摘要: 提出了以太網訪問控制的一種解決方案, 實現了對ARP 廣播包中源地址及目的地址域的鑒別, 根據其合法性選擇相應的ARP 欺騙策略對源地址或目的地址主機進行ARP 欺騙攻擊, 從而達到以太網訪問控制的目的。該方案無需重新部署網絡, 對網絡設備透明, 具有配置簡單, 易于管理的優點。此外, 該方案突破了利用ARP 協議只能在單一網段下進行訪問控制的限制, 將訪問控制擴展到了整個局域網。
關鍵詞: 以太網; 訪問控制; ARP 欺騙; 監控代理

0 引言
      內網安全是網絡安全的一個重要組成部分, 而目前大部分企事業單位內部網絡還依然存在著重大的安全漏洞, 例如外來用戶擅自接入訪問內部網絡資源, 盜取敏感信息等。本文利用ARP 欺騙原理提出了一種有效的內網訪問控制解決方案, 在不改變企事業單位現有網絡設備部署條件下, 有效地控制整個局域網中非法主機的訪問。ARP 協議[1]能夠將IP 地址解析成網絡互連設備所需的硬件地址。本文著重討論了基于ARP 協議的內網訪問控制系統的設計, 并論述了如何利用ARP 欺騙阻斷非法主機的通信。

1 關鍵技術
1.1 ARP 欺騙
      在局域網或廣域網上傳送報文需要將報文的IP 地址解析成網絡設備通信所需的物理地址, 這個解析過程是由ARP 來完成的。ARP 協議把IP 地址解析成相應的硬件地址并存儲到設備的ARP 緩存中, 當網絡設備在傳送報文時會首先檢查ARP 緩存中是否有目的IP 所對應的物理地址, 若沒有則以廣播方式發送ARP 請求, 在接收到ARP 應答后設備會在緩存中添加一條新的表項。若設備再次接收到ARP 應答, 相應的表項會被改寫, ARP 欺騙原理正是建立在這個機制之上的。有關ARP 報文格式如圖1 所示。

圖1 ARP 報文格式

      圖1 中操作碼域指明了數據報是ARP 請求包還是ARP 應答包。
1.2 Ethernet 數據包收發及解析
      這里我們使用了WinPcap( 開源網絡驅動程序, 提供了完善的抓包機制) 來抓取網卡適配器上收發的數據包, 并且通過WinPcap[3]封包發送偽造的ARP 應答包達到ARP 欺騙的目的。

      在得到Ethernet 數據包之后, 需要進一步對數據包進行協議分析。在當前的系統中需要考慮兩種協議: 一是ARP 協議,二是IP 協議[2]。分析ARP 協議目的是根據內網主機的ARP 請求包檢測是否有非法主機接入到內網中; 而分析IP 協議目的是檢測是否有非法主機訪問內部網絡中含有敏感數據的主機,從而保護敏感數據不被非法主機竊取。

2 ARP 欺騙策略

詳細內容請點擊下載:ARP欺騙在以太網訪問控制中的應用