第1页 / 共76页
第2页 / 共76页
第3页 / 共76页
第4页 / 共76页
第5页 / 共76页
第6页 / 共76页
第7页 / 共76页
第8页 / 共76页
ARP防火墙的研究与实现.pdf
封面
文摘
英文文摘
声明
第一章绪论
1.1研究背景
1.2研究现状
1.3论文的主要工作
1.4论文的组织结构
第二章ARP协议分析及其相关的防御技术研究
2.1 ARP协议简介
2.2 ARP协议漏洞
2.3 ARP攻击方式
2.3.1 IP地址冲突
2.3.2 ARP泛洪攻击
2.3.3 ARP欺骗攻击
2.3.4 ARP扫描攻击
2.3.5虚拟主机攻击
2.4 ARP攻击造成的现象
2.5防御ARP攻击的相关技术
2.5.1添加静态记录
2.5.2设置ARP服务器
2.5.3网络级检测
2.5.4交换机端口设置
2.5.5定期轮询
2.5.6划分虚拟局域网
2.5.7安装ARP防火墙软件
2.5.8动态ARP检测
2.6本章小结
第三章内核防火墙与捕获技术研究
3.1 linux内核防火墙的介绍(netfilter,netlink)
3.1.1 Netfilter机制概述
3.1.2 Netlink机制概述
3.2基于原始套接字和libpcap的捕获技术
3.2.1数据包捕获的意义
3.2.2原始套接字捕获
3.2.3 libpcap捕获
3.3本章小结
第四章系统总体设计
4.1系统防御模式
4.1.1多级检测机制
4.1.2主动验证映射对机制
4.2系统设计目标
4.2.1主要设计目标
4.2.2其它设计目标
4.3系统总体结构设计及工作流程
4.4系统功能模块设计
4.5主要数据结构设计
4.5.1 ARP数据包缓冲区的数据结构
4.5.2IP-MAC映射库的数据结构
4.5.3攻击源追踪模块的主要数据结构
4.5.4新加入主机检测模块的主要数据结构
4.6本章小结
第五章主要功能模块设计与实现
5.1过滤模块的设计与实现
5.1.1 ARP数据包缓冲区管理模块的设计与实现
5.1.2数据包捕获模块
5.1.3 ARP防火墙过滤模块的设计与实现
5.2映射库初始化模块的设计与实现
5.2.1映射库初始化模块的内部实现
5.3 ARP攻击探测模块的设计与实现
5.4新加入主机的检测模块的设计与实现
5.5攻击源追踪模块的设计与实现
5.6虚拟网络环境的构建测试模块的设计
5.7系统实施方案
5.7.1单机版工作模式
5.7.2非标准网络版工作模式
5.7.3标准网络版工作模式
5.8系统功能测试
5.8.1测试环境
5.8.2功能测试项目
5.8.3系统功能测试结果
5.9系统运行截图
5.10本章小结
第六章总结与展望
6.1本文完成的主要工作
6.2进一步研究的方向
参考文献:
致谢
硕士期间发表的论文清单
河海大学硕士学位论文ARP防火墙的研究与实现姓名:林俊杰申请学位级别:硕士专业:计算机应用技术指导教师:庄卫华20080501
摘要当前针对址心攻击的主要防御措施是采用双向绑定和运行ARP防火墙系统,但是这些措施都存在缺陷。双向绑定需要用户掌握一定的网络管理知识,并且配置过程繁琐,需要对客户主机和网关两端进行配置。运行ARP防火墙系统虽然解决“双向绑定”需要人工手动配置的问题,但是防御效果不是很理想。当前关于灿冲防火墙系统内部实现的研究资料甚少,对防御系统的研究主要通过系统的安装使用说明,系统的功能测试结果以及网上网友对系统的一些使用心得总结而来。当前灿冲防火墙系统有单机版和网络版两种,通过对系统的功能测试结果,总结出单机版系统所存在的缺陷有:(1)防御不全面:保证本地主机同网关之间正常通信,但不能保证同网络内其它主机之间正常通信,并且对某些√卅攻击并不能起到防御效果。(2)无法有效追踪攻击源:只是简单地根据异常ARP数据包的源物理地址来进行攻击源的追踪。(3)存在灿冲广播风暴:当出现攻击,防御系统会定时地向网关发送通告本地主机ip,mac地址的ARP广播请求报文。网络版系统需要选择网络内的一台主机作为服务器端,其它主机为客户端,通过服务器端对客户端的有效监控来实现对整个网络的防御,因而存在不易维护管理的缺陷。针对以上防御系统所存在缺陷,本文提出一种防御模式。即通过建立动态更新的口一MAc映射库及采用主动验证映射对的方法实现对整个网络的全面防御,通过引入“新加入主机的检测机制”来保证映射库更新的同时又能克服ARP广播风暴,以及为不同攻击类型分配不同信赖度来更有效地追踪定位攻击源。本文基于该防御模式设计并实现了一套防御系统,该防御系统有效地克服了以往系统在防御ARP攻击方面所存在的缺陷,解决手动配置交换机所存在的操作繁琐不易管理的问题,通过在一台主机上安装防御系统实现对整个网络的防御,为用户和网络管理员提供一种高效便捷、可集中化管理的解决方法。系统可运行在多种工作模式下,为不同网络应用环境用户提供不同网络防御解决方案。关键词:ARP防火墙,Ne咖t盯,Netlinl(,Libpcap,PF-PAcKET,ARP欺骗
ABSTRACTThemaillde矗mseways幻cllldebidi崩monalbindingaIld九l|millgAI冲fi朋Ⅳa11systeInctm锄ny,butallmesewayshavedisadv锄tages.BidirectionalbiIldiIlgn∞dsnleuscrt0m硼teracertainne脚orkm锄agenl∞ttcchnolo百es,a11dmeconfjgureiscomplex.nneedstoconfigure0n伽stomcrma出neaIldgateway.刖thou曲删1ningalpfirewaUsystenls01vesthemanualconfiguretakenbybidirectionalbiIlding,也ede胁see脏ctisn’tideal.Theresearchingdocumentsabout血e舢冲firewallsystemis佬w.ThercsearchoftlleARPfirewallsyst锄iscun铷tlybymeusermanllal,劬ctionaltestatldmeusingcxp商cnccofnet向eIld.QlrrenⅡymeVersio璐aboutARPfirewallsyst锄indudestalld—alone踽dnetwork’sVersion.By恤fhctionaltestrcsultofmesyst锄,mest孤d—alonesyst锄illcludesmedisadV柚tagesbdow:(1)11lcompletedefhsingmechallism:ItoIlly硒surestlleno皿alcoInInuni训onbetween10calhost卸dgatewaybutnotbdw嘲廿lelocalhostaIld血eotllerllosts.Anditta:kesnoeff宅ctinsomeARPattacl【s.(2)Ine墒delltatIack盯昀cir培mechaIli锄:Itjllst廿acesmeattack盯bytheso哪physicaladdressofabnomalARPpacket.(3)ARPbmadcastnood:wh饥meattack印pears,mesystem祈11sendmearprequestt0megatewayintenrally.Thenetworkversion’ssystemneedst0chooseonehostasserver衄dtlleot】lerhosts龃clients.Itimpl锄entsit’sdef葫setomewh01enet、vorkbytlleserver’smo血toringtotllecliems.Soithast11edisadvamageofcomplcxmaimenaIlce.Thep印er抽tIDducesa矗re—newdef缸singmodebaScdontlledisadVaIltagesOfagosystcInslistcddbove.Themodeimpl锄entsit’sdefbnsetot11ewholenetworkbybuildiI培aIldyIl锄icallyupdatedmappedb船e肌dactiVdycx锄iIlingARPpacket.Iti曲roducesaIlnewhostdetectingmechaIli锄.TllismechaIlismnotonlyassIlresandy姗icallyupdatedmappedb嬲ebutalsoovercomestheARPbroadcastflood.Tb仃_acet11eattackere舭“vdy,thep印erassi印sadif衙e11trdiablity矗wdiffhemarpattack.111ep印erdesi印saIldimpl锄肌tsanARPfi旧砌ls)rst锄basesonthedefellsingmodelistedabove.T11esystemov删esmedisadVaIltag铬ofagosystems,s01vesthecomplexmatlualconfigI】∞ontheswitch.ItimpleIlleIltsit’sdefbIlseto也ewh01enetworkbyiIlstallingthesysteIll0nonJyonehostaIldsuppli髂menetworkadllli血s仃atorwima工le衔cicnt,cen仃alizedmanagement.Thesystemcanrunonmultiplemodestoprovidediff柏1tdefbnsewaystotlleusersindiff打entnetworken“mm∞t.髓YWoItDS:ARPFirewall,Netfilt盯,NetliIll【,Libpc印,PF—PACKET,ARPDeceive
学位论文独创性声明:本人所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果。与我一同工作的同事对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。如不实,本人负全部责任。论文作者(签名):主缸堡堑:扩《年f月习日学位论文使用授权说明河海大学、中国科学技术信息研究所、国家图书馆、中国学术期刊(光盘版)电子杂志社有权保留本人所送交学位论文的复印件或电子文档,可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一致。除在保密期内的保密论文外,允许论文被查阅和借阅。论文全部或部分内容的公布(包括刊登)授权河海大学研究生院办理。论文作者(签名):盅址硝年妇即
河海大学硕士研究生论文ARP防火墙的研究与实现1.1研究背景第一章绪论随着网络的发展和普及,网络的开放性、互连性随之扩大。网络互连一般采用TcP/口协议,而TcP/m协议是一个工业标准的协议族,在该协议族制定之初,没有过多地考虑其安全性,所以协议中存在很多的安全漏洞,致使网络极易受到黑客的攻击吐而AI冲攻击是其中比较常见的攻击手段之一。【2】2004年开始,一种叫做√埘的病毒开始不断地向各个行业的网络环境扩散,其目的从最初的窃取QQ、网游、网银等账号,发展到后来的专门抢占网络带宽以及纯粹破坏网络通信等等。2006年,ARP欺骗对教育行业的影响达到顶峰。清华大学、中国人民大学、上海交通大学、哈尔滨工业大学等高校网络中心相继发布了专门针对防治√u冲病毒的公告。这两年m心病毒肆虐大学校园网以及公网,严重地干扰着用户的正常上网。ARP的破坏能力之所以强悍,原因在于ARP协议的缺陷。因此分析研究ARP协议的缺陷以及如何对其进行有效防御成为目前研究的热门。1.2研究现状ARP攻击是近几年出现在网络上的,目前主要防御措施是采用双向绑定和安装监控软件。(1)双向绑定主要是在网关、客户主机两端静态绑定对方的口一MAC地址,或者通过交换机的端口设置、vu州设置功能来实现对两端的静态绑定。这种防御措施需要用户掌握一定的网络管理知识,在绑定的过程中需要配备支持绑定功能的网关设备,并且所能防御的AR_P攻击种类有限。(2)安装监控软件即ARP防火墙系统,当前的Ju冲防火墙系统分为单机版和网络版两种。单机版的系统用于实现对网络内单台主机的防御。当前的单机版防御系统通过向默认网关发送ARP请求来获得网关的物理地址,然后将默认网关的口一MAc映射对静态绑定到内核ARP缓存表中去,从而防止网关的ARP
河海大学硕士研究生论文ARP防火墙的研究与实现缓存记录被篡改,保证本地主机同默认网关的正常通信。由于网络内的主机情况是变化的,例如新主机的加入、旧主机的退出、主机更换ip地址、添加新的ip地址、更换网卡等,若防御系统需要对网络内其它主机进行绑定,就要定时地对其它主机发送广播请求,这样就会造成ARP广播风暴,因此如何建立一个动态实时更新的IP—MAc映射库又能有效地克服ARP广播风暴成为困扰当前防御系统的一个主要问题。当前的防御系统还不能防止非网关的ARP缓存记录被篡改,因此对于分布式计算环境中的主机,由于主机之间需要协同操作,这些防御系统是无法起到防御效果的。网络版的防御系统用于实现对整个网络而非单台主机的防御,它所实现的是网络级检测的功能。该防御系统拥有服务器和客户端两套软件,可以选择网络内的某一台主机作为服务器,其它主机作为客户端,每当有新的主机加入都会将本地主机的m—MAc映射对上报给服务器由其统一管理,客户端也会定时地将本地主机的ARP缓存表内容上报给服务器,服务器会对上报的内容进行审核,监测客户端的ARP缓存表是否被篡改。由于网络版的防御系统需要在网络内的所有主机上安装客户端软件,安装的工作量大且不易管理。目前市场上的ARP防火墙系统主要有金山ARP防火墙、360安全卫士的ARP防火墙,还有早期便开始涉足该领域的锄tiARP。这些防御系统在防御AI口攻击的同时也带来一些严重问题,例如南开大学网络中心一次经过调查分析,发现ant认RP软件(或类似的』垤P防火墙软件)产生大量的ARP广播包,已经超过整个网络广播包的55%以上,初步确定本次网络频繁中断不是由于ARP病毒本身造成,而是由于a11tiARP软件产生的ARP广播包造成的。引起灿冲广播风暴的原因就是ARP防火墙软件在遭受了舢冲攻击之后,会立刻主动向网关发起ARP请求,与网关交换m心信息,从而达到同时保护网关上的ARP缓存记录。如果被攻击的频率非常快,灿心防火墙软件所发送的AI冲数据包也就非常快,从而对网关造成很大的压力。这说明,现在的ARP防火墙在某种程度上是带着“以毒攻毒”的思想来进行防御的。这势必给大型局域网带来很大的危险,那就是AI冲广播风暴,影响整个局域网的正常使用。还有伽冲防火墙软件在发现攻击,追踪攻击源时不能很有效地判断攻击源,它们只是简单地根据异常ARP数据包中关于源物理地址的记录来追踪攻击源,可靠性较低。2
河海人学硕士研究生论文ARP防火墙的研究与实现1.3论文的主要工作针对当前防御系统所存在的缺陷,本文提出一种全新的的防御模式,该防御模式通过建立动态实时更新的P—MAc映射库及采用主动验证映射对的方法来实现对整个网络的全面防御,并且通过引入“新加入主机的检测机制”来抑制ARP广播风暴,从而在建立动态实时更新的IP—MAc映射库和抑制—u心广播风暴之间提出一种有效的解决方法。基于该防御模式作者在linux操作系统上设计并实现了一套Arp防火墙系统,该防御系统在链路层为不同的捕获对象提供不同的捕获架构来提高系统的捕获效率,通过在应用层设置缓冲区并且为缓冲区管理模块引入多线程写入读出的“生产者.消费者”模型来降低链路层的丢包率,以及利用多极检测机制来更可靠地检测主机的存在。1.4论文的组织结构第一章绪论介绍ARP防火墙的研究现状,以及论文的研究背景。最后说明本文所采取的技术路线、研究的内容和工作重点,对论文的组织结构予以介绍。第二章ARP协议分析及其相关的防御技术研究介绍ARP(AddressR鼯01vePmtoc01地址解析协议)的工作原理,分析其所存在的各种漏洞,重点研究当前所存在的各种ARP攻击方式和针对这些攻击方式所采用的各种相关防御技术以及这些防御技术所存在的缺陷。第三章内核防火墙和捕获技术研究对lin_11)【内核防火墙中的Netfilter和netliIlk机制及其所涉及到的技术进行分析和介绍。同时还介绍了链路层的数据包捕获原理及原始套接字和libpc印两种不同捕获架构的工作原理。第四章系统总体设计概述了系统的总体框架和工作流程,简单描述系统的设计目标和各个功能模块的主要功能,分析系统实现的关键技术。第五章主要功能模块设计与实现
河海大学硕士研究生论文ARP防火墙的研究与实现分析系统中几个主要功能模块的详细设计与实现,给出系统在不同网络应用环境中的实施方案,最后给出实验系统的测试方案和测试结果。第六章总结与展望对全文的要点和主要工作进行总结,阐述本文的研究成果和后续工作。4
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
