淺析校園網(wǎng)中ARP病毒的攻擊及防治

1、淺析校園網(wǎng)中ARP病毒的攻擊及防治    摘要：該文針對(duì)目前校園網(wǎng)中出現(xiàn)的ARP欺騙攻擊現(xiàn)象，在詳細(xì)分析ARP協(xié)議工作原理的基礎(chǔ)上，指出了該協(xié)議固有的安全漏洞，介紹了網(wǎng)段內(nèi)和跨網(wǎng)段的ARP欺騙攻擊的實(shí)現(xiàn)過程。最后有正對(duì)性的提出了若干種方法防御ARP欺騙攻擊，并在實(shí)際校園網(wǎng)環(huán)境中使用驗(yàn)證了其方便實(shí)用性。關(guān)健詞：ARP；欺騙攻擊；TCP/IP協(xié)議；網(wǎng)絡(luò)安全中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2011)28-6862-02隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展和普及，高校中教學(xué)和管理對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴性日益增強(qiáng)。然而校園網(wǎng)中用戶數(shù)的增多，網(wǎng)絡(luò)環(huán)

2、境日益復(fù)雜。ARP欺騙攻擊現(xiàn)象頻繁出現(xiàn)，導(dǎo)致校園網(wǎng)內(nèi)部分網(wǎng)段的用戶經(jīng)常斷線(全斷或時(shí)斷時(shí)續(xù))，嚴(yán)重的干擾了教學(xué)和管理部門的正常工作。由于該病毒變種多，傳播速度快，網(wǎng)絡(luò)管理員很難及時(shí)地予以檢測和清除。如何抵御ARP欺騙攻擊，保證校園網(wǎng)的穩(wěn)定性和可靠性，成了各個(gè)高校網(wǎng)絡(luò)管理員亟待解決的問題。1 ARP協(xié)議的工作原理在局域網(wǎng)中，一臺(tái)主機(jī)要和其它主機(jī)進(jìn)行通信，需要知道目標(biāo)主機(jī)的IP地址，但是最終負(fù)責(zé)在局域網(wǎng)中傳送數(shù)據(jù)的網(wǎng)卡等物理設(shè)備是不識(shí)別IP地址的，只能識(shí)別其硬件地址即MAC地址。MAC地址是48位的，通常表示為12個(gè)16進(jìn)制數(shù)，每2個(gè)16進(jìn)制數(shù)之間用“-”或者冒號(hào)隔開，如：00-0B-2F-13-

3、1A-11就是一個(gè)MAC地址。每一塊網(wǎng)卡都有其全球唯一的MAC地址，網(wǎng)卡之間發(fā)送數(shù)據(jù)，只能根據(jù)對(duì)方網(wǎng)卡的MAC地址進(jìn)行發(fā)送，這時(shí)就需要一個(gè)將高層數(shù)據(jù)包中的IP地址轉(zhuǎn)換成低層MAC地址的協(xié)議，而這個(gè)重要的任務(wù)將由ARP協(xié)議完成。發(fā)送數(shù)據(jù)的主機(jī)在傳輸數(shù)據(jù)前，首先要對(duì)初始數(shù)據(jù)進(jìn)行封裝，在該過程中會(huì)把目的主機(jī)的IP地址和MAC地址封裝進(jìn)去。在通信的最初階段，我們能夠知道目的主機(jī)的IP地址，而MAC地址卻是未知的。這時(shí)如果目的主機(jī)和源主機(jī)在同一個(gè)網(wǎng)段內(nèi)，源主機(jī)會(huì)以第二層廣播的方式發(fā)送ARP請求報(bào)文。ARP請求報(bào)文中含有源主機(jī)的IP地址和MAC地址，以及目的主機(jī)的IP地址。當(dāng)該報(bào)文通過廣播方式到達(dá)目的 主

4、機(jī)時(shí)，目的主機(jī)會(huì)響應(yīng)該請求，并返回ARP響應(yīng)報(bào)文，從而源主機(jī)可以獲取目的主機(jī)的MAC地址，同樣目的主機(jī)也能夠獲得源主機(jī)的MAC地址。如果目的主機(jī)和源主機(jī)地址不在同一個(gè)網(wǎng)段內(nèi)，源主機(jī)發(fā)出的IP數(shù)據(jù)包會(huì)送到交換機(jī)的默認(rèn)網(wǎng)關(guān)，而默認(rèn)網(wǎng)關(guān)的MAC地址同樣可以通過ARP協(xié)議獲取。經(jīng)過ARP協(xié)議解析IP地址之后，主機(jī)會(huì)在緩存中保存IP地址和MAC地址的映射條目，此后再進(jìn)行數(shù)據(jù)交換時(shí)只要從緩存中讀取映射條目即可。2 ARP欺騙攻擊的實(shí)現(xiàn)過程上述數(shù)據(jù)的發(fā)送機(jī)制有一個(gè)致命的缺陷，即它是建立在對(duì)局域網(wǎng)中計(jì)算機(jī)全部信任的基礎(chǔ)上的，也就是說它的假設(shè)前提是：無論局域網(wǎng)中的哪臺(tái)計(jì)算機(jī)，其發(fā)送的ARP數(shù)據(jù)包都是正確的。那么

5、在實(shí)際復(fù)雜的網(wǎng)絡(luò)環(huán)境中，尤其是在有病毒發(fā)作的局域網(wǎng)中，這種信任機(jī)制就會(huì)帶來安全問題。ARP欺騙攻擊就是攻擊者（攜帶病毒的計(jì)算機(jī)）通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙（見圖3），能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會(huì)感覺上網(wǎng)速度越來越慢，實(shí)際上網(wǎng)絡(luò)中存在較高的丟包率（見圖4）。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)，用戶會(huì)恢復(fù)從路由器上網(wǎng)，切換過程中用戶會(huì)再斷一次線。攻擊者快速持續(xù)不斷的發(fā)包，淹沒了網(wǎng)關(guān)（路由器）發(fā)出的正確ARP廣播包，最終使目標(biāo)主機(jī)（未攜帶病毒的計(jì)算機(jī)）內(nèi)的ARP緩存表中的IP-MAC條目保存了錯(cuò)誤的映射信息，找不到正確的網(wǎng)關(guān)，引起

6、目標(biāo)主機(jī)網(wǎng)絡(luò)中斷。如果局域網(wǎng)中是通過身份認(rèn)證上網(wǎng)的，會(huì)突然出現(xiàn)能夠通過認(rèn)證，但不能上網(wǎng)（無法ping通網(wǎng)關(guān)）的現(xiàn)象，導(dǎo)致整個(gè)局域網(wǎng)的網(wǎng)絡(luò)環(huán)境不穩(wěn)定，嚴(yán)重時(shí)能導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓。3 防治方法鑒于以上的分析，根據(jù)ARP協(xié)議的工作原理和ARP病毒攻擊的特點(diǎn)，本文在分析文獻(xiàn)1，2，4，5的基礎(chǔ)上，提出了一系列方法能夠從不同層面上抵制攻擊。1）在客戶端使用arp命令綁定網(wǎng)關(guān)的真實(shí)MAC地址命令如下：arp -d *(先清除錯(cuò)誤的ARP表)2）在交換機(jī)上做端口與MAC地址的靜態(tài)綁定。這種方法需要接入層的交換機(jī)具有可管理功能，否則需要更新交換機(jī)。該方法需要升級(jí)硬件，成本較高。3）在路由器上做IP地址與MAC

7、地址的靜態(tài)綁定。路由器工作在TCP/IP協(xié)議棧的第三層，完成路由選擇的功能。一般交換機(jī)均支持綁定網(wǎng)絡(luò)地址，故該方法成本較低，缺點(diǎn)是隨著綁定列表的增加可以會(huì)影響路由的性能，影響程度與硬件配置相關(guān)。4）設(shè)立“ARP SERVER”服務(wù)器，按一定的時(shí)間間隔廣播網(wǎng)段內(nèi)所有主機(jī)的正確IP-MAC映射表，使局域網(wǎng)主機(jī)及時(shí)刪除錯(cuò)誤的ARP映射表。服務(wù)器的搭建可以采用專業(yè)硬件服務(wù)器，也可發(fā)布在局域網(wǎng)的PC機(jī)上，可以靈活選擇。5）由于ARP病毒攻擊不能跨網(wǎng)段進(jìn)行，可以將局域網(wǎng)劃分VLAN，同時(shí)需要兼顧可管理性和易用性。在不增加網(wǎng)絡(luò)復(fù)雜性的前提下，充分運(yùn)用VLAN的劃分手段，將同一部門或權(quán)限相近的用戶劃分到同一個(gè)

8、VLAN內(nèi)，弱化非法使用同網(wǎng)段IP地址所帶來的利益。6）部署網(wǎng)絡(luò)管理系統(tǒng)。網(wǎng)絡(luò)管理軟件可以實(shí)現(xiàn)靜態(tài)ARP表綁定的初始化操作，避免網(wǎng)絡(luò)管理員的大量重復(fù)性勞動(dòng)。網(wǎng)絡(luò)管理軟件的日常監(jiān)視和日志功能，可以及時(shí)有效的發(fā)現(xiàn)網(wǎng)絡(luò)中的IP地址變化、MAC地址變化、交換機(jī)端口改變等異常行為，幫助網(wǎng)絡(luò)管理員查找網(wǎng)絡(luò)故障的根源。同時(shí)，網(wǎng)絡(luò)管理員還可以借助網(wǎng)管系統(tǒng)，很方便的管理網(wǎng)絡(luò)交換機(jī)，針對(duì)個(gè)別問題突出的用戶，進(jìn)行交換機(jī)端口綁定操作，禁止其修改MAC地址。7）與應(yīng)用層的身份認(rèn)證相結(jié)合，建立完整嚴(yán)密的多層次的安全認(rèn)證體系，弱化IP地址在身份認(rèn)證體系中的重要性。與IP地址非法使用的問題類似，用戶名和口令也屬于容易盜用的資

9、源，建議有條件的單位采用指紋鼠標(biāo)等先進(jìn)的身份認(rèn)證系統(tǒng)，強(qiáng)化重要系統(tǒng)的安全強(qiáng)度。8）啟用ARP防火墻ARP防火墻可以攔截ARP攻擊。具體來說包括：在系統(tǒng)內(nèi)核層攔截外部虛假ARP數(shù)據(jù)包，保障系統(tǒng)不受ARP欺騙、ARP攻擊影響，保持網(wǎng)絡(luò)暢通及通訊安全；在系統(tǒng)內(nèi)核層攔截本機(jī)對(duì)外的ARP攻擊數(shù)據(jù)包，以減少感染惡意程序后對(duì)外攻擊給用戶帶來的麻煩。AntiArpSniffer是一款功能強(qiáng)大使用方便的arp防火墻。它有如下幾個(gè)特色：開啟安全模式后，除了網(wǎng)關(guān)外，不響應(yīng)其它機(jī)器發(fā)送的ARP Request，達(dá)到隱身效果，減少用戶計(jì)算機(jī)受到ARP攻擊的概率；啟用ARP數(shù)據(jù)分析，可以分析本機(jī)接收到的所有ARP數(shù)據(jù)包，

10、有利于用戶發(fā)現(xiàn)潛在的攻擊者或中毒的機(jī)器；監(jiān)測ARP緩存能夠自動(dòng)監(jiān)測本機(jī)ARP緩存表，如發(fā)現(xiàn)網(wǎng)關(guān)MAC地址被惡意程序篡改，將報(bào)警并自動(dòng)修復(fù)，以保持網(wǎng)絡(luò)暢通及通訊安全；主動(dòng)防御能夠主動(dòng)與網(wǎng)關(guān)保持通訊，通知網(wǎng)關(guān)正確的MAC地址，以保持網(wǎng)絡(luò)暢通及通訊安全。這幾種方法在實(shí)踐中可以結(jié)合使用，也可以根據(jù)實(shí)際的網(wǎng)絡(luò)環(huán)境有選擇的使用。在發(fā)現(xiàn)ARP病毒源之后要及時(shí)予以清除和隔離，確保消除了安全隱患的情況下再允許其接入局域網(wǎng)中。4 結(jié)束語本文在分析ARP病毒攻擊的原理和過程的基礎(chǔ)上，提出了幾種有正對(duì)性的防治方法，而且在實(shí)踐中取得了良好的效果。網(wǎng)絡(luò)安全依賴每一個(gè)用戶的安全意識(shí)和實(shí)際的參與。面對(duì)ARP攻擊對(duì)校園網(wǎng)的威脅

11、，不僅需要用戶自身做好防范工作之外，更需要網(wǎng)絡(luò)管理員時(shí)刻保持高度警惕，并不斷跟蹤防范欺騙類攻擊的最新技術(shù)，研究新方法，做到防范于未然，保障校園網(wǎng)的安全穩(wěn)定，為構(gòu)建的信息化校園提供有力的支撐。參考文獻(xiàn)：1 譚敏,楊衛(wèi)平.ARP 病毒攻擊與防范J.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2008(4).2 劉舫.企業(yè)局域網(wǎng)感染ARP病毒的處理方法J.科技情報(bào)開發(fā)與經(jīng)濟(jì),2007(31).3 曹磊.局域網(wǎng)中ARP的欺騙攻擊J.氣象科技,2007(12).4 孟曉明.基于ARP的網(wǎng)絡(luò)欺騙的檢測與防范J.信息技術(shù),2005(5):41-44.5 徐功文,陳曙,時(shí)研會(huì).ARP協(xié)議攻擊原理及其防范措施J.網(wǎng)絡(luò)與信息安全,2005(1):4-6.6 王佳,李志蜀.基于ARP協(xié)議的攻擊原理分析J.微電子學(xué)與計(jì)算機(jī),2004,21(4):10-12.    相關(guān)論文    ·