高校校園網(wǎng)ARP病毒欺騙原理及防御方法

文/張陸

在信息化時代背景下，隨著互聯(lián)網(wǎng)技術(shù)在高校校園現(xiàn)代化建設(shè)中的應(yīng)用與推廣。在此背景下，高校校園網(wǎng)絡(luò)安全問題日漸凸顯，其中“APP欺騙”成為影響高校校園網(wǎng)絡(luò)使用安全的重要因素之一，APP欺騙病毒主要以竊取計算機(jī)主機(jī)信息未主要目標(biāo)，通過利用DOS攻擊（面向磁盤操作系統(tǒng)的攻擊）、MIM攻擊（中間人攻擊）以及DNS欺騙（冒充域名服務(wù)器的欺騙）等多種形式，實(shí)現(xiàn)用戶賬號與密碼信息的丟失以及局域網(wǎng)的癱瘓。對此，在當(dāng)今高度重視網(wǎng)絡(luò)安全的環(huán)境下，加強(qiáng)高校校園網(wǎng)APP欺騙型病毒的研究對維護(hù)網(wǎng)絡(luò)安全具有重要現(xiàn)實(shí)意義。

1　高校校園網(wǎng)APP病毒的欺騙原理

高校校園網(wǎng)APP病毒與APP協(xié)議（Address Resolution Protocol）存在密切的關(guān)聯(lián)性。因此，在分析高校校園網(wǎng)APP病毒的欺騙原理時，需明確認(rèn)知并掌握APP協(xié)議的相關(guān)知識。

1.1　APP協(xié)議

由資料文獻(xiàn)分析可知，APP協(xié)議是一種地址解析協(xié)議，即將IP地址（計算機(jī)網(wǎng)絡(luò)地址）轉(zhuǎn)化為MAC地址（Media Access Control或Medium Access Control，物理地址或硬件地址）的協(xié)議?；谠搮f(xié)議可根據(jù)設(shè)備提供的IP地址探尋到設(shè)備的MAC地址，從而實(shí)現(xiàn)通訊信息的有效傳輸。該協(xié)議在局域網(wǎng)中具有廣泛的應(yīng)用

1.2　APP協(xié)議的工作原理

由APP協(xié)議的概念可知，APP協(xié)議主要發(fā)生在主機(jī)TCP/IP協(xié)議的IP層面上，通常情況下，在每個配有TCP/IP協(xié)議的主機(jī)中都存在一個ARP高速緩存表，主機(jī)與主機(jī)之間在進(jìn)行通信時，通過查找ARP高速緩存表中存在的映射信息（IP地址到MAC地址的相關(guān)信息）找到信息傳輸路徑，從而實(shí)現(xiàn)數(shù)據(jù)信息的雙向傳輸。

1.3　APP病毒的欺騙原理在

由于APP協(xié)議工作的主要目的在于進(jìn)行數(shù)據(jù)的高效傳輸，因此ARP協(xié)議是建立在局域網(wǎng)絡(luò)絕對安全的基礎(chǔ)上的“無狀態(tài)協(xié)議”。對此，APP協(xié)議在設(shè)計過程中不可避免的存在一定缺陷。例如，由于主機(jī)中的APP高速緩存是建立在所接受ARP協(xié)議包的動態(tài)更新上的，而在此過程中，MAC地址的更新存在一定的時間限制，這為假冒者的攻擊與欺騙提供了機(jī)會。與此同時，在局域網(wǎng)中，所有的主機(jī)皆可在不受ARP請求的基礎(chǔ)上進(jìn)行應(yīng)答，這為虛假信息篡改系統(tǒng)緩存提供了可乘之機(jī)。此外，由于ARP協(xié)議尚未建立認(rèn)證機(jī)制，主機(jī)對協(xié)議包具有無限的包容，從而為局域網(wǎng)安全帶來安全隱患。APP協(xié)議的這些缺陷使得增強(qiáng)了ARP攻擊的隱蔽性、欺騙性，使其成為影響高校校園網(wǎng)安全的重要因素。

1.4　APP病毒感染特征與欺騙形式

通常情況下，感染ARP病毒后網(wǎng)絡(luò)會表現(xiàn)出以下特征：

（1）位于同一網(wǎng)段的主機(jī)將無法正常上網(wǎng)，出現(xiàn)網(wǎng)絡(luò)登錄異常；

（2）校園網(wǎng)速時斷時續(xù)，接收包數(shù)量不協(xié)調(diào)；

（3）Windows任務(wù)管理器中存在可疑進(jìn)行，如MIE0.dat；

（4）客戶端在執(zhí)行“arp-a”指令時，返回的網(wǎng)關(guān)MAC地址與實(shí)際網(wǎng)關(guān)MAC地址不相符；

（5）系統(tǒng)交換機(jī)上的指示燈存在異常閃爍現(xiàn)象。

現(xiàn)階段，常見的APP病毒欺騙形式主要有三種類型：

（1）“欺騙主機(jī)”，即偽裝成局域網(wǎng)中網(wǎng)關(guān)MAC地址，對主機(jī)進(jìn)行欺騙，使主機(jī)無法正常聯(lián)網(wǎng)；

（2）“欺騙網(wǎng)關(guān)”，即通過偽裝成網(wǎng)絡(luò)中其他主機(jī)者假冒局域網(wǎng)中其它主機(jī)MAC地址，對數(shù)據(jù)信息進(jìn)行截獲或偽造錯誤的網(wǎng)絡(luò)MAC地址，是局域網(wǎng)其他主機(jī)無法及時獲取信息；

（3）“雙向欺騙”，即同時對主機(jī)和網(wǎng)關(guān)/路由器進(jìn)行欺騙。

2　高校校園網(wǎng)APP欺騙的防御方法

基于校園網(wǎng)APP病毒的欺騙原理，建議從以下幾個方面進(jìn)行防御：首先，加強(qiáng)客戶端的檢測與防御能力。例如，在盡心網(wǎng)絡(luò)安全管理時，注重檢測主機(jī)中的IP、DNS等信息；利用ARP-a命令對本機(jī)ARP緩存表中的各項信息進(jìn)行檢測；及時更新客戶端主機(jī)操作系統(tǒng)，完善系統(tǒng)補(bǔ)丁；利用ARP-sIPMAC指令，實(shí)現(xiàn)主機(jī)IP地址與MAC地址的有效連接，設(shè)置綁定命令并寫入主機(jī)啟動項目中。其次，提升局域網(wǎng)系統(tǒng)中交換機(jī)的APP病毒檢測與防御能力。例如，借助ARP緩存表實(shí)現(xiàn)對局域網(wǎng)的有效監(jiān)控，降低APP病毒的影響。與此同時，利用APP服務(wù)器取代校園網(wǎng)中主機(jī)的應(yīng)答APP包，提升局域網(wǎng)對APP病毒的防御能力，或在局域網(wǎng)中科學(xué)配置防火墻提升局域網(wǎng)運(yùn)行的穩(wěn)定性與安全性。例如，在Windows XP、Windows2000操作系統(tǒng)中配置風(fēng)云防火墻，實(shí)現(xiàn)本機(jī)IP地址與MAC地址、網(wǎng)關(guān)IP、網(wǎng)關(guān)MAC的有效綁定，并對欺騙者行為進(jìn)行阻擋；在Vista操作系統(tǒng)中配置金山防火墻進(jìn)行APP病毒的防御；在其他系統(tǒng)中也可靈活應(yīng)用360防火墻、彩影防火墻（AntIARP）、瑞星防火墻等進(jìn)行防御。此外，利用DHCP Snooping技術(shù)，對局域網(wǎng)中存在的可疑信息進(jìn)行過濾，實(shí)現(xiàn)局域網(wǎng)APP病毒欺騙行為的檢測與防御。

3　結(jié)論

總而言之，APP協(xié)議上的缺陷為“APP欺騙型”病毒的產(chǎn)生提供了可能，對此在網(wǎng)絡(luò)安全管理中只有明確認(rèn)知并掌握APP病毒欺騙的原理，才能制定有效的防御方案，降低APP欺騙的影響。本文通過分析ARP病毒的欺騙原理及其防御方法，為APP欺騙防御實(shí)踐提供可借鑒性指導(dǎo)。在未來發(fā)展過程中，從根本上解決ARP協(xié)議缺陷，提升ARP協(xié)議安全性，是ARP欺騙問題處理的關(guān)鍵，有待進(jìn)一步的研究。