淺析校園網(wǎng)中ARP病毒的攻擊及防治

1、淺析校園網(wǎng)中ARP病毒的攻擊及防治    摘要：該文針對目前校園網(wǎng)中出現(xiàn)的ARP欺騙攻擊現(xiàn)象，在詳細分析ARP協(xié)議工作原理的基礎(chǔ)上，指出了該協(xié)議固有的安全漏洞，介紹了網(wǎng)段內(nèi)和跨網(wǎng)段的ARP欺騙攻擊的實現(xiàn)過程。最后有正對性的提出了若干種方法防御ARP欺騙攻擊，并在實際校園網(wǎng)環(huán)境中使用驗證了其方便實用性。關(guān)健詞：ARP；欺騙攻擊；TCP/IP協(xié)議；網(wǎng)絡(luò)安全中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2011)28-6862-02隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展和普及，高校中教學和管理對計算機網(wǎng)絡(luò)的依賴性日益增強。然而校園網(wǎng)中用戶數(shù)的增多，網(wǎng)絡(luò)環(huán)

2、境日益復雜。ARP欺騙攻擊現(xiàn)象頻繁出現(xiàn)，導致校園網(wǎng)內(nèi)部分網(wǎng)段的用戶經(jīng)常斷線(全斷或時斷時續(xù))，嚴重的干擾了教學和管理部門的正常工作。由于該病毒變種多，傳播速度快，網(wǎng)絡(luò)管理員很難及時地予以檢測和清除。如何抵御ARP欺騙攻擊，保證校園網(wǎng)的穩(wěn)定性和可靠性，成了各個高校網(wǎng)絡(luò)管理員亟待解決的問題。1 ARP協(xié)議的工作原理在局域網(wǎng)中，一臺主機要和其它主機進行通信，需要知道目標主機的IP地址，但是最終負責在局域網(wǎng)中傳送數(shù)據(jù)的網(wǎng)卡等物理設(shè)備是不識別IP地址的，只能識別其硬件地址即MAC地址。MAC地址是48位的，通常表示為12個16進制數(shù)，每2個16進制數(shù)之間用“-”或者冒號隔開，如：00-0B-2F-13-

3、1A-11就是一個MAC地址。每一塊網(wǎng)卡都有其全球唯一的MAC地址，網(wǎng)卡之間發(fā)送數(shù)據(jù)，只能根據(jù)對方網(wǎng)卡的MAC地址進行發(fā)送，這時就需要一個將高層數(shù)據(jù)包中的IP地址轉(zhuǎn)換成低層MAC地址的協(xié)議，而這個重要的任務(wù)將由ARP協(xié)議完成。發(fā)送數(shù)據(jù)的主機在傳輸數(shù)據(jù)前，首先要對初始數(shù)據(jù)進行封裝，在該過程中會把目的主機的IP地址和MAC地址封裝進去。在通信的最初階段，我們能夠知道目的主機的IP地址，而MAC地址卻是未知的。這時如果目的主機和源主機在同一個網(wǎng)段內(nèi)，源主機會以第二層廣播的方式發(fā)送ARP請求報文。ARP請求報文中含有源主機的IP地址和MAC地址，以及目的主機的IP地址。當該報文通過廣播方式到達目的 主

4、機時，目的主機會響應(yīng)該請求，并返回ARP響應(yīng)報文，從而源主機可以獲取目的主機的MAC地址，同樣目的主機也能夠獲得源主機的MAC地址。如果目的主機和源主機地址不在同一個網(wǎng)段內(nèi)，源主機發(fā)出的IP數(shù)據(jù)包會送到交換機的默認網(wǎng)關(guān)，而默認網(wǎng)關(guān)的MAC地址同樣可以通過ARP協(xié)議獲取。經(jīng)過ARP協(xié)議解析IP地址之后，主機會在緩存中保存IP地址和MAC地址的映射條目，此后再進行數(shù)據(jù)交換時只要從緩存中讀取映射條目即可。2 ARP欺騙攻擊的實現(xiàn)過程上述數(shù)據(jù)的發(fā)送機制有一個致命的缺陷，即它是建立在對局域網(wǎng)中計算機全部信任的基礎(chǔ)上的，也就是說它的假設(shè)前提是：無論局域網(wǎng)中的哪臺計算機，其發(fā)送的ARP數(shù)據(jù)包都是正確的。那么

5、在實際復雜的網(wǎng)絡(luò)環(huán)境中，尤其是在有病毒發(fā)作的局域網(wǎng)中，這種信任機制就會帶來安全問題。ARP欺騙攻擊就是攻擊者（攜帶病毒的計算機）通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙（見圖3），能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP數(shù)據(jù)包導致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會感覺上網(wǎng)速度越來越慢，實際上網(wǎng)絡(luò)中存在較高的丟包率（見圖4）。當ARP欺騙的木馬程序停止運行時，用戶會恢復從路由器上網(wǎng)，切換過程中用戶會再斷一次線。攻擊者快速持續(xù)不斷的發(fā)包，淹沒了網(wǎng)關(guān)（路由器）發(fā)出的正確ARP廣播包，最終使目標主機（未攜帶病毒的計算機）內(nèi)的ARP緩存表中的IP-MAC條目保存了錯誤的映射信息，找不到正確的網(wǎng)關(guān)，引起

6、目標主機網(wǎng)絡(luò)中斷。如果局域網(wǎng)中是通過身份認證上網(wǎng)的，會突然出現(xiàn)能夠通過認證，但不能上網(wǎng)（無法ping通網(wǎng)關(guān)）的現(xiàn)象，導致整個局域網(wǎng)的網(wǎng)絡(luò)環(huán)境不穩(wěn)定，嚴重時能導致整個網(wǎng)絡(luò)的癱瘓。3 防治方法鑒于以上的分析，根據(jù)ARP協(xié)議的工作原理和ARP病毒攻擊的特點，本文在分析文獻1，2，4，5的基礎(chǔ)上，提出了一系列方法能夠從不同層面上抵制攻擊。1）在客戶端使用arp命令綁定網(wǎng)關(guān)的真實MAC地址命令如下：arp -d *(先清除錯誤的ARP表)2）在交換機上做端口與MAC地址的靜態(tài)綁定。這種方法需要接入層的交換機具有可管理功能，否則需要更新交換機。該方法需要升級硬件，成本較高。3）在路由器上做IP地址與MAC

7、地址的靜態(tài)綁定。路由器工作在TCP/IP協(xié)議棧的第三層，完成路由選擇的功能。一般交換機均支持綁定網(wǎng)絡(luò)地址，故該方法成本較低，缺點是隨著綁定列表的增加可以會影響路由的性能，影響程度與硬件配置相關(guān)。4）設(shè)立“ARP SERVER”服務(wù)器，按一定的時間間隔廣播網(wǎng)段內(nèi)所有主機的正確IP-MAC映射表，使局域網(wǎng)主機及時刪除錯誤的ARP映射表。服務(wù)器的搭建可以采用專業(yè)硬件服務(wù)器，也可發(fā)布在局域網(wǎng)的PC機上，可以靈活選擇。5）由于ARP病毒攻擊不能跨網(wǎng)段進行，可以將局域網(wǎng)劃分VLAN，同時需要兼顧可管理性和易用性。在不增加網(wǎng)絡(luò)復雜性的前提下，充分運用VLAN的劃分手段，將同一部門或權(quán)限相近的用戶劃分到同一個

8、VLAN內(nèi)，弱化非法使用同網(wǎng)段IP地址所帶來的利益。6）部署網(wǎng)絡(luò)管理系統(tǒng)。網(wǎng)絡(luò)管理軟件可以實現(xiàn)靜態(tài)ARP表綁定的初始化操作，避免網(wǎng)絡(luò)管理員的大量重復性勞動。網(wǎng)絡(luò)管理軟件的日常監(jiān)視和日志功能，可以及時有效的發(fā)現(xiàn)網(wǎng)絡(luò)中的IP地址變化、MAC地址變化、交換機端口改變等異常行為，幫助網(wǎng)絡(luò)管理員查找網(wǎng)絡(luò)故障的根源。同時，網(wǎng)絡(luò)管理員還可以借助網(wǎng)管系統(tǒng)，很方便的管理網(wǎng)絡(luò)交換機，針對個別問題突出的用戶，進行交換機端口綁定操作，禁止其修改MAC地址。7）與應(yīng)用層的身份認證相結(jié)合，建立完整嚴密的多層次的安全認證體系，弱化IP地址在身份認證體系中的重要性。與IP地址非法使用的問題類似，用戶名和口令也屬于容易盜用的資

9、源，建議有條件的單位采用指紋鼠標等先進的身份認證系統(tǒng)，強化重要系統(tǒng)的安全強度。8）啟用ARP防火墻ARP防火墻可以攔截ARP攻擊。具體來說包括：在系統(tǒng)內(nèi)核層攔截外部虛假ARP數(shù)據(jù)包，保障系統(tǒng)不受ARP欺騙、ARP攻擊影響，保持網(wǎng)絡(luò)暢通及通訊安全；在系統(tǒng)內(nèi)核層攔截本機對外的ARP攻擊數(shù)據(jù)包，以減少感染惡意程序后對外攻擊給用戶帶來的麻煩。AntiArpSniffer是一款功能強大使用方便的arp防火墻。它有如下幾個特色：開啟安全模式后，除了網(wǎng)關(guān)外，不響應(yīng)其它機器發(fā)送的ARP Request，達到隱身效果，減少用戶計算機受到ARP攻擊的概率；啟用ARP數(shù)據(jù)分析，可以分析本機接收到的所有ARP數(shù)據(jù)包，

10、有利于用戶發(fā)現(xiàn)潛在的攻擊者或中毒的機器；監(jiān)測ARP緩存能夠自動監(jiān)測本機ARP緩存表，如發(fā)現(xiàn)網(wǎng)關(guān)MAC地址被惡意程序篡改，將報警并自動修復，以保持網(wǎng)絡(luò)暢通及通訊安全；主動防御能夠主動與網(wǎng)關(guān)保持通訊，通知網(wǎng)關(guān)正確的MAC地址，以保持網(wǎng)絡(luò)暢通及通訊安全。這幾種方法在實踐中可以結(jié)合使用，也可以根據(jù)實際的網(wǎng)絡(luò)環(huán)境有選擇的使用。在發(fā)現(xiàn)ARP病毒源之后要及時予以清除和隔離，確保消除了安全隱患的情況下再允許其接入局域網(wǎng)中。4 結(jié)束語本文在分析ARP病毒攻擊的原理和過程的基礎(chǔ)上，提出了幾種有正對性的防治方法，而且在實踐中取得了良好的效果。網(wǎng)絡(luò)安全依賴每一個用戶的安全意識和實際的參與。面對ARP攻擊對校園網(wǎng)的威脅

11、，不僅需要用戶自身做好防范工作之外，更需要網(wǎng)絡(luò)管理員時刻保持高度警惕，并不斷跟蹤防范欺騙類攻擊的最新技術(shù)，研究新方法，做到防范于未然，保障校園網(wǎng)的安全穩(wěn)定，為構(gòu)建的信息化校園提供有力的支撐。參考文獻：1 譚敏,楊衛(wèi)平.ARP 病毒攻擊與防范J.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2008(4).2 劉舫.企業(yè)局域網(wǎng)感染ARP病毒的處理方法J.科技情報開發(fā)與經(jīng)濟,2007(31).3 曹磊.局域網(wǎng)中ARP的欺騙攻擊J.氣象科技,2007(12).4 孟曉明.基于ARP的網(wǎng)絡(luò)欺騙的檢測與防范J.信息技術(shù),2005(5):41-44.5 徐功文,陳曙,時研會.ARP協(xié)議攻擊原理及其防范措施J.網(wǎng)絡(luò)與信息安全,2005(1):4-6.6 王佳,李志蜀.基于ARP協(xié)議的攻擊原理分析J.微電子學與計算機,2004,21(4):10-12.    相關(guān)論文    ·