ARP協(xié)議的安全缺陷及改進(jìn)

1、ARP協(xié)議的安全缺陷及改進(jìn) 組員： ARP協(xié)議的安全缺陷及改進(jìn) 1.ARP協(xié)議概述 2.ARP協(xié)議的缺陷 3.目前的一些改進(jìn)技術(shù) 4.我們提出的改進(jìn)方法 5.方法對比 ARP協(xié)議概述 ARP協(xié)議： ARP（AddressResolutionProtocol）地址解析協(xié)議用于將計算機(jī)的網(wǎng)絡(luò)地址（IP地址32位）轉(zhuǎn)化為物理地址（MAC地址48位）。在以太網(wǎng)中，一個主機(jī)要和另一個主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但這個目標(biāo)MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。 ARP32bit IP地址48bit MAC地址ARP協(xié)議概述ARP協(xié)議原理 A首先廣播一個 ARP 查詢

2、報文，請求 IP 地址為IPB的主機(jī)回答其物理地址， ARP 查詢包同時帶有主機(jī) A 的 MAC地址 MA、PA。收到 ARP 查詢包后，網(wǎng)上所有主機(jī)將其 MAC 地址緩沖區(qū)中的主機(jī) A 的 MAC 地址更新為剛剛收到的 ARP查詢包中攜帶的地址MA，并將此 ARP 報文中要查詢的 IP 地址（IPB）和自己的 IP地址比較，顯然，主機(jī) B 收到這 ARP 請求包后作出回答：向 A 發(fā)回一個 ARP 應(yīng)答包，回答自己的物理地址 MB。在查詢主機(jī) B 的 ARP 查詢包中包含有主機(jī) A 的 MAC 地址，B采用點對點的方式將 ARP 應(yīng)答包發(fā)送給主機(jī) A。這樣B與A建立了連接。ARP協(xié)議的缺陷A

3、CDB路由PA MA PBPB MBARP工作原理圖 A與B建立連接如圖所示：ARP協(xié)議的缺陷 ARP協(xié)議的缺陷： 沒有對ARP報文來源是否合法進(jìn)行驗證，也不會檢查ARP是否發(fā)送過相應(yīng)的報文，造成的攻擊主要有： 1.ARP 中間人攻擊“中間人”攻擊策略是ARP 欺騙主要攻擊方式。也是最危險的攻擊方式。中間人攻擊是指攻擊者插入通信雙方的連接中, 截獲并轉(zhuǎn)發(fā)雙方的數(shù)據(jù)包的行為。通過這種行為, 攻擊者可以探測到機(jī)密的信息, 甚至篡改信息的內(nèi)容。ARP協(xié)議的缺陷BACMA PBMA PC 中間人攻擊示意圖 A在B、C沒有發(fā)送請求的情況下分別向B、C直接發(fā)送應(yīng)答報文，分別攜帶MA PC 、MA PB。B

4、、C更新緩存，A作為攻擊者先后與A、C建立連接。最終使A成為了中間收聽人。B、C之間的所有通信都要經(jīng)過A。中間人ARP協(xié)議的缺陷 2.一請求，多回答 主機(jī)通過廣播方式發(fā)送請求，網(wǎng)絡(luò)中的所有其它主機(jī)都收到請求報文，并與自己的IP比對。如果存在惡意節(jié)點，即使IP地址與自己不匹配，也發(fā)出應(yīng)答。這樣，原主機(jī)將會受到多個應(yīng)答報文，我們稱這種方式為“一請求、多應(yīng)答”。ARP協(xié)議的缺陷ACBDMA PA PBPB MBPB MD攻擊者 主機(jī)發(fā)送ARP請求報文之后，結(jié)果收到多個回答，這種方式使得主機(jī)混亂，無法辨別真假。 多回答攻擊示意圖目前的一些改進(jìn)技術(shù) 目前已有如下針對ARP 欺騙的一些方法： (1) (1

5、)靜態(tài)靜態(tài)ARPARP。 ARP ARP 緩存表是可以動態(tài)改變的，如果使用靜態(tài)緩存表是可以動態(tài)改變的，如果使用靜態(tài)ARPARP，在小型的局域網(wǎng)還是可以的，但其主要的缺點是在小型的局域網(wǎng)還是可以的，但其主要的缺點是不夠靈活，如更換網(wǎng)卡，主機(jī)的加入和退出都要不夠靈活，如更換網(wǎng)卡，主機(jī)的加入和退出都要重新配置重新配置ARPARP表。表。目前的一些改進(jìn)技術(shù)(2)(2)會話加密。會話加密。 在通信過程中采用加密技術(shù)，即使連接被截獲，在通信過程中采用加密技術(shù)，即使連接被截獲，也不能夠輕易獲得有效數(shù)據(jù)，缺點是加密、解也不能夠輕易獲得有效數(shù)據(jù)，缺點是加密、解密過程相對來說比較消耗資源，性能較差。密過程相對來說

6、比較消耗資源，性能較差。（3 3）協(xié)議狀態(tài)機(jī)）協(xié)議狀態(tài)機(jī)在在ARP ARP 協(xié)議中加入一個有限狀態(tài)機(jī)，其目的是在協(xié)議中加上合法驗協(xié)議中加入一個有限狀態(tài)機(jī)，其目的是在協(xié)議中加上合法驗證過程。狀態(tài)機(jī)設(shè)計如圖所示，產(chǎn)生任何證過程。狀態(tài)機(jī)設(shè)計如圖所示，產(chǎn)生任何ARPARP請求時，置初始狀態(tài)為請求時，置初始狀態(tài)為InitialInitial，當(dāng)成功發(fā)送，當(dāng)成功發(fā)送ARP ARP 請求后置狀態(tài)請求后置狀態(tài)RequestedRequested，在該狀態(tài)時，在該狀態(tài)時，可能會收不到應(yīng)答而超時，重新進(jìn)入可能會收不到應(yīng)答而超時，重新進(jìn)入InitialInitial；收到；收到ARP ARP 應(yīng)答時，應(yīng)答時，進(jìn)入進(jìn)

7、入Answered Answered 狀態(tài)，當(dāng)狀態(tài)，當(dāng)ARPARP更新完成后，重新進(jìn)入更新完成后，重新進(jìn)入InitialInitial；凡是；凡是重新回到重新回到Initial Initial 狀態(tài)時，都可以銷毀該請求項。此方法沒有解決狀態(tài)時，都可以銷毀該請求項。此方法沒有解決“一請求，多應(yīng)答一請求，多應(yīng)答”問題。問題。目前的一些改進(jìn)技術(shù)InitialRequestedAnswered發(fā)送請求發(fā)送請求超時超時收到應(yīng)答收到應(yīng)答更新更新ARP表表目前的一些改進(jìn)技術(shù) （4 4） ARP ARP 欺騙檢測服務(wù)器欺騙檢測服務(wù)器 其實現(xiàn)原理為其實現(xiàn)原理為: : 該服務(wù)器獲取網(wǎng)段中的所有該服務(wù)器獲取網(wǎng)段中的

8、所有ARP ARP 應(yīng)答報文應(yīng)答報文, , 并假設(shè)并假設(shè)這些報文是這些報文是ARP ARP 欺騙報文欺騙報文, ,提取應(yīng)答報文中的源提取應(yīng)答報文中的源IPIP地址后地址后, ,服務(wù)器向服務(wù)器向該該IPIP地址主機(jī)發(fā)送地址主機(jī)發(fā)送ARPARP請求請求, ,將得到的正確將得到的正確MACMAC地址與原應(yīng)答報文中的地址與原應(yīng)答報文中的MACMAC地址比較。若不一致地址比較。若不一致, ,則原應(yīng)答報文存在欺騙。當(dāng)檢測到欺騙應(yīng)則原應(yīng)答報文存在欺騙。當(dāng)檢測到欺騙應(yīng)答報文后答報文后, ,服務(wù)器向被欺騙的主機(jī)發(fā)送正確的服務(wù)器向被欺騙的主機(jī)發(fā)送正確的ARPARP應(yīng)答應(yīng)答, ,以恢復(fù)其緩存以恢復(fù)其緩存中的中的IP

9、-MACIP-MAC地址對應(yīng)關(guān)系。但是地址對應(yīng)關(guān)系。但是, ,當(dāng)網(wǎng)絡(luò)中存在當(dāng)網(wǎng)絡(luò)中存在ARPARP攻擊時攻擊時, ,會出現(xiàn)大會出現(xiàn)大量量ARPARP欺騙應(yīng)答報文欺騙應(yīng)答報文, , 并造成網(wǎng)絡(luò)擁塞并造成網(wǎng)絡(luò)擁塞, ,如果采用上述的恢復(fù)機(jī)制如果采用上述的恢復(fù)機(jī)制, ,對對每個欺騙報文都發(fā)送正確的每個欺騙報文都發(fā)送正確的ARP ARP 應(yīng)答應(yīng)答, ,只會加重網(wǎng)絡(luò)負(fù)擔(dān)只會加重網(wǎng)絡(luò)負(fù)擔(dān), ,并且服務(wù)并且服務(wù)器在檢驗應(yīng)答報文真實性時器在檢驗應(yīng)答報文真實性時, ,也采取了主動發(fā)送也采取了主動發(fā)送ARPARP請求的方法請求的方法, ,增加增加了一定的網(wǎng)絡(luò)負(fù)載。了一定的網(wǎng)絡(luò)負(fù)載。改進(jìn)方法1.1.終端處在關(guān)閉態(tài)時

10、，不接受任何終端處在關(guān)閉態(tài)時，不接受任何ARPARP應(yīng)答報文應(yīng)答報文2.2.當(dāng)終端當(dāng)終端ARPARP請求發(fā)送成功，轉(zhuǎn)換到開啟態(tài)。并記請求發(fā)送成功，轉(zhuǎn)換到開啟態(tài)。并記錄目的端的錄目的端的IPIP地址，例如：地址，例如：IP_aIP_a3.3.在開啟態(tài)的時間在開啟態(tài)的時間t t中，只接收源端中，只接收源端IPIP地址為地址為IP_aIP_a 的應(yīng)答的應(yīng)答ARPARP報文，經(jīng)過時間報文，經(jīng)過時間t t后后, ,轉(zhuǎn)到關(guān)閉態(tài)轉(zhuǎn)到關(guān)閉態(tài) 一.針對“中間人”缺陷的解決關(guān)閉態(tài)開啟態(tài)ARP請求發(fā)送成功超過時間t改進(jìn)方法二.針對“一請求，多回答”缺陷的解決1.服務(wù)器開始工作時發(fā)送一個廣播服務(wù)器開始工作時發(fā)送一個廣

11、播報文，通知各終端上報各自的報文，通知各終端上報各自的IP地址和地址和Mac地址地址2.收到收到IP地址和地址和Mac地址后，建立地址后，建立一張映射表，每一條記錄存放一張映射表，每一條記錄存放IP地址和地址和Mac地址的對應(yīng)地址的對應(yīng)0IP_aMac_a11IP_bMac_b12IP_cMac_c1CBA服務(wù)器改進(jìn)方法3.3.當(dāng)當(dāng)A A遇到遇到“一請求，多回答一請求，多回答”的問題后，就立即向服務(wù)器發(fā)的問題后，就立即向服務(wù)器發(fā)送詢問報文，來詢問送詢問報文，來詢問IP_bIP_b地址地址所對應(yīng)的所對應(yīng)的MacMac地址地址4.4.收到詢問報文后，服務(wù)器根收到詢問報文后，服務(wù)器根據(jù)據(jù)IP_bIP

12、_b地址來查詢映射表，如地址來查詢映射表，如果查詢到則返回果查詢到則返回Mac_bMac_b，如果，如果沒查詢到則詢問其他服務(wù)器。沒查詢到則詢問其他服務(wù)器。若其他服務(wù)器也沒查詢到，則若其他服務(wù)器也沒查詢到，則返回錯誤返回錯誤5.A5.A收到回答后，若內(nèi)容為收到回答后，若內(nèi)容為MacMac地址，則更新地址，則更新ARPARP緩存，若內(nèi)緩存，若內(nèi)容為錯誤，則放棄通信容為錯誤，則放棄通信CBA服務(wù)器惡意B的請求報文B的應(yīng)答報文C的惡意報文詢問詢問報文報文響應(yīng)響應(yīng)報文報文改進(jìn)方法6.6.由于網(wǎng)絡(luò)是動態(tài)變化的，所以必須保證服務(wù)器中映射由于網(wǎng)絡(luò)是動態(tài)變化的，所以必須保證服務(wù)器中映射表的有效性。由于表的有效

13、性。由于ARPARP請求報文是廣播的，而且包含源請求報文是廣播的，而且包含源端端IPIP地址和源端地址和源端MacMac地址。所以可以通過獲取每個地址。所以可以通過獲取每個ARPARP請請求報文中源端求報文中源端IPIP地址和源端地址和源端MacMac地址來保證映射表的有地址來保證映射表的有效性。效性。7.7.在每條記錄后面有個標(biāo)志位。服務(wù)器會有個計時器，在每條記錄后面有個標(biāo)志位。服務(wù)器會有個計時器，每經(jīng)過時間每經(jīng)過時間T T一輪回（一輪回（T T為為ARPARP緩存更新間隔的緩存更新間隔的2 2倍）。當(dāng)倍）。當(dāng)標(biāo)志位為標(biāo)志位為1 1時，說明在時間時，說明在時間T T內(nèi)收到了該記錄的內(nèi)收到了該

14、記錄的ARPARP請求請求報文；當(dāng)標(biāo)志位為報文；當(dāng)標(biāo)志位為0 0時，說明在時間時，說明在時間T T內(nèi)沒有收到該記錄內(nèi)沒有收到該記錄的的ARPARP請求報文。請求報文。改進(jìn)方法（1 1）當(dāng)發(fā)生終端更換時）當(dāng)發(fā)生終端更換時例如：例如：B B換成換成D D。即：。即：D D替代了替代了B B的位址，的位址，D D用的是用的是B B的的IPIP地址，地址，此時服務(wù)器的映射表必須相應(yīng)改變。此時服務(wù)器的映射表必須相應(yīng)改變。由于由于D D新加入到網(wǎng)絡(luò)中，只要新加入到網(wǎng)絡(luò)中，只要D D與其他終端通信或者與其他終端通信或者ARPARP定定時更新就會發(fā)送時更新就會發(fā)送ARPARP請求報文，此時服務(wù)器就可以得到該請

15、求報文，此時服務(wù)器就可以得到該報文，從而得到報文，從而得到D D的的IPIP地址和地址和MacMac地址，然后和表中的每條地址，然后和表中的每條記錄比較，這時服務(wù)器發(fā)現(xiàn)記錄比較，這時服務(wù)器發(fā)現(xiàn)D D的的IPIP地址和地址和B B的的IPIP地址一樣，地址一樣，就會向就會向B B和和D D分別發(fā)送點對點的試探報文。由于分別發(fā)送點對點的試探報文。由于B B不在了，不在了，所以服務(wù)器只收到了所以服務(wù)器只收到了D D的響應(yīng)報文，服務(wù)器就將的響應(yīng)報文，服務(wù)器就將B B記錄刪除，記錄刪除，D D記錄寫入，實現(xiàn)更新。記錄寫入，實現(xiàn)更新。改進(jìn)方法0IP_aMac_a11IP_bMac_b12IP_cMac_c

16、1IP_dMac_dIP_d = IP_b0IP_aMac_a11IP_dMac_d12IP_cMac_c1CBA服務(wù)器D請求報文B試探報文D試探報文D響應(yīng)報文改進(jìn)方法 （2 2）當(dāng)發(fā)生終端增加時）當(dāng)發(fā)生終端增加時 例如：網(wǎng)絡(luò)中增加了例如：網(wǎng)絡(luò)中增加了E E 由于由于E E新加入到網(wǎng)絡(luò)中，只要新加入到網(wǎng)絡(luò)中，只要E E與其他終端通信或者與其他終端通信或者ARPARP定定時更新就會發(fā)送時更新就會發(fā)送ARPARP請求報文，此時服務(wù)器就可以得到該請求報文，此時服務(wù)器就可以得到該報文，從而得到報文，從而得到E E的的IPIP地址和地址和MacMac地址，然后和表中的每條地址，然后和表中的每條記錄比較，

17、這時每條都不一樣，就增加一條記錄。如果映記錄比較，這時每條都不一樣，就增加一條記錄。如果映射表已滿，則依據(jù)每條記錄后面的標(biāo)志位決定。此時刪除射表已滿，則依據(jù)每條記錄后面的標(biāo)志位決定。此時刪除標(biāo)志位為標(biāo)志位為0 0的記錄，然后將的記錄，然后將E E的記錄寫入。的記錄寫入。改進(jìn)方法0IP_aMac_a11IP_bMac_b12IP_cMac_c1IP_eMac_eCBA服務(wù)器E0IP_aMac_a11IP_bMac_b12IP_cMac_c13IP_eMac_e1請求報文改進(jìn)方法 （3 3）當(dāng)發(fā)生終端減少時）當(dāng)發(fā)生終端減少時 例如：例如：A A退出了網(wǎng)絡(luò)退出了網(wǎng)絡(luò) 此時服務(wù)器不做任何處理。由于此時

18、服務(wù)器不做任何處理。由于A A終端已退出網(wǎng)絡(luò)，經(jīng)過終端已退出網(wǎng)絡(luò)，經(jīng)過一段時間，一段時間，A A記錄的標(biāo)記必為記錄的標(biāo)記必為0 0，會被替換，會被替換，A A的記錄自然的記錄自然就刪除了。就刪除了。方法比較1.1.與靜態(tài)與靜態(tài)ARPARP相比，本方法采用動態(tài)相比，本方法采用動態(tài)ARPARP，靈活性高，靈活性高2.2.與會話加密相比，會話加密會增加終端資源消耗，不管與會話加密相比，會話加密會增加終端資源消耗，不管是否受到攻擊。本方法在沒有是否受到攻擊。本方法在沒有ARPARP攻擊時，終端只需要攻擊時，終端只需要比較比較ARPARP應(yīng)答報文的源應(yīng)答報文的源IPIP地址；在受到攻擊時，增加向地址；在受到攻擊時，增加向服務(wù)器詢問的開銷。兩者相比本方法資源消耗小。服務(wù)器詢問的開銷。兩者相比本方法資源消耗小。3.3.協(xié)議狀態(tài)機(jī)沒有解決協(xié)議狀態(tài)機(jī)沒有解決“一請求，多應(yīng)答一請求，多應(yīng)答”問題，本方法問題，本方法解決了解決了方法比較4.4.與與ARP ARP