校園網(wǎng)內(nèi)ARP攻擊源的準(zhǔn)確定位

1、校園網(wǎng)內(nèi)ARP攻擊源的準(zhǔn)確定位董 忠 尤良芳（天水師范學(xué)院 數(shù)理與信息科學(xué)學(xué)院，甘肅 天水 741001）摘 要：目前，依然沒有十分有效的方法防范ARP攻擊，更多的還是依賴主機(jī)自身的抵抗能力以及是否能夠及時(shí)監(jiān)測到感染的主機(jī)并進(jìn)行相應(yīng)處理。實(shí)踐表明，利用snmp協(xié)議獲取核心交換機(jī)ip-mac對照表與dhcp服務(wù)器ip-mac對照表比對確定ARP攻擊源是一種行之有效的方法。關(guān)鍵詞： ARP攻擊； SNMP ； DHCP1 引言近兩年ARP （Address Resolution Protocol）病毒及各變種在校園網(wǎng)絡(luò)上大量出現(xiàn)，造成校園網(wǎng)各網(wǎng)段頻繁掉線，用戶重啟計(jì)算

2、機(jī)或刷新網(wǎng)絡(luò)連接后，又可正常上網(wǎng)，但網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)的現(xiàn)象隨著ARP病毒的發(fā)作不斷產(chǎn)生。據(jù)CERNET應(yīng)急響應(yīng)組2007年5月報(bào)告，ARP攻擊是網(wǎng)絡(luò)安全首要的威脅。該病毒主要通過 ARP欺騙實(shí)施破壞行為。 常見ARP 欺騙分兩種，一種是對路由器中ARP 表的欺騙；另一種是對內(nèi)網(wǎng) PC 網(wǎng)關(guān)的欺騙。前者的原理是ARP病毒截獲網(wǎng)關(guān)數(shù)據(jù)，然后通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng) MAC 地址，并按照一定的頻率不斷的更新學(xué)習(xí)進(jìn)行，使真實(shí)的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送錯(cuò)誤的 MAC 

3、地址，造成正常的 PC 無法收到信息。后者原理是ARP病毒通過交換機(jī)的 MAC 地址學(xué)習(xí)機(jī)制，建立假的網(wǎng)關(guān)，讓被它欺騙的 PC 向假網(wǎng)關(guān)發(fā)送數(shù)據(jù)，而不是通過正常的路由器或交換途徑尋找網(wǎng)關(guān)，造成在同一網(wǎng)關(guān)的所有 PC 無法訪問網(wǎng)絡(luò)。目前，依然沒有十分有效的方法防范ARP攻擊，更多的還是依賴主機(jī)自身的抵抗能力以及是否能夠及時(shí)監(jiān)測到感染的主機(jī)并進(jìn)行相應(yīng)處理。2 快速定位的原理我院校園網(wǎng)被劃成8個(gè)子網(wǎng)，核心交換機(jī)下接各接入交換機(jī)，所有用戶通過樓層接入交換機(jī)接入校園網(wǎng)。用戶從DHCP服務(wù)器獲得ip，通過代理服務(wù)器（squid

4、2.6）訪問internet。快速定位實(shí)現(xiàn)原理如下：(1)利用snmp協(xié)議從核心交換機(jī)上實(shí)時(shí)讀出所有用戶的ip、mac對照表,并保存在switch_ip_mac.table文件中；(2)利用程序判斷switch_ip_mac.table表中有沒有重復(fù)的mac,若發(fā)現(xiàn)有2條以上相同的mac紀(jì)錄，即可斷定該mac地址為ARP病毒源的mac地址；(3)通過DHCP服務(wù)器的文件dhcpd.leases獲得標(biāo)準(zhǔn)的ip_mac對照表并保存在dhcpd_ip_mac.table文件中；(4)在dhcpd_ip_mac.table表中查該mac地址，與該地址對應(yīng)的ip就是ARP病毒源的ip地址(5)給該ip用

5、戶發(fā)送提示信息或直接隔離中毒機(jī)器；(6)清理核心交換機(jī)arp表；3快速定位的關(guān)鍵步驟實(shí)驗(yàn)環(huán)境FreeBSD6.2工作站。 （1）獲得所有用戶的ip、mac對照表SNMP（Simple Network Management Protocol，簡單網(wǎng)絡(luò)管理協(xié)議），用于管理IP網(wǎng)絡(luò)上結(jié)點(diǎn)的協(xié)議。幾乎所有的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)操作系統(tǒng)都支持SNMP。目前，開發(fā)SNMP的軟件包有許多可以選擇如SNMP+、AGENT+、NET-SNMP等。這里我們選用的是NET-SNMP。首先它是一個(gè)開源軟件，其次基于C語言開發(fā)，便于移植。ucd-snmp源自于卡耐基.梅隆大學(xué)的SNMP軟件包CMU snmp 2.1.2.1,

6、 由加州大學(xué)Davis分校(University of California at Davis)開發(fā)與維護(hù), 所以命名為ucd-snmp。2000年11月ucd-snmp項(xiàng)目轉(zhuǎn)到由SourceForge()管理, 并更名為net-snmp。安裝net-snmp：# cd /usr/ports/net-mgmt/net-snmp# make install cleannet-snmp提供的查詢工具有很多，snmpwalk就是其中之一，其語法如下：USAGE: snmpwalk OPTIONS AGENT OID使用如下命令可從核心交換機(jī)上獲取用戶ip、mac對照表snmpwalk -v 2c -

7、c public xxx.xxx.xxx.xxx ip.ipNetToMediaTable.ipNetToMediaEntry.ipNetToMediaPhysAddress 參數(shù) -v 2c 指定SNMP 版本-c public 設(shè)定community名為publicxxx.xxx.xxx.xxx 指定核心交換機(jī)的ip地址ip.ipNetToMediaTable.ipNetToMediaEntry.ipNetToMediaPhysAddress 要讀取節(jié)點(diǎn)的MIB信息顯示結(jié)果如下（部分）：IP-MIB:ipNetToMediaPhysAddress.2050.210.26.27.15 = S

8、TRING: 0:1:6c:ba:ce:aeIP-MIB:ipNetToMediaPhysAddress.2051.210.26.28.70 = STRING: 0:f:ea:ca:c5:8dIP-MIB:ipNetToMediaPhysAddress.2053.210.26.29.63 = STRING: 0:7:95:fa:d:3aIP-MIB:ipNetToMediaPhysAddress.2053.210.26.29.64 = STRING: 0:11:5b:fe:fa:55從以上每行信息中整理出ip和mac的對應(yīng)關(guān)系并保存在switch_ip_mac.table文件中，若發(fā)現(xiàn)有重復(fù)的

9、mac地址，該mac地址即為攻擊源的mac地址，要最終確定攻擊源的ip還要經(jīng)過以下比對過程。（2）獲得標(biāo)準(zhǔn)的ip_mac對照表客戶機(jī)在啟動時(shí)從DHCP服務(wù)器處獲得ip，在DHCP服務(wù)器的dhcpd.leases文件中保留著各客戶機(jī)的基本信息，形式如下：lease 210.26.31.215 starts 5 2007/08/17 14:52:37; ends 5 2007/08/17 20:52:37; tstp 5 2007/08/17 20:52:37; binding state free; hardware ethernet 00:17:f2:32:82:16; uid "0

10、010000273622202026"其中包含了ip地址、客戶機(jī)的mac地址及租用時(shí)間。由于該信息在客戶機(jī)啟動時(shí)獲得，所以其信息不可能是偽造的，可以說是“標(biāo)準(zhǔn)”的ip-mac對照表。利用ssh可從DHCP服務(wù)器中獲得。# scp usernameDHCPServerIp:/var/db/dhcpd.leases ./其中DHCPServerIp為DHCP服務(wù)器的ip，username為登錄DHCP服務(wù)器的用戶名，輸入用戶密碼后可獲得dhcpd.leases。按照當(dāng)天時(shí)間整理出ip-mac對照表保存到dhcpd_ip_mac.table。用上一步找到的攻擊源的mac地址和dhcpd_i

11、p_mac.table文件中的記錄比對，與該mac地址對應(yīng)的ip就是攻擊源的ip地址。至此，確定了攻擊源的ip地址和mac地址，接下來可以通過squid代理服務(wù)器給該用戶一個(gè)提示，督促用戶殺毒，也可以通過接入交換機(jī)關(guān)掉它的端口，把它與校園網(wǎng)隔離。4 結(jié)束語本文描述了如何準(zhǔn)確定位校園內(nèi)的ARP攻擊源，基于此原理作者開發(fā)了相應(yīng)的軟件，ARPWatch。ARPWatch由shell語言編寫，運(yùn)行之后自動完成對ARP攻擊源的確定，不需要人為的干預(yù)。該軟件在已在天水師院校園網(wǎng)上運(yùn)行數(shù)月，效果良好。參考文獻(xiàn)1 Solomoon. 用NET-SNMP軟件包開發(fā)簡單客戶端代理. 2005(9)2 鄭先偉. A

12、RP欺騙是首要威脅M. 中國教育網(wǎng)絡(luò), 2007, (7)3 黃成山. ARP欺騙的防治方法J. 大眾科學(xué), 2007(01)4 鄧岳. ARP病毒防范初探J. 電腦知識與技術(shù)（學(xué)術(shù)交流），2007（04）作者簡介：1 董忠 1967.2 湖北武漢 數(shù)理與信息科學(xué)學(xué)院副教授，從事校園網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全方面的研究 Tel:Mail: dz2 尤良芳 1966.8 四川潼南 數(shù)理與信息科學(xué)學(xué)院講師，碩士, 主要從事物理學(xué)方面的研究Accurate detection of ARP attack on the campusDong Zhong You LiangfangC

13、ollege of Mathematics Physics and Information Science, Tianshui Normal University, Tianshui, Gansu, China, 741001AbstractARP attack is one of most commonly used technique by attackers to compromise security of a LAN. There are no specific tools we can use to avoid an ARP attack on the campus network

14、 today. In this paper, we present a passive approach to ARP attack detection by monitoring IP-MAC tables from switches and DHCP servers, and report any flips which might occur. In practice, this method is implemented by SNMP protocol, so the detection is instantaneous.Index-terms - ARP attack, SNMP, DHCPAuthor, Mr. Dong, is