ARP病毒检测定位与防范

成都东软学院毕业设计（论文）系 所： 计算机科学与技术系 专 业： 学生姓名： 学生学号： 指导教师： 导师职称： 副教授 助教 完成日期： 年 月 日 成都东软学院论文题目：ARP 病毒的检测定位和防范研究Chengdu Neusoft University 成都东软学院毕业设计（论文） 摘要 ARP 病毒的检测定位和防范研究摘 要随着互联网的发展和计算机的普及,网络己经成为人们工作、生活中的一个重要部分,网络在带给人们巨大便利的同时,也存在着严重的安全隐患。在当今网络安全防范中,大部分研究的是如何预防和抵御来自外网的不安全因素,因此网络边界安全得到了重视,但内部局域网的安全问题同样是一个不可忽略的重要部分。本文主要研究的是 ARP 病毒检测定位与防范，并分析了 ARP 欺骗攻击的方法，从而对 ARP 病毒进行检测定位，并提出具体的防范措施。目前，ARP 攻击是局域网的主要攻击手段之一，可以用来监听特定主机的通信数据，甚至可以恶意破坏指定主机与外部的通信，并且具有隐蔽性、随机性的特点，给网络安全运行带来巨大隐患，是局域网安全的首要威胁。因此，如何准确、高效、快速地检测出网络中是否存在 ARP 攻击，并对攻击主机进行精确的定位，是每个网络管理者都必须要解决的一个难题。本文提出了一种检测定位和防范的系统，利用该方法可以检测到网络中存在的绝大多数 ARP 攻击包并对发送攻击包的主机进行定位和防范。关键字：网络安全，ARP 病毒，检测定位与防范成都东软学院毕业设计（论文） -I-Research on the positioning and prevent ARP virus detectionAbstractWith the development of the Internet and the popularity of computer, network has become an important part in peoples work and life, network in brings people great convenience, at the same time there are serious security hidden danger. In todays network security, most of the research is how to prevent and resist the unsafe factors from the network, so network importance is given to border security, but the internal LAN security issue is also a important part that cannot be ignored.This paper mainly studies the ARP virus detection location and prevention, and analyses the method of ARP spoofing attacks, and to test the ARP virus, and specific preventive measures are put forward. At present, the ARP attack is one of the main attack means of local area network (LAN), which can be used to monitor specific host communication data, and can even malicious damage specified host and external communication, and has the characteristics of concealment, randomness, lead to huge hidden trouble to the safe operation of the network, is the most important of the LAN security threat. Therefore, how to accurately and efficiently, to quickly detect the network in the presence of ARP attack, and attack the host for accurate positioning, is each network managers must to solve a problem. This paper puts forward a method of detecting position and prevent, using this method can detect the vast majority of ARP attack packets that exist in the network and to send the host of packages and attacks.Key words: network security, the ARP virus, detection location and prevention成都东软学院毕业设计（论文） -II-目 录摘 要 .IABSTRACT.II第一章 绪论 .11.1 课题研究的背景 .11.2 课题研究的意义与目的 .21.3 研究内容与方法 .2第 2 章 ARP 协议介绍 .32.1 ARP 协议阐述 .32.2 ARP 协议原理 .32.3 ARP 协议的漏洞 .4第 3 章 ARP 欺骗攻击的实现 .53.1 ARP 欺骗攻击原理 .53.2 ARP 病毒的表现形式 .63.3 ARP 病毒的分类 .83.4 ARP 病毒的攻击对象 .9第 4 章 ARP 病毒检测定位的方法 .104.1 抓包与数据分析 .104.2 伪造包判断 .104.3 ARP 病毒攻击的检测定位 .10第 5 章 ARP 病毒的防范 .115.1 ARP 病毒的防范措施 .115.2 ARP 病毒防范常用工具 .11第 6 章 总结 .12成都东软学院毕业设计（论文） -III-参考文献 .13致 谢 .14成都东软学院毕业设计（论文） -0-第 1 章 绪论1.1 课题研究的背景随着互联网的发展和计算机的普及,网络己经成为人们工作、生活中的一个重要部分,网络在带给人们巨大便利的同时,也存在着严重的安全隐患。在当今网络安全防范中,大部分研究的是如何预防和抵御来自外网的不安全因素,因此网络边界安全得到了重视,但内部局域网的安全问题同样是一个不可忽略的重要部分。近年来,网络代表信息技术席卷全球,而网络的快速发展,网络安全问题越来越引起人们的关注。新兴的网络攻击,造成巨大损失,影响正常的网络秩序。来自互联网的诞生的历史,最初的设计理念是,网络,所有的用户都是按照正常的规则的使用网络,在网络通信协议的设计,设计师更多的考虑是沟通的效率,而沟通能带来多少考虑安全风险。几乎所有的网络协议都不可避免地遇到安全问题,如网络上的 ARP、FTP、Telnet 协议。另一个令人不安的因素是网络,人们可以很容易地获得相关信息从网络核心技术,尤其是信息网络本身,包括通信理论、通信协议,协议漏洞以及如何攻击,甚至还有大量的病毒攻击源代码。所有网络通信都是开放的,没有隐私。2006 年之后有一个新的攻击模式“ARP 欺骗攻击不是一个主机,但是在局域网,局域网和更大的成功的可能性就越大攻击,攻击会伤害更大。由于其众多的校园网络接入终端、网络广播域大,缺乏安全措施和广泛的用户级特征容易被肆无忌惮的元素,因此面临严重的安全威胁和安全风险。1.2 课题研究的意义与目的ARP 协议的漏洞产生的安全隐患也是人们最关注的问题之一，ARP 协议是人们最担心安全协议，ARP 协议是用于建立一个逻辑地址到物理地址映射表,它是最重要的网络协议。ARP 协议的基础工作主机的互信,以广播的形式发送数据包在局域网中心连接,数据将被发送到所有的端口,这为网络监控提供了一个机会。近年来,利用安全漏洞的 ARP 欺骗攻击事件将逐渐增加,甚至加剧,用户不能访问,局域网络拥堵甚至瘫痪,账户密码被盗,恶意的网络广告和其他的事件发生,ARP 欺骗攻击局域网安全构成了严重的威胁,如果不能很好地管理网络,安全问题必将影响到正常的工作和生活,甚至是灾难性的后果。当前国内外 ARP 欺骗预防方法有很多,但大多数方法都是基于 lP 和 MAC 地址绑定。一些制造商网络产品的开发处理 ARP 欺骗检测和预防功能模块,如 H3C,瑞杰,等,但这些方法正在从单一方面的保护设备在网络平台上。也有一些研究改进 ARP 协议,和在一个小区域进行了测试,但不是标准化的协议之前实际成都东软学院毕业设计（论文） -1-的参考价值。任何单一的方法不能有效地解决防范 ARP 欺骗攻击的问题需要结合实际的网络环境,通过 ARP 欺骗攻击的网络进行了分析,从双方的通信网络开始,研究和制定一个全面的安全措施来有效地抑制 ARP 欺骗的发生。所以预防 ARP 欺骗的分析和研究,加强网络管理,对威胁,确保一个稳定的网络和信息安全,维护网络用户的合法权益具有相当大的意义。1.3 研究内容与方法随着互联网的广泛应用，内部网络的安全问题逐渐成为人们关注的焦点。目前，ARP 攻击是局域网的主要攻击手段之一，可以用来监听特定主机的通信数据，甚至可以恶意破坏指定主机与外部的通信，并且具有隐蔽性、随机性的特点，给网络安全运行带来巨大隐患，是局域网安全的首要威胁。因此，如何准确、高效、快速地检测出网络中是否存在 ARP 攻击，并对攻击主机进行精确的定位，是每个网络管理者都必须要解决的一个难题。本文提出了一种检测定位和防范的系统，利用该方法可以检测到网络中存在的绝大多数 ARP 攻击包并对发送攻击包的主机进行定位和防范。本文研究的主要方法包括：1、调查法首先对 ARP 病毒的现状进行调查、采访和咨询，整理相关的信息和资料，通过这些数据和材料，调查系统需要提供的功能，使得开发的系统更具针对性，能更好的用于 ARP 病毒定位与防范2、文献法大量阅读关于 ARP 病毒和各项技术研究方面的文献，归纳、整理寻找系统需要使用的方法和方式，得出本系统将要做出的突破，找到理论依据，借鉴各项系统，取其理论精华，为撰写论文和整体系统实现提供充沛的资料。3、比较法除了从关于 ARP 病毒中寻找资料外也找到大量前人探索的 ARP 病毒，寻找它们的相似点及各自的特色，推陈出新。4、分析法分析当前 ARP 病毒定位与防范现状存在的问题和不足，提出 ARP 病毒定位与防范的方法，通过信息化方式制定交易流程，同时采用 ASP.NET 的技术为根本。成都东软学院毕业设计（论文） -2-第 2 章 ARP 协议介绍2.1 ARP 协议阐述ARP(Address Resolution Protocol，地址解析协议 ) 是 TCP/IP 协议族中的一个重要协议，它负责网络层(IP 层,第三层 OSI)转化为数据链路层地址(MAC 层,OSI 层)地址。网络交换机支持 ARP 表中维护对应的 IP 地址和 MAC 地址。共同解决 2 人。以太网是目前广泛应用于、ARP 功能是提供一个从 32 位过渡到 48 比特位硬件地址的 IP 地址(MAC 地址)。在基于以太网的局域网,ARP 协议是基于相互信任主机之间基于 ARP 协议的实现机制,我们可以利用以下缺陷:(1)根据接收到的 ARP 缓存 ARP 协议数据包可以动态更新;概念(2)ARP 协议不是连接到任何主机,即使没有一个 ARP 请求,他们也可以反应;(3)ARP 协议没有身份验证机制,只要收到协议数据包格式是正确的,那么,东道主无条件按照协议包来更新本地 ARP 缓存,不检查协议包的合法性。逻辑地址和物理地址是两个不同的标识符。以太网和令牌环网络,在通信之前,我们必须先找到目的地主机的 IP 地址,选择合适的路线通过网络设备或托管多个转发到目的地主机;邻近的主机之间的通信,而不是使用 IP 地址和物理地址(MAC 地址);它需要能够将一个逻辑地址映射到其相应的物理地址。您可以使用静态绑定和动态映射映射两种策略。静态映射创建一个映射,将逻辑地址和物理地址的条目存储在一个表,表存储在网络上的每台机器上。前沟通,根据目的 IP 地址发送数据,查找目的地主机的 MAC地址表中,为了传播 MAC 地址后获得的数据。这有一些局限性,因为 IP 地址和 MAC 地址由于各种原因可能有所不同。如机器更换卡、删除和其他移动主机、网络设备替换和升级来完成这些变化,静态映射表必须手动修改,不仅对网络管理人员带来巨大的工作量,而且还影响互联网用户的灵活性。好的解决方案是一个动态映射。主机知道沟通目的主机的 IP 地址可以广播发送数据包,相应的数据包,获得 MAC 地址,然后发送数据包通过 MAC 地址。ARP 协议标准化动态映射过程。2.2 ARP 协议原理互联网是由许多的物理网络和一些如路由器和网关的互联设备组成，发送的分组数据在到达目的主机之前可能要经过许多不同的物理网络。在网络层,主机和路由器使用识别他们的逻辑地址,逻辑地址是一个 IP 地址。在数据链路层,主机、交换机等网络设备的物理地址用于识别。物理地址是一个本地地址,如以太网和令牌环 48 比特位 MAC地址,这是写在卡在自己的主机上。IP 地址是提供一个路径选择的根据,和 MAC 地址是成都东软学院毕业设计（论文） -3-提供具体的邮寄地址。ARP 是获取物理地址基于 TCP / IP 协议的 IP 地址。ARP 将包含目标主机的 IP 地址在发送请求信息广播到网络上的所有主机,并接收一个返回消息,为了确定一个目标的物理地址;一个返回消息后 IP 地址和物理地址到本地 ARP 缓存和保留一段时间,直接查询 ARP 缓存来节约资源时,下一个请求。ARP 是建立在一个网络,网络上的主机可以发送 ARP 应答消息每个主机上自治互信的基础,其他主机接收到数据包时不检测应答消息的真实性将会记录到本地 ARP 缓存,因