[论文解读] Secure ARP and Secure DHCP Protocols to Mitigate Security Attacks
本文提出安全单播地址解析协议(S-UARP)和安全DHCP协议,通过用单播、集中式且加密保护的通信替代广播ARP,以缓解ARP欺骗和MAC地址欺骗攻击。S-UARP协议将网络广播流量最多减少9.77倍,通道利用率降低6.50倍,相比标准ARP,同时通过优化加密和ACK捎带技术保持可接受的性能开销。
For network computers to communicate to one another, they need to know one another's IP address and MAC address. Address Resolution Protocol (ARP) is developed to find the Ethernet address that map to a specific IP address. The source computer broadcasts the request for Ethernet address and eventually the target computer replies. The IP to Ethernet address mapping would later be stored in an ARP Cache for some time duration, after which the process is repeated. Since ARP is susceptible to ARP poisoning attacks, we propose to make it unicast, centralized and secure, along with a secure design of DHCP protocol to mitigate MAC spoofing. The secure protocol designs are explained in detail. Lastly we also discuss some performance issues to show how the proposed protocols work.
研究动机与目标
- 解决传统ARP因依赖广播且缺乏认证而易受欺骗攻击的漏洞。
- 通过引入具备消息完整性校验的认证协议,消除DHCP中的MAC地址欺骗。
- 减少大型局域网中因广泛ARP广播导致的网络拥塞。
- 设计一种集中式、基于单播的ARP替代方案,在不牺牲可扩展性的前提下提升安全性。
- 在真实网络条件下评估所提出协议的性能影响。
提出的方法
- 将广播ARP请求替换为发送至集中式可信DHCP服务器的单播请求,消除全网广播。
- 在S-UARP中使用公钥基础设施(PKI)实现加密认证,确保消息完整性并防止欺骗。
- 引入安全DHCP协议(S-DHCP),包含消息完整性校验(MIC)和双向认证,防止MAC地址欺骗。
- 通过捎带ACK减少额外的数据包开销,提升S-UARP中的通道效率。
- 应用性能模型,将加密步骤的开销设为普通操作的两倍,以模拟真实计算负载。
- 在广播减少量、通道利用率和会话时间开销等指标上,对比S-UARP与S-DHCP和标准ARP及DHCP的性能表现。
实验结果
研究问题
- RQ1如何重新设计ARP以消除基于广播的漏洞并防止ARP欺骗攻击?
- RQ2与标准ARP相比,集中式单播协议能在多大程度上减少网络广播流量?
- RQ3S-UARP中集成PKI与消息完整性校验如何增强对中间人攻击和欺骗攻击的抵抗能力?
- RQ4保护DHCP免受MAC地址欺骗的性能开销有多大?与标准DHCP相比如何?
- RQ5所提出的协议在真实局域网环境中能否保持可接受的延迟和可扩展性?
主要发现
- S-UARP相比标准ARP,平均将广播数据包量减少9.77倍(不包括ACK数据包)。
- 通过ACK捎带技术,整体广播减少量达到约8.13倍,显著缓解了网络拥塞。
- 使用S-UARP并单独发送ACK数据包时,信道链路利用率降低6.50倍,表明网络效率显著提升。
- 最安全版本的S-UARP(S-UARP_3)因加密操作导致性能开销约为标准ARP的两倍,但仍具可行性。
- S-DHCP引入的性能开销极低,基础版本(S-DHCP v1)表现出最低延迟和计算成本。
- 性能模型确认,加密操作是延迟的主要来源,但通过优化实现(如捎带技术)可显著降低其影响。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。