32、网络安全中的ARP欺骗与伪装检测技术

网络安全中的ARP欺骗与伪装检测技术

1. ARP欺骗检测技术

ARP欺骗是网络安全中的常见威胁，为有效检测此类攻击，可采用一种主动注入技术。该技术主要涉及主机数据库、欺骗检测引擎等模块，各模块间相互协作以实现ARP欺骗的检测。

1.1 系统模块与工作流程

• 主机数据库 ：若已学习地址的ARP流量存在矛盾，会触发欺骗警报。所有新的ARP流量都会被传递到欺骗检测引擎。
• 欺骗检测引擎 ：是整个系统的核心，将新收到的一致头部ARP数据包分为全ARP周期、请求半周期和响应半周期三类，然后应用检测算法进行处理。处理后，引擎会将ARP条目发送到添加到数据库模块或欺骗警报模块。添加到数据库模块会将验证后的MAC和IP地址映射添加到主机数据库。

欺骗检测引擎的工作基于以下两条规则：
- 规则A ：主机的网络接口卡会接受发送到其MAC地址、广播地址和订阅的多播地址的数据包，并将这些数据包传递到IP层。IP层仅接受发送到其IP地址的IP数据包，其余数据包将被静默丢弃。若接受的是TCP数据包，则会传递到TCP层。当收到TCP SYN数据包时，若目标端口开放，主机将以TCP SYN/ACK数据包响应；若端口关闭，则以TCP RST数据包响应。
- 规则B ：攻击者可以伪造ARP数据包冒充主机，但无法阻止真实主机对发送给它的ARP请求（或任何其他数据包）进行响应，前提是真实主机在网络上处于开启状态。

基于规则A，可构造两种类型的探测数据包来检测