Linux系統(tǒng)中ARP欺騙攻擊的防范

　　本文通過(guò)ARP包過(guò)濾程序的應(yīng)用，并在虛擬機(jī)Linux系統(tǒng)上對(duì)程序和用戶程序進(jìn)行了ARP包過(guò)濾測(cè)試，測(cè)試結(jié)果顯示成功實(shí)現(xiàn)了對(duì)ARP欺騙幀的防范。

　　摘要：ARP協(xié)議導(dǎo)致的安全問(wèn)題較多，找到ARP問(wèn)題的根源在于接口輸入輸出時(shí)對(duì)包檢測(cè)的不力，以及接收ARP包的操作對(duì)ARP高速緩存的處理存在問(wèn)題。

　　關(guān)鍵詞：ARP欺騙;虛擬機(jī);ARP過(guò)濾

　　網(wǎng)絡(luò)安全問(wèn)題一直是網(wǎng)絡(luò)發(fā)展中的突出問(wèn)題，當(dāng)前我國(guó)信息網(wǎng)絡(luò)安全事件發(fā)生比例為62.7%，計(jì)算機(jī)病毒感染率下降為85.5%，感染計(jì)算機(jī)病毒、蠕蟲和木馬程序的情況依然最為突出，其次是網(wǎng)絡(luò)攻擊、端口掃描、垃圾郵件和網(wǎng)頁(yè)篡改等安全事件中，攻擊或傳播源涉及內(nèi)部人員的達(dá)到54%，因此計(jì)算機(jī)病毒對(duì)網(wǎng)絡(luò)安全的影響仍然很大。

　　1.ARP病毒欺騙的表現(xiàn)

　　ARP欺騙技術(shù)和黑客技術(shù)結(jié)合，對(duì)網(wǎng)絡(luò)安全造成了很大的威脅，主要有兩種比較明顯的表現(xiàn)形式。

　　1.1 ARP欺騙包

　　網(wǎng)絡(luò)連接正常，但有部分或者所有電腦不能上網(wǎng)，無(wú)法打開網(wǎng)頁(yè)或者打開網(wǎng)頁(yè)速度變慢、局域網(wǎng)連接時(shí)斷時(shí)續(xù)、頻繁發(fā)生IP地址沖突等現(xiàn)象，嚴(yán)重影響網(wǎng)絡(luò)的正常運(yùn)行。這種現(xiàn)象主要是由于網(wǎng)絡(luò)中大量ARP欺騙包的發(fā)送，影響了主機(jī)和網(wǎng)絡(luò)的性能。

　　1.2 ARP病毒

　　ARP病毒變種較多，會(huì)向全網(wǎng)發(fā)送偽造的ARP欺騙廣播，但病毒把自身偽裝成網(wǎng)關(guān)，在被害主機(jī)與網(wǎng)關(guān)之間建立起單向的轉(zhuǎn)發(fā)代理，在用戶請(qǐng)求訪問(wèn)的網(wǎng)頁(yè)添加惡意代碼，導(dǎo)致殺毒軟件在用戶訪問(wèn)任意網(wǎng)站均發(fā)出病毒警報(bào)，有的用戶可能由于殺毒軟件更新不及時(shí)而導(dǎo)致感染病毒。最明顯的就是，所有訪問(wèn)的網(wǎng)站都會(huì)出現(xiàn)病毒，頁(yè)面代碼中加了如：

　　2.ARP包過(guò)濾

　　2.1 ARP包過(guò)濾程序流程

　　ARP包過(guò)濾的過(guò)程包含了三部分：首先是拒絕偽造包，其次是拒絕本機(jī)非目的主機(jī)的包，最后是拒絕更改網(wǎng)關(guān)。ARP包過(guò)濾程序流程見圖1。

　　2.2 ARP包過(guò)濾操作

　　由于ARP包過(guò)濾主要是對(duì)偽造包的過(guò)濾，當(dāng)偽造包被拒絕后，ARP欺騙就不可能實(shí)現(xiàn)，從而基于ARP欺騙的病毒和黑客技術(shù)就不會(huì)得逞。

　　ARP包的過(guò)濾規(guī)則主要是提供本機(jī)和網(wǎng)關(guān)的IP-MAC映射，這樣中間層驅(qū)動(dòng)就可以過(guò)濾偽造ARP包，這種過(guò)濾相當(dāng)于增加了輸入輸出接口中ARP檢測(cè)的功能，防止了ARP欺騙攻擊對(duì)網(wǎng)絡(luò)的欺騙，保護(hù)了網(wǎng)絡(luò)通信的安全。

　　3.利用虛擬機(jī)進(jìn)行ARP過(guò)濾測(cè)試

　　3.1 測(cè)試環(huán)境搭建

　　測(cè)試采用rh as5版Linux系統(tǒng)，在系統(tǒng)驅(qū)動(dòng)程序齊全的狀態(tài)下，在內(nèi)核模式下啟動(dòng)測(cè)試操作，所有的保護(hù)措施均設(shè)置在用戶模式下，以防止系統(tǒng)在測(cè)試過(guò)程中出現(xiàn)進(jìn)程鎖死導(dǎo)致測(cè)試失敗，因?yàn)長(zhǎng)inux系統(tǒng)下驅(qū)動(dòng)程序存在設(shè)計(jì)缺陷，在系統(tǒng)運(yùn)行中可能導(dǎo)致系統(tǒng)崩潰。另外，ARP欺騙也有可能干擾網(wǎng)絡(luò)的正常運(yùn)行，因此利用宿主計(jì)算機(jī)和虛擬機(jī)進(jìn)行ARP過(guò)濾測(cè)試。

　　(1)測(cè)試主機(jī)的配置

　　(2)虛擬計(jì)算機(jī)

　　4.總結(jié)

　　在整個(gè)測(cè)試過(guò)程中，正常數(shù)據(jù)包均能順利通過(guò)，而偽造包則被成功地過(guò)濾掉，網(wǎng)絡(luò)通信并沒(méi)受到過(guò)濾驅(qū)動(dòng)程序的阻礙。在用戶程序的運(yùn)行界面中，能顯示出過(guò)濾驅(qū)動(dòng)程序成功實(shí)現(xiàn)了ARP欺騙包的攔截過(guò)濾，被攻擊計(jì)算機(jī)的ARP高速緩存沒(méi)發(fā)生溢出、破壞等現(xiàn)象，計(jì)算機(jī)的網(wǎng)絡(luò)性能也沒(méi)有發(fā)生明顯變化。過(guò)濾驅(qū)動(dòng)程序成功實(shí)現(xiàn)了ARP數(shù)據(jù)包的過(guò)濾，保護(hù)了主機(jī)ARP高速緩存的安全，并有效保護(hù)了主機(jī)不受ARP病毒的侵犯，從而實(shí)現(xiàn)了對(duì)ARP欺騙攻擊的防范。

　　參考文獻(xiàn)：

　　[1]宋曉輝.ARP病毒攻擊機(jī)理與防御[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2006.12.

　　[2]宋顯祖,羅軍舟.關(guān)于ARP協(xié)議應(yīng)用的幾點(diǎn)研究和實(shí)現(xiàn)[J].現(xiàn)代計(jì)算機(jī),2004.2.

　　[3]任俠,呂述望.ARP協(xié)議欺騙原理分析與抵御方法[J].計(jì)算機(jī)工程,2003:(6).

　　[4]徐丹,黎俊偉,高傳善.基于ETHERNET的網(wǎng)絡(luò)監(jiān)聽以及ARP欺騙[J].計(jì)算機(jī)應(yīng)用與軟件,2005:22(11).

【Linux系統(tǒng)中ARP欺騙攻擊的防范】相關(guān)文章：

因特網(wǎng)人為攻擊及防范對(duì)策10-05

linux系統(tǒng)學(xué)習(xí)心得10-03

LINUX操作系統(tǒng)論文10-09

淺析黑客常用攻擊方法與防范措施10-26

辯論賽中的攻擊技巧09-30

探析計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)對(duì)防范攻擊論文10-08

Linux中的set命令是什么意思10-01

基于php的Linux遠(yuǎn)程管理系統(tǒng)客戶端的實(shí)現(xiàn)10-26

linux心得10-03

住宅小區(qū)安全防范系統(tǒng)構(gòu)建10-07