第一篇：關于針對基于ARP偽裝技術的IP地址防盜用方案的研究

HR Planning System Integration and Upgrading Research of

A Suzhou Institution

基于ARP偽裝技術的IP地址防盜用方案的研究

杜暖男 馬瑩瑩

（平頂山工業(yè)職業(yè)技術學院，河南平頂山 467001）

1研究背景

眾所周之，IP地址的盜用對網絡的正常運行是十分有害的。一方面，非法用戶盜用合法用戶的IP地址以獲得特殊的訪問權限；另一方面，非法用戶盜用未分配的IP地址，對正常的網絡運行和應用進行破壞。因此，當前找出在通用網絡模型下IP地址防盜用的方法是十分有必要的。

2IP地址防盜用方案模式分析

2.1IP-MAC模型

IP-MAC模型是人們較早提出的一種模型。IP地址盜用的問題歸根結底是解決IP地址的唯一性的問題，而在實踐中IP地址的唯一性很難保證。正如前面所分析的，在目前日益廣泛應用的Linux系統(tǒng)下，用戶可以隨意地更改所使用的主機的IP地址，因此IP地址的唯一性需要依賴于其他本身具有唯一性的因素來保持。

2.2IP-MAC-USER模型

針對成對修改IP-MAC地址和動態(tài)修改IP的IP地址盜用方式，人們提出了IP-MAC-USER模型。

IP-MAC-USER模型的原理是，在采用IP-MAC模型實現(xiàn)IP綁定MAC地址的基礎上，在重點、高危險網段實施IP同時綁定MAC地址和用戶，即在IP-MAC綁定的同時，檢驗與IP相對應的用戶名和口令，實現(xiàn)IP綁定用戶。

這種方案對成對修改IP-MAC地址和動態(tài)修改IP的IP地址盜用方式能夠進行徹底的防范，是一種普遍防御和重點防范相結合的方案。

IP-MAC-USER模型不能簡化為IP-USER模型，那樣就會帶來大量IP用戶管理的麻煩，同時造成網絡使用的不便。

2.3IP-MAC-PORT模型

隨著共享式以太網向交換式以太網的發(fā)展，具有簡單網絡管理功能的交換機越來越為人們所采用。在這種形勢下人們提出了IP-MAC-PORT模型。

IP-MAC-PORT模型的原理是，在交換以太網環(huán)境下，將IP地址與MAC地址、主機所連接的交換機端口同時綁定，即在檢驗（IP，MAC）地址對的同時，檢驗IP對應的交換機端口。

3基于ARP偽裝技術的IP地址防盜用方案

3.1ARP協(xié)議分析

ARP（地址解析協(xié)議）用于將IP地址映射為硬件地址（MAC地址），它是TCP/IP協(xié)議組中的一個非常重要的協(xié)議，在OSI七層網絡模型中，網絡層下面是數(shù)據(jù)鏈路層，為了它們可以互通，需要轉換協(xié)議。ARP（地址解析協(xié)議）用于把網絡層（第三層）地址映射到數(shù)據(jù)鏈路層（第二層）地址，RARP（反向地址解析協(xié)議）則反之。

網絡層地址是由網絡管理員定義的抽象映射，它不去關心下層是哪種數(shù)據(jù)鏈路層協(xié)議。然而，網絡接口只能根據(jù)第二層地址來互相通信，第二層地址通過ARP從第三層地址得到。并不是發(fā)送每個數(shù)據(jù)包都需要進行ARP請求，ARP應答被緩存在本地的ARP表中，這樣就減少了網絡中的ARP包。

3.2ARP偽裝技術

利用ARP協(xié)議的無認證特性，假設主機Q與X，Y在同一局域網內，Y向X發(fā)送ARP應答后，Q偽裝成Y，再向X發(fā)送一個以為源地址的ARP包或向Y發(fā)一個以為源地址的ARP包，就會更新X或Y的ARP緩存表，使X將Ipy的MAC地址解析為MACq或使Y將Ipx的地址解析為MACq，這就是ARP偽裝技術。

Q應用ARP偽裝技術修改X和Y的ARP緩存表后，X和Y發(fā)給對方的IP數(shù)據(jù)報都會發(fā)向MAC地址MACq.若MACq為網絡內不存在的空MAC地址，則X，Y可以繼續(xù)向對方發(fā)IP數(shù)據(jù)包，但對方收不到，X，Y之間的網絡通信無法實現(xiàn)，本文稱之為ARP截斷。

基于ARP偽裝技術的IP防盜用方法就是采用ARP截斷的方法，使IP盜用主機無法進行網絡通信，從而實現(xiàn)IP地址防盜用。

3.3應用ARP偽裝技術實現(xiàn)IP-MAC模型

隨著技術的發(fā)展，有些IP盜用者采用修改主機MAC地址的方法，來避開IP防盜用系統(tǒng)。雖然修改MAC并不容易，但IP防盜用系統(tǒng)也應對其防范。

對于修改MAC的盜用方法，可在子網的IP-MAC地址庫中增加一項IP開關狀態(tài)標志，此標志項由用戶自行管理，當用戶要退出網絡時，訪問IP-MAC地址庫，將分配給他的IP地址所對應的開關狀態(tài)標志項設置為關閉；當用戶重新使用網絡時，再次訪問IP-MAC地址庫將開關狀態(tài)標志打開。

對于ARP監(jiān)聽模塊，在將ARP包中的源IP地址與IP-MAC地址庫比對時，增加一個判斷IP地址開關狀態(tài)標志項的進程，如開關狀態(tài)標志項己關閉，就可判斷為修改MAC地址的IP地址盜用，隨即調用ARP截斷模塊。ARP截斷模塊不必做修改。

在IP防盜用軟件運行的系統(tǒng)上開啟Web服務，采用JSP技術開發(fā)一個B/S模式的Web數(shù)據(jù)庫系統(tǒng)，使用戶可以經過必要的用戶、口令認證后，用瀏覽器訪問IP-MAC地址庫，管理IP地址開關狀態(tài)標志。

通過以上方案的實施即實現(xiàn)了基于IP-MAC-USER三元素的IP地址防盜用模型，又可對成對修改IP-MAC地址和動態(tài)修改IP地址的IP地址盜用方式進行有效地防范。

3.4通過ARP地址欺騙技術防范IP地址盜用

下面以例子的方式說明ARP地址解析和ARP地址欺騙防：

止IP地址盜用。

A機器上運行如下：

C：＼>arp — a

Interface 1 92 1 68 1 0 1 on Interface 0x1 000003

Internet Address PhysicaI Address Type

192.168.10.3 CC—CC—CC—CC—CC—CC dynamic

這是192.168.1 0．1（主機A）上的ARP緩存表，假設A進行一次ping 192.168.10.3（主機C）操作，會查詢本地的ARP緩存表，找到C的IP地址對應的MAC地址。以便對傳輸?shù)膸M行封裝，這樣就可以進行數(shù)據(jù)傳輸，幀的目的MAC地址就是C的MAC地址。如果A中沒有C的ARP記錄，那么A首先要廣播一次ARP請求。當C接收到A的請求后就發(fā)送一個應答，應答中包含有C的MAC地址，這就是ARP地址解析的過程，然后A接收到C的應答就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數(shù)據(jù)。因此．本地高速緩存的這個ARP表是本地網絡流通的基礎，而且這個緩存是動態(tài)的。但是ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應答。這也就是利用ARP地址欺騙技術達到防止IP地址盜用的理論基礎了。當計算機接收到ARP應答數(shù)據(jù)包的時候，就會對本地的ARP緩存進行更新，將應答中的IP-TnMAC地址存儲在ARP緩存中。因此，在上面的假設網絡中，B向A發(fā)送一個自己偽造的ARP應答 而這個應答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3（C的IP地址）MAC地址是DD—DD—DD—DD—DD-DD(C的MAC地址本來應該是CC—CC—CC—CC—CC—CC 這里被偽造了)。當A接收到B偽造的ARP應答，就會更新本地的ARP緩存(A可不知道被偽造了)。

4小結

盜用技術的發(fā)展與反盜用技術的進步是一個此長彼消，互相促進的過程。要很好解決這個問題，一方面需要依靠反盜用技術的不斷提高，另一方面還需要法律、法規(guī)和各項網絡管理制度的健全和完善。亦即，一方面要不斷地提高網絡的管理水平，研究新的網絡技術，另一方面還要對敢于進行IP地址盜用、破壞網絡安全的人，按照有關法規(guī)嚴懲，使盜用者既對先進的反盜用技術望而生畏，又對盜用后所承擔的后果心有余悸，才能很好解決IP地址盜用問題。

參考文獻

[1] 謝希仁.計算機網絡.北京: 電子工業(yè)出版社, 2005: 102-106

[2] 漆強, 熊筱芳.一種新型的以過程為中心的軟件工程方法.南昌大學學報,2004(6): 90-94