秦勇 張海豐

北京青年政治學(xué)院計(jì)算機(jī)系 北京 100102

0 引言

隨著網(wǎng)絡(luò)技術(shù)的普及和發(fā)展，網(wǎng)絡(luò)安全問題日益成為人們關(guān)注的焦點(diǎn)，校園網(wǎng)更成了網(wǎng)絡(luò)安全問題的多發(fā)領(lǐng)域，作為惠眾面最大的多媒體局域網(wǎng)，經(jīng)常會(huì)發(fā)生網(wǎng)絡(luò)連接正常，大面積的計(jì)算機(jī)卻突然掉線，無法實(shí)現(xiàn)網(wǎng)絡(luò)共享或者訪問互聯(lián)網(wǎng)的現(xiàn)象，以致嚴(yán)重影響校園網(wǎng)內(nèi)廣播教學(xué)，給校園網(wǎng)的教學(xué)和辦公造成巨大損失。這種現(xiàn)象發(fā)生多半是由地址欺騙攻擊引起的，表現(xiàn)最為突出的就是ARP欺騙攻擊，很多病毒都會(huì)利用以太網(wǎng)的ARP協(xié)議對本網(wǎng)段內(nèi)的其他用戶實(shí)施欺騙攻擊，竊取用戶的個(gè)人私密信息，以致造成用戶的損失。

1 ARP協(xié)議

地址解析協(xié)議（Address Resolution Protocol，ARP），是TCP/IP協(xié)議棧的基礎(chǔ)協(xié)議之一，解決了局域網(wǎng)網(wǎng)上的主機(jī)或路由器在網(wǎng)絡(luò)通信中的IP地址和硬件地址的映射問題。

網(wǎng)絡(luò)上的每臺(tái)主機(jī)都有IP地址，在真正發(fā)送數(shù)據(jù)分組時(shí)并不使用IP地址，依據(jù)網(wǎng)絡(luò)分層的思想，數(shù)據(jù)分組從認(rèn)知IP地址的網(wǎng)絡(luò)層傳輸?shù)綌?shù)據(jù)鏈路層，需要封裝成數(shù)據(jù)鏈路層硬件認(rèn)知的MAC幀后才能在實(shí)際網(wǎng)絡(luò)中發(fā)送，但是采用IPv4技術(shù)的地址擁有32bit的信息，網(wǎng)絡(luò)硬件在世界范圍內(nèi)有惟一的48bit地址信息，兩者之間需要調(diào)和才能在網(wǎng)絡(luò)中聯(lián)合應(yīng)用，ARP協(xié)議通過在兩者之間建立動(dòng)態(tài)映射很好的解決了這個(gè)問題。

2 ARP實(shí)現(xiàn)

網(wǎng)絡(luò)中的主機(jī)都有一個(gè)動(dòng)態(tài)更新的ARP高速緩存表，保存最新的IP與MAC的映射，主機(jī)每隔一段時(shí)間或有ARP應(yīng)答時(shí)就會(huì)更新，長期不使用的映射，在更新時(shí)會(huì)自動(dòng)刪除。

ARP通過發(fā)送數(shù)據(jù)報(bào)時(shí)把IP地址映射成物理地址和回答來自其他機(jī)器的請求這兩部分功能實(shí)現(xiàn)地址解析。當(dāng)IP數(shù)據(jù)報(bào)準(zhǔn)備在網(wǎng)絡(luò)上發(fā)送時(shí)，發(fā)送方要查詢本機(jī)ARP緩存中是否有目標(biāo)的IP地址與MAC地址的映射，如果有，則把數(shù)據(jù)報(bào)封裝成添加了目的MAC地址的數(shù)據(jù)幀由數(shù)據(jù)鏈路層放送出去，如果沒有，則向局域網(wǎng)廣播一個(gè)封裝了目的主機(jī)IP地址的ARP請求，局域網(wǎng)內(nèi)的主機(jī)收到后提取出IP地址與自己的IP地址匹配，只有匹配成功的目的主機(jī)才會(huì)響應(yīng)，直接把包含目的MAC的ARP應(yīng)答回送到源主機(jī)，源主機(jī)收到ARP應(yīng)答，提取出目的MAC地址添加到ARP高速緩存中，形成目的主機(jī)IP地址與MAC地址的映射。

3 ARP欺騙攻擊原理

ARP協(xié)議的設(shè)計(jì)是以局域網(wǎng)的主機(jī)間相互信任為前提的，出于對傳輸效率的考慮，要求主機(jī)都有ARP高速緩存，在降低主機(jī)向網(wǎng)絡(luò)廣播ARP請求的同時(shí)，為網(wǎng)絡(luò)欺騙攻擊提供了便利條件。另外，ARP協(xié)議是無狀態(tài)的局域網(wǎng)協(xié)議，即任何主機(jī)在沒有ARP請求的時(shí)候也可以做出應(yīng)答，并且應(yīng)答不需要認(rèn)證，只要應(yīng)答包有效，接收到應(yīng)答包的主機(jī)就無條件地根據(jù)應(yīng)答包的內(nèi)容刷新本機(jī)高速緩存，這樣攻擊者就可以發(fā)送偽造的應(yīng)答包與真正的主機(jī)應(yīng)答包競爭，迫使發(fā)送請求的主機(jī)被攻擊者應(yīng)答，以致成為ARP欺騙攻擊的對象。

典型的ARP欺騙攻擊如圖1所示。

圖1 典型局域網(wǎng)絡(luò)拓?fù)鋱D

局域網(wǎng)絡(luò)中的主機(jī)間相互信任，能夠?qū)崿F(xiàn)所有的網(wǎng)絡(luò)應(yīng)用，主機(jī)C由于受到外部因素的干擾成為實(shí)施ARP欺騙的攻擊者。攻擊者可以通過局域網(wǎng)嗅探工具監(jiān)聽網(wǎng)絡(luò)通信，獲取同一網(wǎng)絡(luò)內(nèi)的相關(guān)主機(jī)的IP和MAC等信息。主機(jī)ARP緩存中IP與MAC的映射對有無決定了實(shí)施ARP欺騙的兩種狀態(tài)：

（1）當(dāng)A要求與B通信，緩存表為空，A會(huì)向網(wǎng)絡(luò)廣播要求找到IP地址為B的ARP請求，攻擊機(jī)監(jiān)聽到這一請求后，通過發(fā)送封裝了B的IP地址與非B的MAC地址的應(yīng)答給A，由于主機(jī)一般使用后收到的應(yīng)答來刷新ARP緩存，所以攻擊者會(huì)延遲發(fā)送偽裝的ARP應(yīng)答，達(dá)到欺騙的目的。

（2）當(dāng)A與B正常通信后，B的IP地址與MAC地址的映射對能夠暫存在A的ARP緩存表中，但主機(jī)緩存表在收到ARP應(yīng)答時(shí)會(huì)立即更新，攻擊者C直接發(fā)送封裝了B的IP地址與非B的MAC地址的應(yīng)答給A，使得A的ARP緩存表動(dòng)態(tài)更新實(shí)現(xiàn)欺騙。

當(dāng)主機(jī)緩存的映射對的MAC地址都指向攻擊者C時(shí)，C就可以利用相關(guān)軟件獲取IP地址為偽造映射對的主機(jī)的網(wǎng)絡(luò)通信信息；當(dāng)主機(jī)緩存的網(wǎng)關(guān)IP地址被映射到其他未知的MAC時(shí)，就會(huì)造成主機(jī)不能訪問網(wǎng)絡(luò)的現(xiàn)象。

總之，ARP欺騙攻擊就是網(wǎng)絡(luò)攻擊者利用ARP協(xié)議，向目標(biāo)主機(jī)發(fā)送偽造的源IP-和MAC映射的ARP應(yīng)答，使得目標(biāo)主機(jī)收到該應(yīng)答幀后在ARP緩存中被更新，從而使目標(biāo)主機(jī)將報(bào)文發(fā)送給錯(cuò)誤的對象，造成用戶信息泄露等網(wǎng)絡(luò)安全問題。

4 校園網(wǎng)ARP欺騙攻擊的防范策略

校園網(wǎng)是典型的多元化局域網(wǎng)，對ARP欺騙攻擊的防范任重道遠(yuǎn)，為防止對校園網(wǎng)用戶造成不必要的損失，網(wǎng)絡(luò)管理者應(yīng)該從網(wǎng)絡(luò)技術(shù)和人員素質(zhì)兩個(gè)方面部署防御策略。

4.1 網(wǎng)絡(luò)管理員的網(wǎng)絡(luò)技術(shù)水平

網(wǎng)絡(luò)安全防護(hù)的關(guān)鍵體現(xiàn)在人員的素質(zhì)上，校園網(wǎng)是由多個(gè)分支局域網(wǎng)組成，各分支的網(wǎng)絡(luò)管理員技術(shù)水平參差不齊，面對ARP欺騙攻擊和其他網(wǎng)絡(luò)安全問題，處理措施千差萬別，因此，校園網(wǎng)的管理部門應(yīng)關(guān)注網(wǎng)絡(luò)系統(tǒng)管理員素質(zhì)的提高，積極組織網(wǎng)絡(luò)管理員參加網(wǎng)絡(luò)安全防御技術(shù)培訓(xùn)，提高網(wǎng)絡(luò)安全技術(shù)水平和防范意識(shí)。

4.2 校園網(wǎng)計(jì)算機(jī)的防護(hù)

校園網(wǎng)ARP欺騙攻擊行為不是獨(dú)立發(fā)生的，大部分是由于計(jì)算機(jī)感染網(wǎng)絡(luò)病毒，由病毒發(fā)起的，因此校園網(wǎng)計(jì)算機(jī)應(yīng)該加強(qiáng)自身防護(hù)。

首先，校園網(wǎng)計(jì)算機(jī)應(yīng)該安裝正版殺毒軟件，及時(shí)升級(jí)病毒庫，為Windows系統(tǒng)打補(bǔ)丁，關(guān)閉遠(yuǎn)程管理端口，防止病毒侵?jǐn)_，由于現(xiàn)在的殺毒軟件廠商在其軟件中都添加了ARP欺騙防御功能，計(jì)算機(jī)同時(shí)具備了基本的ARP防護(hù)功能。

其次，為防止攻擊者利用嗅探工具獲取網(wǎng)絡(luò)主機(jī)信息，計(jì)算機(jī)也應(yīng)安裝防嗅探軟件防護(hù)。

最后，鑒于校園網(wǎng)ARP欺騙攻擊主要是針對網(wǎng)關(guān)的攻擊，計(jì)算機(jī)還應(yīng)當(dāng)做網(wǎng)關(guān)IP地址和MAC地址的ARP靜態(tài)綁定，防止ARP緩存更新導(dǎo)致網(wǎng)關(guān)映射對被惡意修改，導(dǎo)致計(jì)算機(jī)掉線的情況。

4.3 交換機(jī)ARP防域策略

對于采用智能交換機(jī)搭建的網(wǎng)絡(luò)，可以采用交換機(jī)端口安全來防止非法用戶的接入，由于網(wǎng)絡(luò)硬件的相對固定性，網(wǎng)絡(luò)管理員可以采取靜態(tài)IP與主機(jī)MAC聯(lián)合綁定到交換機(jī)端口的方式進(jìn)行防護(hù)，考慮到防護(hù)的隱蔽性，端口安全可以采用特點(diǎn)的違例方式來處理。

對ARP欺騙攻擊的防護(hù)，交換機(jī)廠商也專門開發(fā)了象DAI的動(dòng)態(tài)ARP入侵檢測功能，網(wǎng)絡(luò)系統(tǒng)管理員可以根據(jù)廠商設(shè)備配置說明，結(jié)合校園網(wǎng)接入層的實(shí)際情況部署防御策略。

5 結(jié)論

校園網(wǎng)ARP欺騙攻擊是由多種因素造成的，爆發(fā)時(shí)極易造成局域網(wǎng)大面積癱瘓，給網(wǎng)絡(luò)管理員造成巨大困擾，但防范勝于治理，為免于巨大損失的造成，校園網(wǎng)的管理者應(yīng)該從網(wǎng)絡(luò)運(yùn)營的初始階段就部署防御策略，實(shí)現(xiàn)對ARP欺騙攻擊的積極防范。

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京:電子工業(yè)出版社.2002.

[2]邵丹.ARP安全問題的研究[J].長春大學(xué)學(xué)報(bào).2009.

[3]鄭文兵，李成忠.ARP欺騙原理及一種防范算法[J].江南大學(xué)學(xué)報(bào)（自然科學(xué)版）.2003.

[4]袁再龍，吳曉洪.ARP欺騙攻擊原理及防范方法[J].貴州教育學(xué)院學(xué)報(bào)（自然科學(xué)版）.2008.