校園局域網(wǎng)ARP欺騙攻擊安全防范

摘要：ARP欺騙攻擊將導(dǎo)致用戶無法安全穩(wěn)定的使用網(wǎng)絡(luò)，對于承擔(dān)著大量學(xué)習(xí)資源交流與共享的校園局域網(wǎng)來講，針對ARP欺騙攻擊的安全防范就顯得尤其重要。本文從校園局域網(wǎng)ARP欺騙攻擊原理、ARP欺騙攻擊對校園局域網(wǎng)造成的安全危害、我校局域網(wǎng)ARP欺騙攻擊防范策略的實踐等三個方面進(jìn)行了探討。

關(guān)鍵詞：校園局域網(wǎng)；ARP欺騙；安全防范

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 （2012） 15-0000-01

隨著校園數(shù)字化應(yīng)用的不斷深入，校園網(wǎng)已成為重要的學(xué)習(xí)交流平臺及工具，給我們的工作和學(xué)習(xí)生活帶來極大的方便。然而伴隨著應(yīng)用的不斷深入和普及校園局域網(wǎng)的安全及防范就成為一個較為突出的問題。ARP欺騙攻擊隱蔽性強(qiáng)、危害大對其進(jìn)行合理的安全防范才能保證校園網(wǎng)正常穩(wěn)定運行。

1 校園局域網(wǎng)ARP欺騙攻擊原理分析

實現(xiàn)對ARP欺騙攻擊的有效處置及防范就不得不研究一下ARP協(xié)議，這種攻

擊行為就是因為利用了ARP協(xié)議本身的漏洞來實現(xiàn)的。

ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫。基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。在局域網(wǎng)中，網(wǎng)絡(luò)中實際傳輸?shù)氖恰皵?shù)據(jù)幀”，數(shù)據(jù)幀如果要到達(dá)目的地，就必須通過ARP協(xié)議獲得對方的MAC地址。局域網(wǎng)中裝有TCP/IP協(xié)議的計算機(jī)都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應(yīng)的。例如：ARP緩存表

主機(jī)IP地址MAC地址

HOST1192.168.36.100-C6-B5-2a-19-00

HOST2192.168.36.200-07-6d-80-c9-28

在局域網(wǎng)中當(dāng)HOST1發(fā)送數(shù)據(jù)給HOST2時，HOST1會在自己的ARP緩存表中尋找是否有目標(biāo)IP。如果有則可查詢到目標(biāo)MAC地址并寫入數(shù)據(jù)幀即可完成發(fā)送。如果查詢不到，則會在網(wǎng)內(nèi)發(fā)送廣播，目標(biāo)MAC地址是“FF.FF.FF.FF.FF.FF”，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢問：“192.168.36.2的MAC地址是什么？網(wǎng)內(nèi)僅有目標(biāo)IP為192.168.36.2的HOST2做出響應(yīng)并以將自己的MAC地址應(yīng)答給HOST1，這樣HOST1就知道了HOST2的MAC地址實現(xiàn)數(shù)據(jù)發(fā)送了，同時它還更新了自己的ARP緩存表，下次再向主機(jī)HOST2發(fā)送信息時，直接從ARP緩存表里查找就可以了。

在ARP協(xié)議的工作流程中當(dāng)源主機(jī)不知道目標(biāo)主機(jī)的MAC地址的發(fā)起廣播詢問時，如果一個主機(jī)想要發(fā)起欺騙，那么它只需向源主機(jī)回復(fù)一下，響應(yīng)的IP地址沒錯，但MAC地址卻變成了發(fā)起欺騙的主機(jī)的，這樣，信息就發(fā)到它那里去了。ARP協(xié)議是建立在網(wǎng)內(nèi)主機(jī)信任的基礎(chǔ)之上的，這樣一個漏洞被利用后對局域網(wǎng)就會形成ARP網(wǎng)關(guān)型欺騙，中間人欺騙以及ARP泛洪攻擊。

2 ARP欺騙攻擊對校園局域網(wǎng)造成的安全危害

當(dāng)校園局域網(wǎng)受ARP欺騙攻擊時往往造成內(nèi)部網(wǎng)絡(luò)的混亂，網(wǎng)關(guān)無法和客戶端正常通信，使得某些被欺騙的計算機(jī)無法正常訪問內(nèi)外網(wǎng)，網(wǎng)絡(luò)重要信息被竊取。

ARP協(xié)議工作在更低層，隱蔽性更高，往往不易被用戶發(fā)現(xiàn)。通過以上校園局域網(wǎng)ARP欺騙攻擊原理的分析，網(wǎng)絡(luò)管理員可使用檢查ARP緩存列表的方式判斷。判斷步驟為：點擊“開始”菜單，選擇“運行”， 然后輸入“cmd”， 點擊“確定”按鈕，在命令提示符窗口中輸入“arp –d”命令清除本機(jī)的 ARP 緩存表，然 后重新嘗試上網(wǎng)，如果能恢復(fù)正常，則說明此次掉線可能是受 ARP 欺騙攻擊所致?！?arp –d”命令能清除 ARP 緩存表，系統(tǒng)會自動重建新的 ARP 緩存表。

3 校園局域網(wǎng)ARP欺騙攻擊防范策略

校園局域網(wǎng)通常可采用的防范策略主分有以下三個方面：1）在用戶端計算機(jī)上綁定交換機(jī)網(wǎng)關(guān)的IP和MAC地址。2）在核心交換機(jī)上綁定用戶主機(jī)的IP地址和網(wǎng)卡的MAC地址，同時在邊緣交換機(jī)上將用戶計算機(jī)網(wǎng)卡的MAC地址和交換機(jī)端口綁定的雙重安全綁定方式。3）將校園局域網(wǎng)規(guī)劃出若干個VLAN方式進(jìn)行邏輯隔離防護(hù)。然而單一采取其中的一種方式，在實際的實施過程都不能達(dá)到較好防范效果且網(wǎng)絡(luò)管理員而言也存在實施難度大、管理工作負(fù)荷大的缺點。

我校在進(jìn)行校園局域網(wǎng)ARP欺騙攻擊防范策略上，就有針對性選用了銳捷網(wǎng)絡(luò)GSN解決方案中的“ARP三重立體防御體系”。其主要思想是建立可信任ARP（Trusted ARP）機(jī)制，采用銳捷網(wǎng)絡(luò)S37系列等智能三層接入/匯聚交換機(jī)能夠支持可信任ARP表項功能的網(wǎng)絡(luò)設(shè)備在網(wǎng)關(guān)設(shè)備上增加可信ARP表項。從 網(wǎng)關(guān)防御、客戶端防御、交換機(jī)非法報文過濾三個方面全方位立體的解決了ARP欺騙中的網(wǎng)關(guān)型欺騙，中間人欺騙以及ARP泛洪攻擊，完善的解決了由于ARP協(xié)議本身的缺陷所帶來的漏洞。在可能發(fā)生ARP請求和響應(yīng)的所有環(huán)節(jié)，都加以防范同時對于網(wǎng)絡(luò)管理員來說，所有操作完全都是透明的，不會明顯的增加網(wǎng)絡(luò)管理員的工作負(fù)荷，有效保證了我校園局域網(wǎng)安全穩(wěn)定的運行。

4 結(jié)束語

校園局域網(wǎng)ARP欺騙攻擊安全防范是一個持久而又堅巨的系統(tǒng)工程。網(wǎng)絡(luò)管員需要不斷跟蹤防范欺騙類攻擊的最新技術(shù)，合理靈活有針對性的采用網(wǎng)絡(luò)企業(yè)解決方案，及時的調(diào)整防策略，只有這樣才能保證網(wǎng)絡(luò)安全穩(wěn)定的運行。

參考文獻(xiàn)：

[1]易云飛，阮忠，林芳.ARP協(xié)議漏洞分析[J].軟件導(dǎo)報，7，4

[2]吳煜煌.校園網(wǎng)中ARP病毒欺騙的防御及措施[J]科協(xié)論壇（下半月），2009，03

[3]潘志華.告別網(wǎng)絡(luò)安全單兵作戰(zhàn)-探秘銳捷網(wǎng)絡(luò)GSN全局安全方案[J].中國教育網(wǎng)，2007（9）：49-50