基于802.1X的ARP欺騙檢測模型及其實現?

侯向寧 劉華春

（成都理工大學工程技術學院電子信息與計算機工程系 樂山 614007）

基于802.1X的ARP欺騙檢測模型及其實現?

侯向寧 劉華春

（成都理工大學工程技術學院電子信息與計算機工程系 樂山 614007）

論文采用插件技術，通過增加ARP檢測模塊，以預防和檢測ARP欺騙，并能及時將檢測結果通報給網管服務器，以便鏟除攻擊源。結果表明，此方法可以有效地檢測、防御和鏟除ARP欺騙攻擊，方便了校園網絡的管理。

ARP欺騙；攻擊；802.1X；插件

1 引言

現如今隨著網絡的迅速發展以及校園網在廣大高校的日漸普及，各大高校學生們對校園網產生了極大的依賴性。但與此同時，諸多潛在的安全問題也在校園網的運行過程中暴露出來。當前ARP（Address Resolution Protocol）欺騙［1～6］正在威脅著校園網的安全，經常造成大面積的掉線，極大地擾亂了正常的網絡秩序［7～10］。

目前應對ARP欺騙的策略主要有被動防御和主動監測兩種：

1）被動防御：即在ARP緩存中靜態綁定網關的MAC/IP地址對，該方法某種程度上是有效的，但缺點是需要手動操作。

2）主動監測：主機周期性的向本網段發送ARP請求報文，如果能夠接收到異常的ARP響應報文，表明有可能存在ARP欺騙。該方法的缺點是檢測結果多是由于其他用戶錯配了IP地址之類的非惡意的操作失誤。另外，即便存在ARP欺騙，普通的用戶沒有網絡管理員權限，不能有效地鏟除ARP欺騙源。

針對上述方法的不足，本文提出了通過擴展802.1X客戶端，增加ARP檢測模塊，以變被動防御為主動維護，使網絡自身具有免疫力，將網絡管理的范圍擴展至用戶主機，使得對網絡中ARP欺騙源的定位更加及時準確，從而極大的方便對校園網絡的管理。

2 基于802.1X的ARP欺騙檢測模型

2.1 基本思想

結合我校校園網的實際，802.1X客戶端是用戶通過各項認證，接入網絡并享受服務的必不可少的軟件。但客戶端在通過認證后，幾乎成了“閑置資源”，為了充分利用這一“閑置資源”，可以采用插件的方式對802.1X客戶端進行擴展，增加ARP欺騙檢測模塊。ARP欺騙檢測模塊主要完成以下功能：

1）自動設置靜態ARP緩存，將網關的IP/MAC對進行靜態綁定，確保主機不掉線。

2）采用多線程技術動態檢測主機ARP緩存中網關的IP/MAC對是否發生變化。

3）ARP欺騙檢測模塊能夠將異常監測結果及時上傳給網管服務器，以便網管服務器及時鏟除ARP欺騙源。

2.2 客戶端結構的改進

為了增加ARP檢測模塊，需要對802.1X客戶端的結構進行改進，改進后的客戶端結構如圖1所示。

圖1 客戶端結構

插件加載器首先加載原客戶端各組件，通過802.1X認證后再動態加載插件，即ARP檢測組件，然后進行完整性檢查，主要是判斷該插件是否實現了平臺定義的標準接口，最后創建插件的本地實例，調用插件中實現的方法，以進行ARP欺騙的防御和監測。

2.3 ARP欺騙檢測模塊的設計

ARP欺騙檢測模塊流程圖如圖2所示。

圖2 ARP欺騙檢測模塊流程圖

當802.1X客戶端通過認證后，及時獲取網關的IP和MAC地址，然后自動靜態綁定網關正常的IP/MAC地址對，以確保客戶端與網關之間能正常通信。并適時監測本機ARP緩存，若發現有和網關相同的IP且其對應的MAC地址與網關的MAC地址不同，則可斷定局域網內有ARP欺騙發生。此時立即將攻擊源的MAC地址上傳給網管服務器，讓網管服務器迫使其立即下線。

3 基于802.1X的ARP欺騙檢測模型的實現

結合本校的實際，以802.1X客戶端為擴展對象，給出ARP檢測模塊的具體實現［11］。

1）獲取網關IP

利用API函數GetGatewayIPAddr可獲取到網關IP，考慮到客戶端在認證過程中也會受到ARP欺騙攻擊，從而導致認證的失敗，使得用戶無法上網。為此可將第一次認證通過后獲得的網關IP寫入配置文件，當用戶下次啟用插件時可以直接從配置文件中得到網關IP。

2）獲取網關MAC地址

利用API函數SendARP向網關發送ARP請求包，即可獲取網關的MAC地址。同樣，將第一次認證通過后獲得的網關MAC地址寫入配置文件，當用戶下次啟用插件時可以直接從配置文件中得到網關MAC地址。

3）IP/MAC對靜態綁定

首先從配置文件中讀取網關的IP及MAC地址，然后進行靜態綁定，如果配置文件中沒有網關的IP及MAC地址信息，則直接調用GetGateway-IPAddr和GetGatewayMACAddr函數來獲取，最后還要將其寫入配置文件，以備下次使用。然后通過API函數SetIpNetEntry來靜態綁定IP/MAC地址對。

設置ARP緩存靜態記錄，可以在一定程度上防御ARP欺騙攻擊，但有人通過實驗發現在設置了ARP緩存靜態記錄后，主機仍然接收偽造的ARP應答并且用它去更新靜態記錄［6］。這是因為在默認情況下，在Windows家族中ARP緩存的表項僅存儲2min，為此我們可以用小于2min的時間間隔，定期將網關IP與MAC地址靜態綁定。

4）監聽線程的實現

實際上是開啟一個線程定期讀取ARP緩存，并與正確的網關IP/MAC對進行比較的過程，若有異常則及時上傳給網管服務器。其中要用到獲取ARP表的API函數GetIpNetTable。

4 實驗與結果分析

4.1 實驗環境

實驗地點為本校校園網，所用兩臺主機的OS均為WINDOWS XP SP3，客戶端是802.1X客戶端，ARP欺騙工具選用Arp cheat and sniffer，以及抓包工具Ethereal。

4.2 實驗步驟

1）首先利用Arp cheat and sniffer，讓欺騙源（IP是110.91.24.31）向受騙主機（IP是110.91.24.33）不斷發送虛假的ARP響應包，告訴受騙主機網關（IP是110.91.24.254）的MAC地址是欺騙源的MAC地址00-13-72-7A-4B-8F（網關的真實MAC地址是00-e0-fc-60-41-40）。

命令行如下：C：Documents and SettingsAdministrator＞arpsf-onlycheat-t110.91.24.33-c110.91.24.254 0013727A4B8F。

2）用Ethereal在受騙主機機上抓包，結果如圖3所示。

圖3 Ethereal抓包片段

3）在受騙主機上用arp-a查看緩存，結果如圖4所示。

圖4 啟用ARP檢測插件前ARP緩存列表

4）在受騙主機上啟用ARP檢測插件后，結果如圖5所示。

圖5 啟用ARP檢測插件后ARP緩存列表

5）網管服務器上收到“發現ARP欺騙，攻擊源的MAC地址是00-13-72-7A-4B-8F，正在迫使其下線”的消息。

4.3 結果分析

實驗結果表明：在802.1X客戶端沒有啟用ARP檢測插件前，受騙主機在不斷收到欺騙源發出的虛假的ARP響應包后，其ARP緩存被刷新了；而當啟用ARP檢測插件后，目的主機將正確的網關IP/MAC對周期性地進行了靜態綁定，這樣，即使不斷收到欺騙源發出的虛假的ARP響應包，目的主機的ARP緩存并沒有被刷新；另外，目的主機還對ARP響應包中網關IP/MAC對與靜態綁定的網關IP/MAC對進行了比較，發現這兩對網關IP/MAC對不一致，因此斷定存在ARP欺騙，然后從虛假的ARP響應包中取出ARP欺騙源的MAC地址，并上傳給網管服務器，網管服務器接收到這一消息后能自動迫使ARP欺騙源下線。

5 結語

總之，通過擴展802.1X客戶端，增加ARP檢測模塊，將網絡管理的范圍擴展至用戶主機，變被動防御為主動維護，使校園網自身具有免疫力，使得對ARP欺騙源的定位更加及時準確，并可在第一時間鏟除ARP欺騙源，極大地方便了校園網絡的管理。

［1］郭會茹，楊斌，牛立全.ARP攻擊原理分析及其安全防范措施［J］.網絡安全技術與應用，2015（6）：5-6.GUO Huiru，YANG Bin，NIU Liquan.ARP attack principle analysis and safety［J］.Journal of network security technology and application，2015（6）：5-6.

［2］馬洪雷，李建華，范磊.一種可有效防御和檢測ARP攻擊的協議改進算法［J］.信息技術，2010（6）：226-228.MA Honglei，LI Jianhua，FAN Lei.An effective defense and detection algorithm ARP attack［J］.Journal of information technology，2010（6）：226-228.

［3］阮清強.一種ARP攻擊檢測與定位方法［J］.電子測試，2010（1）：77-79.RUAN Qingjiang.An ARP attack detection and location method［J］.Journal of electronic test，2010（1）：77-79.

［4］劉和偉.基于計算機網絡安全防ARP攻擊的研究［J］.數字技術與應用，2013（5）：224-225.LIU Hewei.Based on the research of computer network security ARP attack prevention［J］.Journal of digital technology and application，2013（5）：224-225.

［5］王婷婷，丁寧.ARP欺騙及其溯源技術的理論研究［J］.信息技術與信息化，2014（9）：111-114.WANG Tingting，DING Ning.The study of the theory of the ARP deception and their traceability technology［J］.Journal of information technology and information technology，2014（9）：111-114.

［6］張廣瑞.ARP欺騙及防范措施研究［J］.石油工業計算機應用，2015（1）：51-54.

ZHANG Guangrui.The ARP deception and protection measures study［J］.Journal of petroleum industrial computer applications，2015（1）：51-54.

［7］王鎮洪，王育琳，藍景立，等.校園網內ARP攻擊分析和防御解決方法［J］.福建電腦，2013（10）：41-43.WANG Zhenhong，WANG Yulin，LAN Jingli，et al.In the campus network analysis of ARP attack and defense solutions［J］.Journal of fujian computer，2013（10）：41-43.

［8］楊忠強.基于校園網ARP欺騙及防范措施［J］.科技傳播，2015（7）：21-21.YANG Zhongqiang.ARP deception and protection measures based on campus network technology［J］.2015（7）：21-21.

［9］李巖.淺析高校校園網的ARP攻擊防御策略［J］.科技視界，2015（24）：148-148.LI Yan.Analyses ARP attack defense strategy of the university campus network［J］.Science and technology horizon，2015（24）：148-148.

［10］楊海亮.校園網絡安全防范設計方案［J］.價值工程，2015（8）：253-254.YANG Hailiang.The campus network security design［J］.Value engineering，2015（8）：253-254.

［11］侯向寧.基于Snort的ARP欺騙檢測及預防［J］.北京聯合大學學報（自然科學版），2010（6）：10-13.HOU Xiangning.ARP deception detection based on Snort and prevention［J］.Journal of Beijing union university（natural science edition），2010（6）：10-13.

Design and Implementation of Detecting and Precaution System for ARP Spoofing based on 802.1X

HOU Xiangning LIU Huachun
（College of Engineering and Technical，Chengdu University of Technology，Leshan 614007）

This article is designed by the technology of platform plugin，and an ARP detecting module is added by extended 802.1X client，Which can effectively detect and protect ARP attacks and also can timely transfer the result to the network manager server.The results indicate that this method can effectively detect、protect and uproot the ARP attacks，and convenience the administration of networks.

ARP spoofing；Attack；802.1X；plugin

TP393

10.3969/j.issn.1672-9722.2017.10.022

Class Number TP393

2017年4月5日，

2017年5月9日

四川省教育自然科學重點項目（編號：12ZA200）資助。

侯向寧，男，碩士研究生，研究方向：無線通信網絡、網絡安全與網絡應用。劉華春，男，碩士研究生，副教授，研究方向：網絡安全，智能信息處理。