摘要: 提出了以太網(wǎng)訪問控制的一種解決方案, 實(shí)現(xiàn)了對ARP 廣播包中源地址及目的地址域的鑒別, 根據(jù)其合法性選擇相應(yīng)的ARP 欺騙策略對源地址或目的地址主機(jī)進(jìn)行ARP 欺騙攻擊, 從而達(dá)到以太網(wǎng)訪問控制的目的。該方案無需重新部署網(wǎng)絡(luò), 對網(wǎng)絡(luò)設(shè)備透明, 具有配置簡單, 易于管理的優(yōu)點(diǎn)。此外, 該方案突破了利用ARP 協(xié)議只能在單一網(wǎng)段下進(jìn)行訪問控制的限制, 將訪問控制擴(kuò)展到了整個(gè)局域網(wǎng)。
關(guān)鍵詞: 以太網(wǎng); 訪問控制; ARP 欺騙; 監(jiān)控代理

0 引言
      內(nèi)網(wǎng)安全是網(wǎng)絡(luò)安全的一個(gè)重要組成部分, 而目前大部分企事業(yè)單位內(nèi)部網(wǎng)絡(luò)還依然存在著重大的安全漏洞, 例如外來用戶擅自接入訪問內(nèi)部網(wǎng)絡(luò)資源, 盜取敏感信息等。本文利用ARP 欺騙原理提出了一種有效的內(nèi)網(wǎng)訪問控制解決方案, 在不改變企事業(yè)單位現(xiàn)有網(wǎng)絡(luò)設(shè)備部署條件下, 有效地控制整個(gè)局域網(wǎng)中非法主機(jī)的訪問。ARP 協(xié)議[1]能夠?qū)P 地址解析成網(wǎng)絡(luò)互連設(shè)備所需的硬件地址。本文著重討論了基于ARP 協(xié)議的內(nèi)網(wǎng)訪問控制系統(tǒng)的設(shè)計(jì), 并論述了如何利用ARP 欺騙阻斷非法主機(jī)的通信。

1 關(guān)鍵技術(shù)
1.1 ARP 欺騙
      在局域網(wǎng)或廣域網(wǎng)上傳送報(bào)文需要將報(bào)文的IP 地址解析成網(wǎng)絡(luò)設(shè)備通信所需的物理地址, 這個(gè)解析過程是由ARP 來完成的。ARP 協(xié)議把IP 地址解析成相應(yīng)的硬件地址并存儲到設(shè)備的ARP 緩存中, 當(dāng)網(wǎng)絡(luò)設(shè)備在傳送報(bào)文時(shí)會(huì)首先檢查ARP 緩存中是否有目的IP 所對應(yīng)的物理地址, 若沒有則以廣播方式發(fā)送ARP 請求, 在接收到ARP 應(yīng)答后設(shè)備會(huì)在緩存中添加一條新的表項(xiàng)。若設(shè)備再次接收到ARP 應(yīng)答, 相應(yīng)的表項(xiàng)會(huì)被改寫, ARP 欺騙原理正是建立在這個(gè)機(jī)制之上的。有關(guān)ARP 報(bào)文格式如圖1 所示。

圖1 ARP 報(bào)文格式

      圖1 中操作碼域指明了數(shù)據(jù)報(bào)是ARP 請求包還是ARP 應(yīng)答包。
1.2 Ethernet 數(shù)據(jù)包收發(fā)及解析
      這里我們使用了WinPcap( 開源網(wǎng)絡(luò)驅(qū)動(dòng)程序, 提供了完善的抓包機(jī)制) 來抓取網(wǎng)卡適配器上收發(fā)的數(shù)據(jù)包, 并且通過WinPcap[3]封包發(fā)送偽造的ARP 應(yīng)答包達(dá)到ARP 欺騙的目的。

      在得到Ethernet 數(shù)據(jù)包之后, 需要進(jìn)一步對數(shù)據(jù)包進(jìn)行協(xié)議分析。在當(dāng)前的系統(tǒng)中需要考慮兩種協(xié)議: 一是ARP 協(xié)議,二是IP 協(xié)議[2]。分析ARP 協(xié)議目的是根據(jù)內(nèi)網(wǎng)主機(jī)的ARP 請求包檢測是否有非法主機(jī)接入到內(nèi)網(wǎng)中; 而分析IP 協(xié)議目的是檢測是否有非法主機(jī)訪問內(nèi)部網(wǎng)絡(luò)中含有敏感數(shù)據(jù)的主機(jī),從而保護(hù)敏感數(shù)據(jù)不被非法主機(jī)竊取。

2 ARP 欺騙策略

詳細(xì)內(nèi)容請點(diǎn)擊下載:ARP欺騙在以太網(wǎng)訪問控制中的應(yīng)用