淺析高校校園網(wǎng)的ARP攻擊防御策略

李 巖

（安陽工學(xué)院，河南 安陽 455000）

0 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及與發(fā)展，高校校園網(wǎng)已然成為學(xué)生學(xué)習(xí)、生活和教師工作的重要平臺(tái)。但隨之而來的針對校園網(wǎng)的各式各樣的攻擊也層出不窮，其中，基于病毒的ARP攻擊最為普遍，令網(wǎng)絡(luò)管理人員最為頭疼。目前，各高校針對ARP病毒的防范手段比較單一，防范效果有限。針對高校校園網(wǎng)的特點(diǎn)，應(yīng)結(jié)合多種措施和手段對ARP攻擊進(jìn)行防范。本文分析了ARP攻擊的原理，從接入交換機(jī)、匯聚交換機(jī)和防火墻等多個(gè)層面提出了相應(yīng)的ARP防范手段。

1 ARP攻擊原理

ARP(Address Resolution Protocol)地址轉(zhuǎn)換協(xié)議工作在OSI參考模型的數(shù)據(jù)鏈路層，為上層網(wǎng)絡(luò)提供服務(wù)的同時(shí)，與物理層之間通過硬件接口進(jìn)行聯(lián)系。ARP攻擊可以簡單分為兩類：ARP欺騙攻擊和ARP泛洪攻擊。這兩類攻擊程序都是通過構(gòu)造非法的ARP報(bào)文，修改報(bào)文中的源IP地址或源MAC地址，不同之處在于前者用自己的MAC地址進(jìn)行欺騙，后者則發(fā)送大量的虛假ARP報(bào)文，造成網(wǎng)絡(luò)擁塞。

ARP攻擊的典型癥狀主要有以下三種：

（1）大量虛假信息存在于網(wǎng)關(guān)設(shè)備ARP表項(xiàng)，上網(wǎng)出現(xiàn)間歇性中斷；網(wǎng)頁打開速度過慢。

（2）上網(wǎng)時(shí)會(huì)頻繁彈出窗口廣告。下載的軟件不適原本想要下載的，而是其它非法程序。

（3）終端不斷彈出“本機(jī)的硬件地址與網(wǎng)絡(luò)中的設(shè)備地址沖突”。ARP攻擊原理相對簡單和易于分析，但是對于網(wǎng)絡(luò)攻擊來說，原理越是簡單，越易于擴(kuò)散，對網(wǎng)絡(luò)的危害也就越大。欺騙攻擊會(huì)普遍存在于沒有驗(yàn)證機(jī)制的網(wǎng)絡(luò)中，更容易被非法利用。

2 ARP攻擊防御解決方案

ARP攻擊的防御可以從接入交換機(jī)、匯聚交換機(jī)到網(wǎng)關(guān)設(shè)備，部署不同的ARP防御措施，開啟防護(hù)功能，高?？梢愿鶕?jù)不同的網(wǎng)絡(luò)特點(diǎn)，選擇不同的部署和解決方案。

2.1 基于接入交換機(jī)

接入交換機(jī)在網(wǎng)絡(luò)設(shè)備中最接近用戶一端，相對來說，也比較最容易采取相關(guān)的網(wǎng)絡(luò)防護(hù)措施。通過對接入交換機(jī)適當(dāng)?shù)呐渲?，在交換機(jī)的個(gè)個(gè)端口內(nèi)隔離網(wǎng)絡(luò)威脅，從而避免對整個(gè)網(wǎng)絡(luò)造成危害。

（1）通過AM（訪問管理）功能實(shí)現(xiàn)。當(dāng)在地址池（AM Pool）中能夠找到收到數(shù)據(jù)報(bào)的源IP地址或者源IP和源MAC時(shí)，則轉(zhuǎn)發(fā)，否則丟棄。

（2）通過ARP Guard功能實(shí)現(xiàn)。提前預(yù)設(shè)置交換機(jī)過濾表項(xiàng)，檢測從端口輸入的所有ARP報(bào)文，如果遇到受保護(hù)的源IP地址，則直接丟棄報(bào)文。它的配置相對簡單，適用于ARP仿冒網(wǎng)關(guān)攻擊防護(hù)快速部署，但是需要占用芯片表項(xiàng)資源，且交換機(jī)每端口配置數(shù)量有限。

（3）通過DHCP Snooping功能實(shí)現(xiàn)。當(dāng)用戶動(dòng)態(tài)申請IP地址，接入交換機(jī)會(huì)全程監(jiān)控，記錄下用戶的端口信息、IP地址和MAC地址，在交換機(jī)上做多元素綁定，阻斷非法報(bào)文的傳播。此方式適用于IP地址動(dòng)態(tài)分配的環(huán)境，被動(dòng)偵聽，自動(dòng)綁定，對信息點(diǎn)數(shù)沒限制，但在靜態(tài)分配地址的環(huán)境中，配置量較大，需手工添加綁定關(guān)系。

（4）通過端口限速功能實(shí)現(xiàn)。網(wǎng)段內(nèi)如果出現(xiàn)具有或疑似ARP掃描特征的端口或主機(jī)時(shí)，攻擊源頭將會(huì)被直接切斷，保障網(wǎng)絡(luò)的順暢。偵測ARP掃描的方法分為基于端口的和基于IP的兩種。前者通過計(jì)算一段時(shí)間內(nèi)，某一端口接收到的ARP報(bào)文數(shù)量，后者則通過計(jì)算一段時(shí)間內(nèi)某一IP從網(wǎng)段內(nèi)收到的ARP報(bào)文數(shù)量，通過查看報(bào)文的數(shù)量是否超過預(yù)設(shè)閾值，來判斷是否為ARP攻擊。此方式無須在端口模式下進(jìn)行配置，但是只適用于對ARP掃描或者Flood攻擊防御。

2.2 基于匯聚交換機(jī)

在很多高校，校園網(wǎng)規(guī)模龐大，部署接入的交換機(jī)品牌各異，導(dǎo)致很多交換機(jī)不可網(wǎng)管、不支持ACL，針對這種環(huán)境，可以采取配置匯聚交換機(jī)來實(shí)現(xiàn)對ARP攻擊的防護(hù)。

基于匯聚交換機(jī)的解決方案需要用到端口隔離功能和本地ARP代理功能。端口隔離作用于各個(gè)端口之間，隔離端口之間的流量，通過此功能可以實(shí)現(xiàn)Vlan內(nèi)部的端口隔離，節(jié)省Vlan資源，保障網(wǎng)絡(luò)的安全性。本地ARP代理（Local ARP proxy）是指在一個(gè)Vlan內(nèi)，通過一臺(tái)匯聚交換機(jī)，作為指定的設(shè)備對另一臺(tái)設(shè)備作出ARP請求的應(yīng)答，實(shí)現(xiàn)限制ARP報(bào)文在同一Vlan內(nèi)的轉(zhuǎn)發(fā)，引導(dǎo)數(shù)據(jù)流量通過交換機(jī)進(jìn)行三層轉(zhuǎn)發(fā)。

具體實(shí)現(xiàn)原理如圖1所示。

圖1

此方式的前提條件是接入交換機(jī)必須具有并啟用端口隔離功能，匯聚交換機(jī)必須具有并啟用ARP Local Proxy功能和端口ARP限速功能。動(dòng)態(tài)IP配置環(huán)境下，匯聚交換機(jī)可通過DHCP Snooping檢測ARP；靜態(tài)IP配置環(huán)境下，可以使用專有工具，對匯聚交換機(jī)ARP表項(xiàng)進(jìn)行初始化。圖1中，主機(jī)A沒有主機(jī)B的MAC地址，所以主機(jī)A發(fā)送ARP請求并廣播出去。交換機(jī)向主機(jī)A發(fā)送ARP回復(fù)報(bào)文。主機(jī)A在收到ARP回復(fù)后，創(chuàng)建ARP表項(xiàng)，發(fā)送IP報(bào)文，交換機(jī)的MAC就是封裝的以太網(wǎng)幀頭的目的MAC。當(dāng)交換機(jī)收到該IP報(bào)文后，交換機(jī)查詢路由表，下發(fā)硬件表項(xiàng)。當(dāng)交換機(jī)有主機(jī)B的ARP表項(xiàng)的情況下，直接封裝以太網(wǎng)頭部并發(fā)送報(bào)文；否則請求主機(jī)B的ARP，然后發(fā)送IP報(bào)文。

此方式在動(dòng)態(tài)IP配置環(huán)境下，對接入交換機(jī)要求不高，只需有端口隔離功能，且便于管理和實(shí)現(xiàn)。在靜態(tài)IP配置環(huán)境下則需要手工添加ARP表項(xiàng)，不夠靈活。

2.3 基于防火墻

防火墻可以自動(dòng)偵測是否安裝了ARP Tool客戶端，上網(wǎng)請求會(huì)被重定向到防火墻強(qiáng)制安裝。在安裝客戶端后，可以實(shí)現(xiàn)自動(dòng)阻止客戶端非法ARP發(fā)包請求，可以從網(wǎng)關(guān)獲取ARP可信信息，與防火墻聯(lián)動(dòng)，實(shí)現(xiàn)對內(nèi)網(wǎng)的ARP及DDos的攻擊防護(hù)。此方式適用于信息點(diǎn)不多的分校區(qū)，防火墻作為網(wǎng)關(guān)，配置簡單，易于部署。

3 結(jié)束語

目前，國內(nèi)各個(gè)網(wǎng)絡(luò)廠商相繼推出新型的交換機(jī)及安全設(shè)備，功能不斷完善，針對校園網(wǎng)絡(luò)的各類攻擊，防護(hù)設(shè)備和策略趨于一體化?？傊槍RP攻擊的防護(hù)，多種措施相結(jié)合的手段是最為行之有效的。

［1］謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].5 版.北京：電子工業(yè)出版社,2008.

［2］張潔,武裝,陸倜.一種改進(jìn)的ARP協(xié)議欺騙檢測方法[J].計(jì)算機(jī)科學(xué),2008(03).

［3］徐華中,閆樹.基于ARP的攻擊分析及對策研究[J].中國水運(yùn)(理論版),2007(03).

［4］王燕,張新剛.基于ARP協(xié)議的攻擊及其防御方法分析[J].微計(jì)算機(jī)信息,2007(36).

［5］李海鷹.針對ARP攻擊的網(wǎng)絡(luò)防御模式設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程,2005(5)：170-171.