校園網(wǎng)ARP欺騙攻擊與防范研究

秦勇 張海豐

北京青年政治學(xué)院計算機系 北京 100102

0 引言

隨著網(wǎng)絡(luò)技術(shù)的普及和發(fā)展，網(wǎng)絡(luò)安全問題日益成為人們關(guān)注的焦點，校園網(wǎng)更成了網(wǎng)絡(luò)安全問題的多發(fā)領(lǐng)域，作為惠眾面最大的多媒體局域網(wǎng)，經(jīng)常會發(fā)生網(wǎng)絡(luò)連接正常，大面積的計算機卻突然掉線，無法實現(xiàn)網(wǎng)絡(luò)共享或者訪問互聯(lián)網(wǎng)的現(xiàn)象，以致嚴(yán)重影響校園網(wǎng)內(nèi)廣播教學(xué)，給校園網(wǎng)的教學(xué)和辦公造成巨大損失。這種現(xiàn)象發(fā)生多半是由地址欺騙攻擊引起的，表現(xiàn)最為突出的就是ARP欺騙攻擊，很多病毒都會利用以太網(wǎng)的ARP協(xié)議對本網(wǎng)段內(nèi)的其他用戶實施欺騙攻擊，竊取用戶的個人私密信息，以致造成用戶的損失。

1 ARP協(xié)議

地址解析協(xié)議（Address Resolution Protocol，ARP），是TCP/IP協(xié)議棧的基礎(chǔ)協(xié)議之一，解決了局域網(wǎng)網(wǎng)上的主機或路由器在網(wǎng)絡(luò)通信中的IP地址和硬件地址的映射問題。

網(wǎng)絡(luò)上的每臺主機都有IP地址，在真正發(fā)送數(shù)據(jù)分組時并不使用IP地址，依據(jù)網(wǎng)絡(luò)分層的思想，數(shù)據(jù)分組從認(rèn)知IP地址的網(wǎng)絡(luò)層傳輸?shù)綌?shù)據(jù)鏈路層，需要封裝成數(shù)據(jù)鏈路層硬件認(rèn)知的MAC幀后才能在實際網(wǎng)絡(luò)中發(fā)送，但是采用IPv4技術(shù)的地址擁有32bit的信息，網(wǎng)絡(luò)硬件在世界范圍內(nèi)有惟一的48bit地址信息，兩者之間需要調(diào)和才能在網(wǎng)絡(luò)中聯(lián)合應(yīng)用，ARP協(xié)議通過在兩者之間建立動態(tài)映射很好的解決了這個問題。

2 ARP實現(xiàn)

網(wǎng)絡(luò)中的主機都有一個動態(tài)更新的ARP高速緩存表，保存最新的IP與MAC的映射，主機每隔一段時間或有ARP應(yīng)答時就會更新，長期不使用的映射，在更新時會自動刪除。

ARP通過發(fā)送數(shù)據(jù)報時把IP地址映射成物理地址和回答來自其他機器的請求這兩部分功能實現(xiàn)地址解析。當(dāng)IP數(shù)據(jù)報準(zhǔn)備在網(wǎng)絡(luò)上發(fā)送時，發(fā)送方要查詢本機ARP緩存中是否有目標(biāo)的IP地址與MAC地址的映射，如果有，則把數(shù)據(jù)報封裝成添加了目的MAC地址的數(shù)據(jù)幀由數(shù)據(jù)鏈路層放送出去，如果沒有，則向局域網(wǎng)廣播一個封裝了目的主機IP地址的ARP請求，局域網(wǎng)內(nèi)的主機收到后提取出IP地址與自己的IP地址匹配，只有匹配成功的目的主機才會響應(yīng)，直接把包含目的MAC的ARP應(yīng)答回送到源主機，源主機收到ARP應(yīng)答，提取出目的MAC地址添加到ARP高速緩存中，形成目的主機IP地址與MAC地址的映射。

3 ARP欺騙攻擊原理

ARP協(xié)議的設(shè)計是以局域網(wǎng)的主機間相互信任為前提的，出于對傳輸效率的考慮，要求主機都有ARP高速緩存，在降低主機向網(wǎng)絡(luò)廣播ARP請求的同時，為網(wǎng)絡(luò)欺騙攻擊提供了便利條件。另外，ARP協(xié)議是無狀態(tài)的局域網(wǎng)協(xié)議，即任何主機在沒有ARP請求的時候也可以做出應(yīng)答，并且應(yīng)答不需要認(rèn)證，只要應(yīng)答包有效，接收到應(yīng)答包的主機就無條件地根據(jù)應(yīng)答包的內(nèi)容刷新本機高速緩存，這樣攻擊者就可以發(fā)送偽造的應(yīng)答包與真正的主機應(yīng)答包競爭，迫使發(fā)送請求的主機被攻擊者應(yīng)答，以致成為ARP欺騙攻擊的對象。

典型的ARP欺騙攻擊如圖1所示。

圖1 典型局域網(wǎng)絡(luò)拓?fù)鋱D

局域網(wǎng)絡(luò)中的主機間相互信任，能夠?qū)崿F(xiàn)所有的網(wǎng)絡(luò)應(yīng)用，主機C由于受到外部因素的干擾成為實施ARP欺騙的攻擊者。攻擊者可以通過局域網(wǎng)嗅探工具監(jiān)聽網(wǎng)絡(luò)通信，獲取同一網(wǎng)絡(luò)內(nèi)的相關(guān)主機的IP和MAC等信息。主機ARP緩存中IP與MAC的映射對有無決定了實施ARP欺騙的兩種狀態(tài)：

（1）當(dāng)A要求與B通信，緩存表為空，A會向網(wǎng)絡(luò)廣播要求找到IP地址為B的ARP請求，攻擊機監(jiān)聽到這一請求后，通過發(fā)送封裝了B的IP地址與非B的MAC地址的應(yīng)答給A，由于主機一般使用后收到的應(yīng)答來刷新ARP緩存，所以攻擊者會延遲發(fā)送偽裝的ARP應(yīng)答，達到欺騙的目的。

（2）當(dāng)A與B正常通信后，B的IP地址與MAC地址的映射對能夠暫存在A的ARP緩存表中，但主機緩存表在收到ARP應(yīng)答時會立即更新，攻擊者C直接發(fā)送封裝了B的IP地址與非B的MAC地址的應(yīng)答給A，使得A的ARP緩存表動態(tài)更新實現(xiàn)欺騙。

當(dāng)主機緩存的映射對的MAC地址都指向攻擊者C時，C就可以利用相關(guān)軟件獲取IP地址為偽造映射對的主機的網(wǎng)絡(luò)通信信息；當(dāng)主機緩存的網(wǎng)關(guān)IP地址被映射到其他未知的MAC時，就會造成主機不能訪問網(wǎng)絡(luò)的現(xiàn)象。

總之，ARP欺騙攻擊就是網(wǎng)絡(luò)攻擊者利用ARP協(xié)議，向目標(biāo)主機發(fā)送偽造的源IP-和MAC映射的ARP應(yīng)答，使得目標(biāo)主機收到該應(yīng)答幀后在ARP緩存中被更新，從而使目標(biāo)主機將報文發(fā)送給錯誤的對象，造成用戶信息泄露等網(wǎng)絡(luò)安全問題。

4 校園網(wǎng)ARP欺騙攻擊的防范策略

校園網(wǎng)是典型的多元化局域網(wǎng)，對ARP欺騙攻擊的防范任重道遠，為防止對校園網(wǎng)用戶造成不必要的損失，網(wǎng)絡(luò)管理者應(yīng)該從網(wǎng)絡(luò)技術(shù)和人員素質(zhì)兩個方面部署防御策略。

4.1 網(wǎng)絡(luò)管理員的網(wǎng)絡(luò)技術(shù)水平

網(wǎng)絡(luò)安全防護的關(guān)鍵體現(xiàn)在人員的素質(zhì)上，校園網(wǎng)是由多個分支局域網(wǎng)組成，各分支的網(wǎng)絡(luò)管理員技術(shù)水平參差不齊，面對ARP欺騙攻擊和其他網(wǎng)絡(luò)安全問題，處理措施千差萬別，因此，校園網(wǎng)的管理部門應(yīng)關(guān)注網(wǎng)絡(luò)系統(tǒng)管理員素質(zhì)的提高，積極組織網(wǎng)絡(luò)管理員參加網(wǎng)絡(luò)安全防御技術(shù)培訓(xùn)，提高網(wǎng)絡(luò)安全技術(shù)水平和防范意識。

4.2 校園網(wǎng)計算機的防護

校園網(wǎng)ARP欺騙攻擊行為不是獨立發(fā)生的，大部分是由于計算機感染網(wǎng)絡(luò)病毒，由病毒發(fā)起的，因此校園網(wǎng)計算機應(yīng)該加強自身防護。

首先，校園網(wǎng)計算機應(yīng)該安裝正版殺毒軟件，及時升級病毒庫，為Windows系統(tǒng)打補丁，關(guān)閉遠程管理端口，防止病毒侵?jǐn)_，由于現(xiàn)在的殺毒軟件廠商在其軟件中都添加了ARP欺騙防御功能，計算機同時具備了基本的ARP防護功能。

其次，為防止攻擊者利用嗅探工具獲取網(wǎng)絡(luò)主機信息，計算機也應(yīng)安裝防嗅探軟件防護。

最后，鑒于校園網(wǎng)ARP欺騙攻擊主要是針對網(wǎng)關(guān)的攻擊，計算機還應(yīng)當(dāng)做網(wǎng)關(guān)IP地址和MAC地址的ARP靜態(tài)綁定，防止ARP緩存更新導(dǎo)致網(wǎng)關(guān)映射對被惡意修改，導(dǎo)致計算機掉線的情況。

4.3 交換機ARP防域策略

對于采用智能交換機搭建的網(wǎng)絡(luò)，可以采用交換機端口安全來防止非法用戶的接入，由于網(wǎng)絡(luò)硬件的相對固定性，網(wǎng)絡(luò)管理員可以采取靜態(tài)IP與主機MAC聯(lián)合綁定到交換機端口的方式進行防護，考慮到防護的隱蔽性，端口安全可以采用特點的違例方式來處理。

對ARP欺騙攻擊的防護，交換機廠商也專門開發(fā)了象DAI的動態(tài)ARP入侵檢測功能，網(wǎng)絡(luò)系統(tǒng)管理員可以根據(jù)廠商設(shè)備配置說明，結(jié)合校園網(wǎng)接入層的實際情況部署防御策略。

5 結(jié)論

校園網(wǎng)ARP欺騙攻擊是由多種因素造成的，爆發(fā)時極易造成局域網(wǎng)大面積癱瘓，給網(wǎng)絡(luò)管理員造成巨大困擾，但防范勝于治理，為免于巨大損失的造成，校園網(wǎng)的管理者應(yīng)該從網(wǎng)絡(luò)運營的初始階段就部署防御策略，實現(xiàn)對ARP欺騙攻擊的積極防范。

[1]謝希仁.計算機網(wǎng)絡(luò)[M].北京:電子工業(yè)出版社.2002.

[2]邵丹.ARP安全問題的研究[J].長春大學(xué)學(xué)報.2009.

[3]鄭文兵，李成忠.ARP欺騙原理及一種防范算法[J].江南大學(xué)學(xué)報（自然科學(xué)版）.2003.

[4]袁再龍，吳曉洪.ARP欺騙攻擊原理及防范方法[J].貴州教育學(xué)院學(xué)報（自然科學(xué)版）.2008.