李 杰 伊向超 崔立波

(長春建筑學(xué)院，長春 130607)

隨著教育信息化的不斷發(fā)展，許多學(xué)校都已經(jīng)建立了自己的校園網(wǎng)絡(luò)，互聯(lián)網(wǎng)在校園內(nèi)變得越來越普及，同時也暴露出了一些問題，如網(wǎng)絡(luò)安全問題.2006年的9月，ARP病毒在許多單位和學(xué)校局域網(wǎng)內(nèi)開始爆發(fā)，造成了大面積計算機(jī)網(wǎng)絡(luò)中斷，嚴(yán)重影響了正常的工作和教學(xué)［1］.針對ARP病毒的攻擊本文從其概念、攻擊原理出發(fā)，闡述了其危害，并通過對其攻擊原理的分析、結(jié)合校園網(wǎng)的環(huán)境和歸納相關(guān)資料，提出了ARP欺騙攻擊的防范措施.

1 ARP協(xié)議概述及其欺騙攻擊的原理

ARP是英文Address Resolution Protocol的簡稱，是地址解析協(xié)議的意思，它是一個位于TCP/IP協(xié)議棧中的底層協(xié)議，對應(yīng)于數(shù)據(jù)鏈路層，負(fù)責(zé)將某個IP地址解析成對應(yīng)的MAC地址［2］.

實施ARP欺騙攻擊的原因是，計算機(jī)之間進(jìn)行數(shù)據(jù)交換最終用的是MAC地址，但我們在網(wǎng)絡(luò)之間進(jìn)行數(shù)據(jù)傳遞用的是IP地址［3］.在IP與MAC地址進(jìn)行切換的時候，不具備任何的認(rèn)證機(jī)制，所以在局域網(wǎng)內(nèi)很容易實現(xiàn)IP地址和MAC不匹配的欺騙現(xiàn)象.例如假設(shè)校園網(wǎng)內(nèi)有這樣一個網(wǎng)絡(luò)，一個宿舍Hub連接3臺pc機(jī):A，B 和C.

正常情況下，計算機(jī)A要想和主機(jī)C進(jìn)行通信，首先在自己的ARP緩存表中查找是否有主機(jī)C的IP地址，如果找到了也就知道了主機(jī)C的MAC地址了，直接把目標(biāo)MAC地址寫入數(shù)據(jù)幀里面發(fā)送就可以了;如果在ARP緩存表中找不到主機(jī)C的IP地址，主機(jī)A就需要在網(wǎng)絡(luò)上發(fā)送一個廣播，目標(biāo)MAC地址是“FF－FF－FF－FF－FF－FF”，這表示向同一網(wǎng)段內(nèi)所有的主機(jī)發(fā)送這樣的詢問:“192.168.1.3的MAC地址是什么?原則上網(wǎng)絡(luò)上其他的主機(jī)并不響應(yīng)ARP詢問，只有主機(jī)C接收到這個數(shù)據(jù)幀才會向主機(jī)A作出響應(yīng):“192.168.1.3”的MAC 地址是14－e6－e4－88－2d－06”.這樣，主機(jī) A 就知道主機(jī) C 的 MAC 地址，它就可以向主機(jī)C發(fā)送信息了，同時它還更新了自己的ARP緩存表，下次再向主機(jī)C發(fā)送信息時，直接從ARP緩存表中查找就可以了.但是如果主機(jī)B主動向A發(fā)送自己偽造的ARP應(yīng)答，而這個偽造的數(shù)據(jù)發(fā)送的IP地址是192.168.1.3(C的IP地址)，MAC地址是14－e6－e4－88－2d－05(B的 MAC地址)，當(dāng)主機(jī)A不知道MAC地址被偽裝的話，A發(fā)送到C的數(shù)據(jù)就被B所獲知了.

2 校園網(wǎng)內(nèi)ARP欺騙攻擊的危害

因為校園網(wǎng)具有ARP病毒傳播的可行條件，所以ARP病毒對校園網(wǎng)信息安全提出的很大的挑戰(zhàn)，其在校園網(wǎng)內(nèi)主要的危害包含以下幾個方面［4］:

(1)造成網(wǎng)絡(luò)異常，上網(wǎng)速度慢、網(wǎng)速極不穩(wěn)定.查看“本地連接”會發(fā)現(xiàn)收包數(shù)據(jù)量遠(yuǎn)遠(yuǎn)小于發(fā)包數(shù)據(jù)量.利用網(wǎng)絡(luò)抓包工具，抓到局域網(wǎng)內(nèi)有大量的ARP報文，當(dāng)局域網(wǎng)內(nèi)某臺計算機(jī)感染ARP病毒后，它就持續(xù)地向網(wǎng)內(nèi)所有計算機(jī)及網(wǎng)絡(luò)設(shè)備發(fā)送非法ARP欺騙數(shù)據(jù)包，阻塞網(wǎng)絡(luò)通道.最終導(dǎo)致大面積掉線或電腦逐個掉線，網(wǎng)絡(luò)時通時斷;

(2)通過監(jiān)聽盜取其他同學(xué)的數(shù)據(jù)信息，如QQ、郵箱、游戲、銀行卡等的賬號密碼.通過ARP欺騙監(jiān)聽其他同學(xué)之間進(jìn)行的信息交流，竊取其可用信息;

(3)充當(dāng)“偽網(wǎng)關(guān)”，在被欺騙主機(jī)和網(wǎng)關(guān)之間建立“中間人”進(jìn)行數(shù)據(jù)交互，“偽網(wǎng)關(guān)”在得到網(wǎng)關(guān)傳來的數(shù)據(jù)后，在數(shù)據(jù)內(nèi)插入惡意代碼等，當(dāng)不知情的被欺騙主機(jī)接受了數(shù)據(jù)，主機(jī)系統(tǒng)一旦執(zhí)行了惡意代碼的內(nèi)容，直接對用戶計算機(jī)安全造成破壞.

3 對ARP病毒的檢測及其防范

3.1 對ARP病毒的檢測

通過閱讀參考資料，結(jié)合ARP病毒的攻擊原理，對ARP病毒的檢測總結(jié)為以下3種方法:

(1)檢測本地計算機(jī)是否中了ARP木馬病毒.通過“任務(wù)管理器”，選擇“進(jìn)程”，查看是否有一個名為“MIR0.dat”的進(jìn)程.如果有，則說明已經(jīng)中毒.右鍵點擊此進(jìn)程后選擇“結(jié)束進(jìn)程”;

(2)通過網(wǎng)關(guān)檢測是否中毒.登陸局域網(wǎng)的上聯(lián)三層交換機(jī)查看其ARP緩存表，在網(wǎng)關(guān)的ARP表中是否有錯誤的MAC記錄.如果檢查ARP表時，發(fā)現(xiàn)有多個IP同時指向一個MAC地址，并且這個MAC地址不是本地網(wǎng)關(guān)的，那么，此MAC地址對應(yīng)的主機(jī)就是ARP病毒源;

(3)使用抓包工具進(jìn)行抓報，選擇校園網(wǎng)內(nèi)的任意一臺計算機(jī)進(jìn)行抓包，通過抓包發(fā)現(xiàn)如果某個IP在不斷的發(fā)送ARP請求包，那么這臺計算機(jī)很可能感染了ARP病毒源.

3.2 針對ARP病毒攻擊的防范策略

在了解了APR病毒的攻擊原理和攻擊方式后，針對ARP病毒攻擊進(jìn)行防范最簡單的策略就是記錄自己常用網(wǎng)關(guān)及其他訪問服務(wù)器的IP地址和MAC地址，如果發(fā)現(xiàn)遭受ARP欺騙攻擊之后，只需要用ARP–a查看IP地址與MAC地址是否和原先記錄的一致，如果不一致，將它改成原先記錄的，就可以避免ARP欺騙攻擊了.通過查閱資料和結(jié)合校園網(wǎng)的具體情況，歸納總結(jié)了針對ARP病毒攻擊的防范策略主要包含以下的5個方面:

(1)設(shè)置路由與交換機(jī)

目前，多數(shù)新型號的路由交換機(jī)都支持APR入侵檢測功能，如TP－Link，H3C的$3600.對路由的設(shè)置主要包含兩個方面的內(nèi)容:

圖9—圖12為區(qū)間右線施工時樁側(cè)摩阻力及樁身軸力變化圖。右側(cè)隧道開挖時，同樣在隧道中心線上下一定范圍內(nèi)的土體由于開挖卸載的影響，樁側(cè)摩阻力會有局部下降，而在隧道下部由于土體卸載回彈的影響，樁側(cè)摩阻力有少量的增大，但數(shù)值均較小。由于左側(cè)隧道和右側(cè)隧道開挖對1#墩都有一定的影響，因此，右線隧道掘進(jìn)時1#墩樁側(cè)摩阻力減小最大值達(dá)到約-1.6 kPa左右，而下部增大最大值為0.6 kPa左右。與左線隧道掘進(jìn)時類似，樁身軸力變化不大，開挖會引起樁身軸力有所增加，變化趨勢為先增大后減小，在樁長25 m左右最大，為80 kN。

a.啟用ARP綁定，提前把局域網(wǎng)內(nèi)的IP地址和MAC地址綁定，當(dāng)通過路由的數(shù)據(jù)包進(jìn)入內(nèi)網(wǎng)時，查找DHCP Snooping表是否和ARP報文中的源MAC地址、源IP地址一致，如果一致，則認(rèn)為該報文是合法的ARP報文，進(jìn)行轉(zhuǎn)發(fā);否則認(rèn)為是非法的ARP報文，直接丟棄.

b.對ARP報文進(jìn)行速度限制，開啟端口的ARP報文限速功能，對每秒內(nèi)該端口接收的ARP報文數(shù)量進(jìn)行統(tǒng)計，檢測ARP報文的發(fā)送頻率，如果每秒收到的ARP報文數(shù)量超過設(shè)定值，則認(rèn)為該端口處于超速狀態(tài).此時需要關(guān)閉該端口，使其不再接收任何報文，從而避免大量ARP報文攻擊.同時，設(shè)備支持配置端口狀態(tài)自動恢復(fù)功能，對于配置了ARP限速功能的端口，在其因超速而被交換機(jī)關(guān)閉后，經(jīng)過一段時間可以自動恢復(fù)為開啟狀態(tài);

(2)安裝ARP防火墻

在計算機(jī)與外網(wǎng)連接之間或個人計算機(jī)終端需要安裝ARP防火墻.在計算機(jī)終端目前的殺毒軟件都自帶了ARP防火墻，如瑞星、360安全衛(wèi)士等.我們平時需要更新病毒庫，并且定期對計算機(jī)進(jìn)行病毒掃描.一旦發(fā)現(xiàn)ARP病毒攻擊，在檢測到病毒源機(jī)器后對該機(jī)器進(jìn)行殺毒或重做系統(tǒng)操作，這樣可以有效地阻斷ARP病毒繼續(xù)對局域網(wǎng)中的其他機(jī)器進(jìn)行攻擊;

(3)個人用戶計算機(jī)綁定網(wǎng)關(guān)

在每臺電腦進(jìn)入DOS，輸入ARP－s網(wǎng)關(guān)IP網(wǎng)關(guān)MAC地址，回車后即完成了綁定.但是這個操作必須在每次系統(tǒng)啟動時進(jìn)行，很麻煩.我們可以把此命令做成一個批處理文件，放在系統(tǒng)的啟動里，批處理文件如下:

ARP－d

ARP － s 192.168.1.1 14－e6－e4－88－2d－04

但是通過批處理之后的計算機(jī)每一次開機(jī)之后需要重新綁定;

(4)采用VLAN技術(shù)隔離端口

校園網(wǎng)的網(wǎng)絡(luò)管理員可根據(jù)實際需要設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，具體規(guī)劃出若干個VLAN，當(dāng)管理員發(fā)現(xiàn)有非法用戶在惡意利用ARP欺騙攻擊網(wǎng)絡(luò)，或者因合法用戶受病毒ARP病毒感染而影響網(wǎng)絡(luò)時，網(wǎng)絡(luò)管理員可利用技術(shù)手段首先查找到該用戶所在的交換機(jī)端口，然后將該端口劃一個單獨的VLAN，將該用戶與其它用戶進(jìn)行物理隔離，以避免對其它用戶的影響.當(dāng)然，也可以利用將交換機(jī)端口Disable來屏蔽該用戶對網(wǎng)絡(luò)造成影響，從而達(dá)到安全防范的目的;

(5)用戶的安全意識

在終端用戶方面除了安裝ARP木馬防火墻之外，用戶的網(wǎng)絡(luò)安全意識也很重要，如需要注意加強密碼管理(如用戶的QQ、銀行卡、游戲賬號等)、關(guān)閉不需要的安全服務(wù)項(如網(wǎng)絡(luò)共享等)、對u盤移動硬盤等存儲設(shè)備連接電腦加強管理等方面來避免感染ARP病毒.

4 結(jié)語

由于ARP協(xié)議本身具有致命的缺陷，它不具備任何的認(rèn)證機(jī)制，校園網(wǎng)的ARP欺騙是不能從根本上根除的.因此，我們只有清楚的了解局域網(wǎng)信息交互和ARP欺騙攻擊的原理，才能有效地檢測和防御響應(yīng)的欺騙攻擊.本文在分析了欺騙攻擊的原理基礎(chǔ)上，結(jié)合參閱的相關(guān)文獻(xiàn)資料，提出了一個較全面的檢測方案和防范策略.這些防范策略有助于解決校園網(wǎng)ARP欺騙攻擊，但不是最根本的方法，最根本的方法應(yīng)該是改進(jìn)或擴(kuò)展ARP協(xié)議，甚至是重新設(shè)計一種安全的地址解析協(xié)議，從根本上增強ARP協(xié)議的安全性，這將是以后防御ARP欺騙研究的重點.

［1］孫 博.針對校園網(wǎng)ARP病毒攻擊的分析及防范［J］.長春教育學(xué)院學(xué)報，2012(2):137－138.

［2］梁 菊.淺談校園網(wǎng)ARP病毒的攻擊與防范［J］.硅谷，2011(2):5.

［3］于 宙.局域網(wǎng)絡(luò)環(huán)境下ARP欺騙攻擊及安全防范策略［J］.南鋼科技與管理，2008(4):8－9.

［4］馬麗君.基于校園網(wǎng)ARP欺騙分析及防御技術(shù)［J］.數(shù)字技術(shù)與應(yīng)用，2012(2):216－217.