ARP攻击检测与定位研究及实现

摘要

随着计算机技术和通信技术的飞速发展，网络已经在各行各业得到了广泛的应用，网络安全问题也日益突出。频繁发生的网络攻击行为严重影响了网络的正常使用并威胁着信息的安全。网络攻击不仅来自于外部，近年来，来自网络内部的攻击也越来越多，造成的损失也越来越大。ARP攻击是内网攻击的主要手段，由于其攻击成本小、技术要求低、难于追踪等特点，导致ARP攻击频繁发生。
　　 本文深入分析了ARP协议的缺陷和ARP攻击的原理，并通过一个典型的ARP攻击--中间人攻击实验对其进行了验证。然后详细讨论了目前的ARP攻击检测和防御技术，在此基础上，提出了一种针对动态网络的ARP检测和定位方法。该方法将检测主机部署在交换机的镜像端口，通过包结构检查、与固定映射对比、伪造报文判断等步骤来对网络中的所有ARP数据包进行检测，判断是否存在攻击行为。为了能够对竞争发送应答报文方式的ARP攻击的检测，文中提出了利用MAC地址和交换机端口来对ARP报文的可信度进行描述的方法。最后，通过交换机中的转发表对攻击主机进行了有效的定位。文章利用WinPcap完成了对ARP报文的采集，利用SNMP++完成了对转发表的读取，最终在VC环境下实现了该检测和定位方法。文章的最后在实际的网络中对系统进行了测试并对测试结果进行了分析。本文提出的检测和定位方法适用于动态网络，在一台主机上就能完成对整个网络的检测和定位工作。伪造报文判断方法对于竞争发送应答报文方式的ARP攻击具有很好的检测效果，与固定映射对比能够准确地检测出对以固定主机为目的的欺骗。在交换机支持下，该方法还能将攻击主机定位到具体的交换机端口，大大降低了对攻击源的追踪难度，对网络管理具有一定的实用价值。