针对ARP和PPPoE的攻击与检测技术研究

摘要

ARP欺骗和PPPoE欺骗是比较普遍且严重的一类网络安全问题，由于早期这两个网络协议设计不完善的弊端，造成的破坏性也比较大。现在虽然对ARP和PPPoE欺骗的研究已经取得了一定的成果，但由于ARP和PPPoE协议本身的缺陷，还是使这种攻击很难预防和防范，这也是当今网络安全界研究的热点问题。
　　 在本文中，将对这些协议的原理、所存在的漏洞、如何改进等方面进行详细的分析和介绍，开发出一套针对ARP和PPPoE的攻击与检测技术研究的系统，并通过做出的系统对现存的一些改进和检测方法进行试验比较，比较它们的优缺点等，给出不同方法在不同场合的适用情况建议。
　　 本文具体工作如下:
　　 第一首先介绍现在我国互联网的安全形势，以及国内外对ARP和PPPoE现在的研究现状，通过重点针对ARP和PPPoE原理的分析以及这些攻击欺骗到底是如何实施的，提出了开发一套针对ARP和PPPoE的攻击与检测技术研究的系统，并针对这些欺骗进行模拟、检测和防护的具体构想和实施方案，通过后续测试证实了构想和实施方案是可行的。
　　 第二针对ARP和PPPoE的攻击与检测，利用WINPCAP和NDIS驱动开发作为基础，提出了对NDIS里的Passthru例程进行扩展以开发过滤ARP包的中间层过滤驱动程序以及利用VC++6.0作为编程工具实现伪造ARP请求和应答包的发送来实施欺骗，并能检测到ARP欺骗的源攻击主机的用户程序。PPPoE方面则通过对一个PPPoE登录过程的分析，编程伪装PPPoE接入服务器，使用PAP认证，诱使用户将自己的上网账号和密码发送到本机，达到捕获用户账号和密码的欺骗。
　　 第三最后针对这套开发出的针对ARP和PPPoE的攻击与检测技术研究系统，利用虚拟机和搭建的实验环境，测试了过滤ARP包的驱动程序以及系统的其他各项功能和性能，利用系统中的各项功能分析测试并比较了现存的ARP和PPPoE的几种检测及防范方法的优缺点，提出了对这些检测及防范方法的适用环境进行了比对的思想，通过对测试的分析,得到了在不同场合使用不同方法解决ARP欺骗以及PPPoE欺骗的建议和目的。

目录

声明

摘要

1 绪论

1．1 研究背景与意义

1．2 国内外研究现状

1．3 本文的研究内容及主要工作

2 ARP和PPPoE的原理及欺骗的分析与研究

2．1 ARP协议

2．1．1 ARP的报文及帧的格式

2．1．2 ARP的工作原理

2．1．3 ARP协议所存在的安全漏洞

2．2 ARP欺骗

2．2．1 ARP欺骗的原理

2．2．2 ARP欺骗的方式

2．2．3 ARP欺骗的防御方法

2．3 PPPoE协议

2．3．1 PPPoE报文及帧的格式

2．3．2 PPPoE的发现阶段

2．3．3 PPP协议介绍交互过程

2．3．4 PPPoE的认证方式

2．4 PPPoE的欺骗原理

2．5 PPPoE登录分析

2．6 本章小结

3 NDIS和WINPCAP的介绍与设计

3．1 NDIS

3．1．1 NDIS中间层协议

3．2 NDIS的例程

3．3 WINPCAP

3．3．1 WINPCAP介绍及组成

3．3．2 WINPCAP捕获包的步骤

3．4 WINPCAP和NDIS的区别

3．5 本章小结

4 系统的设计与实现

4．1 系统的功用和目的

4．2 系统的总体功能

4．3 ARP攻击和检测模块设计和实现

4．4 NDIS内核级过滤模块设计和实现

4．5 PPPoE攻击检测模块设计和实现

4．6 本章小结

5 系统的测试

5．1 实验环境的搭建

5．2 在虚拟机上编译并安装Passthru驱动

5．3 Win32的用户程序的功能性测试

5．4 测试Passthru中间层驱动过滤

5．5 系统性能的测试

5．6 ARP各种防范的测试、比较、优缺点及适用环境

5．7 PPPoE主动检测的测试、优缺点及适用环境

5．8 测试总结

6 总结和展望

6．1 工作总结

6．2 下一步工作和展望

参考文献

致谢