張宇

【摘 要】計(jì)算機(jī)網(wǎng)絡(luò)在世界范圍內(nèi)迅速普及，我國局域網(wǎng)絡(luò)也是發(fā)展得如火如荼，針對(duì)網(wǎng)絡(luò)中欺騙攻擊的理論研究、應(yīng)用技術(shù)和各類防范措施雖已相對(duì)成熟，但整體上還處于被動(dòng)防御階段，存在著一定的局限性。本文首先針對(duì)網(wǎng)絡(luò)欺騙的運(yùn)行機(jī)制，包括ARP緩存、幀格式、報(bào)文格式等進(jìn)行了細(xì)致的分析；其次對(duì)ARP欺騙原理及其現(xiàn)有的防范措施進(jìn)行了探討與研究，并提出了適合局域網(wǎng)絡(luò)的綜合防御措施；最后從軟件工程角度出發(fā)，以提高網(wǎng)絡(luò)安全性為目標(biāo)，設(shè)計(jì)并實(shí)現(xiàn)一套基于嗅探技術(shù)的網(wǎng)絡(luò)監(jiān)控系統(tǒng)。該系統(tǒng)在網(wǎng)絡(luò)監(jiān)聽技術(shù)、網(wǎng)絡(luò)定位技術(shù)、數(shù)據(jù)分析技術(shù)的基礎(chǔ)上，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)中ARP欺騙攻擊進(jìn)行主動(dòng)檢測、自動(dòng)定位并且能夠及時(shí)報(bào)警反饋的功能。

【關(guān)鍵詞】網(wǎng)絡(luò)欺騙；嗅探技術(shù)；網(wǎng)絡(luò)監(jiān)聽；定位

1 緒論

1.1 研究背景與意義

早在2000年，基于網(wǎng)絡(luò)協(xié)議的網(wǎng)絡(luò)欺騙病毒就開始襲擊多個(gè)大型網(wǎng)絡(luò)，從2006年開始，又一輪基于網(wǎng)絡(luò)欺騙的病毒更是大范圍肆虐， ARP（全稱為Address Resolution Protocol）欺騙讓全國很多企事業(yè)單位的局域網(wǎng)出現(xiàn)問題，甚至讓網(wǎng)絡(luò)業(yè)務(wù)陷入癱瘓。近幾年來，APR欺騙攻擊已經(jīng)成為了影響企事業(yè)單位網(wǎng)絡(luò)穩(wěn)定運(yùn)行的重要風(fēng)險(xiǎn)之一，如何采取切實(shí)可行的措施來實(shí)現(xiàn)對(duì)ARP欺騙攻擊的防范至關(guān)重要。

針對(duì)當(dāng)前網(wǎng)絡(luò)中存在的ARP欺騙原理展開分析，力求實(shí)現(xiàn)一種可針對(duì)ARP欺騙攻擊的檢測控制系統(tǒng)。本論文的研究具有以下幾方面重要的意義：首先，對(duì)于企事業(yè)單位能夠正確而且較為深入地了解ARP協(xié)議的運(yùn)行機(jī)制及其本身所存在的缺陷具有重要的現(xiàn)實(shí)意義；其次，通過研究對(duì)于明確并揭示基于ARP協(xié)議的欺騙攻擊的原理，從而以此為基礎(chǔ)展開對(duì)ARP欺騙的應(yīng)對(duì)方法具有一定的參考價(jià)值；此外，本文中對(duì)于嗅探技術(shù)、數(shù)據(jù)包捕獲、訪問控制等技術(shù)和ARP防范的結(jié)合，設(shè)計(jì)的基于ARP協(xié)議的欺騙檢測系統(tǒng)，可以為企事業(yè)單位對(duì)于網(wǎng)絡(luò)欺騙的防范提供一種工具，為徹底杜絕ARP欺騙攻擊，加強(qiáng)各企事業(yè)單位的信息化安全奠定基礎(chǔ)。

1.2 本文研究內(nèi)容和方法

1.2.1 本文研究內(nèi)容

本文主要針對(duì)局域網(wǎng)絡(luò)中網(wǎng)絡(luò)欺騙進(jìn)行深入分析研究，并提出一套基于嗅探技術(shù)的網(wǎng)絡(luò)欺騙檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)方法，研究的主要內(nèi)容分為如下三大部分：

1）相關(guān)理論概述。

2）當(dāng)前網(wǎng)絡(luò)中防范網(wǎng)絡(luò)欺騙攻擊的措施。

3）基于嗅探技術(shù)的網(wǎng)絡(luò)監(jiān)控系統(tǒng)設(shè)計(jì)。

1.2.2 研究方法

1）文獻(xiàn)研究法：通過對(duì)國內(nèi)外有關(guān)網(wǎng)絡(luò)欺騙原理與防范措施的大量文獻(xiàn)進(jìn)行研究，加深相關(guān)理論的認(rèn)知程度，奠定本文進(jìn)一步研究和分析的理論基礎(chǔ)。

2）歸納總結(jié)法：通過使用歸納總結(jié)的方法，對(duì)當(dāng)前常用的針對(duì)網(wǎng)絡(luò)欺騙攻擊的防范技術(shù)進(jìn)行研究，總結(jié)出這些技術(shù)的共同點(diǎn)，在此基礎(chǔ)上設(shè)計(jì)出全新的ARP監(jiān)控系統(tǒng)。

3）理論聯(lián)系實(shí)際法：本文以局域網(wǎng)絡(luò)為基本研究對(duì)象，在對(duì)局域網(wǎng)絡(luò)特點(diǎn)進(jìn)行實(shí)際考察的基礎(chǔ)上，運(yùn)用嗅探技術(shù)和捕獲理論，對(duì)網(wǎng)絡(luò)防范欺騙攻擊的具體方法做了深入的研究。

2 ARP欺騙攻擊的防范分析

2.1 ARP攻擊的危害

盡管ARP協(xié)議的缺陷在不同的操作系統(tǒng)上所表現(xiàn)的形式不完全一樣，但無論哪種操作系統(tǒng)，在遇到ARP的攻擊時(shí)，依舊需要承受一定的損失。ARP攻擊對(duì)網(wǎng)絡(luò)造成的危害主要有造成網(wǎng)絡(luò)異常、導(dǎo)致數(shù)據(jù)被篡改、數(shù)據(jù)被惡意竊取、使網(wǎng)絡(luò)主機(jī)被非法控制

2.2 防范ARP攻擊的主要措施

2.2.1 針對(duì)接入設(shè)備的ARP攻擊防范措施

針對(duì)接入設(shè)備的ARP攻擊防范措施主要有三種，即ARP報(bào)文檢測措施、ARP網(wǎng)關(guān)過濾保護(hù)措施以及ARP報(bào)文限速措施。

1）ARP報(bào)文檢測措施

ARP報(bào)文檢測措施是非常有效的防范ARP網(wǎng)關(guān)攻擊和主機(jī)攻擊的重要手段之一，其原理是當(dāng)一個(gè)VLAN（虛擬局域網(wǎng)）內(nèi)開啟了ARP報(bào)文檢測功能后，該虛擬局域網(wǎng)內(nèi)任何端口所接收到的ARP請(qǐng)求包或者應(yīng)答包的報(bào)文都會(huì)被重定向到主機(jī)系統(tǒng)，并對(duì)該報(bào)文的用戶合法性及報(bào)文有效性進(jìn)行全面檢測，當(dāng)檢測結(jié)果認(rèn)為ARP報(bào)文合法時(shí)，則進(jìn)行下一步轉(zhuǎn)發(fā)，否則直接丟棄該ARP報(bào)文。ARP報(bào)文檢測措施的主要方法有對(duì)ARP報(bào)文進(jìn)行有效性檢測、對(duì)用戶合法性進(jìn)行檢測以及對(duì)ARP報(bào)文進(jìn)行強(qiáng)制轉(zhuǎn)發(fā)。

2）ARP網(wǎng)關(guān)過濾保護(hù)措施

ARP網(wǎng)關(guān)過濾保護(hù)措施包括兩個(gè)部分，一是ARP網(wǎng)關(guān)保護(hù)，二是ARP過濾保護(hù)。這兩種保護(hù)措施實(shí)現(xiàn)起來比較方便，只需通過具有過濾與保護(hù)功能的設(shè)備進(jìn)行相關(guān)的功能配置即可。

3）ARP報(bào)文限速措施

由于在ARP欺騙攻擊過程中，主要利用了ARP協(xié)議的當(dāng)初設(shè)計(jì)缺陷，根據(jù)前文的ARP欺騙攻擊的原理，可以看出光靠對(duì)ARP報(bào)文的有效性檢查還不夠，還需要在網(wǎng)絡(luò)設(shè)備端口采取一定的限速措施，使某個(gè)端口一旦受到攻擊，就暫時(shí)采取關(guān)閉動(dòng)作，從而避免網(wǎng)絡(luò)帶寬資源和網(wǎng)絡(luò)設(shè)備的CPU資源被ARP攻擊耗盡。

2.2.2 針對(duì)網(wǎng)關(guān)設(shè)備的攻擊防范措施

針對(duì)網(wǎng)關(guān)設(shè)備的ARP攻擊防范措施主要有三種，即有授權(quán)配置ARP緩存表的防范措施、ARP主動(dòng)確認(rèn)的防范措施以及源主機(jī)IP或MAC的抑制防范措施。

1）授權(quán)配置ARP緩存表的防范措施

多數(shù)情況下，ARP欺騙攻擊是通過非法或錯(cuò)誤地修改ARP緩存表來造成的，如果將ARP緩存表的修改或配置進(jìn)行授權(quán)，則可以在一定程度上避免這種情況。這種授權(quán)配置ARP緩存表的方法適合于采用DHCP協(xié)議進(jìn)行主機(jī)IP地址動(dòng)態(tài)分配的網(wǎng)絡(luò)環(huán)境中。

2）ARP主動(dòng)確認(rèn)的防范措施

ARP主動(dòng)確認(rèn)是網(wǎng)關(guān)設(shè)備防范ARP欺騙攻擊的重要手段之一。ARP主動(dòng)確認(rèn)的主要目的就是在網(wǎng)關(guān)設(shè)備對(duì)ARP緩存表進(jìn)行更新時(shí)主動(dòng)確認(rèn)，防止ARP緩存表更新產(chǎn)生錯(cuò)誤，這種主動(dòng)確認(rèn)的工作過程首先是對(duì)新建ARP緩存表項(xiàng)目時(shí)的主動(dòng)確認(rèn)，其次是更新已有ARP緩存表項(xiàng)目時(shí)的主動(dòng)確認(rèn)。

3）源主機(jī)IP或MAC的抑制防范措施

針對(duì)源主機(jī)IP或MAC發(fā)送的攻擊報(bào)文進(jìn)行抑制，是一種配置簡單且適用的功能，常采取的抑制措施有如下三種：進(jìn)行ARP報(bào)文的源主機(jī)MAC的一致性檢測措施、對(duì)IP報(bào)文的抑制措施、限制ARP緩存表項(xiàng)目最大數(shù)目的抑制措施。

2.3 各類防范措施的優(yōu)缺點(diǎn)比較

有關(guān)防范ARP攻擊的措施確實(shí)很多，但卻各有不同。總結(jié)歸納起來主要有兩類：一類是基于接入設(shè)備或網(wǎng)關(guān)設(shè)備的報(bào)文監(jiān)控檢測措施，另一類是基于ARP緩存表項(xiàng)的安全配置措施。這兩種措施所適用的網(wǎng)絡(luò)環(huán)境不盡相同，在其配置過程中也會(huì)受到網(wǎng)絡(luò)條件和環(huán)境的限制。

以上傳統(tǒng)防范措施的優(yōu)缺點(diǎn)匯總?cè)绫?所示。

3 基于嗅探技術(shù)的ARP網(wǎng)絡(luò)監(jiān)控系統(tǒng)設(shè)計(jì)

3.1 系統(tǒng)需求分析及架構(gòu)設(shè)計(jì)

3.1.1 系統(tǒng)需求分析

本設(shè)計(jì)是基于ARP欺騙原理的網(wǎng)絡(luò)監(jiān)控系統(tǒng)，系統(tǒng)應(yīng)能夠?qū)崿F(xiàn)局域網(wǎng)內(nèi)對(duì)ARP欺騙攻擊的實(shí)時(shí)監(jiān)控，并能夠完成數(shù)據(jù)采集、協(xié)議分析、日志記錄、實(shí)時(shí)監(jiān)控等功能。

綜合以上功能需求，設(shè)計(jì)出本系統(tǒng)的功能結(jié)構(gòu)如圖1所示。

3.1.2 功能模塊內(nèi)部結(jié)構(gòu)設(shè)計(jì)

ARP網(wǎng)絡(luò)監(jiān)控系統(tǒng)的實(shí)現(xiàn)是基于網(wǎng)絡(luò)監(jiān)聽技術(shù)及數(shù)據(jù)包捕獲技術(shù)的，因此其功能模塊的實(shí)現(xiàn)實(shí)際上對(duì)這兩種技術(shù)的應(yīng)用，本系統(tǒng)的功能主要由ARP攻擊檢測、數(shù)據(jù)包捕獲、數(shù)據(jù)包過濾、攻擊定位等技術(shù)實(shí)現(xiàn)，本系統(tǒng)的內(nèi)部結(jié)構(gòu)模型如圖2所示。

現(xiàn)從技術(shù)角度對(duì)本系統(tǒng)的功能模塊內(nèi)部結(jié)構(gòu)進(jìn)行分析如下：

1）ARP攻擊主動(dòng)檢測

在本系統(tǒng)的監(jiān)控功能與定位功能中，大量使用了ARP攻擊檢測的技術(shù)。包括系統(tǒng)能實(shí)現(xiàn)對(duì)ARP應(yīng)答報(bào)文的檢測、系統(tǒng)能實(shí)現(xiàn)對(duì)ARP請(qǐng)求包的檢測。

2）數(shù)據(jù)包捕獲

數(shù)據(jù)包捕獲是本系統(tǒng)進(jìn)行數(shù)據(jù)包分析及定位的必需手段，主要基于WINPCAP驅(qū)動(dòng)開發(fā)包進(jìn)行數(shù)據(jù)包獲取的開發(fā)。

3）數(shù)據(jù)包過濾

在系統(tǒng)捕獲的數(shù)據(jù)包的數(shù)量往往非常多，而過多的數(shù)據(jù)包量并不利于系統(tǒng)對(duì)ARP攻擊的分析，對(duì)此我們只需要針對(duì)某些特定的端口或服務(wù)的數(shù)據(jù)包感興趣，例如我們監(jiān)聽的端口只有8080端口與23端口，就需要通過使用WINPCAP數(shù)據(jù)包的過濾功能來實(shí)現(xiàn)。在系統(tǒng)中對(duì)數(shù)據(jù)包過濾是通過設(shè)置一定的過濾規(guī)則來進(jìn)行的，進(jìn)而將不符合條件的端口數(shù)據(jù)包丟棄掉，只留下符合要求的數(shù)據(jù)包。系統(tǒng)對(duì)此功能的實(shí)現(xiàn)使用了WINPCAP的幾個(gè)關(guān)鍵函數(shù)，通過關(guān)鍵函數(shù)對(duì)布爾表達(dá)式字符串進(jìn)行翻譯，使其成為低級(jí)的二進(jìn)制字符串，那么WINPCAP的NPF會(huì)判斷該表達(dá)式是否是過濾規(guī)則所設(shè)定的，如果是，則存儲(chǔ)該數(shù)據(jù)包，如果不是，則丟棄該數(shù)據(jù)包，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)包捕獲的過濾。

4）定位技術(shù)

定位功能是本系統(tǒng)的重要功能之一，通過對(duì)網(wǎng)絡(luò)中所有的ARP攻擊類別進(jìn)行劃分，并為每種攻擊設(shè)置攻擊度，當(dāng)系統(tǒng)檢測到ARP攻擊數(shù)據(jù)包時(shí)，會(huì)將這些攻擊信息提交給系統(tǒng)的分析統(tǒng)計(jì)模塊，當(dāng)分析統(tǒng)計(jì)模塊對(duì)這些攻擊信息分類并進(jìn)行不重復(fù)計(jì)算總的攻擊度之后，按照攻擊度高低分成不同級(jí)別，從而幫助網(wǎng)絡(luò)管理員對(duì)攻擊源進(jìn)行更有效的定位。

5）自定義發(fā)包技術(shù)

本系統(tǒng)主動(dòng)防御的一個(gè)特色之處在于能夠?qū)Ρ籄RP欺騙的主機(jī)通過一定的技術(shù)實(shí)現(xiàn)恢復(fù)其IP地址與MAC地址的正確映射關(guān)系。

3.1.3 系統(tǒng)主要數(shù)據(jù)表設(shè)計(jì)

數(shù)據(jù)庫是本系統(tǒng)中基礎(chǔ)數(shù)據(jù)的重要支撐，無論是系統(tǒng)對(duì)數(shù)據(jù)包的捕獲還是對(duì)數(shù)據(jù)包的分析，都需要將一定的數(shù)據(jù)寫入到數(shù)據(jù)庫中，以下對(duì)本系統(tǒng)涉及的主要數(shù)據(jù)庫表進(jìn)行結(jié)構(gòu)分析。

1）ARP數(shù)據(jù)包存放表

當(dāng)系統(tǒng)調(diào)用WINPCAP驅(qū)動(dòng)將處于數(shù)據(jù)鏈路層的ARP數(shù)據(jù)包捕獲后，便會(huì)將其中的關(guān)鍵信息存放在這個(gè)表中，ARP數(shù)據(jù)包存放表命名為arppackets，其具體的字段結(jié)構(gòu)如表2所示。

2）IP與MAC對(duì)應(yīng)表

IP與MAC地址對(duì)應(yīng)表是將局域網(wǎng)絡(luò)中現(xiàn)存節(jié)點(diǎn)主機(jī)的IP與MAC進(jìn)行對(duì)應(yīng)的表，也可稱之為映射表。

3）ARP攻擊源表

ARP攻擊源表主要是為了給系統(tǒng)對(duì)攻擊源的追蹤提供方便，是屬于和系統(tǒng)定位模塊配合使用的數(shù)據(jù)表，該表被命名為Arp_attack。

3.2 ARP網(wǎng)絡(luò)監(jiān)控系統(tǒng)的實(shí)現(xiàn)

3.2.1 系統(tǒng)數(shù)據(jù)包捕獲及過濾的實(shí)現(xiàn)

數(shù)據(jù)包的捕獲和過濾是最為基礎(chǔ)和關(guān)鍵的模塊之一。前文已經(jīng)描述了數(shù)據(jù)包捕獲的流程，其在系統(tǒng)中的基本實(shí)現(xiàn)過程為：首先通過調(diào)用WINPCAP中pcap_findalldevs（）函數(shù)進(jìn)行可用網(wǎng)卡的查找并獲取網(wǎng)卡的詳細(xì)信息；然后用pcap_open_live（）函數(shù)將網(wǎng)絡(luò)設(shè)備打開，并建立捕獲會(huì)話；之后使用pcap_compile（）函數(shù)對(duì)過濾器進(jìn)行編譯，通過對(duì)過濾規(guī)則的編譯形成內(nèi)核過濾碼，并將其傳遞給pcap_setfilter（）函數(shù)，此時(shí)過濾器才能產(chǎn)生作用；最后通過調(diào)用pcap_loop（）函數(shù)實(shí)現(xiàn)對(duì)數(shù)據(jù)包的循環(huán)捕獲，完成后調(diào)用pcap_close（）函數(shù)進(jìn)行資源的釋放，處理過程隨之結(jié)束，關(guān)閉返回。

3.2.2 ARP主動(dòng)防御功能的實(shí)現(xiàn)

本系統(tǒng)擁有專門針對(duì)客戶端主機(jī)的ARP主動(dòng)防御功能模塊，其主要目的是能夠在內(nèi)核層主動(dòng)分析接收的ARP數(shù)據(jù)包是否是合法的，從而防止本地主機(jī)被不明來源的ARP攻擊，實(shí)現(xiàn)對(duì)本地主機(jī)的ARP欺騙攻擊防御。防御功能的實(shí)現(xiàn)是通過專門的ARP數(shù)據(jù)包檢測函數(shù)來實(shí)現(xiàn)的，主要經(jīng)過以下幾個(gè)關(guān)鍵步驟：

系統(tǒng)在實(shí)現(xiàn)此功能時(shí)首先定義一個(gè)結(jié)構(gòu)類型的鉤子函數(shù)，即struct nf_hook_ops arp_ops={{NULL，NULL}，arpfilter，nf_arp，nf_arp_in，0}，該函數(shù)在鉤子節(jié)點(diǎn)上注冊(cè)ARP關(guān)鍵檢測函數(shù)arpfilter，nf_regedit_hook（&arp_ops）。當(dāng)關(guān)鍵檢測函數(shù)從內(nèi)核中移除時(shí)，需要對(duì)其進(jìn)行注銷操作，操作函數(shù)為Nf_unregedit_hook（&arp_ops）。

在本系統(tǒng)針對(duì)ARP欺騙攻擊的防御過程中，檢測函數(shù)通過對(duì)ARP緩存表的對(duì)比，從而判斷接收的數(shù)據(jù)包是否為非法攻擊數(shù)據(jù)包。其檢測實(shí)現(xiàn)的機(jī)理如上圖4所示。

3.2.3 監(jiān)聽功能的實(shí)現(xiàn)

網(wǎng)絡(luò)嗅探不僅是攻擊者的利用工具，同樣也可以被網(wǎng)絡(luò)管理員所利用。本系統(tǒng)的監(jiān)聽功能就是在網(wǎng)絡(luò)嗅探的基礎(chǔ)上實(shí)現(xiàn)的，從而使管理員獲得較多的網(wǎng)絡(luò)數(shù)據(jù)。如前文所述，在大多數(shù)的以太網(wǎng)內(nèi)，數(shù)據(jù)包的發(fā)送與接收實(shí)際上都是基于物理地址的，這也是網(wǎng)絡(luò)嗅探的基礎(chǔ)，因此，當(dāng)系統(tǒng)實(shí)現(xiàn)了對(duì)數(shù)據(jù)包的截獲時(shí)，只要本地主機(jī)設(shè)置了IP路由功能，真正的目的主機(jī)就會(huì)監(jiān)聽到網(wǎng)絡(luò)間的通信了，實(shí)際上，監(jiān)聽功能實(shí)現(xiàn)的重點(diǎn)在于構(gòu)造一個(gè)ARP應(yīng)答包，然后發(fā)送給被欺騙主機(jī)。

當(dāng)系統(tǒng)能夠接收到數(shù)據(jù)包后，就能夠即時(shí)進(jìn)行監(jiān)聽，甚至對(duì)其進(jìn)行分析。以下就分析當(dāng)系統(tǒng)能夠接收到數(shù)據(jù)包后，就能夠即時(shí)進(jìn)行監(jiān)聽，甚至對(duì)其進(jìn)行分析。

【參考文獻(xiàn)】

[1]吳芳.ARP攻擊實(shí)例[M].北京：對(duì)外經(jīng)濟(jì)貿(mào)易出版社，2007.

[2]任紅衛(wèi)，鄧飛其.計(jì)算機(jī)網(wǎng)絡(luò)安全主要問題與對(duì)策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2004（9）：31-33+27.

[3]陳鐘.安全協(xié)議及其分析[M].北京：人民郵電出版社，2007.

[4]楊曉春，等.ARP欺騙實(shí)現(xiàn)交換式網(wǎng)絡(luò)數(shù)據(jù)包嗅探的原理及其防范[J].株洲工學(xué)院學(xué)報(bào)，2003（2）：46-48.

[責(zé)任編輯：田吉捷]