Cisco资格认证：关于取代ARP的设想

ARP病毒的危害大家都知道。根本原因是:
1。ARP请求是广播的，每个人都能听到，这就让ARP病毒知道了入侵的正确时机。
2。默认的ARP更新规则是更新每个响应数据包。这在一开始无疑是一种高效的方法，但也是ARP病毒主动修改对方ARP表的根源。
3。ARP的更新中没有认证信息，这使得接收响应包的机器只要能够解析其中的字段，就可以更新自己的MAC表。
新协议的思路:我们暂且称这个协议图(mac地址协议)为:
1。开发一个两层协议，禁止ARP协议，但不修改原协议栈，使用MAP协议更新ARP表中的静态条目达到目的，这样就不需要修改原协议栈了。
2。MAP协议采用手动指定主用MAP服务器和备用MAP服务器的方法。不进行自动地图服务器选举和发现，因为发现过程需要广播，自动选举会被恶意干扰。手动指定MAC服务器降低了监控的可能性。
3。MAP有两个部分:服务器和客户端。服务器负责维护全网的MAC和IP对表，客户端从服务器获取表，更新自己的MAC地址表。
4。MAP协议要有认证手段，可以是用户名+密码，甚至可以加入一些动态变量，比如客户端在MAP服务器的注册时间，这样即使用户名和密码泄露，也不可能干扰认证过程，因为客户端的注册时间并不明确。注册时间不需要在包中公布。
5。地图服务器和客户之间的保活信息。服务器定期发送挑战包证明其存在，客户收到挑战并返回回复证明其存活。
6。更新:更新MAC地址表时。考试#大提示考虑到对带宽的影响，应该采用触发更新。平时保活信息保存在服务器和客户端之间。当服务器的MAC地址表发生变化时，服务器发出更新信息，客户端确认更新信息，根据自己的MAC表选择更新。更新时发送整个MAC地址表，增加协议的稳定性，保证新机器加入时可以获得完整的MAC表。
7。几种必要的消息格式:1)服务器挑战信息:用于查询客户端的存在；2)客户端的响应信息，用来证明自己还活着，或者确认更新；3)服务器MAC地址更新报文:该报文为触发更新，包含全网MAC地址表。4)协商消息:用于在地图服务器和客户端之间协商一些参数，如认证模式、挑战定时器、一些标志等。5)请求消息:客户端请求加入地图服务器；以上消息均为加密消息，密钥在认证过程中协商。
8。几个重要的动作:
1)服务器启动时监听客户端的请求消息，在请求消息到达时与客户端协商参数，更新自己的MAC地址表和全网地址表；定期发送质询信息以发现客户端的存在。2)客户端加入地图服务器时，先向服务器发送请求消息，然后协商工作参数，更新左侧自己的MAC地址表。
3)当客户端脱机或线路断开时。服务器的挑战消息无法应答，重试一段时间超时，服务器认为客户端不存在。发送MAC更新消息以更新地址表。
4)服务器宕机，这个时候应该有备份服务器。备份服务器和主地图服务器应该同步。关键是认证信息和MAC表的同步。通常，不会发送与地图相关的消息。当主地图服务器关闭时，它将取代主服务器。
5)当服务器收到莫名其妙的响应报文，比如服务器发出更新广播包，但是这个MAC不在原来的MAC地址表中，却收到这个MAC发来的响应表。此时，服务器发送协商消息，与客户端重新协商认证过程，以确保恶意攻击。