基于ARP 偽裝技術(shù)的IP 地址防盜用方案的研究

1、基于ARP偽裝技術(shù)的IP地址防盜用方案的研究杜暖男 馬瑩瑩（平頂山工業(yè)職業(yè)技術(shù)學(xué)院，河南平頂山 467001）1 研究背景眾所周之，IP地址的盜用對(duì)網(wǎng)絡(luò)的正常運(yùn)行是十分有害的。一方面，非法用戶盜用合法用戶的IP地址以獲得特殊的訪問(wèn)權(quán)限；另一方面，非法用戶盜用未分配的IP地址，對(duì)正常的網(wǎng)絡(luò)運(yùn)行和應(yīng)用進(jìn)行破壞。因此，當(dāng)前找出在通用網(wǎng)絡(luò)模型下IP地址防盜用的方法是十分有必要的。2 IP地址防盜用方案模式分析2.1 IP-MAC模型IP-MAC模型是人們較早提出的一種模型。IP地址盜用的問(wèn)題歸根結(jié)底是解決IP地址的唯一性的問(wèn)題，而在實(shí)踐中IP地址的唯一性很難保證。正如前面所分析的，在目前日益廣泛應(yīng)用的

2、Linux系統(tǒng)下，用戶可以隨意地更改所使用的主機(jī)的IP地址，因此IP地址的唯一性需要依賴于其他本身具有唯一性的因素來(lái)保持。2.2 IP-MAC-USER模型針對(duì)成對(duì)修改IP-MAC地址和動(dòng)態(tài)修改IP的IP地址盜用方式，人們提出了IP-MAC-USER模型。IP-MAC-USER模型的原理是，在采用IP-MAC模型實(shí)現(xiàn)IP綁定MAC地址的基礎(chǔ)上，在重點(diǎn)、高危險(xiǎn)網(wǎng)段實(shí)施IP同時(shí)綁定MAC地址和用戶，即在IP-MAC綁定的同時(shí)，檢驗(yàn)與IP相對(duì)應(yīng)的用戶名和口令，實(shí)現(xiàn)IP綁定用戶。這種方案對(duì)成對(duì)修改IP-MAC地址和動(dòng)態(tài)修改IP的IP地址盜用方式能夠進(jìn)行徹底的防范，是一種普遍防御和重點(diǎn)防范相結(jié)合的方案。

3、IP-MAC-USER模型不能簡(jiǎn)化為IP-USER模型，那樣就會(huì)帶來(lái)大量IP用戶管理的麻煩，同時(shí)造成網(wǎng)絡(luò)使用的不便。2.3 IP-MAC-PORT模型隨著共享式以太網(wǎng)向交換式以太網(wǎng)的發(fā)展，具有簡(jiǎn)單網(wǎng)絡(luò)管理功能的交換機(jī)越來(lái)越為人們所采用。在這種形勢(shì)下人們提出了IP-MAC-PORT模型。IP-MAC-PORT模型的原理是，在交換以太網(wǎng)環(huán)境下，將IP地址與MAC地址、主機(jī)所連接的交換機(jī)端口同時(shí)綁定，即在檢驗(yàn)（IP，MAC）地址對(duì)的同時(shí)，檢驗(yàn)IP對(duì)應(yīng)的交換機(jī)端口。3 基于ARP偽裝技術(shù)的IP地址防盜用方案3.1 ARP協(xié)議分析ARP（地址解析協(xié)議）用于將IP地址映射為硬件地址（MAC地址），它是TC

4、P/IP協(xié)議組中的一個(gè)非常重要的協(xié)議，在OSI七層網(wǎng)絡(luò)模型中，網(wǎng)絡(luò)層下面是數(shù)據(jù)鏈路層，為了它們可以互通，需要轉(zhuǎn)換協(xié)議。ARP（地址解析協(xié)議）用于把網(wǎng)絡(luò)層（第三層）地址映射到數(shù)據(jù)鏈路層（第二層）地址，RARP（反向地址解析協(xié)議）則反之。網(wǎng)絡(luò)層地址是由網(wǎng)絡(luò)管理員定義的抽象映射，它不去關(guān)心下層是哪種數(shù)據(jù)鏈路層協(xié)議。然而，網(wǎng)絡(luò)接口只能根據(jù)第二層地址來(lái)互相通信，第二層地址通過(guò)ARP從第三層地址得到。并不是發(fā)送每個(gè)數(shù)據(jù)包都需要進(jìn)行ARP請(qǐng)求，ARP應(yīng)答被緩存在本地的ARP表中，這樣就減少了網(wǎng)絡(luò)中的ARP包。3.2 ARP偽裝技術(shù)利用ARP協(xié)議的無(wú)認(rèn)證特性，假設(shè)主機(jī)Q與X，Y在同一局域網(wǎng)內(nèi)，Y向X發(fā)送ARP

5、應(yīng)答后，Q偽裝成Y，再向X發(fā)送一個(gè)以<Ipy，MACq>為源地址的ARP包或向Y發(fā)一個(gè)以<Ipx，MACq>為源地址的ARP包，就會(huì)更新X或Y的ARP緩存表，使X將Ipy的MAC地址解析為MACq或使Y將Ipx的地址解析為MACq，這就是ARP偽裝技術(shù)。Q應(yīng)用ARP偽裝技術(shù)修改X和Y的ARP緩存表后，X和Y發(fā)給對(duì)方的IP數(shù)據(jù)報(bào)都會(huì)發(fā)向MAC地址MACq.若MACq為網(wǎng)絡(luò)內(nèi)不存在的空MAC地址，則X，Y可以繼續(xù)向?qū)Ψ桨l(fā)IP數(shù)據(jù)包，但對(duì)方收不到，X，Y之間的網(wǎng)絡(luò)通信無(wú)法實(shí)現(xiàn)，本文稱之為ARP截?cái)唷；贏RP偽裝技術(shù)的IP防盜用方法就是采用ARP截?cái)嗟姆椒ǎ笽P盜用主機(jī)無(wú)法

6、進(jìn)行網(wǎng)絡(luò)通信，從而實(shí)現(xiàn)IP地址防盜用。3.3 應(yīng)用ARP偽裝技術(shù)實(shí)現(xiàn)IP-MAC模型隨著技術(shù)的發(fā)展，有些IP盜用者采用修改主機(jī)MAC地址的方法，來(lái)避開(kāi)IP防盜用系統(tǒng)。雖然修改MAC并不容易，但I(xiàn)P防盜用系統(tǒng)也應(yīng)對(duì)其防范。對(duì)于修改MAC的盜用方法，可在子網(wǎng)的IP-MAC地址庫(kù)中增加一項(xiàng)IP開(kāi)關(guān)狀態(tài)標(biāo)志，此標(biāo)志項(xiàng)由用戶自行管理，當(dāng)用戶要退出網(wǎng)絡(luò)時(shí)，訪問(wèn)IP-MAC地址庫(kù)，將分配給他的IP地址所對(duì)應(yīng)的開(kāi)關(guān)狀態(tài)標(biāo)志項(xiàng)設(shè)置為關(guān)閉；當(dāng)用戶重新使用網(wǎng)絡(luò)時(shí)，再次訪問(wèn)IP-MAC地址庫(kù)將開(kāi)關(guān)狀態(tài)標(biāo)志打開(kāi)。對(duì)于ARP監(jiān)聽(tīng)模塊，在將ARP包中的源IP地址與IP-MAC地址庫(kù)比對(duì)時(shí)，增加一個(gè)判斷IP地址開(kāi)關(guān)狀態(tài)標(biāo)志項(xiàng)

7、的進(jìn)程，如開(kāi)關(guān)狀態(tài)標(biāo)志項(xiàng)己關(guān)閉，就可判斷為修改MAC地址的IP地址盜用，隨即調(diào)用ARP截?cái)嗄K。ARP截?cái)嗄K不必做修改。在IP防盜用軟件運(yùn)行的系統(tǒng)上開(kāi)啟Web服務(wù)，采用JSP技術(shù)開(kāi)發(fā)一個(gè)B/S模式的Web數(shù)據(jù)庫(kù)系統(tǒng)，使用戶可以經(jīng)過(guò)必要的用戶、口令認(rèn)證后，用瀏覽器訪問(wèn)IP-MAC地址庫(kù)，管理IP地址開(kāi)關(guān)狀態(tài)標(biāo)志。通過(guò)以上方案的實(shí)施即實(shí)現(xiàn)了基于IP-MAC-USER三元素的IP地址防盜用模型，又可對(duì)成對(duì)修改IP-MAC地址和動(dòng)態(tài)修改IP地址的IP地址盜用方式進(jìn)行有效地防范。3.4 通過(guò)ARP地址欺騙技術(shù)防范IP地址盜用下面以例子的方式說(shuō)明ARP地址解析和ARP地址欺騙防：止IP地址盜用。A機(jī)器上

8、運(yùn)行如下：C：>arp aInterface 1 92 1 68 1 0 1 on Interface 0x1 000003Internet Address PhysicaI Address Type192.168.10.3 CCCCCCCCCCCC dynamic這是192. 168. 1 01（主機(jī)A）上的ARP緩存表，假設(shè)A進(jìn)行一次ping 192. 168. 10 .3（主機(jī)C）操作，會(huì)查詢本地的ARP緩存表，找到C的IP地址對(duì)應(yīng)的MAC地址。以便對(duì)傳輸?shù)膸M(jìn)行封裝，這樣就可以進(jìn)行數(shù)據(jù)傳輸，幀的目的MAC地址就是C的MAC地址。如果A中沒(méi)有C的ARP記錄，那么A首先要廣播一次AR

9、P請(qǐng)求。當(dāng)C接收到A的請(qǐng)求后就發(fā)送一個(gè)應(yīng)答，應(yīng)答中包含有C的MAC地址，這就是ARP地址解析的過(guò)程，然后A接收到C的應(yīng)答就會(huì)更新本地的ARP緩存。接著使用這個(gè)MAC地址發(fā)送數(shù)據(jù)。因此本地高速緩存的這個(gè)ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個(gè)緩存是動(dòng)態(tài)的。但是ARP協(xié)議并不只在發(fā)送了ARP請(qǐng)求才接收ARP應(yīng)答。這也就是利用ARP地址欺騙技術(shù)達(dá)到防止IP地址盜用的理論基礎(chǔ)了。當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候，就會(huì)對(duì)本地的ARP緩存進(jìn)行更新，將應(yīng)答中的IP-TnMAC地址存儲(chǔ)在ARP緩存中。因此，在上面的假設(shè)網(wǎng)絡(luò)中，B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答 而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192. 168. 10.3（C的IP地址） MAC地址是DDDDDDDDDD-DD(C的MAC地址本來(lái)應(yīng)該是CCCCCCCCCCCC 這里被偽造了)。當(dāng)A接收到B偽造的ARP應(yīng)答，就會(huì)更新本地的ARP緩存(A可不知道被偽造了)。4 小結(jié)盜用技術(shù)的發(fā)展與反盜用技術(shù)的進(jìn)步是一個(gè)此長(zhǎng)彼消，互相促進(jìn)的過(guò)程。要很好解決這個(gè)問(wèn)題，一方面需要依靠反盜用技術(shù)的不斷提高，另一方面還需要法律、法規(guī)和各項(xiàng)網(wǎng)絡(luò)管理制度的健全和完善。亦即，一方面要不斷地提高網(wǎng)絡(luò)的管理水平，研究新的網(wǎng)絡(luò)技術(shù)，另一方面還要對(duì)敢于進(jìn)行IP地址盜用、破壞網(wǎng)絡(luò)安全的人，按