摘要: 提出了以太網(wǎng)訪問控制的一種解決方案, 實現(xiàn)了對ARP 廣播包中源地址及目的地址域的鑒別, 根據(jù)其合法性選擇相應(yīng)的ARP 欺騙策略對源地址或目的地址主機進行ARP 欺騙攻擊, 從而達到以太網(wǎng)訪問控制的目的。該方案無需重新部署網(wǎng)絡(luò), 對網(wǎng)絡(luò)設(shè)備透明, 具有配置簡單, 易于管理的優(yōu)點。此外, 該方案突破了利用ARP 協(xié)議只能在單一網(wǎng)段下進行訪問控制的限制, 將訪問控制擴展到了整個局域網(wǎng)。
關(guān)鍵詞: 以太網(wǎng); 訪問控制; ARP 欺騙; 監(jiān)控代理

0 引言
      內(nèi)網(wǎng)安全是網(wǎng)絡(luò)安全的一個重要組成部分, 而目前大部分企事業(yè)單位內(nèi)部網(wǎng)絡(luò)還依然存在著重大的安全漏洞, 例如外來用戶擅自接入訪問內(nèi)部網(wǎng)絡(luò)資源, 盜取敏感信息等。本文利用ARP 欺騙原理提出了一種有效的內(nèi)網(wǎng)訪問控制解決方案, 在不改變企事業(yè)單位現(xiàn)有網(wǎng)絡(luò)設(shè)備部署條件下, 有效地控制整個局域網(wǎng)中非法主機的訪問。ARP 協(xié)議[1]能夠?qū)P 地址解析成網(wǎng)絡(luò)互連設(shè)備所需的硬件地址。本文著重討論了基于ARP 協(xié)議的內(nèi)網(wǎng)訪問控制系統(tǒng)的設(shè)計, 并論述了如何利用ARP 欺騙阻斷非法主機的通信。

1 關(guān)鍵技術(shù)
1.1 ARP 欺騙
      在局域網(wǎng)或廣域網(wǎng)上傳送報文需要將報文的IP 地址解析成網(wǎng)絡(luò)設(shè)備通信所需的物理地址, 這個解析過程是由ARP 來完成的。ARP 協(xié)議把IP 地址解析成相應(yīng)的硬件地址并存儲到設(shè)備的ARP 緩存中, 當(dāng)網(wǎng)絡(luò)設(shè)備在傳送報文時會首先檢查ARP 緩存中是否有目的IP 所對應(yīng)的物理地址, 若沒有則以廣播方式發(fā)送ARP 請求, 在接收到ARP 應(yīng)答后設(shè)備會在緩存中添加一條新的表項。若設(shè)備再次接收到ARP 應(yīng)答, 相應(yīng)的表項會被改寫, ARP 欺騙原理正是建立在這個機制之上的。有關(guān)ARP 報文格式如圖1 所示。

圖1 ARP 報文格式

      圖1 中操作碼域指明了數(shù)據(jù)報是ARP 請求包還是ARP 應(yīng)答包。
1.2 Ethernet 數(shù)據(jù)包收發(fā)及解析
      這里我們使用了WinPcap( 開源網(wǎng)絡(luò)驅(qū)動程序, 提供了完善的抓包機制) 來抓取網(wǎng)卡適配器上收發(fā)的數(shù)據(jù)包, 并且通過WinPcap[3]封包發(fā)送偽造的ARP 應(yīng)答包達到ARP 欺騙的目的。

      在得到Ethernet 數(shù)據(jù)包之后, 需要進一步對數(shù)據(jù)包進行協(xié)議分析。在當(dāng)前的系統(tǒng)中需要考慮兩種協(xié)議: 一是ARP 協(xié)議,二是IP 協(xié)議[2]。分析ARP 協(xié)議目的是根據(jù)內(nèi)網(wǎng)主機的ARP 請求包檢測是否有非法主機接入到內(nèi)網(wǎng)中; 而分析IP 協(xié)議目的是檢測是否有非法主機訪問內(nèi)部網(wǎng)絡(luò)中含有敏感數(shù)據(jù)的主機,從而保護敏感數(shù)據(jù)不被非法主機竊取。

2 ARP 欺騙策略

詳細內(nèi)容請點擊下載:ARP欺騙在以太網(wǎng)訪問控制中的應(yīng)用