局域網(wǎng)信息安全技術(shù)與風(fēng)險防范

薛瑩

（陜西警官職業(yè)學(xué)院 陜西省西安市 710000）

1 引言

地址解析協(xié)議攻擊現(xiàn)在仍在數(shù)據(jù)中心之間蔓延傳播，而我國的計算機機房和互聯(lián)網(wǎng)網(wǎng)絡(luò)運營商對此能采取的辦法是捉襟見肘。通過這種攻擊能夠使得用戶的服務(wù)器以及網(wǎng)站，難以進行正常的訪問、被用戶訪問或者將鏈接跳轉(zhuǎn)到其他網(wǎng)站，讓訪問者訪問錯誤網(wǎng)站，或者接收錯誤信息，這直接傷害了用戶的根本利益。由于這種攻擊對用戶信息的安全性以及互聯(lián)網(wǎng)的正常使用都帶來嚴重的問題，因此，就要求我們時刻防范這類病毒的進攻，并清晰明了地解決地址解析協(xié)議病毒問題。

2 地址解析協(xié)議功能和原理的概述

2.1 基本功能

根據(jù)以太網(wǎng)協(xié)議，存在于相同局域網(wǎng)的兩臺計算機，進行直接的數(shù)據(jù)通信，那么，就要求其中一臺發(fā)出主動通訊命令的計算機，能夠確定它所要通信的另一臺計算機的MAC 地址才能夠?qū)崿F(xiàn)，需要通信的計算機并不需要知道被訪問計算機的IP 地址；而在TCP/IP 協(xié)議里，進行網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)臅r候，只需要知道對方計算機的IP 地址，就可以在網(wǎng)絡(luò)層和傳輸層進行數(shù)據(jù)傳輸，這就使得，通過以太網(wǎng)進行數(shù)據(jù)通訊的時候，如果采用IP 協(xié)議，那么鏈路層就需要對上層的IP 協(xié)議數(shù)據(jù)鏈路進行連接，并且需要知道真正的IP 地址，根據(jù)目標計算機的IP 地址或者它的真實的MAC 地址，這就是地址解析協(xié)議應(yīng)該發(fā)揮的功能，所以說，所謂的地址解析就是，將目標計算機的靜態(tài)IP 地址轉(zhuǎn)變成目標計算機的MAC 地址，從而實現(xiàn)數(shù)據(jù)通信。

此外，如果發(fā)送信息的計算機跟目標計算機，在同一個局域網(wǎng)內(nèi)，那么即使知道目標計算機的MAC 地址，那么兩臺計算機也不能夠進行直接的數(shù)據(jù)通信，而只能通過路由器轉(zhuǎn)換以后才可以實現(xiàn)，因此，對于發(fā)送數(shù)據(jù)信息的計算機，所獲取的地址就不是目標計算機的真實MAC 地址，而是經(jīng)過局域網(wǎng)之外的路由器，所連接的某一個端口的計算機的真實MAC 地址。于是，在此之后，主動發(fā)送信息的主機在將數(shù)據(jù)信息發(fā)往目標主機時，就必須先經(jīng)過該路由器，通過路由器將這些信息向網(wǎng)外傳遞。這就是地址解析協(xié)議的功能。

2.1 基本工作原理

圖1：同網(wǎng)段之間的地址解析協(xié)議欺騙的全過程

地址解析協(xié)議所提供的映像映射，是從IP 地址到物理地址的，對于已經(jīng)知道的IP 地址，相對于OSI 的第三個層級來獲取，數(shù)據(jù)鏈路層計算機的MAC 地址，也就是讓主動發(fā)送信息的計算機向目標計算機發(fā)送數(shù)據(jù)信息，然后根據(jù)對本地解析協(xié)議緩存表的查詢，通過目標計算機的IP 地址，找到對應(yīng)的計算機的MAC 地址，從而實現(xiàn)數(shù)據(jù)的傳輸。如果沒有搜尋到，那么讓發(fā)送信息的計算機來播放一個地址解析協(xié)議的請求服務(wù)信息的報文，說明這條報文必須擁有發(fā)送信息的計算機的IP 地址，到發(fā)送信息的計算機的物理地址的動態(tài)映射，以及目標計算機的靜態(tài)IP 地址，并且需要目標計算機進行反映的物理地址，然后局域網(wǎng)上任何可能與主動發(fā)送信息的計算機通訊的計算機，當然也包括目標計算機，都收到了該地址解析協(xié)議的服務(wù)請求，但只需要給主動發(fā)送信息的計算機一個答復(fù)，目標計算機就能夠識別自己的靜態(tài)IP 地址，向主動發(fā)送信息的計算機反饋一個經(jīng)過地質(zhì)解析協(xié)議的數(shù)據(jù)信息，在這個信息里面就包含了目標計算機的MAC 地址，當主動發(fā)送信息的計算機，接收到目標計算機的反饋信息以后，就會對本地的地址解析協(xié)議的緩存信息進行實時的更新，并根據(jù)這個反饋的信息，來使用目標計算機的MAC 地址進行數(shù)據(jù)傳輸，所以本地的存儲在地址解析協(xié)議里面的緩存信息，只是進行信息傳遞的一個基礎(chǔ)，而且這個緩存是實時更新，動態(tài)變化的。

3 常見欺騙攻擊方式解析

我們知道通過地址解析協(xié)議來進行攻擊的手段，主要是通過發(fā)送假的IP 地址和MAC 地址來實現(xiàn)的，并且可以在局域網(wǎng)和互聯(lián)網(wǎng)絡(luò)里，通過發(fā)送數(shù)量龐大的信息，使網(wǎng)絡(luò)造成堵塞，只要發(fā)送攻擊的一方，不斷的發(fā)送虛假的地址解析協(xié)議響應(yīng)包，就可以對目標計算機的靜態(tài)地址解析協(xié)議中，的動態(tài)IP 地址到MAC 地址的映象進行更改，如果處在聯(lián)網(wǎng)狀態(tài)的計算機遭到病毒感染，甚至被黑客攻擊，那么就有可能出現(xiàn)攻擊行為，并且這個攻擊是通過地址協(xié)議解析協(xié)議傳遞過來的，通常來說，被病毒感染或者被遠程黑客攻擊的計算機，都要發(fā)布有虛假信息到局域網(wǎng)內(nèi)的其它無人值守的計算機或者網(wǎng)關(guān)，從而產(chǎn)生混亂，使得無人值守的計算機，難以進行數(shù)據(jù)通信，并且可能導(dǎo)致這些計算機的通信數(shù)據(jù)被監(jiān)聽或盜取等風(fēng)險問題的發(fā)生。

3.1 欺騙性攻擊

欺騙性攻擊在局域網(wǎng)里面發(fā)生的概率很高，通過虛假的地址解析協(xié)議包，去攻擊路由或者已經(jīng)確定的目標計算機，讓目標計算機將這種非法的攻擊當成正常的計算機訪問，從而實現(xiàn)網(wǎng)絡(luò)欺騙，通常這種攻擊行為，都是在同一個網(wǎng)段里面發(fā)生的，這是因為路由是不可能將數(shù)據(jù)包進行轉(zhuǎn)發(fā)的，然而，要實現(xiàn)網(wǎng)絡(luò)攻擊方法是多種多樣的，除此之外，還可以通過ICMP 協(xié)議來，讓路由器進行重新的選擇。

對相同網(wǎng)段通過地址解析協(xié)議所進行的攻擊。這種攻擊，就是通過發(fā)送一個虛假的地址解析協(xié)議“-REPLY”d1 響應(yīng)包，給目標計算機，從而人為的更改這個數(shù)據(jù)包的源地址IP、目標計算機的IP、源MAC 的地址、目標計算機的地址，通過這個虛假的響應(yīng)包，去對需要欺騙的計算機，的地址解析協(xié)議進行修改，從而實現(xiàn)對某一IP 計算機的攻擊行為，下面通過例子來說明，處于相同網(wǎng)段的計算機，被攻擊的全過程。

通過圖1 的例子，總結(jié)出如下的3#主機要非法入侵2#主機侵入的具體的步驟：

（1）入侵的3#主機首先要研究和被入侵的2#主機保持正常通信的1#主機信息情況，并發(fā)現(xiàn)1#主機的所有漏洞。

（2）然后根據(jù)1#主機的未解決的漏洞，讓其在一段時間內(nèi)停止正常工作。

（3）3# 主機把它的IP 地址改為1# 主機的IP，就是

192.168.0.1 。

下面以圖2 為例解析不同的網(wǎng)段內(nèi)地址解析協(xié)議的欺騙全過程。在當前情況下，位于192.168.1 網(wǎng)段的3 號計算機怎么樣來冒充2 號計算機對1 號計算機進行欺騙呢？顯而易見的，通過上面的攻擊手段就能夠?qū)崿F(xiàn)欺騙的目的，然而由3 號計算機和1 號計算機，這兩臺計算機沒有辦法建立telne 會話，這是因為路由器會將1 號計算機發(fā)給2 號計算機的數(shù)據(jù)包，轉(zhuǎn)發(fā)給外面的任何計算機，路由器會發(fā)現(xiàn)地址在在192.168.0.這個網(wǎng)段之內(nèi)。

現(xiàn)在來說另外一種攻擊方式——ICMP 重定向。將地址解析協(xié)議攻擊和TCMP 重定向兩者聯(lián)合起來，就能夠?qū)崿F(xiàn)跨網(wǎng)段的網(wǎng)絡(luò)攻擊行為。

ICMP 重定向報文，是多種報文中的一種，在一定條件下，路由器檢測到某一臺計算機，通過非優(yōu)化路由的時候，它就會像這臺計算機，傳遞一個ICMP 重定向報文，要求計算機改變路由，而路由器也會將最先發(fā)送的數(shù)據(jù)信息轉(zhuǎn)發(fā)給，它的目標地址，從而實現(xiàn)，通過ICMP 重定向進行攻擊的目標。

這種攻擊方式跟上面一個是相同的，通過向全網(wǎng)發(fā)送虛假的協(xié)議數(shù)據(jù)包，對HTTP 報文進行修改。用戶在進行網(wǎng)站訪問的時候，網(wǎng)站中就會包含一些攻擊性的代碼，也就是通常所說的“網(wǎng)頁木馬”，這種攻擊方式被稱為“掛馬”，主要可以通過下面三種方法來進行攻擊代碼的插入：

（1）局域網(wǎng)被地址解析協(xié)議所發(fā)出的數(shù)據(jù)包欺騙。當網(wǎng)內(nèi)的某一臺計算機，想訪問網(wǎng)外的服務(wù)器的時候，這臺計算機就會將請求發(fā)送給網(wǎng)關(guān)，由網(wǎng)關(guān)向服務(wù)器請求頁面，這個時候，采取攻擊的計算機就會偽裝成網(wǎng)關(guān)，向發(fā)出請求的計算機發(fā)送含有惡意代碼的網(wǎng)頁，而對于處于同一局域網(wǎng)內(nèi)的其它計算機，都可以通過這種攻擊方式進行攻擊。

（2）服務(wù)器被地址解析協(xié)議發(fā)送的數(shù)據(jù)包所攻擊。服務(wù)器所在的局域網(wǎng)內(nèi)，如果有計算機被病毒攻擊，那么服務(wù)器在發(fā)送給目標計算機的網(wǎng)頁中，就可能被插入惡意攻擊代碼，服務(wù)器被病毒攻擊或者侵入或者，存儲于網(wǎng)盤上的網(wǎng)頁文件被惡意代碼修改。

（3）服務(wù)器被攻擊，服務(wù)器被病毒攻擊或者侵入，存儲于網(wǎng)盤上的網(wǎng)頁文件被惡意代碼修改。

3.2 基于地址解析協(xié)議的DOS攻擊

DoS 攻擊是為了讓被攻擊的計算機，拒絕其它用戶的正常訪問，導(dǎo)致被攻擊計算機的系統(tǒng)難以正常運行，最終導(dǎo)致用戶的網(wǎng)絡(luò)系統(tǒng)和網(wǎng)絡(luò)連接失敗。它的基本原理是，發(fā)動攻擊的人，通過地址解析協(xié)議欺騙工具，向被攻擊的目標計算機，傳遞大量連接請求，由于被攻擊的計算機難以找到發(fā)動攻擊的計算機，并且被攻擊的計算機處理能力有限，從而導(dǎo)致它超過負載，不能夠為其它用戶提供正常的服務(wù)，所以，就會拒絕對其它用戶的服務(wù)。在這個時候，發(fā)動攻擊的計算機就可以通過地址解析協(xié)議攻擊的方式來掩飾自己，這樣被攻擊的計算機日志上，就不會記錄發(fā)動攻擊的計算機的真實IP地址，被攻擊的計算機也就不可能通過，日志上面記載的IP 地址找到發(fā)動攻擊的計算機。

4 網(wǎng)絡(luò)安全防范措施

針對數(shù)據(jù)中心機房經(jīng)常被病毒攻擊的情況，可以采用下面的方法進行防范。根據(jù)常見的利用地址解析協(xié)議進行攻擊的方法，以及對聯(lián)網(wǎng)數(shù)據(jù)中心的特點，可以通過對網(wǎng)關(guān)及網(wǎng)內(nèi)計算機的IP 地址及MAC，地址進行雙向的靜態(tài)綁定，從而實現(xiàn)阻擋攻擊的目標，這種防范措施是一種相對持久的辦法。

另外，還可以通過IP/MAC 雙向靜態(tài)綁定這種辦法，能夠有效阻擋其它信息的攻擊，隨后就可以按照這種雙向綁定的地址進行安全的數(shù)據(jù)信息傳遞，避免被其他虛假錯誤指令所干擾，從而順利完成工作，這樣就可以在很大程度上，避免服務(wù)器或者計算機受到外來攻擊，從而導(dǎo)致無法正常訪問或者掉線的情況出現(xiàn)。這種解決方案效果是非常顯著的，可以有效的阻擋來自于地址解析協(xié)議的外部攻擊。但是，不理想的地方在于，這樣的雙向保定會給聯(lián)網(wǎng)數(shù)據(jù)中心帶來相對較大的工作量。

5 結(jié)束語

地址解析協(xié)議的漏洞所產(chǎn)生的被攻擊行為，一直給聯(lián)網(wǎng)數(shù)據(jù)中心造成網(wǎng)絡(luò)風(fēng)險，然而并不是沒有辦法進行防范。通過相對完善的防范機制，就能夠最大限度的阻止通過這些協(xié)議進行攻擊的行為。隨著計算機以及各種網(wǎng)絡(luò)產(chǎn)品和技術(shù)的更新?lián)Q代，聯(lián)網(wǎng)數(shù)據(jù)中心的安全防范工作也會變得越來越重要，需要進行不斷的更新和完善，但是對于通過地址解析協(xié)議這個渠道進行攻擊的方法，我們已經(jīng)能夠很好的應(yīng)對，能夠在很大程度上確保聯(lián)網(wǎng)數(shù)據(jù)中心的數(shù)據(jù)通信安全，對惡意攻擊實現(xiàn)有效阻擋。