Preventing IP Source Address Spoofing: A Two-Level, State Machine-Based Method

A signature-and-verification-based method, automatic peer-to-peer anti-spoofing （APPA）, is pro- posed to prevent IP source address spoofing. In this method, signatures are tagged into the packets at the source peer, and verified and removed at the verification peer where packets with incorrect signatures are filtered. A unique state machine, which is used to generate signatures, is associated with each ordered pair of APPA peers. As the state machine automatically transits, the signature changes accordingly. KISS ran- dom number generator is used as the signature generating algorithm, which makes the state machine very small and fast and requires very low management costs. APPA has an intra-AS （autonomous system） level and an inter-AS level. In the intra-AS level, signatures are tagged into each departing packet at the host and verified at the gateway to achieve finer-grained anti-spoofing than ingress filtering. In the inter-AS level, signatures are tagged at the source AS border router and verified at the destination AS border router to achieve prefix-level anti-spoofing, and the automatic state machine enables the peers to change signatures without negotiation which makes APPA attack-resilient compared with the spoofing prevention method. The results show that the two levels are both incentive for deployment, and they make APPA an integrated anti-spoofing solution.

Address Resolution Protocol (ARP): Spoofing Attack and Proposed Defense

Networks have become an integral part of today’s world. The ease of deployment, low-cost and high data rates have contributed significantly to their popularity. There are many protocols that are tailored to ease the process of establishing these networks. Nevertheless, security-wise precautions were not taken in some of them. In this paper, we expose some of the vulnerability that exists in a commonly and widely used network protocol, the Address Resolution Protocol (ARP) protocol. Effectively, we will implement a user friendly and an easy-to-use tool that exploits the weaknesses of this protocol to deceive a victim’s machine and a router through creating a sort of Man-in-the-Middle (MITM) attack. In MITM, all of the data going out or to the victim machine will pass first through the attacker’s machine. This enables the attacker to inspect victim’s data packets, extract valuable data (like passwords) that belong to the victim and manipulate these data packets. We suggest and implement a defense mechanism and tool that counters this attack, warns the user, and exposes some information about the attacker to isolate him. GNU/Linux is chosen as an operating system to implement both the attack and the defense tools. The results show the success of the defense mechanism in detecting the ARP related attacks in a very simple and efficient way.

互联网地址安全体系与关键技术

当前,互联网体系结构不具备地址真实性验证机制,源地址伪造与路由地址前缀欺骗造成了极大危害.解决地址安全问题、构建真实可信的互联网环境,已成为亟待解决的重要课题.地址的真实性是互联网可信的基础和前提.针对这些问题,研究者们从不同角度提出了很多解决方案.首先,该文介绍了地址的概念及其欺骗现状,分析了地址安全的含义,并从研究体系、实现机制以及关键技术这3个维度,对地址安全研究思路进行了归纳分析.然后,对典型地址安全方案的性能指标进行了总结.最后,给出了一个地址与标识通用实验管理平台的设想,基于该平台,可以为不同的地址标识方案提供统一的部署实验环境.

MAC地址与IP地址绑定的缺陷

首先介绍了绑定MAC地址与IP地址的起因 ,并通过实验验证与理论分析证明了绑定存在缺陷 ;然后提出了解决问题的设想。

IEEE802.11访问控制与MAC地址欺骗

对无线网络的访问控制机制进行了讨论,分析了目前所采用的IEEE802.11B无线网络设备在访问控制方面的不完善性,以及MAC地址访问控制的漏洞。采用序列号分析法对MAC地址欺骗进行检测,从而对无线网络的非授权访问进行监控。

基于IEEE802.11认证协议的DoS攻击

对IEEE802. 11认证协议的漏洞和无线网络受到的拒绝服务 (DoS)攻击进行了深入的剖析。捕获并分析IEEE802. 11MAC帧,利用序列号分析的方法,对授权的合法客户受到的DoS攻击进行检测;利用统计分析方法,对访问接入点AP受到的DoS攻击进行检测。

基于WinPcap实现对ARP欺骗的检测和恢复

在分析ARP欺骗实现原理的基础上,提出一种网络级的检测与恢复方法,并基于WinPcap实现了这种方案。这种方法与以往基于主机的检测方法相比,可避免网络内部所有主机重复安装,具有占用系统资源小、实现简单、便于移植的优点,能够有效地消除网络上存在的ARP欺骗。

基于代理的IP包源追踪系统

提出了一种不需要ISP合作的基于代理的IP包源追查体系结构,描述了支持这种体系结构的分布式包记录代理服务器和集中式反向追查安全控制服务器的实现步骤,扩充了UnixIP包转发算法,实现了包摘要算法和自动追查系统,解决了诸如可疑包的识别、记载、追踪的安全性,节省路由器资源·通过仿真实验证明基于代理的IP包追踪方法是行之有效的·

无线局域网MAC地址欺骗攻击的检测

在无线网络中,攻击者可以修改自己无线网卡的MAC地址为合法站点的地址,从而可以绕过访问控制列表,窃取网络信息,这给无线网络安全带来很大的危害。为了有效地防止和检测MAC地址欺骗攻击,文中在分析无线局域网MAC地址欺骗攻击的基础上,提出一种利用数据包序列号检测MAC地址欺骗攻击的检测方法。该方法不仅能够有效检测MAC地址欺骗攻击,并能迅速查找到入侵源,维护网络的性能和安全。经过试验证明,该方法具有良好的性能。

互联网中IP源地址伪造及防护技术

当前的互联网上出现了越来越多地使用伪造源地址发起网络攻击的行为。这种攻击行为容易发动且难以被追查出,如何降低攻击带来的危害,制止攻击的发生和追查攻击者真实身份成为一个重要问题。本文总结了伪造源地址攻击的攻击方式,并分析了现有的伪造源地址防御技术。

如何防止IP地址的欺骗

首先介绍了绑定MAC地址与IP地址的起因,并通过实验验证与理论分析证明了绑定存在缺陷;然后提出了解决问题的设想.

可编程网络体系

可编程网络通过将程序嵌入数据包，对网络节点编程，使网络体系适应用户的需求。可编程网络拓广了端到端原则的含义，形成新的网络概念。本文提出了可编程网络的体系结构、设计原则及应用方法，使网络在保持安全、高效的前提下具备更高的质量。

基于改进协议机制的防ARP欺骗方法

地址解析协议(ARP)是建立在友好通信、充分信任基础上的协议,因此,很容易受到攻击。该文介绍ARP协议工作机制、协议安全漏洞和当前已经提出的针对ARP欺骗的对策,并指出这些方法的不足之处。提出一种采用改进协议机制的方法用于防止ARP欺骗,该方法可以有效地减少利用ARP协议的网络欺骗攻击。

随机伪造源地址分布式拒绝服务攻击过滤

由于能够有效隐藏攻击者,随机伪造源地址分布式拒绝服务攻击被广泛采用.抵御这种攻击的难点在于无法有效区分合法流量和攻击流量.基于此类攻击发生时攻击包源地址的统计特征,提出了能够有效区分合法流量和攻击流量,并保护合法流量的方法.首先设计了一种用于统计源地址数据包数的高效数据结构Extended Counting Bloom Filter(ECBF),基于此,提出了随机伪造源地址分布式拒绝服务攻击发生时合法地址识别算法.通过优先转发来自合法地址的数据包,实现对合法流量的有效保护.采用真实互联网流量进行模拟,实验结果表明,所提方法能精确识别合法地址,有效地保护合法流量,尤其能够较好地保护有价值的交易会话.所提方法的时间复杂性为O(1),并且只需数兆字节的内存开销,可嵌入边界路由器或网络安全设备,如防火墙中,实现随机伪造源地址分布式拒绝服务攻击的在线过滤.

ARP欺骗原理及抵御方案设计

ARP(地址解析协议的英文缩写)欺骗是一种利用ARP协议的漏洞对局域网内主机的通信实施攻击的欺骗行为,本文对ARP协议的工作原理和安全漏洞进行了论述,通过分析ARP欺骗的方式,提出通过在客户端绑定网关和ARP服务器的真实MAC地址、设置ARP服务器和设置主机的ARP请求三个方面来抵御这种欺骗。

基于伪造IP地址检测的轻量级DDoS防御方法

由于网络速率的不断增加和网络带宽的不断变大,采用维持连接状态的方式进行DDoS攻击防御变得越来越困难。通过检查伪造IP地址防御DDoS攻击是高速链路上防御DDoS攻击的一种有效方法。由WangHai-ning等人提出的HCF在训练完全的情况下对伪造IP地址具有较强的检测能力。但由于网络流量构成的显著变化,网络流量的动态性明显增强。在当前网络环境下的HCF很难训练完全,从而使得HCF在当前网络环境下的检测能力大幅降低。基于HCF使用的基本原理在其基础之上引入了主机安全指数的概念,并修改了其实现的数据结构,使其更加适应当前的网络环境。实验结果显示,该方法在当前网络环境下可以较好地防御基于伪造IP地址的DDoS攻击。同时与HCF相比,可以显著地降低误判率。

校园网安全与ARP病毒

文章介绍了ARP地址解析协议的含义,分析了ARP协议所存在的安全漏洞,指出了ARP欺骗的过程,给出了IP地址和MAC地址绑定、交换机端口和MAC地址绑定等技术等几种能够有效防御ARP欺骗攻击的安全防范方法。

针对自由联盟SSO协议的攻击浅析

自由联盟的单点登录协议解决了如何在网络联盟内部多个应用系统统一身份认证的问题。介绍自由联盟规范,分析自由联盟的单点登录(SSO)协议的流程步骤及其安全性,并在此基础上,针对基于安全断言标记语言(SAML)的SSO协议提出四种攻击方式,并指明了它们各自的危害。从而从攻击的角度,完成了对自由联盟的SSO协议的安全性分析。

ARP协议及其安全隐患

由于ARP协议的自身缺陷,使得Internet存在安全隐患.分析ARP欺骗的基本原理,并提出预防ARP欺骗的常用措施.

校园网ARP欺骗原理及解决方案

在ARP协议及其工作原理的基础上,指出了ARP协议的弱点及ARP欺骗的由来,针对几种新的ARP欺骗攻击探讨了防范其攻击的措施.