第２８卷第２３期Ｖ０１．２８Ｎｏ．２３計算機工程與設(shè)計ＣｏｍｐｕｔｅｒＥｎｇｉｎｅｅｒｉｎｇａｎｄＤｅｓｉｇｎ２００７年１２月Ｄｅｅ．２００７基于ＡＲＰ與ＤＮＳ欺騙的重定向技術(shù)的研究劉揚１，劉楊１，胡

第２８卷第２３期

Ｖ０１．２８

Ｎｏ．２３

計算機工程與設(shè)計

ＣｏｍｐｕｔｅｒＥｎｇｉｎｅｅｒｉｎｇａｎｄＤｅｓｉｇｎ

２００７年１２月

Ｄｅｅ．２００７

基于ＡＲＰ與ＤＮＳ欺騙的重定向技術(shù)的研究

劉

揚１，

劉

楊１，胡仕成１，朱東杰２

（１．哈爾濱工業(yè)大學(xué)計算機科學(xué)與技術(shù)學(xué)院，山東威海２６４２０９；

２．哈爾濱工業(yè)大學(xué)軟件學(xué)院，山東成海２６４２０９）

摘要：網(wǎng)絡(luò)信息的檢測與控制是網(wǎng)絡(luò)管理的基本職責(zé)，限制客戶端對非法網(wǎng)站訪問是網(wǎng)絡(luò)管理的重要任務(wù)。通過分析ＡＲＰ欺騙的原理，利用ＡＲＰ欺騙的方法對局域網(wǎng)內(nèi)信息進行監(jiān)聽，分析ＤＮＳ查詢數(shù)據(jù)報內(nèi)容，在ＡＲＰ欺騙的基礎(chǔ)上結(jié)合ＤＮＳ欺騙對非法訪問進行重定向技術(shù)進行了研究，并提出了相應(yīng)的算法，減少了客戶端對非法網(wǎng)站訪問，實現(xiàn)了自動網(wǎng)絡(luò)監(jiān)控

的功能．

關(guān)鍵詞：嗅探；ＡＲＰ欺騙；ＤＮＳ欺騙；會話劫持；重定向技術(shù)中圖法分類號：ＴＰ３９３．０８

文獻標(biāo)識碼：Ａ

文章編號：１０００．７０２４（２００７）２３．５６０４．０３

Ｒｅａｃｈｉｎｇ

ｏｎ

ｒｅｄｉｒｅｃｔｉｏｎｔｅｃｈｎｏｌｏｇｙｂａｓｅｄｏｎＡＲＰａｎｄＤＮＳｓｐｏｏｆｉｎｇ

ＬＩＵＹａｎ９１，ＬＩＵＹａｎ９１，ＨＵＳｈｉ—ｃｈｅｎ９１，ＺＨＵＤｏｎｇ－ｊｉｅ２

＜１．ＳｃｈｏｏｌｏｆＣｏｍｐｕｔｅｒＳｃｉｅｎｃｅａｎｄＴｅｃｈｎｏｌｏｇｙ，ＨａｒｂｉｎＩｎｓｔｉｔｕｔｅｏｆＴｅｃｈｎｏｌｏｇｙ，Ｗｅｉｈａｉ２６４２０９，Ｃｈｉｎａ；

２．ＳｃｈｏｏｌｏｆＳｏｆｔｗａｒｅ，ＨａｒｂｉｎＩｎｓｔｉｔｕｔｅ

Ａｂｓｔｒａｃｔ：Ｔｈｅｂａｓｉｃ

ｏｆＴｅｃｈｎｏｌｏｇｙ，Ｗｅｉｈａｉ２６４２０９，Ｃｈｉｎａ）

ｒｅｓｐｏｎｓｉｂｉｌｉｔｙｏｆｎｅｔｗｏｒｋｍａｎａｇｅｍｅｎｔｉｓｃｈｅｃｋｉｎｇａｎｄｃｏｎｔｒｏｌｌｉｎｇｏｆｎｅｔｗｏｒｋｉｎｆｏｒｍａｔｉｏｎ，ｗｈｉｌｅｔｈｅｍｏｓｔｉｍｐｏｒｔａｎｔ

Ｔｈｒｏｕｇｈａｎａｌｙｚｉｎｇｔｈｅｐｒｉｎｃｉｐｌｅ

ｔａｓｋｉｓｌｉｍｉｔｉｎｇｉｌｌｅｇａｌａｃｃｅｓｓｉｎｇｎｅｔｗｏｒｋＡＲＰ

ｏｎ

ｏｆｔｈｅＡＲＰｓｐｏｏｆｉｎｇ，ｔｈｅＬＡＮｉｎｆｏｒｍａｔｉｏｎｉｓｍｏｎｉｔｏｒｅｄｂｙ

ｓｐｏｏｆｉｎｇ，ａｎｄｔｈｅｃｏｎｔｅｎｔｏｆＤＮＳｒｅｑｕｅｓｔｐａｃｋａｇｅｉｓａｎａｌｙｚｅｄ，ｔｈｅｎｒｅｄｉｒｅｃｔｉｏｎｔｅｃｈｎｏｌｏｇｙｏｆｉｌｌｅｇａｌａｃｃｅｓｓｉｎｇｉｓｒｅｓｅａｒｃｈｅｄｂａｓｅｄＡＲＰｓｐｏｏｆｉｎｇａｎｄｃｏｒｒｅｓｐｏｎｄｉｎｇａｒｉｔｈｍｅｔｉｃｃｏｍｂｉｎｅｄｗｉｔｈＤＮＳＳｐｏＯｆｉｎｇｉｓｐｒｅｓｅｎｔｅｄ，ｔｈｕｓｔｈｅｉｌｌｅｇａｌａｃｃｅｓｓｉｎｇｄｅｇｒｅｅｉｓｒｅｄｕｃｅｄ，

ｍｏｎｉｔｏｒｉｎｇ

ａｎｄｔｈｅａｕｔｏｍａｔｉｃｎｅｔｗｏｒｋｆｕｎｃｔｉｏｎ

ｉｓａｃｈｉｅｖｅｄ．

Ｋｅｙｗｏｒｄｓ：ｓｎｉｆｆｉｎｇ；ＡＲＰｓｐｏｏｆｉｎｇ；ＤＮＳｓｐｏｏｆｉｎｇ；ｓｅｓｓｉｏｎ?塒ａｃｋｉｎｇ；ｒｅｄｉｒｅｃｔｉｏｎｔｅｃｈｎｏｌｏｇｙ

０引言

的隱蔽性。本文通過分析會話劫持，監(jiān)聽局域網(wǎng)中的主機訪問信息，進而采用過濾技術(shù)并偽造ＤＮＳ應(yīng)答包對非法訪問進行ＤＮＳ欺騙，把訪問者導(dǎo)向到一個特定的主機上，在該主機上放置一個警告頁面，達到限制非法上網(wǎng)的目的。

局域網(wǎng)的鏈接方式主要有兩種，一種是通過集線器鏈接，一種是通過三層交換機鏈接。通過集線器鏈接的網(wǎng)絡(luò)，由于集線器只是對數(shù)據(jù)幀進行廣播，只要把網(wǎng)卡設(shè)置為混雜模式，在集線器任何一個端口都可以偵聽到整個局域網(wǎng)里面的數(shù)據(jù)流，在這種情況下可以很方便的對局域網(wǎng)里的主機進行監(jiān)聽Ⅲ。而大多數(shù)局域網(wǎng)是通過三層交換機鏈接，交換機有自己的ＭＡＣ映射表，除了廣播數(shù)據(jù)包，其它的數(shù)據(jù)包都是由發(fā)送主機端口進，接受主機端口出，在這種情況下除了網(wǎng)關(guān)，主機相互間不知道訪問的內(nèi)容。要偵聽流向其它主機的數(shù)據(jù)流就需要破壞交換機的數(shù)據(jù)流向，可以有兩種方法，一是使用洪泛方式攻擊交換機，使其映射表溢出，于是交換機就會進入類似于集線器的廣播模式；二是會話劫持，通過ＡＲＰ欺騙，在偵聽的主機和網(wǎng)關(guān)之間做中間人，獲取數(shù)據(jù)流。第一種方法會對網(wǎng)絡(luò)的穩(wěn)定性造成一定的影響并且易于覺察。采用會話劫持具有較高

收稿日期：２００６－１２—２２

Ｅ－ｍａｉｌ：ｌｙｙｌ２３２２＠１２６．ｔｏｍ

１欺騙原理

１．１

ＡＲＰ欺騙原理

ＡＲＰ協(xié)議是建立在相互信任的基礎(chǔ)上的，它是一個無狀

態(tài)協(xié)議嘲。ＡＲＰ請求是以廣播方式進行的，任意一臺主機在沒有接到請求的情況下也可以隨意發(fā)送ＡＲＰ應(yīng)答包，接收到ＡＲＰ應(yīng)答包的ＡＲＰ緩存沒有認(rèn)證機制，直接動態(tài)更新緩存，這些都為ＡＲＰ欺騙提供了條件。

會話劫持是攻擊者通過將自身插入到兩個通信主機之間，從而獲取通信雙方交互信息，為防止通信中斷，攻擊者將不斷轉(zhuǎn)發(fā)兩個通信主機之間的信息。會話劫持的方式可以分為內(nèi)網(wǎng)會話劫持和外網(wǎng)會話劫持阱。

基金項目：哈爾濱工業(yè)大學(xué)（威海）校研究基金項目（ＭＱｌ０００００７９）．

作者簡介：劉揚（１９７２一），男，陜西武功人，碩士，講師，研究方向為計算機網(wǎng)絡(luò)協(xié)議分析及安全保障、企業(yè)資源計劃；碩士，助教，研究方向為計算機網(wǎng)絡(luò)：

胡仕成（１９７０－－），男，博士后，副教授，研究方向為企業(yè)資源計劃、計算機網(wǎng)絡(luò)；

男，河南正陽人，碩士，助教，研究方向為人工智能、計算機網(wǎng)絡(luò)。

劉楊（１９７８－－），女，朱東杰（１９８３一），

一５６０４一

萬方數(shù)據(jù)　

１．１．１內(nèi)網(wǎng)會話劫持包的簡化格式如表３所示。

假設(shè)在同一網(wǎng)段內(nèi)的主機Ａ要和主機Ｂ進行通信，現(xiàn)在表３發(fā)送到Ａ主機的ＡＲＰ應(yīng)答包攻擊者主機Ｃ要進行監(jiān)聽雙方通信內(nèi)容，如圖１所示。源ＭＡＣ地址源口地址目的ＭＡＣ地址目的Ｐ地址

ＡＢ－ＡＢ．ＡＢ．ＡＢ．ＡＢ１７２．２９．２６．２００００．１１－２２．３３婢ＡＡ１７２．２９．２６．１００

主機Ａ接收到Ａｌ沖應(yīng)答包更新緩存，主機Ａ在遭受欺騙

后將信息發(fā)送給主機Ｂ時是按攻擊者主機Ｃ的ＭＡＣ地址尋

址，ＡＲＰ協(xié)議為局域網(wǎng)協(xié)議，由于主機Ｃ在外網(wǎng)，所以主機Ａ

不會將信息發(fā)送到路由器，這時主機Ｃ利用ＩＣＭＰ更新主機Ａ

的路由表，將發(fā)送給主機Ｂ的信息先發(fā)送到路由器再轉(zhuǎn)發(fā)給

攻擊者Ⅲ。這樣攻擊者就實現(xiàn)了對主機Ａ的監(jiān)聽。同理，可以

圖ｌ內(nèi)網(wǎng)監(jiān)聽過程實現(xiàn)對主機Ｂ的監(jiān)聽，從而實現(xiàn)外網(wǎng)監(jiān)聽。

１．２ＤＮＳ欺騙原理

攻擊者主機Ｃ在已知通信雙方ＩＰ的基礎(chǔ)上，可以通過收當(dāng)客戶向一臺服務(wù)器請求服務(wù)時，服務(wù)器方一般會根據(jù)集ＡＲＰ請求／響應(yīng)信息或通過ＩＣＭＰ協(xié)議的ＰＩＮＧ命令獲取通客戶的礤反向解析出該口對應(yīng)的域名。這種反向域名解析信雙方主機的ＭＡＣ地址。主機Ｃ設(shè)置網(wǎng)卡為混雜模式并具就是一個查ＤＮＳ（ｄｏｍａｉｎｎａｌｌｌｅｓｅｒｖｉｃｅ）的過程嘲。有轉(zhuǎn)發(fā)功能，主機Ｃ進行ＡＲＰ欺騙（ＡＲＰＳｐｏｏｆｉｎｇ），構(gòu)造ＡＲ．Ｐ在ＤＮＳ數(shù)據(jù)報頭部的序列號是用來匹配應(yīng)答和查詢數(shù)應(yīng)答包發(fā)送給主機Ａ，該包的簡化格式如表１所示。據(jù)報的?？蛻舳耸紫纫蕴囟ǖ臉?biāo)識向ＤＮＳ服務(wù)器發(fā)送域名

表１發(fā)送到Ａ主機的ＡＲＰ應(yīng)答包查詢數(shù)據(jù)報，在ＤＮＳ服務(wù)器查詢之后以相同的／Ｄ號給客戶端

發(fā)送域名應(yīng)答數(shù)據(jù)報舊。這時客戶端會將收到的ＤＮＳ應(yīng)答數(shù)

源ＭＡＣ地址源坤地址目的ＭＡＣ地址目的嬋地址

ＡＢ—ＡＢ．ＡＢ．ＡＢ．ＡＢ１７２．２９．２６．２００００—１１－２２—３３—４４—ＡＡ１７２．２９＿２６．１００據(jù)報的ＩＤ和自己發(fā)送的查詢數(shù)據(jù)報ＩＤ相比較，如果匹配則

表明接收到的正是本機等待的數(shù)據(jù)報，如果不匹配則丟棄之。

由于ＡＲＰ協(xié)議自身的缺陷，主機Ａ接收主機Ｃ構(gòu)造的假如偽裝ＤＮＳ服務(wù)器提前向客戶端發(fā)送應(yīng)答數(shù)據(jù)報，那ＡＲＰ應(yīng)答包并更新ＡＲＰ緩存，為防止欺騙失效，主機Ｃ必須么客戶端的ＤＮＳ緩存里域名所對應(yīng)的ｍ就是欺騙者自定義不斷發(fā)送ＡＲＰ應(yīng)答包持續(xù)欺騙。同理，主機Ｃ構(gòu)造ＡＲＰ應(yīng)答的ＩＰ，同時客戶端也就被帶到了欺騙者希望的網(wǎng)站。前提條包發(fā)送給主機Ｂ進行欺騙。包的簡化格式如表２所示。件就是欺騙者發(fā)送的ＩＤ匹配的ＤＳＮ應(yīng)答數(shù)據(jù)報在ＤＮＳ服務(wù)

表２發(fā)送到Ｂ主機的ＡＲＰ應(yīng)答包器發(fā)送的應(yīng)答數(shù)據(jù)報之前到達客戶端。

利用ＤＮＳ序列號欺騙可分為如下兩種情況：①本地主機

源ＭＡＣ地址源Ⅲ地址目的ＭＡＣ地址目的口地址與ＤＮＳ服務(wù)器，本地主機與客戶端主機均不在同一個局域網(wǎng)ＡＢ—ＡＢ－ＡＢ?ＡＢ．＾Ｂ１７２．２９．２６．１００００－１ｌ＿２２－３３－４４－ＢＢ１７２．２９．２６．２００

內(nèi)，方法有以下幾種：向客戶端主機隨機發(fā)送大量ＤＮＳ應(yīng)答

這樣攻擊者阻斷了主機Ａ與主機Ｂ的直接通信，通過攻數(shù)據(jù)報，其中序列號是任意給定的，因此序列號和客戶端查詢擊者可以接收并轉(zhuǎn)發(fā)通信雙方的信息，進行不易被通信雙方報文序列號匹配的概率很低舊；向ＤＮＳ服務(wù)器發(fā)起拒絕服務(wù)發(fā)覺的監(jiān)聽。攻擊，容易被檢測；ＢＩＮＤ漏洞，使用范圍比較有限。②本地主１．１．２外網(wǎng)會話劫持機至少與ＤＮＳ服務(wù)器或客戶端主機中的某一臺處在同一個局

假設(shè)在同一網(wǎng)段內(nèi)的主機Ａ要和主機Ｂ進行通信，現(xiàn)在域網(wǎng)內(nèi)：欺騙者可以通過嗅探Ｓｎｉｔｉｉｎｇ得到ＤＮＳ查詢報文的序攻擊者主機Ｃ處于外網(wǎng)中，要進行監(jiān)聽雙方通信內(nèi)容，如圖２列號，利用ＡＲＰ欺騙來實現(xiàn)可靠而穩(wěn)定的ＤＮＳ序列號欺騙。所示。攻擊者主機Ｃ為監(jiān)聽主機Ａ和主機Ｂ的通信內(nèi)容，必２具體實現(xiàn)

須通過路由器?？紤]到信息從內(nèi)網(wǎng)到外網(wǎng)的存活時間問題，

修改攻擊者ｍ分組的ＴｒＬ時間，使攻擊者發(fā)出的欺騙包有充在局域網(wǎng)中實現(xiàn)ＤＮＳ欺騙的基礎(chǔ)是ＡＲＰ欺騙。ＡＲＰ欺足的時間到達目的主機。主機Ｃ發(fā)送ＡＲＰ應(yīng)答包給主機Ａ，．騙的對象是網(wǎng)關(guān)和客戶端。欺騙者采用多線程方式運行ＡＲＰ

Ｓｐｏｏｆｉｎｇ線程進行會話劫持，欺騙者持續(xù)向網(wǎng)關(guān)發(fā)送包含客戶

端口及欺騙者ＭＡＣ的ＤＮＳ應(yīng)答數(shù)據(jù)報，促使網(wǎng)關(guān)修改其ＡＲＰ

緩存閣；同時欺騙者持續(xù)向客戶端發(fā)送包含網(wǎng)關(guān)ｍ及欺騙者

ＭＡＣ的ＤＮＳ應(yīng)答數(shù)據(jù)報，促使客戶端修改其ＡＲＰ緩存。此時

網(wǎng)關(guān)看到客戶端ＭＡＣ地址就是欺騙者主機的ＭＡＣ地址；客

戶端也認(rèn)為網(wǎng)關(guān)的ＭＡＣ地址為欺騙者主機的ＭＡＣ地址。網(wǎng)

關(guān)和客戶端進行通信時，數(shù)據(jù)流通過欺騙者主機進行中轉(zhuǎn)，欺

騙者主機可以在網(wǎng)關(guān)和客戶端無覺察的情況下進行監(jiān)聽。當(dāng)

欺騙者主機利用Ｓｎｉｆｆｉｎｇ線程進行監(jiān)聽時，如發(fā)現(xiàn)客戶端發(fā)送

圖２外網(wǎng)監(jiān)聽的ＤＮＳ查詢數(shù)據(jù)報（目的端口為５３）貝１Ｊ提取其域名字段內(nèi)容，

萬　方數(shù)據(jù)?——５６０５‘‘—

在數(shù)據(jù)庫中進行對比，如果是非法網(wǎng)站，欺騙者主機根據(jù)ＤＮＳ查詢數(shù)據(jù)報的序列號構(gòu)造ＤＮＳ應(yīng)答數(shù)據(jù)報，在ＤＮＳ應(yīng)答數(shù)據(jù)報域名字段中寫入警告網(wǎng)站域名地址，這樣客戶端會收到欺騙者發(fā)送的ＤＮＳ響應(yīng)數(shù)據(jù)報并訪問欺騙者自定義的網(wǎng)站。

主程序創(chuàng)建兩個線程，一個線程進行實時的ＡＲＰ欺騙，另一個線程監(jiān)聽接收到的數(shù)據(jù)報，若發(fā)現(xiàn)有域名服務(wù)查詢數(shù)據(jù)報，則立即向客戶端發(fā)送自定義的ＤＳＮ響應(yīng)數(shù)據(jù)報。測試環(huán)境：Ｗｉｎｄｏｗｓ２０００＋ＶＣ６．０十Ｗｉｎｐｃａｐ３．Ｏ＿ａｌｐｈａ，注冊表：ＨＫＥ￡ｚＯＣＡＬ＿ＭＡＣＨＩＮＥ＼ＳＹＳＴＥＭ＼ＣｕｒｒｅｎｔＣｏｎｔｒｏｌＳｅｔ＼Ｓｅｒｖｉ－

ｃｅｓ＼Ｔｃｐｉｐ＼ＰａｒａｍｅｔｅｒｓＲＰＥｎａｂｌｅＲｏｕｔｅｒ＝０ｘｌ。

ＤＮＳ包結(jié)構(gòu)：以太網(wǎng)頭部＋ＩＰ頭部＋ＵＤＰ頭部＋ＤＩＮＳ部分（Ｂ代表字節(jié)）ＡＲＰＳｐｏｏｆｉｎｇ線程：

ＰａｃｋｅｔＩｎｉｔＰａｃｋｅｔ（ＩＰｐａｃｋｅｔｓ．Ｓｅｌｌｄｂｕｆ，ｓｉｚｅｏｆ（ｅｔｈ）＋ｓｉｚｅｏｆ

（—嗵ｐ））；／／初始化ＡＲＰ響應(yīng)數(shù)據(jù)報：

ＰａｃｋｅｔＳｃｎｄＰａｃｋｅｔ（ＩＰＮＩＣ，ＩＰｐａｃｋｅｔｓ，ＴＲＩ『Ｅ）：／／發(fā)送ＡＲＰ欺騙的響應(yīng)數(shù)據(jù)報；

ＧｅｔＭＡＣ０函數(shù)

ＧｃｔＮＩＣｓｌｎｆｏ（ｐＮｌＣｉｎｆｏ，＆ＮＩＣＩｎｆｏｓｉｚｅ）；∥獲取網(wǎng)絡(luò)適配器的屬性；ＳｅｎｄＡＲＰ（ｄｅｓｔｌＰ，０，ｐｕｌＭＡＣ，＆ｕｌｌｅｎ）；

／／發(fā)送ＡＲＰ請求數(shù)據(jù)報，過去網(wǎng)絡(luò)主機的ＭＡＣ地址；Ｓｎｉｆｆｉｎｇ線程：

ＰａｃｋｅｔＳｅｔＨｗＦｉｌｔｅｒ（ＩＰＮＩＣ。ＮＤＩＳ＿ＰＡＣＫＥ飛娶ＰＥ

ＰＲＯＭＩＳ—

ｃｕｏｕｓ）；／／將網(wǎng)卡設(shè)置為混雜模式

ＰａｃｋｅｔＳｅｔＢｕｆｆ（１ｐＮＩＣ，５００’１０２４），／／設(shè)置網(wǎng)絡(luò)適配器的內(nèi)核緩存；ＰａｅｋｅｔＳｅｔＲｅａｄＴｉｍｅｏｕｔ（ＩＰＮＩＣ，１）；，／設(shè)置等待時間；

ＰａｅｋｅｔＲｅｃｅｉｖｅＰａｅｋｅｔ（ＩＰＮＩＣ，ＩＰｐａｃｋｅｔｒ，ＴＲＵＥ））∥接收網(wǎng)絡(luò)數(shù)據(jù)報；

Ｃｈｅｃｋｓｕｍ（（ＵＳＨＯＲＴ‘）ｔｅｍｐ，ｓｉｚｅｏｆ（ＰＳＤ）＋ｓｉｚｅｏｆ（Ｕ『ＤＰ．

ＨＤＲｈｉｚｅｏｆｆＤＮＳＭｅｎ＋ｓｉｚｅｏｆ

（ＱＵＥＲＹ）＋ｓｉｚｅｏｆ（ＲＥＳＰＯＮＳＥ））；／／計算校驗和；

ＰａｅｋｅｔｌｎｉｔＰａｅｋｅｔ（１ｐｐａｃｋｅｔｓ，ｓｅｎｄｂｕｆ：ｓｉｚｃｏｆ（ＥＴＨＤｌ◇悔ｉｚｅｏｆ（ＩＰＨＤＲ）＋ｓｉｚｅｏｆ（ＵＤＰＨＤＲ）＋ｓｉｚｅｏｆ（ＤＮＳ）＋ｕｌｅｎ＋４＋ｓｉｚｅｏｆ（ＲＥ—ＳＰＯＮＳＥ））；

／／初始化一個ＰＡＣＫＥＴ結(jié)構(gòu)，發(fā)送ＤＮＳ響應(yīng)數(shù)據(jù)報；ＤＮＳ查詢數(shù)據(jù)報域名字段的分析：要對ＤＮＳ查詢數(shù)據(jù)報中的域名字段做提取，分析出客戶機訪問的域名，域名字段的開始位置是固定的（５５字節(jié)開始），但是長度是不固定的，可通過包長度計算出來這個字段的長度，字段長度＝總包長度－５８（以太網(wǎng)１４＋ＩＰ頭２０＋ＵＤＰ頭８＋ＤＮＳ字段的其它部分１６）嘲，所以可以每次在捕獲ＤＮＳ查詢數(shù)據(jù)報以后都從截?。担甸_始，長度為總包長度一５８，進行域名分析。

分析的時候要注意這里面不是完全按照ＡＳＣＩＩ對應(yīng)關(guān)系對應(yīng)的，分析的時候需要做些轉(zhuǎn)換，也就是域名中除了“０－９”

。ａ∥“一”以外都要作為“?！碧幚磬省＿@樣就可以得到客戶機

的ＤＮＳ請求中的域名信息了過濾方式：與非法的域名記錄做對比，如果是非法域名，就進行ＤＮＳ欺騙，如果不是不做回應(yīng)。

?——５６０６?——

萬　

方數(shù)據(jù)采用的方法是每次在程序初始化時就從數(shù)據(jù)庫里讀出所有非法域名（管理員導(dǎo)入），全部存入內(nèi)存緩存區(qū)（因為都是字符串不會占用很多內(nèi)存），然后在內(nèi)存中進行智能分詞匹配，過濾出含有非法網(wǎng)站信息的域名。

構(gòu)造欺騙包：構(gòu)造欺騙包時，應(yīng)該盡量構(gòu)造簡單的包，權(quán)威和附加字段都不添，如ＵＤＰ校驗和等“∞，可以減少出錯的幾率，也加快了回應(yīng)速度。

ＤＮＳ包的大部分字段的位置都是不變的，只是因為問題的域名長短不一才使得少量字段位置有區(qū)別，而且ＤＮＳ查詢數(shù)據(jù)報和應(yīng)答包的包結(jié)構(gòu)也是一樣的，只是查詢數(shù)據(jù)報的應(yīng)答字段，權(quán)威字段，附加字段都是空，所以采用了改造查詢數(shù)據(jù)報的方法，而不是構(gòu)造包的方法，這樣全是交換和置位操作，減少了分析數(shù)據(jù)包和構(gòu)造結(jié)構(gòu)體等麻煩，也省去了結(jié)構(gòu)體類型轉(zhuǎn)換等需要的時間。需要注意的是：每組ＤＮＳ查詢和應(yīng)答是通過ＤＮＳ部分的序列號來匹配的，所以回應(yīng)的序列號要和查詢的序列號一致。實現(xiàn)如下：

Ｍ＾ＩＮＯ函數(shù)

ＰａｅｋｅｔＧｅｔＮｌＣＮａｍｅｓ

（（ｃｈａｒ’）ＮｌＣｎａｍｅ，＆ＮｌＣｌｅｎｇｔｈ）『；

／／獲得本地主機的網(wǎng)絡(luò)適配器列表和描述：ＩＰＮＩＣ＝

ＰａｃｋｅｔＯｐｅｎＮＩＣ（ＮＩＣｌｉｓｔ［ｏｐｅｎ－ｌ】）：

／／打開指定的網(wǎng)絡(luò)適配器；

ＣｒｅａｔｅＴｈｒｅａｄ（ＮＵＬＬ，０，Ｓｎｉｆｆｉｎｇ，Ｍ『ＩＪｍ０＆ｔｈｒｅａｄｒｉｄ）ｔ

ＣｒｅａｔｅＴｈｒｅａｄ

（ＮＵＬＬ，０，ＡＲＰＳｐｏｏｆｍｇ，ＮＵＬＬ，０，＆ｔｈｒｅａｄｓｉｄ）；∥創(chuàng)建兩個線程；

ＷａｉｔＦｏｒＭｕｌｔｉｐｌｅＯｂｊｅｅｔｓ（２，ｔｈｒｅａｄ，ＦＡＬＳＥ，ＩＮＦＩＮＩＴＥ）；∥等待其中的某個線程結(jié)束；

３結(jié)束語

網(wǎng)絡(luò)信息的檢測與控制是網(wǎng)絡(luò)管理員面臨的問題，在局域網(wǎng)可以采用多種方式（如軟硬件防火墻等）對客戶端的不良信息訪問加以控制。本方法在校局域網(wǎng)內(nèi)經(jīng)測試，當(dāng)客戶端對非法網(wǎng)站訪問時客戶端可以在Ｏ．４ｍｓ內(nèi)被定位到指定網(wǎng)站，有效減少客戶端對非法網(wǎng)站的訪問，從而實現(xiàn)對局域網(wǎng)內(nèi)客戶端對非法網(wǎng)站訪問的控制。本文介紹的ＤＮＳ序列號欺騙是基于ＡＲＰ欺騙之上的網(wǎng)絡(luò)攻擊，僅限于局域網(wǎng)中。在數(shù)據(jù)庫中對非法網(wǎng)站的匹配查詢算法復(fù)雜度還有待進一步改進。

參考文獻：

【１】

郭潤，王振興，敦亞南．交換式以太網(wǎng)中的ＡＲＰ與ＤＮＳ欺騙技術(shù)分析［Ｊ】．微計算機信息（管控一體化），２００５，２１（３）：２１－２３．【２】Ｄａｖｉｄ

Ｃ

Ｐｌｕｍｍｅｒ．Ａｎｅｔｈｅｍｅｔａｄｄｒｅｓｓｒｅｓｏｌｕｔｉｏｎｐｒｏｔｏｃｏｌ—

Ｃｏｎｖｅｒｔｉｎｇｎｅｔｗｏｒｋｐｒｏｔｏｃｏｌａｄｄｒｅｓｓｅｓｔｏ

４８ｂｉｔｅｔｈｅｍｅｔａｄｄｒｅｓｓ

ｆｏｒＩｘａｎｓｍｉｓｓｉｏｎ

ｏｎ

ｅｔｈｅｒｎｅｔ

ｈａｒｄｗａｒｅ［Ｓ］．ＲＦＣ８２６．

【３】ＬｉｕＹａｎｇ，ＣｈｉＬｃｊｍａ，ＺｈｕＤｏｎｇｊｉｅ．ＡＲＰｓｐｏｏｆｉｎｇｄｅｔｅｃｔｉｏｎ

ａｎｄ

ｇｕａｒｄｉｎｇ

ａｌｇｏｒｉｔｈｍ［Ｃ］．Ｔｈｅ

ＩｎｔｅｒｎａｔｉｏｎａｌＣｏｎｆｅｒｅｎｃｅｏｎ

Ｍｕｌｔｉ－

ｍｅｄｉａ，ＩｎｆｏｒｍａｔｉｏｎＴｅｃｈｎｏｌｏｇｙａｎｄｉｔｓＡｐｐｌｉｃａｔｉｏｎｓ．Ｄａｌｉａａ：ＤａｌｉａｎＵｎｉｖｅｒｓｉｔｙｏｆＬｉｇｈｔＩｎｄｕｓｔｒｙ，２００６：１８３－１８６．

（下轉(zhuǎn)第５６０９．頁）

下的適應(yīng)性選擇消息和身份的存在性偽造攻擊。

（２）ＰＫＧ偽造簽名

第一種情況，ＰＫＧ想偽造對消息ｍ的簽名，使得該簽名與用戶對消息ｒａ的簽名相同。假設(shè)ＰＫＧ所偽造的合法簽名（配

于雙線性對的計算時問，因此本方案在簽名驗證階段的效率還是高于文獻［７】中的方案。由此可知，在安全性相同的情況下，本方案高于文獻【７】中方案的效率。

巧乃．尸）為對消息ｍ的簽名礦＝（樅）擴１島），這里，ＰＫＧ知道＆，

可計算：，＿ＩＰ＝（Ｑｍ＋ｓＸｘ＋ｈ）。１乃這與ｑ．ＢＤＨＩＰ難解是矛盾的。另外，在這種情況下就相當(dāng)于用戶的私鑰變成了，．≯，根據(jù)（１）中的證明，此時本方案仍然能抵抗適應(yīng)性選擇消息和身份的存在性偽造攻擊。

第二種情況，ＰＫＧ想偽造對消息ｍ的簽名，該簽名與用戶

４結(jié)束語

本文在基于身份密碼體制下提出了一個新的無可信中心的數(shù)字簽名方案，并對該方案進行了安全性證明和效率分析。本文方案與傳統(tǒng)的無可信中心的簽名方案不同，是基于４．ＳＤＨＰ難解的，但是具有與傳統(tǒng)的無可信中心的簽名方案相同的安全性，能抵抗隨機預(yù)言模型下的適應(yīng)性選擇消息和身份的存在性偽造攻擊。本文方案在效率方面優(yōu)于其它基于身份無可信中心的數(shù)字簽名方案。

所作的對消息ｍ的簽名不同。ＰＫＧ選擇一個隨機數(shù)ｒ，∈Ｚ，計

算Ｑ名＝凰（，Ｄ０ｚ７，Ｐ），最后得到一個可驗證有效的簽名（【，，，ｎ正ｒ四。但是，合法的用戶可以提供證據(jù)證明ＰＫＧ偽造了他的

簽名。他先把ｒＰ交給一個中間人，然后就可以證明他知道島：

中間人隨機選取口∈。ｚ：，把口匕和ａＨ，（ＩＯ０ＬｒＰ’以通過一個安

參考文獻：

【１】

ＢｏｎｅｈＤ，ＬｙｎｎＢ，ＳｈａｃｈａｍＨ．Ｓｈｏｒｔｓｉｇｎａｔｕｒｅｓ

ｆｒｏｍｔｈｅＷｅｉｌ

全通道送給用戶，用戶計算：會（島，ａＰ．＋ａＨ（ＩＤ¨正廠Ｐ懈），如果

等式文％，ａＰ．＋ａｔｔ（ＩＤ

且他的ＩＤ在同一時間期限內(nèi)對應(yīng)了ｒＰ和ｒ，Ｐ，這時中間人就可以判斷ＰＫＧ偽造了用戶的簽名。這是因為，由（１）中證明可知除ＰＫＧ外的任何人都無法得到ｓ，進而無法偽造用戶的簽名。３．２效率分析與對比

ＩＩ正刪＝籪成立，就說明用戶知道島并

ｐａｉｒｉｎｇ［Ｃ】．ＧｏｌｄＣｏａｓｔ，Ｑｕｅｅｎｓｌａｎｄ，Ａｕｓｔｒａｌｉａ：ＰｒｏｃＡｄｖａｎｃｅｓ

ｉｎＣｒｙｐｔｏｌｏｇｙ—Ａｓｉａｃｒｙｐｔ，２００１：５１４－５３２．

【２】ＰａｔｅｒｓｏｎＫＧ．ＩＤ－ｂａｓｅｄｓｉｇｎａｔｕｒｅｆｒｏｍｐａｉｒｉｎｇＯｎｅｌｌｉｐｔｉｃ

ｃｕｒｖｅｓ

［ＯＬ】．Ｃｒｙｐｔｏｌｏｇｙ

２００２／００４．

ｅＰｒｉｎｔ

Ａｒｃｈｉｖｅ，２００２．ｈｔｔｐ：／／ｅｐｒｉｎｔ．ｉａｃｒ．ｏｒｇ／

【３】ＨｅｓｓＥＥｆｆｉｃｉｅｎｔｉｄｅｎｔｉｔｙｂａｓｅｄｓｉｇｎａｔｕｒｅｓｃｈｅｍｅｓｂａｓｅｄ

０１１

ｐａｉ－

本文所提出的簽名方案和文獻【７】所提出的方案都是基于身份無可信中心的簽名，并且它們都具有相同的安全性。文獻［７】的方案是目前所知的基于身份無可信中心的簽名方案中效率最好的方案。下面分別對這兩個方案進行簽名和驗證階段的效率分析。

從表１中明顯看出本方案在簽名階段效率高于文獻［７】中的方案。在簽名驗證階段本方案比文獻［７】的方案多一個點乘計算，少了一個雙線性對的計算。但是點乘的計算時間遠低

【５】５

ｒｉｎｇｓ［Ｃ］．ＳｅｌｅｃｔｅｄＡｒｅａｉｎＣｒｙｐｔｏｇｒａｐｈｙ，ＳＡＣ‘０２．Ｈｅｉｄｅｌｂｅｒｇ：

．

Ｓｐｒｉｎｇｅｒ－Ｖｅｒｌａｇ，２００３：３１０?３２４．

【４】ＣｈａＪＣ。ＣｈｅｏｎＪＨ．Ａｎｉｄｅｎｔｉｔｙ－ｂａｓｅｄｓｉｇｎａｔｕｒｅｆｒｏｍｇａｐＤｉｆｆｉｅ—

Ｈｅｌｌｍａｎ

ｇｒｏｕｐｓ［Ｃ】．Ｐｕｂｌｉｃ

ＫｅｙＣｒｙｐｔｏｇｒａｐｈｙ－ＰＫＣ．Ｂｅｒｌｉｎ：

Ｓｐｒｉｎｇｅｒ－Ｖｅｒｌａｇ，２００３：１８－３０．ＢａｒｒｅｔｏＥ

ｓｅｃｕｒｅ

ＬｉｂｅｒｔＢ，ＭｃＣｕｌｌａｇｈＮ，ｅｔａ１．Ｅｆｆｉｃｉｅｎｔａｎｄｐｒｏｖａｂｌｙ－

ｉｄｅｎｔｉｔｙ—ｂａｓｅｄｓｉｇｎａｔｕｒｅａｎｄｓｉｇｎｃｒｙｐｔｉｏｎｆｒｏｍｂｉｌｉｎｅａｒ

ｍａｐｓ［Ｃ］．Ａｓｉａｃｒｙｐｔ，ＬＮＣＳ３７８８．Ｂｅｒｌｉｎ：Ｓｐｒｉｎｇｅｒ－Ｖｅｒｌａｇ，２００５：

５１５．５３２．

表ｌ性能對比

文獻［７】的方案

雙線性對

簽名

點乘Ｈａｓｈ函數(shù)雙線性對

驗證簽名

點乘Ｈａｓｈ函數(shù)

ｏ４ｌ２１２

【６】

本方案

Ｏ２１ｌ２

Ｃｈｅｎ）（’ＺｌｕｍｇＦ，Ｋｉｍｋ

ｓｃｈｅｍｅｔｉｏｍｂｉｌｉｎｅａｒ１１６．ｐｄｆ．

ＡｎｅｗｌＩＤ－ｂａｓｅｄ

ｇｒｏｕｐｓｉｇｎａｔｕｒｅ

ｐａｉｒｉｎｇｓ［ＯＬ］．ｈｔｔｐ：／／ｅｐｒｉｎｔ．ｉａｃｒ．ｏｒｇ／２００３／

【７】蘇達峰，謝冬青．一類基于身份的無可信中心的簽名方案［Ｊ】．計算機工程與應(yīng)用，２００６，４２（１）：１１５．１１６．

【８】ＢｏｎｅｈＤ，ＢｏｙｅｎＸ．Ｅｆｆｉｃｉｅｎｔｓｅｌｅｃｔｉｖｅ

ｅｎｃｒｙｐｔｉｏｎ

ｗｉｔｈｏｕｔｒａｎｄｏｍ

ＩＤｓｅｃｕｒｃ

ｉｄｅｎｔｉｔｙｂａｓｅｄ

ｉｎＣｒｙｐｔｏ－

Ｏｒａｃｌｅｓ［ｃ】．Ａｄｖａｎｃｅｓ

２

ｌｏｇｙ—Ｅｕｒｏｃｒｙｐｔ．Ｂｅｒｌｉｎ：Ｓｐｒｉｎｇｅｒ－Ｖｅｒｌａｇ，２００４：２２３?２３８．

（上接第５６０６頁）【４】

【８】ＫｏｏＪ，Ａｈｎ

孟曉明．基于ＡＲＰ的網(wǎng)絡(luò)欺騙的檢測與防范［Ｊ】．信息技術(shù)，２００５（５）：４１，－４４．

Ｓ，ＬｉｍＹ

ｅｔａ１．Ｅｖａｌｕａｔｉｏｎ

ｏｆｎｅｔｗｏｒｋｂｌｏｃｋｉｎｇａｌｇｏ－

ｒｉｔｈｍｂａｓｅｄ∞ＡＲＰｓｐｏｏｆｉｎｇａｎｄｉｔｓａｐｐｌｉｃａｔｉｏｎ［Ｃ］．Ｌｅｃｔｕｒｅ

Ｓ．ＤｅｔｅｃｔｉｎｇＡＲＰｓｐｏｏｆｉｎｇ：Ａｎａｃｔｉｖｅ

ｉｎ

Ｎｏｍｓｉｎ

【５】Ｒａｍａｃｈａｎｄｒａｎ、‘Ｎａｎｄｉ

ＣｏｍｐｕｔｅｒＳｃｉｅｎｃｅ，２００５：８４８—８５５．

ＮｏｔｅｓｉｎＣｏｍｐｕｍｒ

ｔ優(yōu)ｈｎｉｑｕｅ［Ｃ】．ＬｅｃｔｕｒｅＮｄｔｅｓＣｏｍｐｕｔｅｒＳｃｉｅｎｃｅ，２００５：２３９－２５０．

ｔｏ

【９】ＫｗｏｎＫＡｈＳ，ＣｈｕｎｇＪＷ．Ｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙｍａｎａｇｅｍｅｎｔｕｓｉｎｇ

ＡＲＰ

［６】ＳｅａｎＷｈａｌｅｎ．Ａｎｉｎｔｒｏｄｕｃｔｉｏｎ

ＡＲＰＳｐｏｏｆｍｇ［ＥＢ／ＯＬ］．ＨｔｔｒＩ：／／ｓｐｏｏｆｉｎｇ【Ｃ】．Ｉ．ｅｃｔｌｌｍ

Ｓｃｉｅｎｃｅ。２００４：

ｐａｃｋｅｔｓｔｏｒｍｓｅｃｕｒｉｔｙ．ｏｒｇ／ｐａｐｅｒｓ／ｐｒｏｔｏｃｏｌｓ／．

１４２．１４９．

【７】ＱｉｎｇｈｕａＤｅｎｇ，ＳｏｎｇｑｉａｏＣｈｅｎ．ＡＲＰｓｐｏｏｆｉｎｇａｎｄｃｏｕｎｔｅｒｍｅａ－．

【１０】ＭｅｎｇＸｉａｏｍｉｎｇ。Ｄｅｔｅｃｔｉｎｇａｎｄｐｒｅｃａｕｔｉｏｎｏｆｎｅｔｗｏｒｋｓｐｏｏｆｉｎｇ

ｂａｓｅ

ｏｎ

ｓｕｒｅｓ［Ｊ］．ＭｉｅｒｏｃｏｍｐｕｔｅｒＤｅｖｅｌｏｐｍｅｎｔ，２００４（８）：１２６?１２８．

ＡＲＰ［Ｊ】．ＩｎｆｏｒｍａｔｉｏｎＴｅｃｌｍｏｌｏｇｙ，２００５（５）：８０—８３．

?——５６０９．——

萬方數(shù)據(jù)