針對(duì)校園網(wǎng)中ARP欺騙的防御技術(shù)手段研究

蔣婷

摘 要：ARP欺騙攻擊是校園網(wǎng)中最為常見的攻擊方式之一。本文首先對(duì)ARP欺騙攻擊實(shí)現(xiàn)原理、攻擊方式、造成的影響等內(nèi)容進(jìn)行了介紹，然后重點(diǎn)對(duì)幾種有效的、可防止ARP欺騙攻擊的安全防護(hù)技術(shù)進(jìn)行了研究和分析。

關(guān)鍵詞：ARP欺騙；校園網(wǎng)

校園網(wǎng)網(wǎng)絡(luò)環(huán)境復(fù)雜，用戶數(shù)據(jù)交換頻繁，用戶安全防范意識(shí)參差不齊，這些因素極易導(dǎo)致校園局域網(wǎng)中出現(xiàn)網(wǎng)絡(luò)故障。ARP欺騙是一種常見的校園網(wǎng)網(wǎng)絡(luò)攻擊方式，其利用ARP協(xié)議本身緩存更新這一協(xié)議缺陷來(lái)向網(wǎng)絡(luò)用戶發(fā)送大量的報(bào)文信息，阻礙其他正常用戶的網(wǎng)絡(luò)通信。

1 ARP欺騙攻擊手段極其對(duì)校園網(wǎng)的影響分析

校園網(wǎng)內(nèi)的用戶進(jìn)行通信時(shí)首先需要將用戶的IP地址對(duì)應(yīng)的轉(zhuǎn)換為MAC地址才能夠在兩者之間建立通信鏈路進(jìn)行數(shù)據(jù)通信，這一過程需要使用ARP協(xié)議來(lái)完成。ARP欺騙即利用該協(xié)議缺陷不斷向網(wǎng)絡(luò)內(nèi)其他用戶發(fā)送偽造的ARP應(yīng)答包來(lái)擾亂其他用戶的緩存表，進(jìn)而達(dá)到對(duì)用戶監(jiān)聽或攻擊的目的。

校園網(wǎng)的網(wǎng)絡(luò)環(huán)境開放性高，管理相對(duì)寬松，學(xué)生用戶數(shù)大，但是安全意識(shí)參差不齊，一旦出現(xiàn)ARP欺騙攻擊，會(huì)對(duì)校園網(wǎng)帶來(lái)非常大的安全隱患。目前校園網(wǎng)常見的ARP欺騙攻擊方式主要體現(xiàn)在以下幾個(gè)方面。

⑴對(duì)其他主機(jī)用戶進(jìn)行通信監(jiān)聽和數(shù)據(jù)包篡改。ARP協(xié)議是校園網(wǎng)所使用的通信協(xié)議之一，其不是病毒，因而安全防護(hù)軟件不會(huì)對(duì)其進(jìn)行查殺。利用這一特點(diǎn)，感染ARP欺騙程序的用戶主機(jī)會(huì)不斷的向校園網(wǎng)內(nèi)其他用戶主機(jī)發(fā)送相應(yīng)的ARP協(xié)議，通過該協(xié)議其可以監(jiān)聽到其他用戶的通信數(shù)據(jù)，更為嚴(yán)重的是，ARP欺騙病毒還有可能對(duì)所監(jiān)聽到的數(shù)據(jù)包進(jìn)行非法篡改，在其中添加惡意網(wǎng)址等信息。

⑵冒充主機(jī)，阻礙其他用戶的網(wǎng)絡(luò)訪問。ARP欺騙攻擊病毒會(huì)在局域網(wǎng)內(nèi)偽造一臺(tái)虛假的主機(jī)，同時(shí)頻繁在局域網(wǎng)內(nèi)對(duì)其IP地址與MAC地址進(jìn)行廣播。

⑶數(shù)據(jù)截取。ARP欺騙攻擊還有可能將被感染主機(jī)插入兩臺(tái)正常主機(jī)的通信鏈路之間，正常主機(jī)之間的通信需要通過被感染主機(jī)的轉(zhuǎn)發(fā)才能實(shí)現(xiàn)。當(dāng)目標(biāo)主機(jī)是DHCP服務(wù)器時(shí)，被感染主機(jī)就有可能將正常用戶引導(dǎo)到釣魚網(wǎng)站，從而竊取用戶的重要賬號(hào)資料。

2 ARP欺騙防御技術(shù)

綜合考慮校園網(wǎng)的網(wǎng)絡(luò)特點(diǎn)，可以通過配置路由交換設(shè)備等從根本上消除ARP欺騙攻擊對(duì)網(wǎng)絡(luò)用戶的影響。

2.1 雙向靜態(tài)映射

校園網(wǎng)通常是由多個(gè)層次構(gòu)成的，在可控的層級(jí)內(nèi)為路由設(shè)備建立靜態(tài)MAC地址映射并對(duì)其進(jìn)行手動(dòng)維護(hù)可以有效防止ARP欺騙攻擊所帶來(lái)的ARP緩存表動(dòng)態(tài)更新狀況的發(fā)生。鑒于ARP攻擊的目標(biāo)分為路由和目標(biāo)主機(jī)兩種，故靜態(tài)IP-MAC地址映射也分為兩種。但是實(shí)際執(zhí)行過程中靜態(tài)映射的設(shè)置需要同時(shí)修改目標(biāo)主機(jī)、網(wǎng)關(guān)以及路由器管理頁(yè)面的IP-MAC等三部分內(nèi)容。需要注意的是，雙向靜態(tài)映射建立完畢后，網(wǎng)絡(luò)管理相關(guān)人員需要按照校園網(wǎng)使用情況對(duì)ARP緩存進(jìn)行定期檢查和更新。

2.2 VLAN和端口隔離技術(shù)

校園網(wǎng)中的網(wǎng)絡(luò)通信分為網(wǎng)內(nèi)通信、網(wǎng)外通信兩種，為滿足用戶的網(wǎng)絡(luò)通信需求同時(shí)降低ARP欺騙攻擊風(fēng)險(xiǎn)，可在網(wǎng)絡(luò)交換設(shè)備中部署VLAN技術(shù)。該技術(shù)可以將校園網(wǎng)內(nèi)的用戶主機(jī)分成多個(gè)小的局域網(wǎng)段，網(wǎng)段內(nèi)用戶可以進(jìn)行自由通信，網(wǎng)段間用戶不能直接通信，這樣ARP攻擊風(fēng)險(xiǎn)就被限制在可控范圍，某一網(wǎng)段的ARP欺騙攻擊不會(huì)影響到其他網(wǎng)段用戶。

進(jìn)一步的，在網(wǎng)段間通信時(shí)可以使用端口隔離技術(shù)，該技術(shù)既可以保證用戶通過VLAN端口與外網(wǎng)通信，還能夠?qū)⒂脩糁鳈C(jī)端口的廣播限制在其所在的VLAN內(nèi)，避免不同VLAN之間的相互探測(cè)，進(jìn)而阻止ARP欺騙攻擊行為的出現(xiàn)。

2.3 DHCPSnooping技術(shù)

為便于使用，某些學(xué)?；蚰承┉h(huán)境下的網(wǎng)絡(luò)用戶IP地址是由DHCP服務(wù)器動(dòng)態(tài)分配的，這種情況下就無(wú)法使用IP-MAC雙向靜態(tài)映射的方式來(lái)防御ARP欺騙攻擊。此時(shí)可以使用DHCPSnooping技術(shù)來(lái)增強(qiáng)校園網(wǎng)的網(wǎng)絡(luò)安全性能，避免ARP攻擊造成的大范圍網(wǎng)絡(luò)故障出現(xiàn)。

該技術(shù)會(huì)在DHCP服務(wù)器中建立一個(gè)DHCPSnooping綁定表，表中將用戶相關(guān)信息分為可信區(qū)域和不可信區(qū)域。其中可信區(qū)域包含了DHCP服務(wù)器為信任主機(jī)分配的IP地址及其MAC地址。在網(wǎng)絡(luò)內(nèi)用戶發(fā)送ARP報(bào)文時(shí)，交換機(jī)等設(shè)備會(huì)對(duì)報(bào)文中的IP地址和MAC地址進(jìn)行匹配檢查，只有通過檢查的主機(jī)信息才能夠被發(fā)送出去。未通過檢查的用戶相關(guān)信息會(huì)被記錄到不可信區(qū)域進(jìn)行記錄和管理。

3 校園網(wǎng)用戶防ARP欺騙攻擊

為提升校園網(wǎng)的安全性能，避免ARP欺騙攻擊對(duì)用戶帶來(lái)安全威脅，在用戶端也應(yīng)該采取必要的安全防護(hù)措施。具體來(lái)說，用戶應(yīng)該對(duì)系統(tǒng)和應(yīng)用程序等進(jìn)行定期檢測(cè)與漏洞修復(fù)，提升操作系統(tǒng)本身的安全性能。同時(shí)用戶還可以安裝ARP防火墻、病毒防護(hù)等軟件。

4 總結(jié)

ARP欺騙攻擊是校園網(wǎng)內(nèi)最為常見的攻擊方式之一。鑒于ARP協(xié)議本身存在缺陷，故針對(duì)ARP的欺騙攻擊是無(wú)法避免的。但是必要的安全防護(hù)策略可有效提升校園網(wǎng)的安全性能，降低ARP欺騙攻擊所帶來(lái)的損失。

[參考文獻(xiàn)]

[1]馬麗君.基于校園網(wǎng)ARP欺騙分析及防御技術(shù)[J].數(shù)字技術(shù)與應(yīng)用，2012（02）.

[2]姚圣軍.淺析ARP欺騙的原理及校園網(wǎng)ARP欺騙的防御方法[J].教育觀察，2012（7）.

[3]方禹潤(rùn).淺談高校校園網(wǎng)中ARP欺騙的檢測(cè)和防范[J].黑龍江科技信息，2011（12）.

[4]秦豐林，段海新，郭汝廷.ARP欺騙的監(jiān)測(cè)與防范技術(shù)綜述[J].計(jì)算機(jī)應(yīng)用研究，2009，26（1）：30-33.