使用SNMP之ARP攻擊偵測(cè)技術(shù)

夏德宏

江西省水利水電學(xué)校計(jì)算機(jī)應(yīng)用與管理工程系，江西 南昌 330013

1 研究的目的與意義

由于網(wǎng)絡(luò)安全越來(lái)越重要，一個(gè)網(wǎng)絡(luò)管理者的工作除了維護(hù)網(wǎng)絡(luò)的正常暢通通信之外，也必須對(duì)整個(gè)網(wǎng)絡(luò)使用的安全有具體的防范措施，如何保護(hù)使用者的賬號(hào)密碼不被輕易竊取也應(yīng)是其本的首要工作。當(dāng)ARP Spoofing技術(shù)不斷的推陳出新及相關(guān)的攻擊程序也容易從網(wǎng)絡(luò)下載取得，這代表了我們所標(biāo)榜的信息安全已經(jīng)面臨空前的挑戰(zhàn)。因此，如何有效防范ARP攻擊是網(wǎng)絡(luò)管理人員必須面對(duì)的職責(zé)，網(wǎng)絡(luò)管理人員所管轄的網(wǎng)絡(luò)通常包括多個(gè)子網(wǎng)絡(luò)，由于A(yíng)RP攻擊的信息只出現(xiàn)于子網(wǎng)絡(luò)的網(wǎng)段，當(dāng)ARP攻擊發(fā)生時(shí)，網(wǎng)絡(luò)管理人員無(wú)法有效從遠(yuǎn)端觀(guān)察每一可能發(fā)生ARP攻擊的網(wǎng)絡(luò)段信息，因此如何建立一個(gè)以整體網(wǎng)絡(luò)管理的ARP攻擊監(jiān)測(cè)架構(gòu)，是本論文計(jì)劃探討的研究課題。

2 使用SNMP之ARP攻擊偵測(cè)技術(shù)

對(duì)于網(wǎng)絡(luò)管理人員而言，所管轄的網(wǎng)絡(luò)通常包括幾百臺(tái)以上的電腦，數(shù)十臺(tái)具網(wǎng)管功能的網(wǎng)絡(luò)交換機(jī)和1臺(tái)對(duì)外連接的路由器，為了在IP地址的管理上可以達(dá)到動(dòng)態(tài)便利性，通常都會(huì)架設(shè)一臺(tái)DHCP服務(wù)器，以方便用戶(hù)端的IP動(dòng)態(tài)設(shè)定。最近我們更發(fā)現(xiàn)ARP Spoofing的技術(shù)不止發(fā)展了DOS、MiM及Hijacking，并結(jié)合病毒與后門(mén)程序利用網(wǎng)絡(luò)散布，對(duì)于網(wǎng)絡(luò)安全的威脅令人擔(dān)心，事實(shí)上我們所處網(wǎng)絡(luò)的安全已幾乎岌岌可危。網(wǎng)絡(luò)管理人員當(dāng)真就束手無(wú)策了嗎？答案是否定的，現(xiàn)將提出一個(gè)使用SNMP的ARP攻擊偵測(cè)技術(shù)，可以利用網(wǎng)絡(luò)上的路由器及交換機(jī)所提供的網(wǎng)絡(luò)管理信息，簡(jiǎn)易地發(fā)現(xiàn)使用ARP的DOS的攻擊者與MiM的攻擊，并找出攻擊者所在，及時(shí)將攻擊者所使用的網(wǎng)絡(luò)隔離，不讓攻擊者輕易地癱瘓或監(jiān)聽(tīng)網(wǎng)絡(luò)。

2.1 偵測(cè)網(wǎng)絡(luò)架構(gòu)

本文所提供的ARP攻擊偵測(cè)架構(gòu)是基于路由器及交換機(jī)所提供標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理信息，這些信息可經(jīng)由SNMP協(xié)議遠(yuǎn)端截取。除了ARP攻擊偵測(cè)服務(wù)器之外，我們發(fā)現(xiàn)無(wú)論是一般企業(yè)或者是大型機(jī)構(gòu)甚至是學(xué)校的宿舍網(wǎng)絡(luò)架構(gòu)幾乎都很類(lèi)似，都是由防火墻與路由器與對(duì)外網(wǎng)絡(luò)連接，內(nèi)部網(wǎng)絡(luò)的部份端視規(guī)模大小決定，需要設(shè)置多少臺(tái)交換器及切割多少個(gè)區(qū)域網(wǎng)段便于管理底下的使用者。

2.2 偵測(cè)流程

本偵測(cè)系統(tǒng)的需要搜集資料的對(duì)象包括了DHCP服務(wù)器、網(wǎng)絡(luò)路由器、與網(wǎng)絡(luò)交換機(jī)等主要設(shè)備，所以路由器與網(wǎng)絡(luò)交換機(jī)必須提供具網(wǎng)管的SNMP的功能。我們從DHCP服務(wù)器中得到DHCP Log資料，也利用SNMP從路由器中得到ARP Table，為了找出攻擊者的所在位置，所以也利用SNMP的Bridge MIB得到網(wǎng)絡(luò)交換器中MAC與Port的對(duì)應(yīng)，所以不僅可以偵測(cè)到哪一個(gè)IP地址在攻擊之外，我們還需知道攻擊者是經(jīng)由哪一臺(tái)交換器及通信接口（Port）進(jìn)行攻擊，我們就可以透過(guò)網(wǎng)管機(jī)制將該P(yáng)ort斷線(xiàn)，阻斷其攻擊。

路由器的ARP table為路由器現(xiàn)行運(yùn)作所需的IP與MAC地址對(duì)應(yīng)表，為維護(hù)網(wǎng)絡(luò)暢通，路由器必須不斷地維護(hù)此表格取得所管轄網(wǎng)絡(luò)中所有的IP與MAC地址的正確對(duì)應(yīng)。然而為了避免ARP封包太多在網(wǎng)絡(luò)中流竊，思科路由器的ARP Cache Timeout出廠(chǎng)預(yù)設(shè)為4個(gè)小時(shí)，是可以接受的。

3 系統(tǒng)制作與測(cè)試

ARP攻擊偵測(cè)系統(tǒng)本身主要架構(gòu)分為3部分，包括了數(shù)據(jù)庫(kù)、SNMP管理端程序及相關(guān)比對(duì)程序。其執(zhí)行主要分3個(gè)步驟：

1）定時(shí)將路由器上的ARP Table，存回?cái)?shù)據(jù)庫(kù)中，此步驟需使用PHP的SNMP Get Request 的方式，向路由器取回動(dòng)行中ARP Table并直接存進(jìn)數(shù)據(jù)庫(kù)中。

2）除了管理人員所輸入排外名單外，找出對(duì)應(yīng)至重復(fù)MAC地址的IP地址。

3）對(duì)比上一筆的ARP Table，篩選出前后地址變動(dòng)的差異。

3.1 實(shí)驗(yàn)網(wǎng)絡(luò)架構(gòu)

在本實(shí)驗(yàn)中，ARP偵測(cè)服務(wù)器以校園宿舍網(wǎng)絡(luò)區(qū)為偵測(cè)及測(cè)試的對(duì)象，宿舍區(qū)網(wǎng)絡(luò)以一臺(tái)Cisco 6506路由器為主，往下分成10個(gè)LAN網(wǎng)共有96臺(tái)D-Link 3225G網(wǎng)絡(luò)交換機(jī)，約提供1800臺(tái)主機(jī)上網(wǎng)使用，ARP偵測(cè)服務(wù)器架設(shè)于網(wǎng)絡(luò)服務(wù)器區(qū)的網(wǎng)段內(nèi)，ARP偵測(cè)服務(wù)器主要是向宿舍區(qū)Cisco 6506要回宿舍區(qū)底下10個(gè)網(wǎng)段的ARP Table回來(lái)分析對(duì)比，現(xiàn)階段的取樣頻率以10min一次。為產(chǎn)生ARP Mim攻擊，我們使用Cain & Able v4.9.14程序執(zhí)行中間人監(jiān)聽(tīng)動(dòng)作，以測(cè)試ARP偵測(cè)服務(wù)器可否將正在攻擊中的主機(jī)偵測(cè)出來(lái)，再借由偵測(cè)輔助系統(tǒng)尋找出攻擊主機(jī)的所在位置，然后將該Switch Port關(guān)閉使其無(wú)法使用網(wǎng)絡(luò)進(jìn)行ARP攻擊。

3.2 測(cè)試結(jié)果

本實(shí)驗(yàn)實(shí)際測(cè)試網(wǎng)絡(luò)架構(gòu)所示，本次測(cè)試以vlan52為測(cè)試網(wǎng)段，我們將兩臺(tái)筆記本電腦，分別接于不同的網(wǎng)絡(luò)交換機(jī)底下，由攻擊者（Attacker）執(zhí)行MiM攻擊程序，另一臺(tái)則是模擬成一般使用者Host A（主機(jī)A），執(zhí)行上網(wǎng)登入個(gè)人信箱網(wǎng)頁(yè)，查看電子郵件的動(dòng)作。由攻擊者電腦可以清楚看出攻擊軟件將主機(jī)A登入畫(huà)面的網(wǎng)址以及輸入帳號(hào)密碼的內(nèi)容完整呈現(xiàn)出來(lái)。此時(shí)ARP攻擊偵測(cè)服務(wù)器也發(fā)現(xiàn)該攻擊，將有問(wèn)題的IP與MAC地址顯示出來(lái)以告知管理者，然而偵測(cè)服務(wù)器尚無(wú)法確認(rèn)何人為攻擊者與受害者，因此網(wǎng)絡(luò)管理者必須至DHCP log查詢(xún)出攻擊者及受害者真實(shí)IP與MAC地址。根據(jù)所示的DHCP log資料，我們可以發(fā)現(xiàn)發(fā)生重復(fù)的MAC地址原為10.10.52.161所有，因此可以判斷攻擊者為10.10.52.161。為進(jìn)一步確認(rèn)攻擊者與受害者位置，我們將DHCP log中所顯示兩者的MAC地址至所儲(chǔ)存的交換機(jī)表資料中找出對(duì)應(yīng)的交換機(jī)的通信接口。

4 結(jié)論

本文研究探討近年來(lái)興起的ARP攻擊之偵測(cè)與防治，在論文研究期間，為了追查ARP攻擊的起因，卻意外發(fā)現(xiàn)ARP攻擊的方式已經(jīng)發(fā)展為病毒傳播新的方法，其目的不外乎是利用后門(mén)程序的植入達(dá)到竊取受害者網(wǎng)絡(luò)所在的機(jī)密資料，在如此不斷更新且利用新技術(shù)的病毒攻擊模式，網(wǎng)絡(luò)安全已經(jīng)不是使用者或管理者單方面就能獨(dú)立捍衛(wèi)起來(lái)的，必須結(jié)合使用者與網(wǎng)絡(luò)管理者齊心協(xié)力，才能阻擋攻擊者的入侵行動(dòng)。

[1]陳明.計(jì)算機(jī)網(wǎng)絡(luò)工程[J].北京：中國(guó)鐵道出版社，2009.

[2]李海鷹，程灝，等.針對(duì)ARP攻擊的網(wǎng)絡(luò)防御模式設(shè)計(jì)與實(shí)現(xiàn)，2005.

[3]曹磊.局域網(wǎng)中ARP的欺騙攻擊[J].氣象科技，2007.

[4]劉舫.企業(yè)局域網(wǎng)感染ARP病毒的處理方法[J].科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì)，2007.