檢測定位的方法10</p><p>　　4.1 抓包與數(shù)據(jù)分析10</p><

15、p>　　4.2 偽造包判斷10</p><p>　　4.3 ARP病毒攻擊的檢測定位10</p><p>　　第5章　ARP病毒的防范11</p><p>　　5.1 ARP病毒的防范措施11</p><p>　　5.2 ARP病毒防范常用工具11</p><p><b>　　第6章　

16、總結(jié)12</b></p><p><b>　　參考文獻13</b></p><p><b>　　致 謝14</b></p><p><b>　　第1章 緒論</b></p><p>　　1.1 課題研究的背景</p><p>　　隨

17、著互聯(lián)網(wǎng)的發(fā)展和計算機的普及,網(wǎng)絡(luò)己經(jīng)成為人們工作、生活中的一個重要部分,網(wǎng)絡(luò)在帶給人們巨大便利的同時,也存在著嚴重的安全隱患。在當今網(wǎng)絡(luò)安全防范中,大部分研究的是如何預(yù)防和抵御來自外網(wǎng)的不安全因素,因此網(wǎng)絡(luò)邊界安全得到了重視,但內(nèi)部局域網(wǎng)的安全問題同樣是一個不可忽略的重要部分。</p><p>　　近年來,網(wǎng)絡(luò)代表信息技術(shù)席卷全球,而網(wǎng)絡(luò)的快速發(fā)展,網(wǎng)絡(luò)安全問題越來越引起人們的關(guān)注。新興的網(wǎng)絡(luò)攻擊,造成巨大損失

18、,影響正常的網(wǎng)絡(luò)秩序。來自互聯(lián)網(wǎng)的誕生的歷史,最初的設(shè)計理念是,網(wǎng)絡(luò),所有的用戶都是按照正常的規(guī)則的使用網(wǎng)絡(luò),在網(wǎng)絡(luò)通信協(xié)議的設(shè)計,設(shè)計師更多的考慮是溝通的效率,而溝通能帶來多少考慮安全風險。幾乎所有的網(wǎng)絡(luò)協(xié)議都不可避免地遇到安全問題,如網(wǎng)絡(luò)上的ARP、FTP、Telnet協(xié)議。另一個令人不安的因素是網(wǎng)絡(luò),人們可以很容易地獲得相關(guān)信息從網(wǎng)絡(luò)核心技術(shù),尤其是信息網(wǎng)絡(luò)本身,包括通信理論、通信協(xié)議,協(xié)議漏洞以及如何攻擊,甚至還有大量的病毒攻擊

19、源代碼。所有網(wǎng)絡(luò)通信都是開放的,沒有隱私。2006年之后有一個新的攻擊模式“ARP欺騙攻擊不是一個主機,但是在局域網(wǎng),局域網(wǎng)和更大的成功的可能性就越大攻擊,攻擊會傷害更大。由于其眾多的校園網(wǎng)絡(luò)接入終端、網(wǎng)絡(luò)廣播域大,缺乏安全措施和廣泛的用戶級特征容易被肆無忌憚的元素,因此面臨嚴重的安全威脅和安全風險。</p><p>　　1.2 課題研究的意義與目的</p><p>　　ARP 協(xié)議的漏

20、洞產(chǎn)生的安全隱患也是人們最關(guān)注的問題之一，ARP協(xié)議是人們最擔心安全協(xié)議，ARP協(xié)議是用于建立一個邏輯地址到物理地址映射表,它是最重要的網(wǎng)絡(luò)協(xié)議。ARP協(xié)議的基礎(chǔ)工作主機的互信,以廣播的形式發(fā)送數(shù)據(jù)包在局域網(wǎng)中心連接,數(shù)據(jù)將被發(fā)送到所有的端口,這為網(wǎng)絡(luò)監(jiān)控提供了一個機會。</p><p>　　近年來,利用安全漏洞的ARP欺騙攻擊事件將逐漸增加,甚至加劇,用戶不能訪問,局域網(wǎng)絡(luò)擁堵甚至癱瘓,賬戶密碼被盜,惡意的網(wǎng)絡(luò)

21、廣告和其他的事件發(fā)生,ARP欺騙攻擊局域網(wǎng)安全構(gòu)成了嚴重的威脅,如果不能很好地管理網(wǎng)絡(luò),安全問題必將影響到正常的工作和生活,甚至是災(zāi)難性的后果。當前國內(nèi)外ARP欺騙預(yù)防方法有很多,但大多數(shù)方法都是基于lP和MAC地址綁定。一些制造商網(wǎng)絡(luò)產(chǎn)品的開發(fā)處理ARP欺騙檢測和預(yù)防功能模塊,如H3C,瑞杰,等,但這些方法正在從單一方面的保護設(shè)備在網(wǎng)絡(luò)平臺上。也有一些研究改進ARP協(xié)議,和在一個小區(qū)域進行了測試,但不是標準化的協(xié)議之前實際的參考價值。

22、任何單一的方法不能有效地解決防范ARP欺騙攻擊的問題需要結(jié)合實際的網(wǎng)絡(luò)環(huán)境,通過ARP欺騙攻擊的網(wǎng)絡(luò)進行了分析,從雙方的通信網(wǎng)絡(luò)開始,研究和制定一個全面的安全措施來有效地抑制ARP欺騙的發(fā)生。所以預(yù)防ARP欺騙的分析和研究,加強網(wǎng)絡(luò)管理,對威脅,確保一個穩(wěn)定的網(wǎng)絡(luò)和信息安全,維護網(wǎng)絡(luò)用戶的合法權(quán)益具有相當大的意義。</p><p>　　1.3 研究內(nèi)容與方法</p><p>　　隨著互聯(lián)網(wǎng)

23、的廣泛應(yīng)用，內(nèi)部網(wǎng)絡(luò)的安全問題逐漸成為人們關(guān)注的焦點。目前，ARP 攻擊是局域網(wǎng)的主要攻擊手段之一，可以用來監(jiān)聽特定主機的通信數(shù)據(jù)，甚至可以惡意破壞指定主機與外部的通信，并且具有隱蔽性、隨機性的特點，給網(wǎng)絡(luò)安全運行帶來巨大隱患，是局域網(wǎng)安全的首要威脅。因此，如何準確、高效、快速地檢測出網(wǎng)絡(luò)中是否存在 ARP攻擊，并對攻擊主機進行精確的定位，是每個網(wǎng)絡(luò)管理者都必須要解決的一個難題。本文提出了一種檢測定位和防范的系統(tǒng)，利用該方法可以檢測到網(wǎng)

24、絡(luò)中存在的絕大多數(shù) ARP 攻擊包并對發(fā)送攻擊包的主機進行定位和防范。</p><p>　　本文研究的主要方法包括：</p><p><b>　　1、調(diào)查法</b></p><p>　　首先對ARP病毒的現(xiàn)狀進行調(diào)查、采訪和咨詢，整理相關(guān)的信息和資料，通過這些數(shù)據(jù)和材料，調(diào)查系統(tǒng)需要提供的功能，使得開發(fā)的系統(tǒng)更具針對性，能更好的用于ARP病毒定

25、位與防范</p><p><b>　　2、文獻法</b></p><p>　　大量閱讀關(guān)于ARP病毒和各項技術(shù)研究方面的文獻，歸納、整理尋找系統(tǒng)需要使用的方法和方式，得出本系統(tǒng)將要做出的突破，找到理論依據(jù)，借鑒各項系統(tǒng)，取其理論精華，為撰寫論文和整體系統(tǒng)實現(xiàn)提供充沛的資料。</p><p><b>　　3、比較法</b>&

26、lt;/p><p>　　除了從關(guān)于ARP病毒中尋找資料外也找到大量前人探索的ARP病毒，尋找它們的相似點及各自的特色，推陳出新。</p><p><b>　　4、分析法</b></p><p>　　分析當前ARP病毒定位與防范現(xiàn)狀存在的問題和不足，提出ARP病毒定位與防范的方法，通過信息化方式制定交易流程，同時采用ASP.NET的技術(shù)為根本。<

27、;/p><p>　　第2章 ARP協(xié)議介紹</p><p>　　2.1 ARP協(xié)議闡述</p><p>　　ARP(Address Resolution Protocol，地址解析協(xié)議) 是 TCP/IP 協(xié)議族中的一個重要協(xié)議，它負責網(wǎng)絡(luò)層(IP層,第三層OSI)轉(zhuǎn)化為數(shù)據(jù)鏈路層地址(MAC層,OSI層)地址。網(wǎng)絡(luò)交換機支持ARP表中維護對應(yīng)的IP地址和MAC地址。共

28、同解決2人。以太網(wǎng)是目前廣泛應(yīng)用于、ARP功能是提供一個從32位過渡到48比特位硬件地址的IP地址(MAC地址)。在基于以太網(wǎng)的局域網(wǎng),ARP協(xié)議是基于相互信任主機之間基于ARP協(xié)議的實現(xiàn)機制,我們可以利用以下缺陷:(1)根據(jù)接收到的ARP緩存ARP協(xié)議數(shù)據(jù)包可以動態(tài)更新;概念(2)ARP協(xié)議不是連接到任何主機,即使沒有一個ARP請求,他們也可以反應(yīng);(3)ARP協(xié)議沒有身份驗證機制,只要收到協(xié)議數(shù)據(jù)包格式是正確的,那么,東道主無條件按

29、照協(xié)議包來更新本地ARP緩存,不檢查協(xié)議包的合法性。</p><p>　　邏輯地址和物理地址是兩個不同的標識符。以太網(wǎng)和令牌環(huán)網(wǎng)絡(luò),在通信之前,我們必須先找到目的地主機的IP地址,選擇合適的路線通過網(wǎng)絡(luò)設(shè)備或托管多個轉(zhuǎn)發(fā)到目的地主機;鄰近的主機之間的通信,而不是使用IP地址和物理地址(MAC地址);它需要能夠?qū)⒁粋€邏輯地址映射到其相應(yīng)的物理地址。您可以使用靜態(tài)綁定和動態(tài)映射映射兩種策略。靜態(tài)映射創(chuàng)建一個映射,將邏

30、輯地址和物理地址的條目存儲在一個表,表存儲在網(wǎng)絡(luò)上的每臺機器上。前溝通,根據(jù)目的IP地址發(fā)送數(shù)據(jù),查找目的地主機的MAC地址表中,為了傳播MAC地址后獲得的數(shù)據(jù)。這有一些局限性,因為IP地址和MAC地址由于各種原因可能有所不同。如機器更換卡、刪除和其他移動主機、網(wǎng)絡(luò)設(shè)備替換和升級來完成這些變化,靜態(tài)映射表必須手動修改,不僅對網(wǎng)絡(luò)管理人員帶來巨大的工作量,而且還影響互聯(lián)網(wǎng)用戶的靈活性。好的解決方案是一個動態(tài)映射。主機知道溝通目的主機的IP

31、地址可以廣播發(fā)送數(shù)據(jù)包,相應(yīng)的數(shù)據(jù)包,獲得MAC地址,然后發(fā)送數(shù)據(jù)包通過MAC地址。ARP協(xié)議標準化動態(tài)映射過程。</p><p>　　2.2 ARP協(xié)議原理</p><p>　　互聯(lián)網(wǎng)是由許多的物理網(wǎng)絡(luò)和一些如路由器和網(wǎng)關(guān)的互聯(lián)設(shè)備組成，發(fā)送的分組數(shù)據(jù)在到達目的主機之前可能要經(jīng)過許多不同的物理網(wǎng)絡(luò)。在網(wǎng)絡(luò)層,主機和路由器使用識別他們的邏輯地址,邏輯地址是一個IP地址。在數(shù)據(jù)鏈路層,主機

32、、交換機等網(wǎng)絡(luò)設(shè)備的物理地址用于識別。物理地址是一個本地地址,如以太網(wǎng)和令牌環(huán)48比特位MAC地址,這是寫在卡在自己的主機上。IP地址是提供一個路徑選擇的根據(jù),和MAC地址是提供具體的郵寄地址。</p><p>　　ARP是獲取物理地址基于TCP / IP協(xié)議的IP地址。ARP將包含目標主機的IP地址在發(fā)送請求信息廣播到網(wǎng)絡(luò)上的所有主機,并接收一個返回消息,為了確定一個目標的物理地址;一個返回消息后IP地址和物理

33、地址到本地ARP緩存和保留一段時間,直接查詢ARP緩存來節(jié)約資源時,下一個請求。ARP是建立在一個網(wǎng)絡(luò),網(wǎng)絡(luò)上的主機可以發(fā)送ARP應(yīng)答消息每個主機上自治互信的基礎(chǔ),其他主機接收到數(shù)據(jù)包時不檢測應(yīng)答消息的真實性將會記錄到本地ARP緩存,因此攻擊者可以發(fā)送一個回復(fù)大量虛假的ARP包,你不能達到預(yù)期的信息發(fā)送到錯誤的主機或主機,構(gòu)成一個ARP欺騙。ARP命令可以用來查詢本地ARP緩存對應(yīng)IP地址和MAC地址,添加或刪除靜態(tài)對應(yīng)關(guān)系。</

34、p><p>　　2.3 ARP協(xié)議的漏洞</p><p>　　由于該協(xié)議運行在基于以太網(wǎng)技術(shù)的局域網(wǎng)中，它是建立在各主機之間相互信任的基礎(chǔ)上的，根據(jù)ARP協(xié)議的實現(xiàn)機制,可以利用以下漏洞:(1)ARP緩存是根據(jù)接收到的動態(tài)更新ARP協(xié)議數(shù)據(jù)包在任何時間。這是ARP協(xié)議的特點之一,也是一個安全問題。自MAC地址的主機之間的正常刷新是有時間限制的,所以如果惡意用戶在下次交易成功前修改地址緩沖被欺

35、騙的機器,可以是假的或拒絕服務(wù)攻擊概念。(2)ARP協(xié)議沒有連接到任何主機在任何時候,只要收到請求ARP數(shù)據(jù)包可以做出適當?shù)姆磻?yīng),并改變它的ARP映射表。(3)ARP協(xié)議沒有身份驗證機制。由于ARP協(xié)議是局域網(wǎng)協(xié)議,在一般情況下,局域網(wǎng)的主機是同一組織的一部分,主機之間的通信的局域網(wǎng)基本上是互信、效率方面的考慮在數(shù)據(jù)鏈路層傳輸沒有安全方面的考慮。當使用ARP協(xié)議交換MAC協(xié)議沒有認證。剛收到從局域網(wǎng)ARP應(yīng)答數(shù)據(jù)包和接收協(xié)議數(shù)據(jù)包格式是

36、正確的,這將是一個MAC-IP地址刷新緩存的機器,沒有任何認證。(4)廣播的形式發(fā)送ARP請求。這個問題是不可避免的,因為正是因為主機的MAC地址不知道溝通合作伙伴只需要廣播ARP請求。偵聽器只要卡設(shè)置為混雜模式,你可以從其他主</p><p>　　第3章　ARP欺騙攻擊的實現(xiàn)</p><p>　　3.1 ARP 欺騙攻擊原理</p><p>　　ARP 欺騙攻擊

37、的核心思想就是向目標主機發(fā)送偽造 ARP 請求包或應(yīng)答包，并使目的地主機接收到數(shù)據(jù)包映射偽造IP地址和MAC地址,為了更新目標主機的ARP緩存,從而達到欺詐的目的。</p><p>　　ARP攻擊是通過偽造IP地址和MAC地址的ARP欺騙實現(xiàn),可以產(chǎn)生大量的ARP網(wǎng)絡(luò)流量網(wǎng)絡(luò)擁塞,只要攻擊者繼續(xù)問題錯誤的ARP響應(yīng)包可以改變目標主機IP MAC ARP緩存條目,導(dǎo)致網(wǎng)絡(luò)中斷或中間人攻擊。ARP攻擊是主要存在于局域

38、網(wǎng),局域網(wǎng)電腦是否感染了ARP木馬,木馬感染了ARP系統(tǒng)將嘗試ARP欺騙是指通訊被切斷在同一個網(wǎng)絡(luò)中其他計算機的信息,從而導(dǎo)致你的電腦網(wǎng)絡(luò)在其他通信問題。</p><p>　　攻擊者發(fā)送一個假的ARP來響應(yīng)電腦,告訴計算機:計算機的IP地址期間對應(yīng)的MAC地址是B是192.168.0.2 00 - aa - 00 - 62 c6 - 03,電腦面值,這對應(yīng)寫進自己的ARP緩存表,在發(fā)送數(shù)據(jù),這些數(shù)據(jù)應(yīng)該被發(fā)送到計

39、算機B發(fā)送給攻擊者。同樣,攻擊者的電腦B也發(fā)送假的ARP響應(yīng),告訴計算機B:192.168.0.1電腦的IP地址對應(yīng)的MAC地址00 - aa - 00 - 62 c6 - 03,電腦也將數(shù)據(jù)發(fā)送給攻擊者。此時的攻擊者控制計算機和計算機B之間的交通,他可以選擇被動監(jiān)控流量,訪問密碼和其他秘密信息偽造數(shù)據(jù),改變計算機A與計算機B之間的通信信息。</p><p>　　3.2 ARP 病毒的表現(xiàn)形式</p>

40、<p>　　從影響網(wǎng)絡(luò)連接通暢的方式來看，ARP 欺騙分為二種：一種是對路由器 ARP 表的欺騙；另一種是內(nèi)部網(wǎng)絡(luò)主機網(wǎng)關(guān)欺騙。ARP欺騙的首要原則是:網(wǎng)關(guān)攔截數(shù)據(jù)。通知的一系列錯誤的網(wǎng)絡(luò)中的路由器的MAC地址,并按照一定的頻率不斷發(fā)送ARP數(shù)據(jù)包,所以,真正的不能更新地址信息存儲在路由器,路由器的所有數(shù)據(jù)的結(jié)果只能發(fā)送錯誤的MAC地址,導(dǎo)致主機不能正常接收消息。第二個原則的ARP欺騙假網(wǎng)關(guān)。原則是建立假的網(wǎng)關(guān),欺騙將數(shù)據(jù)

41、發(fā)送給主機假網(wǎng)關(guān),而不是通過正常的網(wǎng)絡(luò)路由器。</p><p>　　ARP協(xié)議是一個非常特殊的和非常重要的協(xié)議。因此,ARP病毒攻擊也正常傳輸網(wǎng)絡(luò)帶來了各種各樣的傷害。其表現(xiàn)形式基本上分為以下幾點：</p><p>　?。?） 網(wǎng)絡(luò)頻繁掉線 </p><p>　　網(wǎng)絡(luò)經(jīng)常掉線主要表現(xiàn)為在網(wǎng)絡(luò)用戶使用過程中,網(wǎng)頁打開緩慢,間歇性或不開放,和其他網(wǎng)絡(luò)應(yīng)用程序處于斷開狀

42、態(tài)。這種現(xiàn)象是由于宿主感染了病毒一旦我們收到ARP ARP請求數(shù)據(jù)包,它將向源主機發(fā)送假的ARP數(shù)據(jù)包,導(dǎo)致源主機不能與真正的目的地主機通信。偽造ARP網(wǎng)關(guān)包包含錯誤消息時,源主機將錯誤地認為中毒是一個網(wǎng)關(guān)主機,它將連接到外部網(wǎng)絡(luò)通過中毒主機,如果主人中毒表現(xiàn)不佳,無能“網(wǎng)關(guān)看守”功能將顯示用戶的網(wǎng)絡(luò)連接,但是延遲太大,所以互聯(lián)網(wǎng)用戶會覺得慢,斷斷續(xù)續(xù)的,甚至無法連接到網(wǎng)絡(luò)。</p><p><b>　

43、　彈出惡意廣告</b></p><p>　　ARP病毒偽裝網(wǎng)關(guān)是基于HTTP請求訪問的篡改。HTTP是一個應(yīng)用程序?qū)訁f(xié)議,主要是為WEB頁面訪問。當請求的源主機訪問一個網(wǎng)站,中毒主機仍將作為“網(wǎng)關(guān)代理”的帖子,它仍然是源主機網(wǎng)站下載請求的內(nèi)容,但不同的是在web內(nèi)容交付同時源主機,將插入惡意網(wǎng)站連接到web內(nèi)容下載,惡意網(wǎng)站使用各種漏洞的系統(tǒng)將連接到源主機種植病毒,破壞用戶的操作系統(tǒng)和網(wǎng)絡(luò)環(huán)境。<

44、;/p><p>　　提示 IP 地址沖突 </p><p>　　ARP病毒會導(dǎo)致用戶IP地址沖突,并繼續(xù)表明,網(wǎng)絡(luò)干擾用戶的正常使用。在正常情況下,當主機將發(fā)送ARP數(shù)據(jù)包廣播他們的IP地址的網(wǎng)絡(luò)連接到網(wǎng)絡(luò)的IP地址(或更改)的時間,這是免費的ARP映射。如果有一個主機B IP地址相同的網(wǎng)絡(luò),那么B將回復(fù)ARP地址,當收到這個回復(fù),將IP地址沖突的警告,當然,B將有一個警告。然而,如果網(wǎng)絡(luò)AR

45、P欺騙病毒在內(nèi)存中,然后主機能夠建立中毒ARP應(yīng)答,ARP應(yīng)答的內(nèi)容是“我的地址和主機”舉辦一個錯誤地認為他們的IP和別人沖突,將IP地址沖突的出現(xiàn)警告,它不能與網(wǎng)絡(luò)通信。</p><p>　　3.3 ARP病毒的分類</p><p>　　ARP 病毒攻擊行為種類繁多、危害的程度也有區(qū)別，ARP 病毒攻擊主要包括：</p><p>　　(1)ARP掃描。ARP掃描

46、通常是準備發(fā)動攻擊。它開始攻擊攻擊主機的IP和MAC地址的ARP掃描，從而監(jiān)控網(wǎng)絡(luò),竊取用戶數(shù)據(jù)來實現(xiàn)為秘密襲擊做準備。</p><p>　　(2)中間攻擊。攻擊宿主將插入兩個目標主機之間的通信路徑,以便主機作為繼電器兩個目標主機通信路徑,所以攻擊者可以監(jiān)控,和篡改劫持的目標主機之間的通信,具有隱蔽,傷害很高。</p><p>　　(3)拒絕服務(wù)攻擊。如果攻擊者將目標主機的ARP緩存所有的

47、MAC地址不存在的地址,目標主機發(fā)送數(shù)據(jù)流量將丟失,不能到達目標主機,不會得到適當?shù)捻憫?yīng),這樣的上層應(yīng)用這個忙,不能響應(yīng)傳入的請求異常,將導(dǎo)致目標主機不能使用網(wǎng)絡(luò)服務(wù)。有一個拒絕服務(wù)攻擊網(wǎng)絡(luò)設(shè)備,通過發(fā)送大量的ARP請求數(shù)據(jù)包和semi-connected,這樣的上層應(yīng)用這個看似正常的忙著處理傳入的請求,超過設(shè)備的處理能力,該設(shè)備將隨機丟棄一些包和服務(wù)請求,請求數(shù)據(jù)包如果攻擊者發(fā)送占比例太多,其他主機不能被處理,從而導(dǎo)致目標主機生成一個

48、拒絕服務(wù)。</p><p>　　(4)替換攻擊?，F(xiàn)在攻擊地址可以使用任意變化的工具,為攻擊者提供了條件。因此,攻擊者拒絕服務(wù)攻擊的第一目標主機,我們不能做出任何回應(yīng)。然后攻擊者的IP和MAC地址改變了目標主機的IP和MAC地址,所以攻擊者的主機和目標主機的一個副本一樣,像一個正常的宿主,與其他主機通信,竊取信息安裝木馬和其他非法目的。</p><p>　　3.4 ARP病毒的攻擊對象<

49、;/p><p>　　為了更好的研究 ARP 病毒，并為以后的檢測、定位與防御提供理論基礎(chǔ)，分析 </p><p>　　ARP 欺騙的攻擊對象，主要包括：</p><p>　?。?）欺騙路由器：攻擊者發(fā)送大量的虛假的ARP包,這些包廣播傳輸數(shù)據(jù)包到達路由器時,它將記錄這些錯誤在網(wǎng)絡(luò)中MAC地址。根據(jù)一個特定的頻率不斷,所以真正的不能更新地址信息存儲在路由器,路由器的所有數(shù)

50、據(jù)的結(jié)果只能發(fā)送錯誤的MAC地址,導(dǎo)致電腦不能正常接收信息。</p><p>　　（2） 偽造網(wǎng)關(guān) IP 及 MAC 地址欺騙主機:其原理是掩蓋中毒網(wǎng)關(guān)機器。電腦這是欺騙假網(wǎng)關(guān)發(fā)送數(shù)據(jù),而不是通過正常的網(wǎng)絡(luò)路由器。似乎電腦無法上網(wǎng),”和網(wǎng)絡(luò)?！癆RP病毒防火墻接收廣播211.66.91.1兩個網(wǎng)關(guān)發(fā)送,都聲稱自己是網(wǎng)關(guān)。常用的檢測方法是進入命令提示符,輸入ARP - a命令檢查ARP數(shù)據(jù)包,除了網(wǎng)關(guān),使用其他主機

51、廣播ARP數(shù)據(jù)包。 </p><p>　　（3） 共享環(huán)境的嗅探:由 HUB 組成的網(wǎng)絡(luò)。每個數(shù)據(jù)包必須使用找到目的地主機通過廣播的方式獲取網(wǎng)絡(luò)中的數(shù)據(jù)包,導(dǎo)致網(wǎng)關(guān),公交站點的“ARP欺騙”錯誤捕獲數(shù)據(jù)包檢測分析數(shù)據(jù)在整個網(wǎng)絡(luò),竊取賬號、密碼和其他信息。</p><p>　?。?） ARP畸形包攻擊:有一些開關(guān)或系統(tǒng)不能正確處理ARP數(shù)據(jù)包畸形,導(dǎo)致在接收ARP數(shù)據(jù)包到一定大小畸形,ARP

52、緩存表將是一個嚴重的錯誤,導(dǎo)致網(wǎng)絡(luò)內(nèi)部通信癱瘓。攻擊者可以用它來實現(xiàn)整個網(wǎng)絡(luò)DoS的目的。</p><p>　?。?） 路由器ARP列表的欺騙:攻擊者和一些頻率發(fā)送大量的錯誤局域網(wǎng)ARP消息路由器,ARP信息不能保存,路由器的結(jié)果,所有數(shù)據(jù)將被發(fā)送到錯誤的MAC地址,以便攻擊主機不能接收信息。</p><p>　?。?）DHCP服務(wù)器DoS攻擊:為了便于管理,許多局域網(wǎng)使用DHCP服務(wù)器地

53、址配置管理在伊拉克,而攻擊者使用DHCP在操作過程中沒有認證機制的漏洞攻擊。攻擊者通過應(yīng)對所有DHCPARP請求數(shù)據(jù)包,DHCP資源枯竭。然后用大量的假的MAC地址的IP應(yīng)用程序DHCP服務(wù)器,DHCP服務(wù)器導(dǎo)致更快地消耗自然資源,導(dǎo)致DHCP服務(wù)器DoS,進一步攻擊者可以冒充合法DHCP服務(wù)器分配一個IP地址和一個假的DNS服務(wù)器來指導(dǎo)用戶惡意網(wǎng)站,個人信息或誘騙用戶惡意廣告。</p><p>　　第4章 A

54、RP病毒檢測定位的方法</p><p>　　4.1 抓包與數(shù)據(jù)分析</p><p>　　首先利用 WinPcap 獲取局域網(wǎng)中的所有 ARP數(shù)據(jù)包。鑒于目前絕大多數(shù)局域網(wǎng)都采用交換機進行組網(wǎng)，因此，為了捕捉到所有的 ARP 數(shù)據(jù)包，必須將檢測軟件部署在交換機的鏡像端口，并將主機網(wǎng)卡設(shè)置成為混雜模式。</p><p>　　在 ARP 數(shù)據(jù)包中，其以太頭部和 ARP 分

55、組中都包含了本機的 MAC 地址，對于正常的 ARP 數(shù)據(jù)包，二者應(yīng)該是一致的。而許多攻擊者為了隱藏攻擊主機，往往會在數(shù)據(jù)包中插入虛假的地址，這就造成了許多 ARP 攻擊包中二者不一致的情況。因此，如果發(fā)現(xiàn)一個 ARP 數(shù)據(jù)包中的以太頭部和 ARP 分組中的 MAC 地址不一致，則可以認定這是一個ARP 攻擊包。其中，ARP病毒攻擊檢測定位流程圖如下圖4.1所示：</p><p><b>　　圖 4.1

56、</b></p><p>　　4.2 偽造包判斷</p><p>　　在系統(tǒng)中動態(tài)地維護 2 個隊列，一個請求隊列和一個應(yīng)答隊列。ARP 數(shù)據(jù)包為請求包時，將其加入到請求隊列。當接收到的數(shù)據(jù)包為應(yīng)答包時，首先在請求隊列中查看是否存在相應(yīng)的請求包，如果不存在，說明該包是沒有請求的應(yīng)答包，是一個偽造包。如果存在相應(yīng)的請求包，則在應(yīng)答隊列中查看是否存在相應(yīng)的應(yīng)答包，如果存在，說明在

57、該包之前已經(jīng)接收到相應(yīng)的應(yīng)答包，則其中一個應(yīng)答包必定為偽造包。如果在應(yīng)答隊列中不存在相應(yīng)的應(yīng)答包，則將請求隊列中相應(yīng)的項刪除，添加到應(yīng)答隊列中。其中，偽造包分析流程圖如下圖4.2所示：</p><p><b>　　圖 4.2</b></p><p>　　4.3 ARP病毒攻擊的檢測定位</p><p>　　首先讀取交換機的Cache，緩存讀取

58、第一個開關(guān),發(fā)現(xiàn)攻擊主機的IP地址、MAC地址和對應(yīng)的交換機端口的信息提交給網(wǎng)絡(luò)管理員和保存到系統(tǒng)日志,過程的下一步。</p><p>　　在一個交換機中,小型局域網(wǎng)軟件運行良好,可以檢測絕大多數(shù)的ARP攻擊數(shù)據(jù)包,可以攻擊包的詳細信息發(fā)送到主機系統(tǒng)報告,包括MAC地址,IP地址,和交換機端口,根據(jù)這些信息,網(wǎng)絡(luò)管理員可以輕松地找到攻擊的特定位置和主機進行處理。</p><p>　　當級聯(lián)

59、多個局域網(wǎng)交換機,連接到主機的軟件的電平開關(guān)鏡像端口,試驗結(jié)果表明,當前的交換機在一個主機攻擊其他主機在當前開關(guān)軟件主機其他開關(guān)主機電流開關(guān)受到攻擊,能夠檢測到攻擊,可以準確地定位；當前主機的主機攻擊下的開關(guān)其他交換機軟件可以檢測到某種形式的攻擊,可以定位,軟件可以檢測大多數(shù)形式的攻擊,但只提供攻擊主機的IP地址和MAC地址,并從開關(guān),但不能確定是否攻擊主機的開關(guān)端口,在非流動交換機下ARP攻擊之間存在主機,軟件不能檢測到攻擊的存在。&

60、lt;/p><p>　　第5章 ARP病毒的防范</p><p>　　5.1 ARP病毒的防范措施</p><p>　　通過前文對ARP欺騙原理的分析可知，ARP病毒在進行欺騙時會采取兩種手段，一個是欺騙路由器的ARP映射表,另一種是在同一網(wǎng)段的主機欺騙ARP緩存。因此，要防止ARP病毒所能夠造成的危害，關(guān)鍵是要防止ARP欺騙的這兩種方式。</p>&

61、lt;p>　　(1)防止ARP病毒對路由器(核心交換機)ARP表的欺騙：對于這種欺騙，該方法可用于綁定一個VLAN接口IP地址(網(wǎng)關(guān)地址)和設(shè)備的MAC地址在山路(核心交換機)網(wǎng)關(guān)IP和MAC地址作為一個靜態(tài)條目,不再ARP響應(yīng)響應(yīng)數(shù)據(jù),這樣我們可以確保網(wǎng)關(guān)IP地址和MAC地址條目不被欺騙。H3C核心交換機,命令可以用來執(zhí)行ARP靜態(tài)IP MAC綁定。</p><p>　　(2)防止ARP病毒對內(nèi)網(wǎng)主機AR

62、P緩存的欺騙：對于這種欺騙，可以用來隔離電腦,所以每臺計算機將不再回應(yīng)其他電腦ARP響應(yīng)數(shù)據(jù)包,但只有針對網(wǎng)關(guān)發(fā)送一個響應(yīng)數(shù)據(jù)包,這樣我們就可以完全消除自己的ARP緩存欺騙上的其他計算機。H3C開關(guān),您可以輸入命令接口使用端口隔離隔離。 </p><p>　　5.2 ARP病毒防范常用工具</p><p>　　ARP病毒防范常用的主要工具包括：(1)為了解決ARP防火墻ARP病毒AR

63、PFixCCERT開發(fā)了一個小型的防火墻軟件正常主機上安裝時,它能有效防止ARP欺騙,能夠檢測到受感染的主機的MAC地址,如果受感染的主機上安裝它可以阻止foreign-initiated感染主機的ARP欺騙攻擊。應(yīng)該注意的是,這只是一個防火墻軟件,它沒有能力殺死病毒ARP,ARP病毒殺死如果需要,或需要使用專業(yè)的殺毒軟件。(2)windump Tcpdump軟件系統(tǒng)軟件在windows版本,易于使用。Winpcap需要支持。更強大的數(shù)

64、據(jù)包捕獲分析軟件在Windows系統(tǒng)(3)的軟件。最強大的數(shù)據(jù)包捕獲分析軟件(4)wnifferpro windows軟件系統(tǒng)。最新的ARP Zhuanshagongju(5)趨勢ARP Zhuanshagongju TSCARP趨勢,TSC.exe解壓后可以直接運行。(6)AntiARP網(wǎng)絡(luò)軟件-AniiA流行的軟件,以防止ARP欺騙攻擊。</p><p><b>　　第6章　總結(jié) </b>

65、;</p><p>　　本次課程設(shè)計基于ARP病毒的檢測定位防范進行了研究，在這段研究的時間里， 通過這次畢業(yè)設(shè)計，我學到了很多的東西。在前面的三年半時間我學到了很多的程序和軟件,從最初的端口掃描器,到ARP病毒檢測等等,盡管這些課程通過學習和理解掌握,但只有理論知識理解階段,掌握的知識不夠全面和熟練實驗測試不能被執(zhí)行,并不能真正的獨立完成在實際的研究中使用。做這個研究,首先需要深入調(diào)查,然后把一些類似的實驗。從

66、來沒有覺得他們已經(jīng)能夠開發(fā)一個完全獨立的實驗中,這只會讓你猶豫了。只有結(jié)合別人的經(jīng)驗,自身經(jīng)歷的例子,創(chuàng)新,你就會進步。因為之前的軟件工程課程的學習,因此編寫流程圖圖的時間相對比較容易,有一個明確的方向,叫做經(jīng)歷。</p><p>　　上個月是主要的設(shè)計和畢業(yè)論文的開始寫在短短一個月,我把東西放在我以前的三年學習都打出來了,之前我一直以為事情在所有白人學校之前,但現(xiàn)在我發(fā)現(xiàn)時間如何有用的學習,當然,在整個設(shè)計過程

67、中也遇到很多問題,很多都是程序錯誤和錯誤的方法,這些問題得到解決的調(diào)查材料和書籍慢慢解決,開始當幾天遇到的錯誤不解決,然后想到了放棄,想到改變話題,思考各種方法,但也由教師和學生都有助于擺脫,可能是沒有經(jīng)驗的開始,一個問題我不知道擦,不知道如何解決,在學生錯誤的方式幫助我找到了一個解決方案,每一步都是不停地調(diào)試如果你得到你想要的結(jié)果,這表明繼續(xù)設(shè)計,如果不是,那么一開始的錯誤已經(jīng)發(fā)生了,你沒有注意到,后來你花了很多時間,你會發(fā)現(xiàn)你所做的

68、一切都是徒勞的,后悔已經(jīng)太遲了。另一個點是做事不怕困難,有一種精神,有毅力和決心,不管在什么情況下會容易,會遇到許多困難,如果一個困難,那是我們不能滿足,簡而言之,畢業(yè)設(shè)計對我?guī)椭艽?讓我感覺自身從一個理論到實踐的過程是一個質(zhì)的升華。</p><p><b>　　參考文獻</b></p><p>　　[1] Mahesh V. Tripunitara——A Mid

69、dleware Approach to Asynchronous and Backward Compatible Detection and Prevention of ARP Cache Poisoning</p><p>　　[2] 于夫——ARP病毒在局域網(wǎng)中的防治研究</p><p>　　[3] 王景奇——局域網(wǎng)ARP病毒入侵檢測與解決方案</p><p>

70、　　[4] 朱澤波——ARP防攻擊技術(shù)的研究與實現(xiàn)</p><p>　　[5] 郭麗——基于ARP欺騙的交換網(wǎng)絡(luò)監(jiān)聽技術(shù)分析與研究</p><p>　　[6] 周宇——校園網(wǎng)ARP病毒的檢測定位與防范研究</p><p>　　[7] 林宏剛——一種主動檢測和防范ARP攻擊的算法研究</p><p>　　[8] 李軍鋒——基于計算機網(wǎng)絡(luò)安全防A

71、RP攻擊的研究</p><p>　　[9] 馬軍——ARP協(xié)議攻擊及其解決方案</p><p>　　[10] 任俠——ARP協(xié)議欺騙原理分析與抵御方法</p><p>　　[11] 周興華,王敬棟.ASP+Aceess數(shù)據(jù)庫開發(fā)與實例[M].清華大學出版社,2006:41-176.</p><p>　　[12] 肖金秀.jsp程序設(shè)計教程（版

72、本 1.0）.冶金工業(yè)出版社</p><p>　　[13] 秦豐林 , 段海新 , 郭汝廷 . ARP 欺騙的監(jiān)測與防范技術(shù)綜述 [J]. 計算機應(yīng)用研究 , 2009(1):30-33. </p><p>　　[14] 郭衛(wèi)興 , 劉旭 , 吳灝 . 基于 ARP 緩存超時的中間人攻擊檢測方法 [J]. 計算機工程 , 2008(7):133-135. </p><p

73、>　　[15] 王燕 , 張新剛 . 基于 ARP 協(xié)議的攻擊及其防御方法分析 [J]. 微計算機信息 , 2007, 23(12):72-74.</p><p>　　[16] 張潔. 一種改進的 ARP 協(xié)議欺騙檢測方法 [J].計算機科學 ,2008, 35(3):53-54.</p><p>　　[17] 范俊俊 , 魯云萍 . 基于交換機的 ARP 安全機制研究[J].

74、 計算機工程與設(shè)計，2008,29(16):4162-4164.</p><p>　　[18] 林宏剛. 一種主動檢測和防 范 ARP 攻 擊 的 算 法 研 究 [J]四 川 大 學 學 報 , 2008(5):143-149.</p><p><b>　　致 謝</b></p><p>　　首先，感謝學校對我的培養(yǎng)，感謝學校為我提供了這

75、次實訓機會，通過這次的實訓讓我對開發(fā)工具有了更深刻的認識，這次實訓讓我懂得了要怎樣用工具實現(xiàn)自己想要的東西，讓我在理論和實踐兩方面都學到了很多。通過整個設(shè)計過程，我在計算機理論和實踐方面都學到了很多東西。</p><p>　　同時要感謝老師對我傳授的知識，并感謝老師對我的細心指導(dǎo)，我在做課題的時候遇到了一些問題，通過老師的指導(dǎo)和講解讓我明白了很多問題，并在理論與實踐方面給予了我很多的啟發(fā)，讓我知道了在設(shè)計過程中的

76、許多規(guī)范性問題，使我的課題能夠順利的、大工作量的完成。在此向他們致以最衷心的感謝。感謝我的導(dǎo)師對我的諄諄教誨和精心指導(dǎo)。從選題到論文的完成，無不凝聚著導(dǎo)師的心血和辛勞，老師嚴謹、務(wù)實而又不失和藹的治學態(tài)度，使我受益匪淺，并將終生受益。我的點滴進步都凝聚著老師的關(guān)心和幫助，我將永遠銘記老師的恩惠與期望！</p><p>　　同時感謝我的老師，在這期間她給我很大的幫助；感謝所有幫助過我的人。</p>&

77、lt;p><b>　　謝謝你們！</b></p><p>　　附 錄 ：成都東軟學院</p><p>　　畢業(yè)設(shè)計（論文）原創(chuàng)承諾書</p><p>　　1、本人承諾：所提交的畢業(yè)設(shè)計（論文）是認真學習理解學校的《畢業(yè)設(shè)計（論文）工作規(guī)范》后，在教師的指導(dǎo)下，獨立地完成了任務(wù)書中規(guī)定的內(nèi)容，不弄虛作假，不抄襲別人的工作內(nèi)容。</p

78、><p>　　2、本人在畢業(yè)設(shè)計（論文）中引用他人的觀點和研究成果，均在文中加以注釋或以參考文獻形式列出，對本文的研究工作做出重要貢獻的個人和集體均已在文中注明。</p><p>　　3、在畢業(yè)設(shè)計（論文）中對侵犯任何方面知識產(chǎn)權(quán)的行為，由本人承擔相應(yīng)的法律責任。</p><p>　　4、本人完全了解學校關(guān)于保存、使用畢業(yè)設(shè)計（論文）的規(guī)定，即：按照學校要求提交論文和相

79、關(guān)材料的印刷本和電子版本；同意學校保留畢業(yè)設(shè)計（論文）的復(fù)印件和電子版本，允許被查閱和借閱；學校可以采用影印、縮印或其他復(fù)制手段保存畢業(yè)設(shè)計（論文），可以公布其中的全部或部分內(nèi)容。</p><p>　　5、本人完全了解《畢業(yè)（設(shè)計）論文工作規(guī)范》關(guān)于“學生畢業(yè)設(shè)計（論文）出現(xiàn)購買、他人代寫、或者抄襲、剽竊等作假情形的，取消其學位申請資格；已經(jīng)獲得學位的，依法撤銷其學位。取消學位申請資格或者撤銷學位者，從處理決定之

80、日起3年內(nèi)，學校不再接受學生學位申請”的規(guī)定內(nèi)容。</p><p>　　6、本人完全了解《學生手冊》中關(guān)于在“畢業(yè)設(shè)計（論文）等環(huán)節(jié)中被認定抄襲他人成果者”不授予學士學位，并且“畢業(yè)學年因違紀受處分影響學位的學生不授予學士學位，并且無學士學位申請資格”的規(guī)定內(nèi)容。</p><p>　　以上承諾的法律結(jié)果、不能正常畢業(yè)及其他不可預(yù)見的后果由學生本人承擔！</p><p&g