浅析ARP防火墙技术毕业论文.doc

《浅析ARP防火墙技术毕业论文.doc》由会员分享，可在线阅读，更多相关《浅析ARP防火墙技术毕业论文.doc（12页珍藏版）》请在三一办公上搜索。

1、临沧师范高等专科学校毕业论文题目：浅析ARP防火墙技术教 学 系： 数理系 专业名称：计算机系统维护姓 名： ；学号：103310008；指导教师： 2013.3目录论文提纲1一、ARP 协议其工作原理及作用3（一）ARP协议工作原理3（二）ARP在局域网中的作用3二、什么是ARP欺骗4(一)仿冒网关4(二)欺骗网关4(三)欺骗终端用户4(四)“中间人”攻击5(五)ARP报文泛洪攻击5三、ARP 病毒带来的危害5四、解决方法与防范策略5（一）利用命令行的方式来检测并绑定 IP-MAC双向绑定防止恶意软件控制。6（二）在交换机端口上应用 IP- MAC绑定6（三）在交换机上设置虚拟局域网(VLA

2、N)7（四）ARP报文限速功能7（五）交换机上配置DHCP Snooping和ARP入侵检测功能8五、【ARP防火墙九大功能】8（一） 拦截ARP攻击8（二） 拦截IP冲突9（三）Dos攻击抑制9（四）安全模式9（五）ARP数据分析9（六）监测ARP缓存9（七）主动防御9（八）追踪攻击者9（九）ARP病毒专杀9附录一-详解ARP九大功能9结语：10致 谢10参考文献:10论文提纲引文：随着网络技术在各个领域的广泛应用，在提高工作效率、实现共享以及信息交换等方面提供了极大的便利。然而，由于网络协议设计上的缺陷，给网络病毒以可乘之机。ARP病毒的出现，使网络的使用效率急剧下降，甚至对用户的信息安全

3、构成威胁，因此，病毒的防范尤为重要。正文：一、 ARP协议工作原理及作用（一） ARP协议工作原理（二） ARP在局域网中的作用二、 什么事ARP欺骗（一） 仿冒网关（二） 欺骗网关（三） 欺骗终端用户（四） “中间人”攻击（五） ARP报文泛洪攻击三、 ARP病毒带来的危害（一） 网络异常（二） 数据窃取（三） 数据篡改（四） 非法控制四、 解决方法与防范策略（一） 利用命令行的方式来检测并绑定IP-MAC双向绑定防止恶意软件控制（二） 在交换机端口上应用IP-MAC绑定（三） 在交换机上设置虚拟局域网（VLAN）（四） ARP报文限速功能（五） 交换机上配置DHCP-SNOOPING和AR

4、P入侵检测功能五、 ARP防火墙九大功能（一） 拦截ARP攻击（二） 拦截IP冲突（三） DOS攻击抑制（四） 安全模式（五） ARP数据分析（六） 检测ARP缓存（七） 主动防御（八） 追踪攻击者（九） ARP病毒专杀附录一详解ARP九大功能结语致谢参考文献结语：网络给人们带来了很大的便利，但随之而来的安全问题让当初的设计者们始料未及。ARP 的欺骗正是利用了 ARP 协议设计上的缺陷，给网络安全、信息安全、甚至财产安全带来极大隐患。但只要我们能从原理出发，找到问题的“症结”所在，利用行之有效的解决方法和防范措施，就能减小或消灭ARP 病毒带来的危害，从而确保网络的畅通和数据的安全。【内容摘

5、要】ARP(Address Resolution Protocol)基本功能是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。然而，一些非法的入侵者和网络监听者，利用各种技术和手段，篡改IP地址与MAC地址之间的对应关系，从而“冒名顶替”他人的MAC地址，以达到非法监听和获取他人在网络上传输的信息的目的，这种网络入侵方式为ARP欺骗入侵。它是近年来网络入侵攻击的主要形式之一，严重威胁着网络信息的安全。本文首先介绍了ARP协议的概念和工作原理，接着论述了ARP在局域网中的作用，再来分析当前ARP病毒的欺骗方式及其带来的危害，最后从网络本身的技术角度上提出了一些解决方法和防

6、范策略。【关键词】APR 欺骗；arp断网攻击；APR 协议； arp防火墙随着网络技术在各个领域的广泛应用，在提高工作效率、实现数据共享以及信息交换等方面提供了极大的便利。然而，由于网络协议设计上的缺陷，给网络病毒以可乘之机。网络经常掉线、发生IP冲突、担心通讯数据受到监控（如MSN、QQ、EMAIL）、网络速度受到网管软件限制（如聚生网管、P2P终结者）、甚至深受各种ARP攻击软件之苦（如网络执法官、网络剪刀手、局域网终结者）等这些问题是我们上网时经常遇到的，而这些问题的产生 ，根源都是ARP欺骗（ARP攻击）。ARP 病毒的出现，使网络的使用效率急剧下降，甚至对用户的信息安全构成威胁，因

7、此，ARP 病毒的防范显得尤为重要。一、ARP 协议其工作原理及作用（一）ARP协议工作原理ARP 是 Address Resolution Protocol 的缩写，是 TCP/IP 协议族中的一个协议，称为地址解析协议，即通过目标设备的IP地址，俗称arp病毒攻击、arp欺骗、arp攻击、arp断网攻击，查询目标地址的MAC地址，具体来说就是将网络层地址解析为数据连接层的 MAC地址。在局域网中如果时常上不了网，但是网络的连接正常，而局域网的网络情况却时好时坏，那么这很可能就是ARP欺骗已经发作的征兆。 在局域网中，如果要在两台主机之间进行通信，就必须要知道目标主机的IP地址，但是起到传输

8、数据的物理设备网卡并不能直接识别IP地址，只能识别其硬件地址MAC地址。主机之间的通信，一般都是网卡之间的通信，而网卡之间的通信都是根据对方的MAC地址来进行工作的，而ARP协议就是一个将数据包中的IP地址转换为MAC地址的网络协议。（二）ARP在局域网中的作用在规模越来越庞大的局域网中，存在上百台主机已经很普及，如何在这么多的主机的MAC地址中，快速又准确的记住每个网卡对应的IP地址和MAC地址的对应关系，这就要依靠一个存在于所有主机中的ARP缓存表来进行记录。例如局域网中有A、B两台主机并通过交换机相连接，当A需要给B所在的IP地址发送数据时，A就要先查找自己的ARP缓存表，看其中是否存在

9、这个IP的MAC地址，如果有就直接发送。如果没有，那么A就要向整个局域网发送广播要求使用这个IP地址的主机进行响应，B收到广播后会向A返回一个响应信息，说明自己的MAC和A所要发送的IP地址是对应关系，而A收到B所返回的信息后会将这个IP和MAC进行记录，以后如果要再发送信息，则可以从ARP缓存表中直接查找并发送。二、什么是ARP欺骗 按照ARP协议的设计，一个主机即使收到的ARP应答并非自身请求得到的，也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信，但也为“ARP欺骗”创造了条件。一般网络中，常见的ARP攻击有如下几中形式。(一)仿冒

10、网关攻击者伪造ARP报文，发送源IP地址为网关IP地址，源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机，使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来，主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。图1-1“仿冒网关”攻击示意图(二)欺骗网关攻击者伪造ARP报文，发送源IP地址为同网段内某一合法用户的IP地址，源MAC地址为伪造的MAC地址的ARP报文给网关；使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来，网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网。图1

11、-2“欺骗网关”攻击示意图(三)欺骗终端用户攻击者伪造ARP报文，发送源IP地址为同网段内某一合法用户的IP地址，源MAC地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机；使后者更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来，网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址，同网段内的用户无法正常互访。图1-3“欺骗终端用户”攻击示意图(四)“中间人”攻击ARP“中间人”攻击，又称为ARP双向欺骗。如图1-4所示，HostA和HostC通过Switch进行通信。此时，如果有恶意攻击者（HostB）想探听HostA和HostC之间的通信，它可以分

12、别给这两台主机发送伪造的ARP应答报文，使HostA和HostC用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后，HostA和HostC之间看似“直接”的通信，实际上都是通过黑客所在的主机间接进行的，即HostB担当了“中间人”的角色，可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人（Man-In-The-Middle）攻击”。图1-4ARP“中间人”攻击示意图(五)ARP报文泛洪攻击恶意用户利用工具构造大量ARP报文发往交换机的某一端口，导致CPU负担过重，造成其他功能无法正常运行甚至设备瘫痪。三、ARP 病毒带来的危害ARP病毒就是利用上述原理来对整个局域网来进行破坏

13、，其中除了使其他电脑上不了网之外，还可以利用自身“帮”网关转发信息的特权给数据包添加病毒代码。比如，用户打开一个本来正常的网页，但是由于ARP病毒的存在，这个原本正常的网页会带上若干恶意连接，使用户感染上病毒。1、网络异常。使用局域网时会突然掉线，过一段时间后又会恢复正常。用户频繁断网，严重时甚至可能带来整个网络的瘫痪。2、数据窃取。具体表现为个人隐私泄漏，如 MSN 聊天记录、邮件等。账号被盗用，如 QQ 账号、银行账号等，这是木马的惯用伎俩，给用户造成了很大的不便和经济损失。3、数据篡改。具体表现为访问的网页被添加了恶意内容，俗称“挂马”。4、非法控制。具体表现为网络速度、网络访问行为受第

14、三者非法控制。四、解决方法与防范策略（一）利用命令行的方式来检测并绑定 IP-MAC双向绑定防止恶意软件控制。为了给大家带来良好的网络环境，阻止P2P终结者等恶意控制软件破坏局域网网络环境，现在我们就来做一下网关与客户机的双向IP&MAC绑定来搞定它。ARP 病毒攻击的首要目标是网关，因此，保留一份正确的网关的 IP- MAC 数据很重要。当局域网中发生 ARP 欺骗的时候，实施ARP欺骗的电脑会不停地发送 ARP欺骗广播，这时局域网中的其它电脑就会动态更新自身的 ARP 缓存表，将网关的 MAC 地址记录成带 ARP病毒的电脑的 MAC地址，我们只要打开一个命令提示符窗口，输入“arp -

15、a”来显示 ARP 缓存表的内容，显示为：192.168.1.1 21- 27- 87- b8- 1a dynamic如果显示的内容与正确的数据不符，则说明 ARP 缓存表中网关的 MAC已被篡改。先删除现有的 IP- MAC对应表：arp- d 192.168.1.1，在缓存列表中增加一个正确的、静态的 IPMAC的数据，如 arp -s 192.168.1.1 d8-42-ac-2d-5d-08（如图一），既绑定了网关 IP 与 MAC地址的对应关系。如果网络管理员有局域网内所有主机的 IP- MAC 映射表，还可以根据 MAC 地址找到实施 ARP 欺骗的主机，再利用ARP 专杀工具杀毒

16、。图表1-5 arp绑定（二）在交换机端口上应用 IP- MAC绑定在交换机端口上实施 MAC 地址与端口绑定和 IP 地址与端口的绑定相结合，从而达到在端口上应用 IP 与 MAC 地址绑定的功能。一旦绑定之后，交换机的 ARP 表就固定了，任何 ARP 欺骗都无法修改交换机的 ARP 表，同时也就保证了路由的准确性。a)AM命令（以下研讨都是以H3C设备命令为例）使用特殊的AM User-bind命令，来完成IP地址与MAC地址之间的绑定，即与绑定的IP地址或者MAC地址不同的PC机，在任何端口都无法上网。例如：SwitchAam user-bind ip-address 10.1.1.2

17、 mac-address 00e0-fc22-f8d3 b)arp命令使用特殊的arp static命令，来完成IP地址与MAC地址之间的绑定。例如：SwitchAarp static 10.1.1.2 00e0-fc22-f8d3 c)端口+IP+MAC使用特殊的AM User-bind命令，来完成IP-MAC地址与端口之间的绑定。例如：SwitchAam user-bind ip-address 10.1.1.2 mac-address 00e0-fc22-f8d3 interface Ethernet 1/0/1（三）在交换机上设置虚拟局域网(VLAN)由于广播信息不能跨越虚拟局域网，因

18、此通过划分 VLAN的方法，减小了 ARP广播的范围，从而有效的减小了 ARP 欺骗带来的影响。网络管理管理人员利用上面介绍的ARP木马检测方法在局域网的交换机上查出受感染该病毒的端口后，立即关闭中病毒的端口，通过端口查出相应的用户并通知其彻底查杀病毒。而后，做好单机防范，在其彻底查杀病毒后再开放相应的交换机端口，重新开通上网。#如现在市面上流行的H3C网络设备配置命令如下：H3Cinterface GigabitEthernet 1/0/1 进入千兆口1口H3C-Ethernet1/0/1shutdown 关闭端口H3C-Ethernet1/0/1undo shutdown 打开（取消关闭）

19、端口其他厂商命令可能不一样，例如思科的打开端口命令就是 no shutdown，但是所实现的功能都是一样的。（四）ARP报文限速功能H3C低端以太网交换机支持端口ARP报文限速功能，使受到攻击的端口暂时关闭，来避免此类攻击对CPU的冲击。开启某个端口的ARP报文限速功能后，交换机对每秒内该端口接收的ARP报文数量进行统计，如果每秒收到的ARP报文数量超过设定值，则认为该端口处于超速状态（即受到ARP报文攻击）。此时，交换机将关闭该端口，使其不再接收任何报文，从而避免大量ARP报文攻击设备。同时，设备支持配置端口状态自动恢复功能，对于配置了ARP限速功能的端口，在其因超速而被交换机关闭后，经过一

20、段时间可以自动恢复为开启状态。#开启SwitchA的端口Ethernet1/0/2上的ARP报文限速功能。H3CinterfaceEthernet1/0/2H3C-Ethernet1/0/2arprate-limitenableH3C-Ethernet1/0/2arprate-limit20#配置端口状态自动恢复功能，恢复时间间隔为100秒。H3Carpprotective-downrecoverenableH3Carpprotective-downrecoverinterval100（五）交换机上配置DHCP Snooping和ARP入侵检测功能在接入交换机SwitchA和SwitchB上开

21、启DHCPsnooping功能，并配置与DHCP服务器相连的端口为DHCPsnooping信任端口。ARP入侵检测功能H3C低端以太网交换机支持将收到的ARP（请求与回应）报文重定向到CPU，结合DHCPSnooping安全特性来判断ARP报文的合法性并进行处理，具体如下。当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCPSnooping表项或者手工配置的IP静态绑定表项匹配，且ARP报文的入端口及其所属VLAN与DHCPSnooping表项或者手工配置的IP静态绑定表项一致，则为合法ARP报文，进行转发处理，不一致则为非法ARP报文，直接丢弃。#配置SwitchA的上行口为DHCP

22、snooping信任端口。H3Cinterfaceethernet1/0/1H3C-Ethernet1/0/1dhcp-snoopingtrust#开启DHCPsnooping。H3Cdhcp-snooping#配置SwitchA的上行口为ARP信任端口。H3Cinterfaceethernet1/0/1H3C-Ethernet1/0/1arpdetectiontrust#开启VLAN10内所有端口的ARP入侵检测功能。H3Cvlan10H3C-vlan10arpdetectionenable五、【ARP防火墙九大功能】（一） 拦截ARP攻击(A) 在系统内核层拦截外部虚假ARP数据包，保障系

23、统不受ARP欺骗、ARP攻击影响，保持网络畅通及通讯安全；(B) 在系统内核层拦截本机对外的ARP攻击数据包，以减少感染恶意程序后对外攻击给用户带来的麻烦；（二） 拦截IP冲突在系统内核层拦截IP冲突数据包，保障系统不受IP冲突攻击的影响；（三）Dos攻击抑制在系统内核层拦截本机对外的TCP SYN/UDP/ICMP/ARP DoS攻击数据包，定位恶意发动DoS攻击的程序，从而保证网络的畅通；（四）安全模式除了网关外，不响应其它机器发送的ARP Request，达到隐身效果，减少受到ARP攻击的几率；（五）ARP数据分析分析本机接收到的所有ARP数据包，掌握网络动态，找出潜在的攻击者或中毒的机

24、器；（六）监测ARP缓存自动监测本机ARP缓存表，如发现网关MAC地址被恶意程序篡改，将报警并自动修复，以保持网络畅通及通讯安全；（七）主动防御主动与网关保持通讯，通告网关正确的MAC地址，以保持网络畅通及通讯安全；（八）追踪攻击者发现攻击行为后，自动快速锁定攻击者IP地址； （九）ARP病毒专杀发现本机有对外攻击行为时，自动定位本机感染的恶意程序、病毒程序； 附录一-详解ARP九大功能金山ARP防火墙就完美的验证了arp防火墙的九大功能：金山ARP防火墙能够双向拦截ARP欺骗攻击包，监测锁定攻击源，时刻保护局域网用户PC的正常上网数据流向，是一款是适于个人用户的反ARP欺骗保护工具！1、网关

25、动态探测+识别识破伪造的网关地址动态获取、并分析判断后为受保护PC绑定正确的网关地址，从而时刻保障保护本机上网数据的正确流向。同时也支持用户手动设置绑定网关地址。2、主动向真网关表明合法身份双向拦截ARP攻击外部攻击、本机受感染攻击均不影响使用拦截来自外部接受或是由本机发出的ARP攻击数据包并提醒用户，保障本机及其它PC的网络通畅。3、保护本机不受IP冲突攻击的影响攻击源追踪锁定，抓住罪魁祸首拦截到ARP攻击包后立即追踪攻击源，找出安全威胁源头。4、主动实时升级主动漏洞修复。让受保护PC在局域网隐身，恶性攻击无从下手独有“安全桌面”：采用底层驱动技术特殊保护下的独立空间，有效隔绝盗号木马的各种

26、攻击，尤其适合进行全屏游戏的时候使用，并且和正常桌面之间的切换方便无门槛。当程序在密保的保护下运行时，如有其他程序对其产生注入等可疑行为的时候，利用金山毒霸强大的互联网可信认证技术，利用强大的后台数据支持来判断安全与否，从而最大程度的减少对用户的骚扰，且更有利于拦截危险程序5、可疑行为拦截+互联网可信认证当程序在密保的保护下运行时，如有其他程序对其产生注入等可疑行为的时候，利用金山毒霸强大的互联网可信认证技术，利用强大的后台数据支持来判断安全与否，从而最大程度的减少对用户的骚扰，且更有利于拦截危险程序。当程序在密保的保护下运行时，如有其他程序对其产生注入等可疑行为的时候，利用金山毒霸强大的互联

27、网可信认证技术，利用强大的后台数据支持来判断安全与否，从而最大程度的减少对用户的骚扰，且更有利于拦截危险程序。对被保护进程使用了进程隐藏功能之后，如同穿上了传说中的隐身衣，这些进程将无法被Ring3层的其他程序所发现。从而加大了木马查找并攻击这些程序的难度。结语：以上网络给人们带来了很大的便利，但随之而来的安全问题让当初的设计者们始料未及。ARP 的欺骗正是利用了 ARP 协议设计上的缺陷，给网络安全、信息安全、甚至财产安全带来极大隐患。但只要我们能从原理出发，找到问题的“症结”所在，利用行之有效的解决方法和防范措施，就能减小或消灭ARP 病毒带来的危害，从而确保网络的畅通和数据的安全。致 谢此论文是在我的导师杨丕华老师的指导下完成的，让我更加顺利的完成了毕业论文的撰写，并学到了不少知识，感谢导师！参考文献: 华三通信技术有限公司 路由交换技术上下册 清华大学出版社兰少华 TCP/IP网络与协议 清华大学出版社华三通信技术有限公司 H3C防ARP攻击配置举例 华三公司张玉清 网络攻击与防御技术 清华大学出版社李德全 拒绝服务攻击 电子工业出版社