校園網(wǎng)中ARP攻擊的防范措施研究

王曉妮 韓建剛

摘要：介紹了ARP協(xié)議和PPPOE技術(shù)及其工作原理，ARP攻擊特點(diǎn)及原理，結(jié)合高校局域網(wǎng)的實(shí)際情況和網(wǎng)管的實(shí)戰(zhàn)經(jīng)驗(yàn)，提出了校園網(wǎng)ARP攻擊的防范措施，確保校園網(wǎng)安全。

關(guān)鍵詞：ARP；PPPOE；ARP攻擊；MAC/IP

中圖分類號：TP393.18 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-5039（2018）17-0068-02

Abstract：This paper introduces the ARP protocol and PPPOE technology and its working principle， and the characteristics and principles of ARP attack. Based on the actual situation of University LAN and the practical experience of network management， it puts forward the preventive measures for ARP attack in campus network to ensure the safety of campus network.

Key words：ARP； PPPOE； ARP attack； MAC / IP

伴隨高校信息化的飛速發(fā)展，互聯(lián)網(wǎng)早已全面覆蓋校園的各個角落，提高了師生員工的生活質(zhì)量，但也存在安全隱患。由于用戶缺乏較好的安全意識和上網(wǎng)習(xí)慣，故木馬蠕蟲病毒隨處可見，最為常見的就是ARP病毒攻擊。2006年ARP病毒第一次出現(xiàn)以來，使感染區(qū)的電腦網(wǎng)速很慢，時斷時續(xù)，頻繁死機(jī)等現(xiàn)象時有發(fā)生，嚴(yán)重影響了用戶的正常生活、學(xué)習(xí)和工作。ARP病毒攻擊至今一直沒有徹底解決，讓技術(shù)研究人員和用戶深受其困擾。防御ARP病毒是目前校園網(wǎng)管理中的一個重點(diǎn)和難題，急需盡快解決才能確保網(wǎng)絡(luò)的正常運(yùn)行和便于用戶使用，也能減輕網(wǎng)絡(luò)管理員的工作壓力。

1 ARP協(xié)議和ARP攻擊

ARP（Address Resolution Protocol）協(xié)議是數(shù)據(jù)鏈路層的地址解析協(xié)議，進(jìn)行網(wǎng)絡(luò)設(shè)備的邏輯IP地址和物理MAC地址相互轉(zhuǎn)換工作[1]?，F(xiàn)以主機(jī)A 和B間通信來說明ARP協(xié)議的工作原理。如圖1所示。ARP協(xié)議在設(shè)計時網(wǎng)絡(luò)環(huán)境相對比較安全，故沒有缺乏完全性考慮，故難免存在無狀態(tài)、動態(tài)性、無認(rèn)證和廣播式這四個設(shè)計漏洞[2]。

校園網(wǎng)中一旦出現(xiàn)ARP攻擊用戶信息就會被盜、頻繁發(fā)生IP地址沖突、網(wǎng)絡(luò)穩(wěn)定性差、電腦死機(jī)和整個網(wǎng)絡(luò)癱瘓，設(shè)備重啟后正常[3]。ARP攻擊造成網(wǎng)絡(luò)極易堵塞、不易發(fā)現(xiàn)和很難根除。ARP攻擊原理黑客利用ARP協(xié)議的設(shè)計漏洞，偽造的大量的非法IP/MAC地址冒充正常IP/MAC，不斷向攻擊的目標(biāo)發(fā)送大量偽造ARP 數(shù)據(jù)包，迫使其更新ARP緩存表，直接截獲或篡改的數(shù)據(jù)，造成泄露信息、電腦死機(jī)和網(wǎng)絡(luò)中斷。ARP攻擊按攻擊對象可分為攻擊網(wǎng)關(guān)、攻擊主機(jī)、雙向攻擊和洪泛攻擊。

2 PPPOE技術(shù)

PPPOE（Point to Point Protocol over Etherne）是一種點(diǎn)對點(diǎn)的鏈路控制協(xié)議，能夠單獨(dú)控制每個接入點(diǎn)的用戶[4]。PPPOE 協(xié)議通過在多點(diǎn)的以太網(wǎng)上來建立虛擬的點(diǎn)對點(diǎn) PPPOE 連接，可以完成用戶身份驗(yàn)證、接入和數(shù)據(jù)通信。它以太網(wǎng)承載的PPP協(xié)議，區(qū)別與普通的以太網(wǎng)協(xié)議的是所有IP協(xié)議數(shù)據(jù)必須先要經(jīng)過PPP和 PPPOE 幀封裝后才能被送到底層。PPP 協(xié)議處在IP 的下層，而 PPP 采用點(diǎn)對點(diǎn)通信。PPPOE協(xié)議為網(wǎng)關(guān)和主機(jī)間在以太網(wǎng)上建立了一個點(diǎn)對點(diǎn)的通道，而在第二層處使此通道與別的主機(jī)處于不同的廣播域中是互相隔離的故就避免了 ARP 欺騙， 這就是PPPOE協(xié)議防御ARP病毒攻擊原理。

3 ARP攻擊的防范措施

校園網(wǎng)用戶不但水平高低有別，安全意識薄弱，數(shù)目龐大，有著不同的網(wǎng)絡(luò)需求，缺乏基本的網(wǎng)絡(luò)知識和良好的上網(wǎng)習(xí)慣；而且校園網(wǎng)用途廣泛，使用頻率高。校園網(wǎng)的這些突出特點(diǎn)不僅使ARP攻擊有機(jī)可乘，又使其防御難度加大，導(dǎo)致利用某個單一的防御措施很難徹底解決它。故根據(jù)校園網(wǎng)的現(xiàn)實(shí)情況，結(jié)合不同區(qū)域和用戶的網(wǎng)絡(luò)需求不同，結(jié)合這四種措施來對ARP攻擊進(jìn)行防御。

（1）培養(yǎng)用戶上網(wǎng)習(xí)慣和增強(qiáng)網(wǎng)絡(luò)安全意識。通過網(wǎng)站、網(wǎng)絡(luò)媒體、微信和QQ等各種渠道向用戶普及網(wǎng)絡(luò)安全知識和個人隱私保護(hù)的重要性。使所有校園網(wǎng)用戶能夠做到這幾點(diǎn)：1）盡量使用復(fù)雜的上網(wǎng)賬號和登錄密碼，經(jīng)常定期修改密碼。2）杜絕利用共享方式傳遞文件。3）避免接受或打開來歷不明的網(wǎng)絡(luò)文件、電子郵件和地址鏈接。4）盡可能地使用正版軟件或在合法的網(wǎng)站下載上軟件，禁止下載和使用可能攜帶木馬或病毒的盜版軟件5）定期更換不同的是毒軟件，及時升級病毒庫和電腦系統(tǒng)補(bǔ)丁，經(jīng)常按時查殺病毒。6）定期進(jìn)行重要數(shù)據(jù)的異地備份。

（2） 在圖書館電子閱覽室、各系部的多媒體教室和網(wǎng)絡(luò)實(shí)驗(yàn)室采用靜態(tài)綁定IP/MAC地址和安裝ARP專殺工具相結(jié)合的措施。具體操作方法分兩步：首先對該區(qū)域中所有設(shè)備的網(wǎng)關(guān)和主機(jī)的IP/MAC利用ARP命令雙向靜態(tài)綁定，命令格式為：arp -s 網(wǎng)關(guān)/主機(jī)IP+其對應(yīng)的MAC。編寫一個arp.bat批處理文件（格式為三行：1）@echo off；2）arp –d；3）arp –s ip address mac address，將其放在設(shè)備系統(tǒng)啟動項(xiàng)中。讓其在開機(jī)時自動運(yùn)行來避免由于設(shè)備重啟后這種綁定就是失效，再每次重復(fù)手動綁定，可以減輕工作量。其次在這些區(qū)域的電腦中時常更換安裝360 ARP、瑞星和彩影ARP等防火墻和電腦管家和金山衛(wèi)士等殺毒軟件，并及時更新病毒庫。

（3） 隔離交換機(jī)端口和劃分VLAN。首先在辦公樓和教學(xué)樓的二層接入交換機(jī)和網(wǎng)關(guān)上使用端口隔離技術(shù)。避免ARP非法報文通過交換機(jī)，該區(qū)域在接入層全部使用具有DAI動態(tài)ARP檢測和DHCP嗅探[5]功能的銳捷S2126G交換機(jī)，直接啟用這兩個功能，并在網(wǎng)關(guān)上使用ARP代理技術(shù)。這些用戶訪問Internet采用撥號方式，而訪問校園網(wǎng)時無須撥號，這樣就能的防御ARP攻擊。其次根據(jù)上網(wǎng)用戶數(shù)目把教學(xué)區(qū)、辦公區(qū)、實(shí)驗(yàn)樓和家屬區(qū)等不同的區(qū)域劃分在不同的VLAN中。例如教學(xué)樓劃分在91段；附中、幼兒園和校醫(yī)院在92段；辦公樓在93段；體育館、圖書館和實(shí)驗(yàn)樓在94段；東區(qū)單身樓和商住樓在95段；西區(qū)家屬樓96段。

這就使龐大的校園網(wǎng)變成了許多便于管理的小型局域網(wǎng)，而ARP數(shù)據(jù)包一般不能跨網(wǎng)段傳播，只能在本網(wǎng)段內(nèi)活動，故此法能縮小ARP的活動范圍。假如此區(qū)域感染了ARP病毒，只需斷開網(wǎng)段的交換機(jī)端口逐個排查，方便了網(wǎng)絡(luò)管理和故障的排查，也能保障大面積的校園網(wǎng)用戶網(wǎng)絡(luò)上網(wǎng)不受影響

（4）采用PPPOE撥號上網(wǎng)方式。因?yàn)镻PPOE協(xié)議采用不依賴于ARP協(xié)議，能單獨(dú)控制每個用戶的點(diǎn)對點(diǎn)通信方式，所以從根本上讓ARP攻擊無機(jī)可乘。由于12棟學(xué)生公寓、11號新高層和科技大廈每棟樓上的上網(wǎng)用戶數(shù)量過大，一個IP段的網(wǎng)絡(luò)地址有限，無法滿足這次龐大的用戶數(shù)。但是如果劃分在幾個不同的IP段內(nèi)，無疑增大了日常的網(wǎng)絡(luò)管理難度。伴隨著校園網(wǎng)用戶數(shù)與日俱增，有限的IP地址供不應(yīng)求，鑒于這種實(shí)際情況就讓這些區(qū)域的用戶采用PPPOE撥號上網(wǎng)的方式。這種措施不但節(jié)省了許多IP地址，緩解了學(xué)校IP地址短缺的壓力，而且也很好的防范ARP攻擊。采用PPPOE撥號上網(wǎng)方式無須改變在這些區(qū)域中原有校園網(wǎng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，通過Dr.com計費(fèi)軟件就可快速實(shí)現(xiàn)。城市熱點(diǎn)的Dr.com計費(fèi)系統(tǒng)通過綁定用戶的用戶登錄信息、IP和MAC地址等相關(guān)信息來驗(yàn)證用戶身份認(rèn)證，它能夠支持PPPOE、Web、客戶端等多種認(rèn)證方式。在該區(qū)域采取PPPOE計費(fèi)方式的具體實(shí)現(xiàn)過程：1）在校園網(wǎng)的核心交換機(jī)上保留網(wǎng)關(guān)對應(yīng)的VLAN標(biāo)識后把VLAN的網(wǎng)關(guān)地址去掉。2）在防火墻上配置新接口的路由和訪問策略。3）把計費(fèi)軟件安裝在Dr.com服務(wù)器上，將內(nèi)網(wǎng)地址設(shè)置成其端口地址，設(shè)置好撥號上網(wǎng)的地址池。4）根據(jù)VLAN為校園網(wǎng)用戶分配動態(tài)的IP地址，PPPOE服務(wù)器先設(shè)置好計費(fèi)策略，然后再導(dǎo)入用戶信息。

4結(jié)束

ARP攻擊是由ARP協(xié)議自身的安全漏洞引起的，單一的防御辦法根本無法徹底清除，僅能從某種程度上減弱其破壞性。本文結(jié)合校園網(wǎng)的具體現(xiàn)狀和多年網(wǎng)管實(shí)戰(zhàn)經(jīng)驗(yàn)，通過結(jié)合使用增強(qiáng)用戶安全意識、靜態(tài)綁定、安裝ARP專殺工具、交換機(jī)端口隔離、VIAN劃分和PPPOE計費(fèi)這幾種辦法，揚(yáng)長避短，能夠很好地預(yù)防ARP攻擊。

參考文獻(xiàn)：

[1] 王曉妮.高校局域網(wǎng)中ARP攻擊防御策略的分析與實(shí)施[J].航空計算技術(shù)，2017，47（3）：125-129.

[2] 郭征，吳向前，劉勝全.針對校園網(wǎng)ARP攻擊的主動防護(hù)方案[J].計算機(jī)工程，2011，37（5）：181-183.

[3] 李延香，袁輝，劉淑英. 校園局域網(wǎng)ARP欺騙攻擊的防御方法和實(shí)施[J].自動化與儀器儀表，2015（9）：215-217

[4] 紀(jì)春坡. 使用PPPOE撥號方式解決校園網(wǎng)ARP病毒[J].運(yùn)城學(xué)院學(xué)報，2010，28（5）：78-79.

[5] [美]Eric Vyncke Christopher paggen，CCIE#2659.局域網(wǎng)交換機(jī)安全[M].孫余強(qiáng)，孫劍，譯.北京：人民郵電出版社，2010：100-105.