偵測ARP欺騙攻擊之相關研究

本節將針對現有之 ARP 欺騙攻擊偵測技巧進行探討。目前之偵測方法主要可分為 (1)以分析封包內容以及(2)收集網路設備資訊兩種。以分析封包內容為主的方法其在偵 測 ARP 欺騙攻擊時，必須將偵測主機架設於欲監控之區域網路內，收集區域網路中的 每一個封包檢查其內容判斷是否為攻擊行為。且偵測主機只能監控其所處之區域網路。

而以網路設備資訊為主之偵測方法，則是可架設偵測主機於遠端的網路，不受地域限 制。此外，一部偵測主機可監控多個區域網路。但在目前的相關研究中，所使用之方法 對於網路環境發生變化時，自動調整以符合網路環境狀況之能力較為不足。以下為目前 對於偵測 ARP 欺騙攻擊的相關研究說明。

(1)以封包內容分析為依據之研究:

Ramachandran 與 Nandi[17]提出，將一偵測主機架設於區域網路內，收集在區域網 路中之主機所發送的 ARP 封包。將主機依其是否發送 ARP-Reply 或 ARP-Request 封包 分為三類，分別為 Full ARP Cycle、Request ARP Cycle 以及 Response Half Cycle。緊接 著偵測主機對其依不同類型發送偵測用之 Tcp Syn 封包或 ARP-Request 封包。若該主機 所回應之封包符合預期，則為正常使用者，並加入安全名單中；若回應不符預期，則判 斷其為攻擊者。

12

而 Trabelsi 與 Shuaib[23]利用 Trap ICMP(Internet Control Message Protocol)封包，找 出區域網路中的可疑主機。當發現區域網路中存在可疑主機時，利用 ARP Cache Poisoning[7]攻擊的技巧對可疑主機之 ARP Cache Table 作修改，緊接著發送偵測封包至 可疑主機。若該主機為 ARP 欺騙攻擊者，則偵測主機可由回應封包判斷其為攻擊者;若 該主機為正常使用者，則其正常的網路操作功能並不會被該研究所使用之偵測技巧所影 響。

在蕭漢威等人的研究中[31]，在欲監控之區域網路中，架設一偵測主機。該主機收 集區域網路中完整的每一個封包，分析封包內容並依其 MAC 位址彙整出流入與流出兩 部分的 ARP 封包數量、總封包數量以及總 Bytes 數量共計 6 項變數。以資料探勘領域 中的貝式分類法將前述所收集之 6 項網路流量變數建立一分類預測模型。由於此種方法 需要針對區域網路中的每個封包進行分析，因此當區域網路中的封包數量增大時，其所 消耗之偵測主機的系統計算資源亦將大增。且由於需要將偵測主機架設於欲監控之區域 網路中，因此對於監控大規模的網路其所需的建置成本亦為龐大。

上述三種以分析封包內容為依據之偵測方法，由於對於區域網路中之主機逐一檢查 其發出之封包，因此有較高的精準度。然而也由於必須逐一檢查封包內容，因此當區域 網路內之傳輸封包數量龐大時，對於偵測系統的運算資源是一大負擔。此外此種偵測方 法之偵測主機僅能監控一個區域網路，若要監控大規模之網路，則須佈署大量偵測主 機，且對於偵測主機之系統效能之需求亦高，導致建置成本高昂。

(2)以網路設備之資訊為依據之研究:

楊文龍[29]認為，在同一時間內，除了有特殊目的與功能的伺服器或主機外，區域 網路內的主機只會擁有一個 IP 位址。因此，該研究利用 SNMP 協定取得交換器內其轄 下主機之 IP 位址與 MAC 位址對應表，並配合動態主機組態協定(DHCP, Dynamic Host

13

Configuration Protocol)[6]的日誌檔，偵測區域網路中，是否有同一個 MAC 位址同時擁 有一個以上的 IP 位址對應。若發現此種對應關係，且該組 MAC 位址不在其所設定之 安全排外名單內，則判斷其為 ARP 欺騙攻擊發動者。此種偵測方法，雖然精準度較高，

然而必須事先了解其所監控之區網路內之主機狀況，如此才能建立一份安全排外名單，

因此當網路管理人員加入一個新的監控區域網路時，必須先以人工方式調查該區域網路 之狀態。且當區域網路內之主機因臨時之需求增加 IP 位址於同一網卡時，會被誤判為 攻擊者。因此，此種偵測方法對於區域網路環境發生變化時，其自動調整以符合變動過 後的網路環境狀況之能力較為不足。

另外 Carunt 與 Gondim[4]則認為在區域網路中，每台正常使用之主機所發送與接收 的封包數量以及網路流量之間，存在一種相對應的數量比值，在該研究視其為平衡。然 而發動 ARP 欺騙攻擊之主機與被 ARP 欺騙攻擊之受害主機，其所發送與接收之封包數 量與網路流量比起正常使用以及未遭受攻擊之主機，其封包數量與網路流量之比值相對 於正常使用流量來說，則較無規律，該研究視其為不平衡。因此，該研究利用 6 項 SNMP 網路流量變數，收集區域網路中的主機所發送以及接收之流量資料，依照該研究所提出 之演算法計算各主機之 6 項 SNMP 網路流量變數之間是否有不平衡的情況，找出區域 網路中的 ARP 欺騙攻擊發動者與被攻擊者之配對。藉以偵測區域網路中是否有發生 ARP 欺騙攻擊事件。但因這類的網路流量變數比值常隨著不同網路環境和應用程式的 不同而有所差異。因此，對於網路環境發生改變或攻擊程式加入混淆偵測系統的封包流 量時，其自動調整以符合網路環境現況的能力較為不足。此外，該研究必須針對交換器 中所有的連接埠進行計算以找出網路流量變數為最不平衡的攻擊主機與受害主機。在此 方法下，對於所需消耗之偵測系統計算資源較為沈重，且由於須找出變數間最不平衡的 主機，方可定義為攻擊者。若同一交換器底下同時有多個攻擊者，在此研究架構下是較 難被偵測的。

14

基於上述目前之 ARP 欺騙攻擊偵測機制之不足，在監控大規模網路時，建置成本 較高昂，且偵測封包內容所需的系統運算資源較多。此外，對於區域網路內環境改變時，

無法自動調整以符合需求。因此，本研究提出以網際網路流量為基礎，以資料探勘的分 類分析技術，進行 ARP 欺騙攻擊偵測之研究。在本研究中，採用以收集網路設備資訊 為基礎之方法，可解決以分析封包為基礎之方法必須使用運算性能較強之偵測主機以及 花費高昂的建置成本才可管理大規模網路的困境。而使用資料探勘的分類分析技術，則 可自動的產生分類預測模組，對於網路環境的變化有較好的適應力。且不需對於封包內 容進行分析，亦可降低偵測主機之運算效能的需求。

15