企業(yè)利用網(wǎng)絡(luò)管理防范與處理ARP欺騙、攻擊的實(shí)踐

摘要：文章從企業(yè)網(wǎng)絡(luò)安全的需要出發(fā)，提出如何利用網(wǎng)絡(luò)管理系統(tǒng)，防范和處理網(wǎng)絡(luò)攻擊中比較常見(jiàn)的ARP欺騙與攻擊的過(guò)程。并給出了近年來(lái)一些典型企業(yè)網(wǎng)絡(luò)中存在的ARP欺騙與攻擊進(jìn)行實(shí)踐分析。

關(guān)鍵詞：網(wǎng)絡(luò)管理；ARP欺騙；ARP病毒攻擊；IP地址管理；排查與防控手段

中圖分類號(hào)：TP393.18 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-8937（2012）26-0076-04

回顧企業(yè)網(wǎng)絡(luò)安全運(yùn)行維護(hù)工作，有必要總結(jié)歸納近年來(lái)企業(yè)級(jí)網(wǎng)絡(luò)管理系統(tǒng)和網(wǎng)絡(luò)管理體系結(jié)構(gòu)有效維護(hù)經(jīng)驗(yàn)，有效利用網(wǎng)絡(luò)管理防范與處理ARP欺騙、攻擊相關(guān)經(jīng)驗(yàn)。

從近年的網(wǎng)絡(luò)運(yùn)維，網(wǎng)絡(luò)管理人員不斷接到網(wǎng)絡(luò)用戶反映——“所在的網(wǎng)絡(luò)在上網(wǎng)應(yīng)用時(shí)網(wǎng)絡(luò)時(shí)斷時(shí)通，有時(shí)基本處于無(wú)法使用的狀態(tài)”。而與此同時(shí)網(wǎng)絡(luò)流量管理在對(duì)相應(yīng)網(wǎng)段的監(jiān)控中又沒(méi)有異常情況發(fā)生，所以一時(shí)間很難使用常規(guī)的網(wǎng)絡(luò)管理手段、經(jīng)驗(yàn)加以判斷與網(wǎng)絡(luò)定位，從而給網(wǎng)絡(luò)管理與網(wǎng)絡(luò)維護(hù)提出了新挑戰(zhàn)。

由于這種網(wǎng)絡(luò)故障來(lái)的較突然，既沒(méi)有可以參考的經(jīng)驗(yàn)，又沒(méi)有可用的網(wǎng)絡(luò)協(xié)議分析儀等條件進(jìn)行客觀數(shù)據(jù)的實(shí)地采集，所以我們一開(kāi)始采用的方法就是在網(wǎng)絡(luò)交換機(jī)處對(duì)網(wǎng)段進(jìn)行人為手工的“再細(xì)分”，用逐段排除法對(duì)有問(wèn)題的PC機(jī)進(jìn)行定位后再采取整治方法，但這種方法費(fèi)時(shí)費(fèi)力，排除故障時(shí)間長(zhǎng)。通過(guò)對(duì)故障網(wǎng)絡(luò)現(xiàn)場(chǎng)觀察和體會(huì)，加上對(duì)網(wǎng)絡(luò)TCP/IP協(xié)議的分析后，得出對(duì)ARP網(wǎng)絡(luò)欺騙和ARP網(wǎng)絡(luò)病毒攻擊的初步感性、理性雙重認(rèn)識(shí)。那就是如何認(rèn)識(shí)ARP欺騙與攻擊的共同點(diǎn)和區(qū)別，采取有效的防控手段來(lái)遏制這些網(wǎng)絡(luò)安全威脅。

1 ARP欺騙分析

ARP協(xié)議是一種將IP轉(zhuǎn)化成以IP對(duì)應(yīng)網(wǎng)卡的物理地址的協(xié)議，或者說(shuō)ARP協(xié)議是將IP地址轉(zhuǎn)化成MAC地址的一種協(xié)議。它靠?jī)?nèi)存中保存的一張表來(lái)使IP得以在網(wǎng)絡(luò)上被目標(biāo)機(jī)器應(yīng)答。在我們企業(yè)網(wǎng)絡(luò)架構(gòu)的Vlan中，以太網(wǎng)的每一幀有兩種方式傳輸。一種對(duì)外傳，就是用戶有一個(gè)需求，當(dāng)需要透過(guò)路由將網(wǎng)絡(luò)幀轉(zhuǎn)發(fā)到別的Vlan時(shí)，需要通過(guò)本地Vlan的網(wǎng)關(guān)。另外一種是內(nèi)傳，當(dāng)有用戶需求就在本身這個(gè)Vlan網(wǎng)絡(luò)中時(shí)就不需要網(wǎng)關(guān)了。

當(dāng)遇到ARP欺騙的時(shí)候，我們就會(huì)發(fā)現(xiàn)原本發(fā)送給本地Vlan網(wǎng)關(guān)的數(shù)據(jù)幀，沒(méi)有得到本地Vlan網(wǎng)關(guān)MAC正確的回應(yīng)。從而導(dǎo)致用戶任何應(yīng)用都沒(méi)有辦法使用了，就感覺(jué)到反復(fù)“掉線”或者“斷線”，網(wǎng)絡(luò)好像處在“震蕩”中，迫使網(wǎng)絡(luò)用戶重新啟動(dòng)自己的計(jì)算機(jī)以期重新獲得聯(lián)網(wǎng)的需求，此時(shí)正好中了欲進(jìn)行ARP欺騙計(jì)算機(jī)的“招”，當(dāng)用戶在重新啟動(dòng)自己計(jì)算機(jī)獲得IP地址和本網(wǎng)段網(wǎng)關(guān)MAC地址時(shí)，進(jìn)行ARP欺騙的計(jì)算機(jī)就會(huì)以自己網(wǎng)卡的MAC地址代替本網(wǎng)段網(wǎng)關(guān)的MAC地址，以至于給用戶一個(gè)重新獲得上網(wǎng)的感覺(jué)，其實(shí)用戶這時(shí)所有的外傳以太網(wǎng)幀全部發(fā)給了正在行使ARP欺騙的計(jì)算機(jī)，這就是ARP欺騙在一個(gè)Vlan中的基本原理。

進(jìn)行網(wǎng)絡(luò)ARP欺騙的計(jì)算機(jī)在進(jìn)行MAC欺騙的過(guò)程中，會(huì)將已知某其它主機(jī)的MAC地址用來(lái)使目標(biāo)交換機(jī)向欺騙計(jì)算機(jī)轉(zhuǎn)發(fā)以該主機(jī)為目的地址的數(shù)據(jù)幀。通過(guò)發(fā)送帶有該主機(jī)以太網(wǎng)源地址的單個(gè)數(shù)據(jù)幀辦法，網(wǎng)絡(luò)欺騙計(jì)算機(jī)改寫了CAM表格中的條目，使得交換機(jī)將以該主機(jī)為目的地址的數(shù)據(jù)包轉(zhuǎn)發(fā)給該網(wǎng)絡(luò)實(shí)施ARP欺騙的計(jì)算機(jī)。除非該主機(jī)重新啟動(dòng)PC并從網(wǎng)絡(luò)中獲取地址時(shí)CAM表中對(duì)應(yīng)的條目會(huì)被再次改寫，以便它能恢復(fù)到原始的端口。但是否會(huì)再次受到ARP的MAC欺騙就取決于本網(wǎng)段中是否存在這樣的欺騙計(jì)算機(jī)了。

網(wǎng)絡(luò)欺騙——MAC的欺騙從來(lái)不會(huì)停止于只在本網(wǎng)段內(nèi)進(jìn)行“欺騙”，它很快就演變?yōu)榕c網(wǎng)絡(luò)病毒相結(jié)合的具有網(wǎng)絡(luò)攻擊特征的更具傳染與殺傷力的——“地址解析協(xié)議（ARP）攻擊”。

當(dāng)有人在未獲得授權(quán)就企圖更改MAC和IP地址ARP表格中的信息時(shí)，就發(fā)生了ARP攻擊。通過(guò)這種方式，黑客們可以偽造MAC或IP地址，以便實(shí)施如下的兩種攻擊：“服務(wù)拒絕”和“中間人攻擊”。

目前以“服務(wù)拒絕”演變出來(lái)的攻擊以網(wǎng)絡(luò)上多種病毒為主，它們會(huì)發(fā)送假冒的ARP報(bào)文，比如發(fā)送網(wǎng)關(guān)IP地址的ARP報(bào)文，把網(wǎng)關(guān)的IP對(duì)應(yīng)到自己的MAC上，或者一個(gè)不存在的MAC地址上去，同時(shí)把這假冒的ARP報(bào)文在網(wǎng)絡(luò)中廣播，所有的內(nèi)部PC就會(huì)更新了這個(gè)IP和MAC的對(duì)應(yīng)表，下次上網(wǎng)的時(shí)候，就會(huì)把本來(lái)發(fā)送給網(wǎng)關(guān)的MAC的報(bào)文，發(fā)送到一個(gè)不存在或者錯(cuò)誤的MAC地址上去，這樣就會(huì)造成網(wǎng)絡(luò)斷線了。

這就是ARP地址欺騙攻擊，造成內(nèi)部PC和外部網(wǎng)的斷線，該病毒在滿足一定條件的時(shí)候會(huì)表現(xiàn)的特別猖獗。也對(duì)企業(yè)內(nèi)部分局部網(wǎng)段造成非物理“斷網(wǎng)”的中斷網(wǎng)絡(luò)破壞，由于它與網(wǎng)絡(luò)病毒相結(jié)合，所以無(wú)論在傳播的速度和攻擊特性都有較大的“聚變”，ARP 地址欺騙攻擊的實(shí)施是通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙的同時(shí)，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量，使網(wǎng)絡(luò)阻塞或者實(shí)現(xiàn)“中間人攻擊”（man in the middle） ，進(jìn)行ARP重定向和嗅探攻擊。當(dāng)攻擊源大量向局域網(wǎng)中發(fā)送虛假的ARP信息后，就會(huì)造成局域網(wǎng)中機(jī)器ARP緩存的崩潰。

下面給出ARP欺騙攻擊在Vlan229網(wǎng)絡(luò)交換機(jī)上所看到的特征。

3 原因分析

從對(duì)感染ARP欺騙的欺騙攻擊病毒計(jì)算機(jī)進(jìn)行現(xiàn)場(chǎng)查殺和計(jì)算機(jī)系統(tǒng)安全基本要求方面的檢查來(lái)看，這些計(jì)算機(jī)大多存在如下的共同特征：

①系統(tǒng)安全補(bǔ)丁嚴(yán)重缺失，有的Winxp在SP2后只有一個(gè)補(bǔ)丁，所以補(bǔ)丁缺少很多（約兩年）。

②計(jì)算機(jī)開(kāi)機(jī)進(jìn)入系統(tǒng)時(shí)幾乎都缺少系統(tǒng)應(yīng)有的“口令”。有的只有弱口令。

③大部分這樣的計(jì)算機(jī)系統(tǒng)無(wú)防病毒軟件或沒(méi)有及時(shí)對(duì)防病毒軟件升檔，特別是企業(yè)網(wǎng)絡(luò)中使用的Symantec通知升級(jí)后不執(zhí)行升級(jí)就導(dǎo)致防病毒策略與防病毒代碼無(wú)法及時(shí)更新。

④有的網(wǎng)絡(luò)用戶違規(guī)下載并安裝“網(wǎng)絡(luò)游戲”或使用帶毒的“實(shí)時(shí)通信軟件”所至，如“傳奇”和“QQ”等。

⑤有的部門信息聯(lián)絡(luò)員沒(méi)有及時(shí)將計(jì)算機(jī)安全基本要求宣傳到位。

⑥有的部門領(lǐng)導(dǎo)忙于生產(chǎn)而無(wú)法具體落實(shí)計(jì)算機(jī)系統(tǒng)安全的相關(guān)規(guī)章制度。

4 利用網(wǎng)絡(luò)管理防范與處理

4.3 對(duì)主要網(wǎng)絡(luò)應(yīng)用進(jìn)行必要的網(wǎng)絡(luò)細(xì)分

從對(duì)企業(yè)總部大樓十二樓Vlan241和原基建大樓Vlan226網(wǎng)絡(luò)的整改后的使用效果來(lái)看，網(wǎng)絡(luò)規(guī)劃在必要的網(wǎng)段上要從多方面考慮網(wǎng)絡(luò)應(yīng)用的實(shí)際需要，特別是要從防控類似ARP欺騙和欺騙攻擊病毒上考慮對(duì)重要網(wǎng)段的“細(xì)分”工作。企業(yè)總部大樓十二樓和基建大樓的網(wǎng)絡(luò)在被“細(xì)分”后，實(shí)際使用和管理上較整改以前都有較好的網(wǎng)絡(luò)使用和網(wǎng)絡(luò)安全的效果，充分說(shuō)明了這一點(diǎn)。

4.4 用網(wǎng)絡(luò)管理軟件和工具軟件進(jìn)行預(yù)防

充分利用網(wǎng)絡(luò)管理軟件的“IP地址管理”在MAC與IP綁定上的作用，對(duì)企業(yè)網(wǎng)絡(luò)上運(yùn)行的計(jì)算機(jī)系統(tǒng)進(jìn)行全天候不間斷的監(jiān)控，再利用類似于Antiarp這樣的工具軟件對(duì)有問(wèn)題故障網(wǎng)段進(jìn)行現(xiàn)場(chǎng)“抓獲”。

5 結(jié) 語(yǔ)

在我們這樣大型國(guó)有企業(yè)網(wǎng)絡(luò)中，網(wǎng)絡(luò)故障錯(cuò)綜復(fù)雜，不借助專業(yè)網(wǎng)絡(luò)管理軟件和認(rèn)真細(xì)致地對(duì)網(wǎng)絡(luò)故障分析，很難對(duì)非物理性網(wǎng)絡(luò)故障，類似ARP欺騙和欺騙類攻擊病毒引起的網(wǎng)絡(luò)故障進(jìn)行排查帶來(lái)很大的困難，同時(shí)會(huì)給網(wǎng)絡(luò)產(chǎn)生巨大的安全威脅。

所以，對(duì)于企業(yè)的網(wǎng)絡(luò)運(yùn)行，需要網(wǎng)絡(luò)管理人員充分利用網(wǎng)絡(luò)管理工具，對(duì)網(wǎng)絡(luò)進(jìn)行長(zhǎng)期有效的監(jiān)測(cè)和分析，才能最大程度地排除可能的網(wǎng)絡(luò)故障和網(wǎng)絡(luò)安全威脅。然而計(jì)算機(jī)系統(tǒng)安全是與各個(gè)使用計(jì)算機(jī)的企業(yè)網(wǎng)絡(luò)終端用戶密切相關(guān)的，計(jì)算機(jī)安全必須及時(shí)、有效地去“實(shí)施”的觀念離實(shí)際的網(wǎng)絡(luò)安全要求還相差的甚遠(yuǎn)，僅靠企業(yè)每年要求信息中心利用“總廠例行崗檢”和“計(jì)算機(jī)系統(tǒng)專項(xiàng)安全大檢查”的方法來(lái)維持網(wǎng)絡(luò)安全，那是無(wú)法適應(yīng)日益變換和增長(zhǎng)的網(wǎng)絡(luò)安全需要的。

近年來(lái)在網(wǎng)絡(luò)安全運(yùn)維實(shí)踐中在技術(shù)層面上總結(jié)出一些行之有效方法，讓參加企業(yè)IT網(wǎng)絡(luò)運(yùn)維的同行們能有效地共享，充分利用網(wǎng)絡(luò)管理系統(tǒng)已有的功能，深化網(wǎng)絡(luò)與信息系統(tǒng)的安全運(yùn)行具有重要意義。

參考文獻(xiàn)：

[1] 卿斯?jié)h，蔣建春.網(wǎng)絡(luò)攻防技術(shù)原理與實(shí)踐[M].北京:科學(xué)出版社，2004.

[2] [美]KarenWebb著.李逢天，張帆譯.組建Cicso多層交換網(wǎng)絡(luò)[M].北京:人民郵電出版社，2010.