III-ARP攻擊與防范問題研究摘要隨著人類信息的快速改進(jìn)和應(yīng)用，人們已經(jīng)開始對網(wǎng)絡(luò)的需求越來越多，但在人們使用的時候必須要有一個安全的網(wǎng)路環(huán)境來進(jìn)行例如用網(wǎng)絡(luò)服務(wù)做支撐。網(wǎng)絡(luò)連接通常使用TCP\IP協(xié)議，但TCP\IP中存在大量協(xié)議漏洞，因此黑客可以輕松攻擊，ARP協(xié)議是一類計算機(jī)的地址轉(zhuǎn)換所產(chǎn)生的協(xié)議,是將自己的網(wǎng)絡(luò)地址轉(zhuǎn)換成物理地址的一種網(wǎng)絡(luò)協(xié)議。但同樣也存在的協(xié)議漏洞,ARP欺騙攻擊是其中之一。ARP欺騙是通過互聯(lián)網(wǎng)擴(kuò)散計算機(jī)中的病毒，導(dǎo)致計算機(jī)之間的不能正常使用，因此訪問服務(wù)器發(fā)生故障并實(shí)現(xiàn)攻擊要求。本文對于ARP的工作原理、ARP攻擊與防范的主要問題進(jìn)行了詳細(xì)的表明，并通過模擬器也實(shí)現(xiàn)了ARP安全防范在實(shí)際網(wǎng)絡(luò)下的應(yīng)用，使得它在ARP攻擊時，能夠?qū)φw網(wǎng)絡(luò)實(shí)行ARP保護(hù)，使網(wǎng)絡(luò)下的通信能夠安全的進(jìn)行。也對網(wǎng)絡(luò)下的二層交換機(jī)劃分vlan，設(shè)計也內(nèi)外網(wǎng)的通信，這樣能夠更直接的模仿局域網(wǎng)，用來更好的測試ARP安全防范功能的作用；根據(jù)模擬器下的網(wǎng)絡(luò)拓?fù)淠M與ARP安全防范的功能的研究，對ARP安全防范在網(wǎng)絡(luò)下的結(jié)合與使用有著重大的參考意義，也同時能夠很好的保護(hù)網(wǎng)絡(luò)安全，對你網(wǎng)絡(luò)安全的保護(hù)有著重大的意義。關(guān)鍵詞：ARP安全防范；ARP攻擊；ARP欺騙；網(wǎng)絡(luò)安全；目錄TOC\o"1-3"\h\u27441摘要 緒論1.1課題背景與意義自從20世紀(jì)90年代末以來,隨著互聯(lián)網(wǎng)的應(yīng)用已經(jīng)深入的影響全國,隨后開始創(chuàng)設(shè)各式各樣的計算機(jī)局域網(wǎng),使本地互聯(lián)網(wǎng)在給人類帶來通達(dá)、交流和先進(jìn)性的同時,同時許多危險因素也存在。目前,我國眾多學(xué)校,如教學(xué)、辦公管制等日常業(yè)務(wù),越來越依附計算機(jī)網(wǎng)絡(luò),因此計算機(jī)網(wǎng)絡(luò)安全問題比較復(fù)雜,一些計算機(jī)系統(tǒng)漏洞或協(xié)議攻擊工具不斷得到刷新,給本地網(wǎng)絡(luò)的正常安全使用帶來了極大的隱患。自2006年以來,新一輪的ARP欺騙(完全稱為地址解決協(xié)議)襲擊了國內(nèi)許多本地網(wǎng)絡(luò),包括許多國內(nèi)網(wǎng)絡(luò)、現(xiàn)場攻擊、頻繁的網(wǎng)絡(luò)中斷,大量網(wǎng)絡(luò)客戶端由于網(wǎng)絡(luò)突然中斷或網(wǎng)絡(luò)速度難以理解地緩慢、間歇性的中斷、持續(xù)時間長來影響正常運(yùn)行。此類攻擊方法基于TCP/IP協(xié)議,利用ARP協(xié)議中存在的漏洞,這些漏洞通常由網(wǎng)絡(luò)上的路由器和客戶端暴露,致使網(wǎng)絡(luò)請求數(shù)據(jù)包未送達(dá)到正確的主機(jī),從而達(dá)到影響正常的網(wǎng)絡(luò)連通。APR欺騙攻擊已成為影響網(wǎng)絡(luò)安穩(wěn)運(yùn)行的重要的風(fēng)險之一,因此采取有必要的措施用來防范ARP欺騙攻擊已經(jīng)成了局域網(wǎng)安全的重要的環(huán)節(jié)。在進(jìn)行ARP安全方法的時候，安全防范可以具有許多的手段來進(jìn)行抵御,比如對待ARP進(jìn)行欺騙的時候,當(dāng)手動進(jìn)行捆綁802.1X協(xié)議在路由器和交換機(jī)上的時候,802.1xARP被身份認(rèn)證所束縛。在網(wǎng)關(guān)手動鏈接訪問開關(guān):ARP防火墻可用于防范,這時可以開啟ARP動態(tài)檢測,從而達(dá)到ARP的限制,VLAN可拆分以減少ARP攻擊。這對提高網(wǎng)絡(luò)安全水平,抵御ARP欺騙性攻擊,保護(hù)網(wǎng)絡(luò)信息安全具有很大的重要意義。1.2國內(nèi)外研究現(xiàn)狀A(yù)RP的欺騙是為了讓偽造所需需要數(shù)據(jù)的ARP數(shù)據(jù)包傳送到達(dá)目標(biāo)主機(jī)作為重要的攻擊思想來實(shí)施的。把目標(biāo)主機(jī)在這一時間里所接受到得到映射作為對照來回答對原IP地址與物理地址響應(yīng)，從而達(dá)到刷新目標(biāo)主機(jī)的ARP緩沖空間。ARP欺騙產(chǎn)生的原因是清楚的,可是用來防范ARP欺騙的辦法不是十分的見效。當(dāng)前來說,國內(nèi)外還沒有生產(chǎn)出很實(shí)用的軟件來足夠的提防互聯(lián)網(wǎng)中的ARP欺騙。因此,如何安全抵御ARP欺騙攻擊乃至如何節(jié)減這種攻擊所造成的危害引起了世界各國網(wǎng)絡(luò)專家越來越多的關(guān)注,成為網(wǎng)絡(luò)安全范圍里最熱的問題之一。ARP欺騙攻擊最重要是利用ARP協(xié)議的安全缺漏,具體的問題表現(xiàn)在以下的幾點(diǎn):(1)廣播ARP請求:當(dāng)源主機(jī)想要與目的主機(jī)之間進(jìn)行傳達(dá),然而目的主機(jī)不存在MAC地址時,它就會在所有的局域網(wǎng)廣播ARP要求報文。這應(yīng)許攻擊者仿造成ARP應(yīng)答,從實(shí)際的目標(biāo)主機(jī)竊取,從而確認(rèn)子網(wǎng)機(jī)在什么時間刷新ARP緩存,以完成很大程度的仿照和欺騙。(2)ARP地址轉(zhuǎn)換表的自我動態(tài)刷新:這種體制的動態(tài)刷新方式對應(yīng)的比較快,但也存在安全風(fēng)險。(3)ARP響應(yīng)不受控制和驗(yàn)證:在ARP協(xié)議設(shè)計的最開始,為了獲得更好的傳輸效果,數(shù)據(jù)鏈接線路層不進(jìn)行設(shè)置安全防范范技術(shù),使用ARP協(xié)議時不需要實(shí)踐驗(yàn)證。為了獲得更好的傳輸效率,數(shù)據(jù)鏈路層不設(shè)置安全保護(hù)技術(shù),因此在使用ARP協(xié)議時不需要驗(yàn)證。在通過本地網(wǎng)絡(luò)來實(shí)施ARP協(xié)議是在雙方通信的基礎(chǔ)是雙方是互相相信與孤立的。ARP欺騙存在以下幾種攻擊手段的：(1)中間人攻擊:通過中間人進(jìn)行攻擊的理論是在兩個進(jìn)行通信傳輸消息的兩個計算機(jī)中間插入自己的計算機(jī)來進(jìn)行攻擊,因此只要保護(hù)這兩個通信計算機(jī)之間的通信線路的安全，在此中間沒有插入第三方攻擊就可以達(dá)到阻止中間人的攻擊。(2)IP地址沖突:主機(jī)發(fā)送變動后的ARP消息,目標(biāo)主機(jī)的IP地址是根據(jù)仿造后的IP地址所投影得到的。當(dāng)系統(tǒng)得到了由兩個不一樣的MAC地址卻得到了同一個IP地址，就會提示當(dāng)前是IP地址沖突。(3)拒絕服務(wù)攻擊：它的攻擊的主要的思想是外部請求消息讓目標(biāo)主機(jī)不會正常的進(jìn)行響應(yīng)回復(fù)。ARP安全防護(hù)辦法關(guān)鍵有以下幾種:(1)采用綁定的方法,在不接受外界浸染的情況下不改變ARP對照表:不改變正確的ARP對照表,以用來防止防控的效應(yīng)。目前,綁定方式已經(jīng)從簡簡單單的MAC地址固定發(fā)展到MAC-ip雙向捆綁。可以說雙向捆綁是一項(xiàng)艱難的工作,可以全方位的解決當(dāng)前和未來的ARP攻擊。但實(shí)際上,各層的協(xié)議、網(wǎng)卡的啟用,操作程序及其他必要技術(shù)結(jié)合并不都是沒有虧損,其中一個最重要的原因是,MAC地址也可以人為修改相對應(yīng)工具的使用,這樣就失去了最開始的目的綁定。(2)第三種是丟掉ARP協(xié)議,使用其他方法的地址指定協(xié)議變更:ARP不能作為傳輸體制使用,從而達(dá)到應(yīng)用其他協(xié)議如PPPOE傳輸"。由于變化很大,這種方法只能實(shí)用于技術(shù)能力比較強(qiáng)的適應(yīng)的環(huán)境。要是局域網(wǎng)內(nèi)的用戶所知道的網(wǎng)絡(luò)知識比較少,就會在相應(yīng)的水平上影響網(wǎng)絡(luò)的環(huán)境,因此其普及率不高。(3)使用專門工具:目前,ARP欺騙受到很重要的關(guān)注,國外和國外的各大殺毒軟件公司都相對應(yīng)的研究出了更有針對性的專門的查找和殺毒工具,可能將防犯ARP欺騙功能作為獨(dú)立的模塊加入到最新的殺毒軟件中去了。對于平常的用戶來說,這是一個非常方便的方法,一點(diǎn)點(diǎn)設(shè)置就可以放心了。殺毒軟件等一些有關(guān)系的產(chǎn)品,是通過了解ARP欺騙抵御模塊增強(qiáng)其防火墻,它的運(yùn)行體制仍然是捆綁的MAC地址和IP地址,但它只是應(yīng)用一個更簡單的方式的來設(shè)置界面,所以它依然面對著不安穩(wěn)因素來捆綁自己的缺陷。1.3設(shè)計報告的工作在這次的設(shè)計里，我應(yīng)用了ARP的攻擊與防范兩種網(wǎng)絡(luò)拓?fù)涞拇罱?，能夠讓它們簡單的模擬出網(wǎng)絡(luò)中出現(xiàn)的攻擊危害與防范的措施。在這兩種環(huán)境下，我使用到了一種ARP的攻擊方法，使它能夠簡要的表明ARP是怎樣進(jìn)行攻擊的，根據(jù)攻擊的方式設(shè)計出其防范技術(shù)。在此過程通過vlan的劃分，虛擬局域網(wǎng)的技術(shù)，路由器及交換機(jī)的配置，內(nèi)外網(wǎng)的搭建來盡可能的模擬真實(shí)的網(wǎng)絡(luò)環(huán)境。1.4設(shè)計報告結(jié)構(gòu)簡介本份報告我將通過五章節(jié)來進(jìn)行，每一章章節(jié)的內(nèi)容如下：第一章緒論這一章節(jié)，通過ARP相關(guān)的國內(nèi)外研究現(xiàn)狀及它的背景意義來簡要概括的。第二章ARP的概述。通過介紹ARP的工作原理與它攻擊所產(chǎn)生的危害來進(jìn)行的，為下文的攻擊與防范做了鋪墊作用。第三章ARP的攻擊，對ARP的攻擊做了介紹，實(shí)現(xiàn)了ARP的攻擊，了解其配置。第四章根據(jù)ARP攻擊進(jìn)行ARP的防范。本章主要了解IP+MAC綁定的方法來進(jìn)行ARP的防范來達(dá)到整個網(wǎng)絡(luò)的安全。在模擬器下完成搭建，配置并實(shí)現(xiàn)它的功能。第五章對ARP的功能進(jìn)行測試，搭建并測試其網(wǎng)絡(luò)環(huán)境，從而本次設(shè)計的實(shí)現(xiàn)要求?？偨Y(jié)總結(jié)本次報告所應(yīng)用的技術(shù)與主要的內(nèi)容，分析本次設(shè)計的不足與自身的欠缺。2ARP概述2.1ARP協(xié)議的概念A(yù)RP協(xié)議是"AddressResolutionProtocol"(地址解析協(xié)議)的簡稱。在本地網(wǎng)絡(luò)中,網(wǎng)絡(luò)內(nèi)的本質(zhì)傳輸是"幀",并且在幀上有目的主機(jī)的物理地址。在Internet中一個主機(jī)可以直接和其他主機(jī)通信。必須知道眼前主機(jī)的MAC地址。順便問一下,目的地的物理地址怎么得到?是以地址解析協(xié)議作為重要理論所得到的。它的原理是計算機(jī)在經(jīng)過發(fā)送幀之前是把目的IP地址更改成目的的物理地址的一個過程。ARP協(xié)議的最基本的條件是經(jīng)過目地設(shè)備的網(wǎng)絡(luò)地址,來查找目地設(shè)備的物理地址,能夠達(dá)到通信的順利安全并有效的傳輸。2.2ARP工作原理首先,每一臺主機(jī)在它所對照的ARP緩沖區(qū)中創(chuàng)建一個ARP表項(xiàng)來表示IP地址和物理地址的通訊。當(dāng)源主機(jī)要向目標(biāo)主機(jī)送達(dá)自己需要的報文的功夫,首先查看ARP表項(xiàng)中有沒有該IP地址所對照的物理地址。如果有所對照的物理地址,則它會直接將數(shù)據(jù)包送達(dá)到這樣的MAC地址。如果ARP列表里沒有所對應(yīng)的物理地址,接下來，將ARP請求廣播數(shù)據(jù)包釋放到本地網(wǎng)段并請求該主機(jī)的物理地址。源主機(jī)IP地址包括ARP應(yīng)用程序在目標(biāo)主機(jī)的IP地址中的報告。當(dāng)網(wǎng)絡(luò)上的主機(jī)收到此ARP請求時，請確保數(shù)據(jù)包IP地址與IP地址完全相同。忽略具有不同數(shù)據(jù)包的數(shù)據(jù)包。當(dāng)主機(jī)首先將IP信息保存到ARP表時，當(dāng)主機(jī)將發(fā)件人的MAC地址和發(fā)件人的IP地址釋放到ARP列表里，則ARP表將會被覆蓋,然后向源主機(jī)傳送一個ARP的響應(yīng)包,并將其發(fā)送給源主機(jī),這就是MAC地址并明確告訴地址。當(dāng)源主機(jī)接受了ARP應(yīng)答的報文的時侯,在ARP的列表中加入目標(biāo)主機(jī)的IP地址和MAC地址，用來達(dá)到正確的開啟此信息的數(shù)據(jù)發(fā)送。假如源主機(jī)沒有接受到此時的ARP應(yīng)答所需要的報文,則尋找的ARP所表示失敗。例如:D的地址為：，MAC地址為：HH-HH-HH-HH-HH-HH,F的地址為:IP:，MAC:KK-KK-KK-KK-KK-KK,根據(jù)上面的所講的原理,簡單的了解一下這個經(jīng)過:D要和F通信,D就得需要了解到F的以太網(wǎng)地址,然后D就傳送一個ARP的請求廣播,當(dāng)F接受到此廣播,就應(yīng)該查看自己,結(jié)果查看到和自己的一模一樣,然后就得需要向D傳送一個ARP的單播應(yīng)答(在HH-HH-HH-HH-HH-HH)。2.3ARP攻擊危害ARP欺騙不相同于簡單攻擊它攻擊所帶來的危害是非常的巨大的。比如內(nèi)部網(wǎng)絡(luò)的混亂大多數(shù)是由ARP欺騙所引起來的。被欺騙攻擊的計算機(jī)本身就沒有辦法正常的查看外部與內(nèi)部網(wǎng)絡(luò)的連接，同時，網(wǎng)關(guān)也沒有辦法與客戶來進(jìn)行正常的通信。實(shí)際上來說不僅僅是這樣的,通俗的來理解就是利用各種各樣的辦法與方式來進(jìn)行攻擊。并且ARP協(xié)議的工作在比較低的級別上來工作的,藏匿性更好。系統(tǒng)沒有方式探明ARP緩存的正確性。它不會像和IP地址沖突的攻擊方式那樣警告。許多黑客工具可以在任意時間傳輸ARP欺詐和ARP分組復(fù)原數(shù)據(jù)。操控網(wǎng)絡(luò)方法是計算機(jī)能夠正常的發(fā)送傳達(dá)ARP分組的方式來實(shí)現(xiàn)任意一臺計算機(jī)網(wǎng)絡(luò)塊之間的通信數(shù)據(jù)。也可以經(jīng)過加入病毒篡改代碼,已達(dá)到直接攻擊網(wǎng)關(guān),這樣使一切連接在網(wǎng)絡(luò)中的計算機(jī)都沒有辦法連接上可用的網(wǎng)絡(luò)來進(jìn)行網(wǎng)絡(luò)的連接。這個以前沒能達(dá)成。因?yàn)橛脩粲嬎銠C(jī)沒有管理網(wǎng)關(guān)的權(quán)限。arp欺詐是危險的。管理很難。未經(jīng)授權(quán)和惡意用戶可以始終發(fā)送非法和恢復(fù)消，這同時也大大的增多了網(wǎng)絡(luò)管理員尋找攻擊方向的難度。arp篡奪攻擊的主要風(fēng)險如下:(1)攻擊點(diǎn)的界限大:它不需要消耗特定的服務(wù)器,只要“肉機(jī)”在網(wǎng)絡(luò)環(huán)境中的任何點(diǎn)處,整體網(wǎng)絡(luò)段就可能在不經(jīng)過目標(biāo)主機(jī)許認(rèn)可的情況下被傳染;(2)攻擊是高度機(jī)密的:沒有必要隨意改動主頁頁面和配置。病毒代碼一直被插入到網(wǎng)絡(luò)運(yùn)輸過程中間。(3)檢測到的困難:如果在機(jī)房中沒有設(shè)定網(wǎng)絡(luò)管理員，服務(wù)器系統(tǒng)管理員只能啟動使用系統(tǒng)日志，并且無法快速找到攻擊源。(4）復(fù)雜答案：網(wǎng)站管理員能查找到攻擊但無法從系統(tǒng)級恢復(fù);(5)攻擊方式的變化:攻擊者可以很大制止的利用ARP欺騙,并將和其余的攻擊方法相結(jié)合起來,用于攔截、拒絕服務(wù)、掛載病毒等一些其余的攻擊。從而達(dá)到多樣式的攻擊,列如:信息的盜取,病毒的傳傳染,網(wǎng)絡(luò)路由器的破壞,廣告危險等等一些。3ARP攻擊方法與配置3.1ARP攻擊的當(dāng)前形勢在很早的時期,互聯(lián)網(wǎng)的根本就在學(xué)習(xí)與科學(xué)的研討,所以只是總結(jié)了其功能,就沒有考慮到其網(wǎng)絡(luò)的安全性能。所以全部的網(wǎng)絡(luò)都是以相信為主要的依據(jù)來進(jìn)行通信的,最根本的是以太網(wǎng)的泛洪。其他的有危害的軟件就可以讓IPv4廣播地址的55劫持廣播消息,例如:ARP請求消息和DHCP請求消息,當(dāng)網(wǎng)關(guān)查看到的是有危害的東西,網(wǎng)關(guān)也信任并應(yīng)答這個消息,根本沒有辦法來判斷軟件的正確性,這相當(dāng)于給惡意軟件提供了一個很好的平臺,這樣攻擊者就很容易攻擊。有危險的軟件攻擊的方法是通過虛擬的IP地址與MAC地址來進(jìn)行的。以太網(wǎng)防范ARP攻擊的原因是計算機(jī)在通信的時間里有過十分有效的抵制他人有目的的來獲取之間的通信的相關(guān)信息，阻止了信息的外漏，也同時為了起到保護(hù)于用戶的財產(chǎn)安全,特別是在網(wǎng)吧的地方如此大的局域網(wǎng)(LAN)為主,ARP攻擊非常容易,只要是受到了ARP的攻擊,所有的網(wǎng)絡(luò)就會全部的報廢,接著會影響到整個的局域網(wǎng)。因此,研究ARP的攻擊原理與其攻擊方式來進(jìn)行其安全防范是非常重要的。3.2攻擊現(xiàn)象當(dāng)網(wǎng)絡(luò)上的其他的一些設(shè)備或者主機(jī)脫離的時候,怎樣判斷發(fā)生的攻擊是ARP攻擊而不是其他的攻擊手段,當(dāng)計算機(jī)受到攻擊的時候連攻擊得到方式都不知道是那種類型的攻擊方法,這樣就沒有方法做到其保護(hù),就會出現(xiàn)"不知所措"的情況。此外,當(dāng)只是一些網(wǎng)絡(luò)中的波動與堵塞的原因,導(dǎo)致網(wǎng)絡(luò)延遲高、網(wǎng)絡(luò)速度慢和間歇性的網(wǎng)絡(luò),這就沒有裝配ARP保護(hù)的必要了,這不僅是浪費(fèi)其財力和人力,還白白浪費(fèi)了安全保護(hù)的措施的資源。因此,我們受到的攻擊是不是ARP攻擊是非常的重要。這樣能很大程度上的減少網(wǎng)絡(luò)上的中斷的原因,減少損失。如果在你上網(wǎng)的時候受到了攻擊,就會出現(xiàn)網(wǎng)絡(luò)的延遲很慢,就像網(wǎng)頁沒有辦法打開的一樣,網(wǎng)絡(luò)速度達(dá)不到標(biāo)準(zhǔn)。如果你正在玩游戲,你可能有一個高PING,高延遲,或大量掉線呼叫。如果你正在下載文件,如果你正在使用P2P協(xié)議,那么下載就會停止。圖3.1arp命令如果出現(xiàn)這種情況,就首先查看自己原來的ARP表,并把它給清理完。在控制臺上寫入ARP-d并清理掉ARP表緩存并且再一次的請求ARP。當(dāng)然你也可以關(guān)閉計算機(jī)再一次的開啟來清理ARP的緩沖。如果在你玩游戲或者在工作的時候,網(wǎng)絡(luò)突然間的斷掉或者一直高ping中,再當(dāng)你重新登錄的時候發(fā)現(xiàn)你無法登錄或者一些操作你沒有發(fā)生過。那就說明也有可能發(fā)生過攻擊,這就是發(fā)生了ARP的攻擊。許多的盜竊軟件都是依據(jù)ARP的協(xié)議來編寫程序的,所以ARP的安全防范的開展是非常的關(guān)鍵及其重要的。你不僅可以保護(hù)自己的網(wǎng)絡(luò)不受到攻擊也同時在保護(hù)的整個網(wǎng)絡(luò)的安全。3.3通信原理在這個網(wǎng)絡(luò)拓?fù)鋱D下的通信的簡要拓?fù)鋱D如圖3.2所示：圖3.2部分通信原理CLIENT1（51）需要訪問CLIENT2(51)(1)首先CLIENT1發(fā)現(xiàn)CLIENT2的IP跟自己不是一個網(wǎng)段（通過IP加掩碼判斷），這個時候他就要先把包丟給自己的網(wǎng)關(guān)。(2)CLINET1這個時候需要查看自己的ARP表項(xiàng)，是否有關(guān)于網(wǎng)關(guān)的arp表項(xiàng)，如果沒有ARP表項(xiàng)則需要廣播發(fā)出ARP請求，請求網(wǎng)關(guān)的mac地址。(3)網(wǎng)關(guān)收到ARP請求發(fā)現(xiàn)請求報文的目的IP是自己，則會回復(fù)ARP回應(yīng)包告知client1主機(jī)自己的mac地址，并刷新自己的arp表項(xiàng)還有mac地址轉(zhuǎn)發(fā)表。(4)此時CLINET1有了網(wǎng)關(guān)的mac信息后，則封裝數(shù)據(jù)幀中的目的mac地址發(fā)送給網(wǎng)關(guān)。(5)網(wǎng)關(guān)收到數(shù)據(jù)幀后，幀解封裝后看到目的MAC是自己，目的IP是CLIENT2的IP。此時他需要放出ARP請求請求CLIENT2的MAC地址。(6)CLIENT2收到ARP請求之后，發(fā)現(xiàn)報文中的目標(biāo)IP是自己的IP，于是發(fā)出ARP回應(yīng)包告知網(wǎng)關(guān)自己的MAC地址，并刷新自己的ARP表項(xiàng)。(7)網(wǎng)關(guān)收到這份ARP回應(yīng)包之后刷新自己的ARP表項(xiàng)和MAC地址轉(zhuǎn)發(fā)表。把并數(shù)據(jù)幀封裝后發(fā)送給CLIENT2.(8)CLIENT2在接受到消息后要應(yīng)答回包，通過比較發(fā)現(xiàn)CLEINT1跟自己不在一個網(wǎng)段，于是他也封裝數(shù)據(jù)幀后發(fā)送給網(wǎng)關(guān)，網(wǎng)關(guān)根據(jù)ARP表項(xiàng)發(fā)會給CLIENT1.通信結(jié)果圖如圖3.3所示：圖3.3CLIENT1與CLIENT2通信圖3.4ARP攻擊網(wǎng)關(guān)欺騙欺騙網(wǎng)關(guān)就是攻擊者通過網(wǎng)關(guān)接受到的別的主機(jī)傳送給網(wǎng)關(guān)的信息，通過網(wǎng)關(guān)欺騙的方法來達(dá)到攻擊。這種類型的攻擊方法就是攻擊整個局域網(wǎng)的網(wǎng)關(guān)不是單個的攻擊個人主機(jī)，這樣使攻擊者能夠連續(xù)不斷的獲得整個局域網(wǎng)下其他用戶的通信數(shù)據(jù)攻擊者就會獲得大量泄露的數(shù)據(jù)，達(dá)到自己想要的信息，這種攻擊形勢也使得用戶電腦中病毒的機(jī)會大幅度的提升，危害著整個網(wǎng)絡(luò)的安全通信。當(dāng)我們CLIENT1去訪問CLIENT2的時候，因?yàn)閮烧叩木W(wǎng)段不同，需要先去找到網(wǎng)關(guān)。網(wǎng)關(guān)根據(jù)ARP表項(xiàng)，找到CLIENT1和CLIENT2對應(yīng)的IP-MAC出接口的映射關(guān)系進(jìn)行轉(zhuǎn)發(fā)。如下圖3.4所示：圖3.4CLIENT1和CLIENT2對應(yīng)的IP-MAC出接口的映射關(guān)系當(dāng)有一臺攻擊者偽裝成CLIENT1的IP的時候（51，因?yàn)镋NSP的PC因?yàn)槟M器的原因在配置了IP以后不發(fā)送免費(fèi)ARP報文，所以我們用交換機(jī)模擬攻擊者）。當(dāng)攻擊者配置成CLIENT1的IP的時候，會廣播發(fā)送免費(fèi)ARP，此時網(wǎng)關(guān)的ARP表項(xiàng)被刷新，51的MAC地址變成了攻擊者的MAC,如圖3.5所示：圖3.5CLIENT1ARP表項(xiàng)的刷新圖主要實(shí)現(xiàn)代碼如下所示：[SLP16]intvlan1[SLP16]ipaddress5424[SLP16]quit[SLP16]iproute-static192.168..254此時業(yè)務(wù)中斷，CLIENT1開始丟包，如下圖3.6所示：圖3.6CLIENT1丟包圖發(fā)生此結(jié)果就表明ARP網(wǎng)關(guān)欺騙攻擊實(shí)行成功。4ARP防范與配置4.1ARP防范模式ARP安全防御模式有硬件防御模式與軟件防御模式這兩種。一個是通過設(shè)定ARP安全防火墻的硬件模式。現(xiàn)在大都數(shù)硬件設(shè)備都裝有ARP所部署的防火墻。另一種是設(shè)定交換機(jī)上的命令行的軟件模式所來抵御的。4.2拓?fù)浯罱ㄍㄟ^對ARP安全防范在實(shí)際中的應(yīng)用，采用內(nèi)外網(wǎng)方式所搭建，所規(guī)劃的拓?fù)?，如下圖4.1所示：4.1拓?fù)鋱D在這個拓?fù)鋱D中八臺二層交換機(jī)進(jìn)行vlan的劃分，用四臺三層交換機(jī)使實(shí)現(xiàn)ARP的防范作用，這些組建相當(dāng)與一個內(nèi)網(wǎng)環(huán)境，再通過設(shè)置防火墻，使得R8與R4這兩個路由器成為一個外網(wǎng)，這樣就構(gòu)建起來一個內(nèi)外網(wǎng)環(huán)境，能夠更好的模擬局域網(wǎng)。但由于技術(shù)與設(shè)備的限制，無法體現(xiàn)出多種方法的安全防范措施，在這里ARP安全防范的技術(shù)這里主要是IP+MAC綁定，同時也劃分了vlan進(jìn)行網(wǎng)絡(luò)的保護(hù)。三層交換機(jī)即拓?fù)鋱D中的LPW4-LPW5、LPW12-LPW13采用的ARP保護(hù)防范就是IP+MAC綁定的方法所來實(shí)現(xiàn)的。4.3IP+MAC綁定4.3.1IP+MAC綁定原理雖然在網(wǎng)絡(luò)通信過程中所使用的是IP地址，但是IP地址在通信的過程中是十分的不安全，很容易的讓攻擊者所竊取到，用來攻擊自己所需要攻擊的對象。為了使網(wǎng)絡(luò)通信能夠安全有效的進(jìn)行通信，我們將使用IP+MAC綁定方法。它的綁定方法是將自己所使用的IP地址與自己的MAC地址進(jìn)行捆綁，使這這兩個地址當(dāng)作一個大的地址來使用，這樣做即便攻擊者獲取到所要攻擊對象的IP地址但是無法獲取其MAC地址，這樣被攻擊者不接受它的請求，使得攻擊無法達(dá)成，從而保護(hù)了被攻擊者的信息安全與財產(chǎn)安全。4.3.2IP+MAC綁定優(yōu)點(diǎn)計算機(jī)的IP地址現(xiàn)在都能夠修改，這樣使攻擊者能夠修改自己所要攻擊對象的IP地址，這樣做導(dǎo)致了IP地址的沖突也同時危害的網(wǎng)絡(luò)的通信安全。在綁定了IP+MAC后，使得每一個IP地址都要綁定到所對應(yīng)注冊的MAC地址上，確保了用戶合理的IP地址不會被任意的修改，有效的也節(jié)約了網(wǎng)絡(luò)資源，同時也避免了IP地址的沖突，有效的節(jié)約IP地址數(shù)目與IP地址的濫用。4.3.3IP+MAC綁定的實(shí)現(xiàn)(1)IP+MAC在4臺三層交換機(jī)上，為了能夠讓使IP+MAC的運(yùn)行，使網(wǎng)絡(luò)能夠進(jìn)行相互間的通信，所以，在這4臺三層交換機(jī)的每個接口都配置了IP地址與MAC地址，具體的地址規(guī)劃如表4.1所示：表4.1核心三層交換機(jī)地址規(guī)劃設(shè)備名稱接口IP地址MAC地址LPW4E0/0//244c1f-cca4-3f1aE0/0//244c1f-cba4-3f1aE0/0/353/245489-98EE-0511LPW5E0/0//248c1f-cb7l-3f19E0/0//247c1f-cl74-3f13E0/0/353/246c1f-cb74-3f17LPW12E0/0//244c1f-cv93-22b7E0/0//245c1f-cv84-24e7E0/0/3/249c1f-cv97-27c7LPW13E0/0/1/24ac1f-c474-3f13E0/0//24bc1f-cl74-3fbcE0/0/3/247c1f-cl94-3f13(2)IP+MAC的建立依據(jù)網(wǎng)絡(luò)拓?fù)鋱D來看，三層交換機(jī)LPW4-LPW5、LPW12-LPW13下綁定這整個拓?fù)鋱D下所有接口IP與MAC地址，以下是以LPW4和LPW5的命令為例：首先查看首先查看CLIENT1的mac地址為圖4.2所示：圖4.2CLIENT1的MAC地址圖所要執(zhí)行的代碼如下：[LPW4]arpstatic545489-98EE-0511[LPW4]arpstatic4c1f-cca4-3f1a[LPW4]arpstatic4c1f-cba4-3f1a[LPW5]arpstatic8c1f-cb7l-3f19[LPW5]arpstatic7c1f-cl74-3f13[LPW5]arpstatic546c1f-cb74-3f17此時CLEINT1業(yè)務(wù)恢復(fù)正常，圖4.3所示：圖4.3CLEINT1業(yè)務(wù)恢復(fù)正常圖4.4端口安全接口通過認(rèn)證及學(xué)習(xí)對端口的MAC地址轉(zhuǎn)變成了安全端口的MAC地址(者其中包含的安全動態(tài)MAC和StickyMAC),也同時可以不學(xué)習(xí)端口的MAC地址,可通過這樣預(yù)防不安全的MAC和靜態(tài)MAC的計算機(jī),這樣也可以通過此節(jié)口和設(shè)備之間的聯(lián)系通信了。這同時也就達(dá)到了非常高效的提高設(shè)備的安全性能。當(dāng)端口的安全功能被打開的時候,主機(jī)所需要領(lǐng)取的MAC地址條目只能是通過使用靜態(tài)配置或者動態(tài)學(xué)習(xí)的辦法所獲取來的。當(dāng)接口所用的功能是開放端口的時候,在開放端口確認(rèn)安全功能的時候,接口就會清除掉自己所感知的MAC地址,就會使它了解并學(xué)習(xí)到該MAC地址的動態(tài)MAC地址,此時就會轉(zhuǎn)化為安全,這樣就會只允許經(jīng)過的是靜態(tài)MAC地址自己動態(tài)獲取道的安全動態(tài)MAC地址或報文。啟用Mac地址保持功能后,安全動態(tài)Mac表項(xiàng)將自己轉(zhuǎn)變成為Mac地址用來保證表項(xiàng),認(rèn)識到的Mac地址也同時會轉(zhuǎn)變?yōu)镸ac地址的持續(xù)。在具有安全的MAC地址的數(shù)量在限制的數(shù)量到達(dá)之前,就不會繼續(xù)的學(xué)習(xí)和配置MAC地址用來確保它的端口與消息。用戶也可以通過所需要的功能來配置所需要的命令。例如,restrict將丟掉MAC地址同時發(fā)出警告的消息。Protect只丟棄數(shù)據(jù)包,不發(fā)送警報。當(dāng)接收到不爭取或者不需要的MAC地址時,這個接口會立馬設(shè)定error-down這條命令,并送達(dá)警示的消息。不會再一次的恢復(fù)自己所關(guān)閉的接口。僅使用管理員手動輸入命令undoshutdown以運(yùn)行執(zhí)行以運(yùn)行此界面的時間打開此接口并恢復(fù)此接口的傳送。您實(shí)際上可以通過實(shí)際重新啟動重新啟動接口。這就是，如果攻擊者再次刪除攻擊主機(jī)的MAC地址，則可以識別和禁用此接口從而制止攻擊者從接口向傳送ARP欺騙的信息。這樣也就能夠更進(jìn)一步的防止攻擊者的攻擊了。5ARP功能測試5.1模擬環(huán)境ENSP，也就是華為模擬器，它是由華為推出來模擬華為下的設(shè)備的一種仿真工具。華為模擬下的模擬設(shè)備可以幫助我們進(jìn)行網(wǎng)絡(luò)的搭建、進(jìn)行網(wǎng)絡(luò)調(diào)試的學(xué)習(xí)，在模擬上，我們可以模擬出自己所構(gòu)建的網(wǎng)絡(luò)線路的可行性，進(jìn)而用來排查自己搭建過程中的不足與錯誤，看能夠達(dá)到自己想要的期望結(jié)果，這樣不浪費(fèi)網(wǎng)絡(luò)資源，華為模擬器在進(jìn)行虛擬的搭建時，可以減少實(shí)際搭建中的錯誤，從而達(dá)到了不必要的浪費(fèi)。5.2全網(wǎng)互通配置5.2.1地址規(guī)劃網(wǎng)絡(luò)下vlan的劃分及所處的網(wǎng)段如表5.1所示：表5.1VLAN劃分及網(wǎng)段規(guī)劃VLAN名稱網(wǎng)段網(wǎng)關(guān)Vlan1054Vlan2054Vlan3054Vlan4054Vlan5054Vlan6054Vlan7054Vlan8054網(wǎng)絡(luò)下路由器接口的規(guī)劃如表5.2所示;表5.2網(wǎng)絡(luò)下路由器地址設(shè)備名稱接口IP地址R8E0/0/014R4E0/0/0R1E0/0/0E0/0/E0/0/R2E0/0/0E0/0/E0/0/R3E0/0/0E0/0/E0/0/R6E0/0/0E0/0/E0/0/R7E0/0/0E0/0/E0/0/網(wǎng)絡(luò)下pc接口對應(yīng)的IP地址如表5.3所示：表5.3網(wǎng)絡(luò)pc對應(yīng)的IP地址Pc名接口IP地址Pc1E0/0/154Pc2E0/0/154Pc3E0/0/154Pc4E0/0/154Pc5E0/0/154Pc6E0/0/154Pc7E0/0/154Pc8E0/0/15.2.2VLAN技術(shù)的使用Vlan同時也陳指為虛擬局域網(wǎng)，它是一種比較新的技術(shù)，在七層模型中的第二層和第三層上所使用的，一個廣播域同時也就是一個vlan，它們之間的消息交換在第三層路由器上進(jìn)行的，是設(shè)備和用戶的一組邏輯，使用vlan的用戶與設(shè)備就不會因?yàn)槲锢砦恢枚薅?，他們組建的依據(jù)是由功能，部門及應(yīng)用等一些因素，它們的通信就好像在同一個網(wǎng)段下進(jìn)行的，因此得名虛擬局域網(wǎng)。Vlan跟傳統(tǒng)的局域網(wǎng)做比較來說，它顯得更加的靈活，不會因?yàn)槲锢砦恢玫南薅ǘ恢惫潭?，vlan具有以下的優(yōu)點(diǎn)：網(wǎng)絡(luò)的安全性也可以由它而提高，也可以控制網(wǎng)絡(luò)下的廣播活動，減少了管理網(wǎng)絡(luò)設(shè)備的移動，修改和添加的開銷。它同時使隔離在不同廣播域下的設(shè)備進(jìn)行通信。二層交換機(jī)的配置（以二層交換機(jī)lps1為例子）：[lps1]interfaceEthernet0/0/1[lps1]portlink-typeaccess[lps1]portdefaultvlan10[lps1]interfaceEthernet0/0/2[lps1]portlink-typetrunk[lps1]porttrunkallow-passvlan2to4094[lps1]interfaceEthernet0/0/3[lps1]portlink-typetrunk[lps1]porttrunkallow-passvlan2to4094二層交換機(jī)的配置命令如上所示：完成上述命令的配置，我們就可以應(yīng)用displayvlan這一條命令來查看自己所配置的vlan信息（以二層交換機(jī)上的LSW1為例）：圖5.1二層交換機(jī)vlan信息三層交換機(jī)的vlan配置命令如下（以三層交換機(jī)LSW4為例）：[lps4]interfaceGigabitEthernet0/0/1[lps4]portlink-typetrunk[lps4]porttrunkallow-passvlan2to4094[lps4]interfaceGigabitEthernet0/0/2[lps4]portlink-typetrunk[lps4]porttrunkallow-passvlan2to4094[lps4]interfaceGigabitEthernet0/0/3[lps4]portlink-typetrunk[lps4]porttrunkallow-passvlan2to4094[lps4]interfaceGigabitEthernet0/0/4[lps4]portlink-typeaccess[lps4]portdefaultvlan12[lps4]interfaceGigabitEthernet0/0/5[lps4]portlink-typeaccess[lps4]portdefaultvlan21三層交換機(jī)的配置命令如上所示：完成上述命令的配置，我們就可以應(yīng)用displayvlan這一條命令來查看自己所配置的vlan信息（以二層交換機(jī)上的LSW4為例）：圖5.2二層交換機(jī)vlan信息5.2.3ospf協(xié)議OpenShortestPathFirst(開放式最短路徑優(yōu)先)，它的路由協(xié)議屬于一種動態(tài)的鏈路狀態(tài)的路由協(xié)議。通常在多個路由器下作用，此設(shè)計中也包含了ospf路由協(xié)議，它所處的位置在我的網(wǎng)絡(luò)層的路由器下，這樣是多個路由器能夠平穩(wěn)安定的來進(jìn)行信息的交互，如下圖5.3所示：圖5.3ospf協(xié)議所處位置ospf在路由器下的配置（以LPR7，LPR6為例）：[lpR7]ospf1[lpR7]area[lpR7]network55[lpR7]network55[lpR7]network55[lpR6]ospf1[lpR6]area[lpR6]network55[lpR6]network55[lpR6]network55剩余的ospf的配置命令跟上面的配置一樣。5.3功能測試當(dāng)網(wǎng)絡(luò)拓?fù)涞拇罱ㄍ瓿?、ARP的各種功能實(shí)現(xiàn)并內(nèi)外網(wǎng)實(shí)現(xiàn)通信后，接下來就是通過pc與交換機(jī)，路由器之間進(jìn)行通信，來刷新ARP表。能更加凸顯出ARP防范對網(wǎng)絡(luò)的重要性。5.3.1其他協(xié)議的使用在此設(shè)計中除了上述所描述的主要技術(shù)外，還使用了下面的一些技術(shù)來使網(wǎng)絡(luò)結(jié)構(gòu)更加的穩(wěn)定，通信更加的流暢，如表5.4所示：表5.4使用的其他技術(shù)協(xié)議協(xié)議功能trunk交換機(jī)之間到干路線，進(jìn)行通信rstp快速生成樹，二層交換機(jī)防環(huán)路VRRP網(wǎng)關(guān)熱備冗余，提供網(wǎng)關(guān)備份上網(wǎng)NAT訪問控制列表ACL地址轉(zhuǎn)化，內(nèi)外網(wǎng)進(jìn)行通信5.3.2三層交換機(jī)下ARP映射表的查看在這個網(wǎng)絡(luò)拓?fù)渲?，每一臺三層交換機(jī)下面都記錄這自己所對應(yīng)的ARP映射表，每一臺三層交換機(jī)所對應(yīng)的ARP映射表都不一樣，我們將pc1對所有的pc間進(jìn)行，使消息的通信經(jīng)過三層交換機(jī)，已達(dá)到刷新三層交換機(jī)ARP映射表，則查看三層交換機(jī)ARP映射表的命令為：displayarp//LPS5、LPS12、LPS13相同；LPS4、LPS5、LPS12、具體的ARP映射表，如圖5.4、5.5、5.6：圖5.4LPS4的ARP映射表圖5.5LPS5的ARP映射表圖5.6LPS12的ARP映射表LPS13的三層交換機(jī)的ARP映射表于LPS12的相差不多，它所對應(yīng)的是在它的環(huán)境下進(jìn)行靜態(tài)綁定的IP+MAC命令。5.3.3pc下ARP映射表的查看每一臺pc都有著自己的IP地址于MAC地址，在它們于其他主機(jī)自己進(jìn)行通信的時候，自己主機(jī)的ARP表也同時在更新，它雖然沒有三層交換機(jī)所對應(yīng)的ARP映射表中對應(yīng)的條目多，但也有著自己獨(dú)特的ARP映射表。pc查看ARP映射表的命令是：arp-d//刪除指定的IP地址項(xiàng)arp-a//查看ARP映射表以主機(jī)pc1、主機(jī)pc5為例，如圖5.7、5.8所示：圖5.7主機(jī)pc1的ARP映射表圖5.8主機(jī)pc5的ARP映射表其余的主機(jī)pc的ARP映射表跟主機(jī)pc1于主機(jī)pc5的ARP映射表相差不大。5.4連通性測試每個設(shè)備之間能否ping通是實(shí)現(xiàn)網(wǎng)絡(luò)功能的前提，它屬于TCP/IP的一部分，由于網(wǎng)絡(luò)拓?fù)淅锏脑O(shè)備過多，在內(nèi)網(wǎng)中我們以主機(jī)pc1ping路由器LPR1，主機(jī)pc1ping主機(jī)pc6，如圖5.9、5.10所示：圖5.9主機(jī)pc1pingR1路由器結(jié)果圖5.8主機(jī)pc1pingpc6主機(jī)的結(jié)果圖根據(jù)實(shí)際生活的要求，由于內(nèi)網(wǎng)里的IPv4的地址是屬于私有地址，只能在內(nèi)網(wǎng)里面使用，無法通過外網(wǎng)連接來訪問，所以外網(wǎng)如果要網(wǎng)文內(nèi)網(wǎng)，只能是通過NAT（地址轉(zhuǎn)化技術(shù)）來進(jìn)行訪問，在此網(wǎng)絡(luò)拓?fù)涞脑O(shè)計里面，外網(wǎng)訪問內(nèi)網(wǎng)使用的就是NAT技術(shù)，讓外網(wǎng)的LPR4通過NAT技術(shù)來與pc1主機(jī)進(jìn)行測試連接，如圖5.9所示：圖5.9主機(jī)pc1平路由器LPR4結(jié)論通過這