基于LinuxARP檢測與防御系統(tǒng)

基于LinuxARP檢測與防御系統(tǒng)

摘 要：ARP協(xié)議，即地址解析協(xié)議，由于協(xié)議存在的漏洞導(dǎo)致ARP欺騙幾乎無法避免。為探討如何解決這一問題，通過理論研究和實(shí)證，論文從主動(dòng)和被動(dòng)兩個(gè)模塊提出了ARP檢測與防御的方法。主要思路是利用基于Linux的開源路由器系統(tǒng)OpenWRT定制路由器，對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)測，一旦主機(jī)網(wǎng)絡(luò)流量達(dá)到一定閾值時(shí)，通過對(duì)其進(jìn)行檢查來判斷源主機(jī)是否遭受ARP欺騙，以維護(hù)局域網(wǎng)的安全運(yùn)行。

關(guān)鍵詞：ARP檢測與防御；主動(dòng)檢測；被動(dòng)檢測與防御；Netfilter；OpenWRT

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

ARP detection and defense system based on Linux

Abstract： ARP， the Address resolution protocol， owing to the loopholes of the protocol， leads to ARP spoofing almost impossible to avoid. In order to explore how to solve this problem， through theoretical research and empirical analysis， this paper puts forward ARP detection and defense methods from two modules of active and passive. The main idea is to use the open source router system customized OpenWRT router based on Linux， monitoring the network traffic.Once the host network traffic reaches a certain threshold，，we will examine and determine whether the host is deceived， to maintain the safe operation of LAN.

Key words： ARP detection and defense； active detection； passive detection and defense； netfilter； openWRT

1 引言

在局域網(wǎng)中，每臺(tái)計(jì)算機(jī)都擁有兩個(gè)地址，即IP地址和MAC地址。實(shí)際應(yīng)用時(shí)，若想根據(jù)一臺(tái)機(jī)器(主機(jī)或路由器)的IP地址找出該臺(tái)機(jī)器相應(yīng)的硬件地址(MAC地址)，則需要使用地址解析協(xié)議ARP。對(duì)于每臺(tái)裝有TCP/IP協(xié)議的計(jì)算機(jī)，均存在一個(gè)ARP緩存表，表里存放著對(duì)應(yīng)的IP地址和MAC地址。同時(shí)，計(jì)算機(jī)中的ARP緩存表是動(dòng)態(tài)變化的，會(huì)根據(jù)所收到的ARP應(yīng)答不斷地進(jìn)行更新，以保存最近的IP地址和MAC地址。然而，對(duì)于大多數(shù)操作系統(tǒng)，它不會(huì)去判斷自己是否發(fā)送了ARP請(qǐng)求，而會(huì)根據(jù)所有接收到的ARP應(yīng)答對(duì)ARP緩存進(jìn)行更新，這便對(duì)計(jì)算機(jī)造成了潛在的安全威脅。攻擊者利用這一漏洞，并偽造IP和MAC進(jìn)行ARP欺騙，對(duì)攻擊目標(biāo)(受害方)實(shí)施惡意攻擊，截獲通信過程傳輸?shù)男畔ⅰＲ虼?#xff0c;為了更好地保障網(wǎng)絡(luò)的安全，需要在攻擊者對(duì)源主機(jī)成功實(shí)施ARP欺騙之前，檢測到ARP欺騙并采取防御措施。

2 ARP欺騙

2.1 ARP欺騙原理

數(shù)據(jù)包在以太網(wǎng)中傳輸，尋址依據(jù)是計(jì)算機(jī)的物理地址(MAC地址)。ARP協(xié)議就是通過目的主機(jī)的IP地址查詢其MAC地址，動(dòng)態(tài)生成ARP緩存表，從而使通信順利進(jìn)行。因此，若想要得到目的主機(jī)的MAC地址，首先，需要知道其IP地址。而ARP協(xié)議是一種無狀態(tài)協(xié)議，源主機(jī)收到ARP應(yīng)答包之后，不會(huì)主動(dòng)驗(yàn)證它的真實(shí)性，而是直接將其中的MAC地址更新到ARP緩存表中。因此，攻擊者可以通過發(fā)送大量的ARP欺騙報(bào)文來淹沒正常的ARP報(bào)文，使得源主機(jī)在接收ARP應(yīng)答包后，將欺騙報(bào)文中的MAC地址更新到源主機(jī)ARP緩存表中，以達(dá)到后續(xù)實(shí)現(xiàn)ARP欺騙的目的。

2.2 ARP欺騙實(shí)現(xiàn)

假設(shè)主機(jī)C已經(jīng)知道主機(jī)B的IP地址，則主機(jī)C可通過偽造成主機(jī)B的IP對(duì)主機(jī)A發(fā)起ARP欺騙。假設(shè)當(dāng)前情況下，主機(jī)A的ARP緩存記錄中沒有主機(jī)B的記錄，則主機(jī)A將在局域網(wǎng)中廣播包含主機(jī)B IP的ARP請(qǐng)求，此時(shí)事先將自己的IP偽造成主機(jī)B的IP的主機(jī)C也能接收到ARP請(qǐng)求包，并對(duì)主機(jī)A做出應(yīng)答，主機(jī)A在接收到?磣雜謚骰?C的ARP響應(yīng)報(bào)文時(shí)，不會(huì)對(duì)該報(bào)文的正確性進(jìn)行核實(shí)，而會(huì)直接將ARP應(yīng)答包里的MAC地址更新到自己的ARP緩存表中。此后

總結(jié)

以上是生活随笔為你收集整理的linux 系统arp检测工具,基于LinuxARP检测与防御系统.doc的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。