一种能够有效防御和检测ARP攻击的协议改进算法

教育信息化2.0

2010年第6期

图中分类编号： TP393.1文献识别代码： a文章编号： 1009-2552(2010 ) 06—0226—03

一种能够有效防御和检测ARP攻击的协议改进算法

马雷、李建华、范磊

(上海交通大学电子工程系，上海200240 )。

摘要：讨论了局域网中的ARP协议及其相关的安全问题，介绍了几种主要的ARP攻击者

然后针对ARP协议自身的特点，提出并应用了一种能够防御检测ARP攻击的协议改进算法

网络安全要求比较高的局域网。

关键词： ARP协议； ARP攻击； 网络安全

animprovedalgorithmofarpprotocolforprotectionandcheck

MA Hong.1ei，LI Jian.hua，FAN Lei

(departmentofelectronicengineering，shanghaitong university，Shanghai 200240，China )

abstract:thearticlemainlydiscussesonarpprotocolandcorrelativesecurityproblemsinlocalarea

networkandintroducesseveralprimaryarpattackingmanners.italsogivesoutanimprovedalgorithm

which used to de伦ndandcheckthearpattack.thisalgorithmisapplicabletothoselanswhichneed

网络安全高等级。

Key words:ARP protocol； 自动攻击； 网络安全

1 ARP协议原理及潜在问题

1.1 ARP协议原理

随着计算机的发展，人们的生活和工作越来越多

依赖于计算机网络，相应的网络安全问题也越来越引起

引起人们的关注。 局域网安全中，针对ARP协议

的攻击是相当重要的内容，所以在ARP协议上

进行分析和改进具有相当重要的意义。

ARP协议，全部称为地址解析协议(Address Reso)

lution Protoc01 )。 通过遵循这个协议，如果你知道某台的话

可以知道机器的IP地址，也就是物理地址。 TCP/

在IP网络环境中，每个主机都有分配的32位端口

地址。 这个互联网地址是在互联网范围内识别主机的一个

种逻辑地址。 为了在物理网络上发送消息，需要执行以下操作

知道对方主机的物理地址。 像这样把IP

将地址转换为物理地址的地址转换问题。 这包括

互连层包含一组将IP地址转换为适当物理地址的服务。

这个组是ARP协议。

如图1所示，虽然主机a和主机b正在通信，但是a

我不知道b的MAC地址。 首先a发出ARP。 请讲

寻求的广播消息并查找与主机b的IP相对应的MAC地址是

-——226.-——

多少钱？ 局域网中的所有主机都被ARP请求消息，然后

调查自己的IP是否为b的IP，如果是，则作出响应，返回ARP

响应消息、该消息包含主机b的MAC地址。

主要

发送IP地址是b的吗？ 胡克兰向a发送ARP

~

响应：声音

进行通信

主f收到了！ 请求，更新ARP

缓存I表并返回响应

机器

B

图1 ARP的工作原理

1.2 ARP协议漏洞

通过分析ARP的工作原理，分析局域网中的

主机发送ARP响应时，不需要先收到ARP

请求消息，然后局域网中的任何主机向其他主机发送

机器告知自己的IP地址和MAC地址的对应关系，原因

这里，ARP具有广播性、无连接性、无无序性、无认证码

受理日期： 2009—11—24

简介：马洪雷(1983一)，男，上海交通大学电子工程系硕士研究生

研究方向是信息安全。

迎新系统

段、无关性、动态性等安全漏洞会给攻击者带来

可乘之机。

2 ARP攻击

ARP攻击是指伪造IP地址和MAC地址

目前，ARP欺诈可以导致网络中出现大量的ARP通信

量屏蔽了网络，攻击者只要不断发布伪造

ARP响应包会更改目标主机ARP缓存中的IP

导致MAC条目、网络中断或中间人攻击。 常见攻击

攻击方法包括中间人攻击、拒绝服务攻击和克隆

攻击。

2.1中间人攻击

中间人攻击是指攻击者插队通信双方的连

中，拦截并转发双方数据包的行为。 这样的

行为，攻击者可以检测机密信息，篡改信息

请参阅。 假设主机a与主机b通信，攻击主机

c将伪造的ARP应答消息分别发送给a和b。 其中，

发给a的ARP应答消息的地址对应关系为“MAC

在给C—IP B，'，b的消息中的地址对应关系是“MAC C—”

国际空间站。 这样，a和b的通信变成了a和c、c和b

通讯。 由此，攻击主机c作为“中间人”成功了

截获了主机a和主机b的数据通信。

攻击者对目标主机和局域网的

当路由器实施中间人攻击时，攻击者可以截获h

ternet和此目标主机之间的所有通信。

2.2拒绝服务攻击

拒绝服务攻击是指阻止目标主机响应

外部请求，无法对外提供服务的攻击方法。 进攻

命中者拥有错误的MAC地址

ARP包、目标主机ARP缓存中的所有MAC地址

部变更为不存在的MAC地址，将目标主机移出

发送的以太网数据帧全部丢失，上层APP序列无法正常工作

忙于处理这种异常，无法应对外来的要求，结果

目标主机将生成拒绝服务。 这种攻击方式也适合交换

符合。 使数据包无法正常传输。

2.3克隆攻击

攻击者首先对目标主机实施拒绝服务攻击

打中后，让外界无法反应，然后把自己的IP地址

将地址和MAC地址更改为目标主机的IP地址和MAC

地址。 这将使攻击者的主机与目标主机相同

的“克隆”。

3 ARP防攻击方法

因为ARP欺骗基于网络协议自身的缺陷

因为产生了，最根本的解决办法是从协商本身出发

，通过改进协议的执行机制，弥补协议的漏洞。

ARP协议漏洞与当前常见的ARP攻击

命中，设计了改进ARP协议的算法，可以

有效防御是目前常见的ARP攻击，具有一定的检验

功能。

3.1防御算法的主要思路

首先，接收ARP消息的顺序是先发送请求

然后，接受响应，拒绝没有请求的响应。

接着，规定在接收到主动ARP请求消息时发送

在发送ARP响应消息的同时向源主机发送被动

ARP请求消息。 这样，源主机就可以将目标主机的

IP地址和MAC地址进行认证检查，拒绝检查不合格

测量的消息。

最后，迅速警告，在认证中发生异常时发出

ARP攻击警报。

3.2防御算法的详细设计

)1)该算法需要首先创建两个表。

处理清单。 此列表在源主机上创建，并用于记录

录制的主动ARP请求。

IP地址和MAC地址的映射表。 此表是在源中创建的

中，用于记录目标主机的MAC地址和IP地址。

)2)该算法需要对ARP请求数据包进行修改，原

有些还添加了表示ARP请求的标记

软件包是主动请求还是被动请求？

迎新活动

发送模块、ARP请求接收模块、ARP应答接收模块。

@ARP请求发送处理模块的流程如图2所示。

此模块主要用于发送主动ARP请求和被动

创建ARP请求，然后创建处理列表。

图2 ARIa请求发送处理模块的流程

@ARP请求接收处理模块的流程如图3所示。

此模块用于处理收到的ARP请求并处理异常

情况通报警察。

----——227----——

万方数据

图3 ARP请求接收处理模块的流程

ARP应答接收模块的处理步骤如图4所示。 如果原始ARP协议收到应答，它将更新复杂的处理过程

此模块用于处理收到的ARP响应并缓存异常的ARP，但必须验证更改的协议是本机的

情况通报警察。 ARP请求的响应。 收到来自ARP的主动请求后

接收到ARP响应

赫a当RP臀出b蠡委勇委警告r罢珏理列表

I芊

从处理列表中删除相

应项

将目标IP和. MAC

地址被写入映射表_________-_-_。 -是的。 -是的。 __-。 -——

..等Ji..IP发回的话

ARP被动请求

影彳

l差. I

它还发送ARP被动请求以用于身份验证等。 这些地方

流程的引入必然会影响协议的执行效率，

因此，本算法的应用需要综合考虑安全和效率这两个因素

各方面。

4结束语

ARP协议广泛应用于基于TCP/IP的网络中

但是，由于协议本身存在安全漏洞，ARP攻击

网络运营和网络用户会带来严重的安全隐患。 通过截面

ARP协议漏洞、ARP攻击原理及主要方式、针

有针对性地改善了协议，从根本上解决了ARP

攻击问题。 由于引入了复杂的处理流程，这一改进

协议的执行效率下降了，但请考虑这一改进的协议

对于要求高安全性、某些安全性的网络

有一定的实用价值。

参考文献：

[1] Stevens wr.TCP/lpmustnledvolture1: the protocol，[M].jE

北京：机械工业出版社，2000

[2] bmmonj.protectingyournetworkfromarpspoofing—based attacks.http://mot.foundstone.c 2004。

[ 33 tanenbaum as.computer networks [ m ].3n ted .北京：清华大学

出版社。 2001年。

[4]王奇.以太网中ARP欺骗的原理及解决方案[j] .网络安全技术

APP，2007年。

es )赵均、陈克非. ARP协议安全漏洞分析及其防御方法[J] .信息

安全和通信保密，2006(8) 72-77

[6]马军、王岩. ARP协议攻击及其解决方案[j] .微机信息

2006(5) 70一71 .责任编辑：刘新影

万方数据

一种能够有效防御和检测ARP攻击的协议改进算法

作者：马洪雷、李建华、范磊、马洪雷、李建华、范雷

作者单位：上海交通大学电子工程系，上海，200240

刊名：信息技术

英文刊名：信息技术

年，卷(期) 2010(6)6)

参考文献(第6条)。

1 .马军； 王岩ARP协议攻击及其解决方案[期刊论文]-微机信息2006(05 ) ) )。

2 .赵均；

3.wangqi以太网中ARP欺骗的原理与解决方案[期刊论文]——网络安全技术与应用2007(2)。

4.tanenbaumascomputernetworks 2001

5.bronsonjprotectingyournetworkfromarpspoofing-based attacks 2004

6.stevenswrtcp/ipillustratedvolume 1: the protocols 2000

本文链接： http://d.g.wanfang data.com.cn/periodical _ xxjs 201006065.aspx