戴桂钦校园网ApP欺骗攻击及其对策思考

戴桂钦校园网ApP欺骗攻击及其对策思考
摘要:介绍了ARP协议的含义、ARP欺骗攻击的基本原理和表现形式，提出了对ARP欺骗的诊断的方法和解决对策。
关键词:ARP欺骗；对策；局域网
随着网络的快速发展，高校网络建设的规模的扩大和上网用户数的增加，校园网络管理工作已经成为高校信息化建设的重中之重。但由于校园网的管理目前还是一个比较薄弱环节，网络应用中的安全隐患也越来越凸显。其中利用ARP协议的自身缺陷攻击网络的形式层出不穷，往往导致连接的时间超长、数据丢包、网络中断等，严重影响高校校园网络的正常运作及教学管理的正常开展。因此要保证网络安全，需要全面了解ARP欺骗攻击的原理，切实采取有效措施，建立起网络通信防护体系，对网络数据流进行实时监控，防止ARP欺骗攻击。
一、ARP协议
按照OSI（开放系统互联参考模型）的观点，可将网络系统划分为7层结构，每一个层次上运行着不同的协议和服务，并且上下层之间互相配合，完成网络数据交换的功能。实际上应用最广泛的网络模型即TCP/IP体系模型，将网络划分为四层：网络接口层、网际层、传输层和应用层，每一个层次上也运行着不同的协议和服务。
在局域网中，不同主机之间行通信，必须要知道目标主机的IP地址，但在局域网中传送数据的网卡等物理设备是不识别IP地址，只能识别其硬件地址即MAC地址。网卡之间发送数据，只能根据对方网卡的MAC地址进行发送，这时就需要ARP协议将高层数据包中的IP地址（32位）转换成低层MAC地址（48位）。
ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址，其基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。在局域网的任何一台主机中，都有一个ARP缓存表，该表保存着网络中每台电脑的IP地址和MAC地址的对应关系。当某台主机向同局域网中另一主机发送数据的时候，会根据ARP缓存表里的对应关系进行发送。
二、ARP欺骗攻击
ARP协议的设计是为了方便数据的传输，但它是建立在一个安全的网络环境中，所有主机相互信任的基础之上。由于ARP协议的具有广播性、动态性、无连接和无认证的特性，局域网中的任意主机可以随意地发送ARP包，而且是无条件地根据ARP包的信息更新本机的ARP缓存表。ARP欺骗就是利用ARP协议的不安全的特性，由于ARP协议不对IP-MAC映射的真实性和有效性进行验证，在获取MAC地址时采用广播方式寻址，如果网内存在攻击主机，即使应答错误的MAC地址，只要该应答是有效的，主机就会刷新其ARP缓存，因此攻击者可以不间断地发送虚假ARP包更新被攻击的主机上的ARP缓存，进行地址欺骗或拒绝服务攻击，造成网络中断。ARP欺骗是黑客常用的攻击手段之一，常见的ARP欺骗有：对路由器ARP表的欺骗、伪造网关攻击、ARP双向欺骗和ARP泛洪攻击。
1.对路由器ARP表的欺骗：其原理是截获网关数据，通过通知路由器一系列错误的内网MAC地址，按照一定的频率不间断地刷新，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。
2.伪造网关攻击。在同一局域网内，建立假网关，让被它欺骗的PC向假网关发送数据，而不是通过正常的路由器途径上网，会导致被攻击的PC机无法再同网关通信，经常出现IP地址冲突的警报，无法上网。
3. ARP双向欺骗：主机B向主机A发送一个非法ARP响应，将主机A的ARP缓存中网关的MAC地址篡改为B的MAC地址。主机B向网关发送一个非法ARP响应，将网关的ARP缓存中A的MAC地址篡改为B的MAC地址。在主机B上启动IP转发功能并开启信息嗅探。
这样使得主机B通过对主机A及网关的ARP欺骗可以使子网内的主机B的网络流量都会流到攻击者的PC机，从而实现对主机A的信息的窃取和篡改，会造成严重的数据丢失、信息泄密。
4.ARP泛洪攻击：其主要表现为：使用局域网时会突然掉线，网速很慢，局域网无法连接网络，严重时局域网内所有主机不能上网。泛洪攻击主要是恶意用户利用工具构造大量的ARP请求报文发往路由器、PC机，导致CPU负载过重，网络繁忙、堵塞，造成设备无法正常运行。
三、ARP欺骗的诊断
当校园网中出现ARP欺骗攻击，首先定位攻击源的主机，然后切断主机的网络连接，对该主机进行全面的杀毒。查找攻击源的主机，就是要查找攻击主机的MAC地址，通过以下几种方法来诊断：
1.抓包分析：使用如Windump、Sniffer等工具来抓包，若发现网络中存在大量的ARP应答包，并且将大多数的IP地址都指向同一个MAC地址，则表明存在ARP欺骗，并且这个MAC地址就是用来进行ARP欺骗的主机MAC地址。
2. 命令法：通过在被攻击的电脑上运行ARP-a命令调出ARP缓存表，从中找到网关对应的MAC地址，这个MAC地址就是病毒电脑的MAC地址，进一步找出攻击电脑的IP地址、用户名等信息。
3. 对IP-MAC的监控：在网络正常时，使用NBTSCAN工具扫描全网段的IP地址和MAC地址，保存一个全网的IP-MAC地址对照表备用。查看交换机的ARP缓存表，如果在ARP表中存在一个MAC对应多个IP的情况，说明该MAC地址对应的IP的主机已经收到ARP攻击，通过这种方式可以同时在这张ARP缓存表中找到所有ARP攻击的源主机的MAC地址。
四、ARP欺骗攻击的解决对策
校园网具有集学校网站建设、教学校务管理、校园信息联络于一体的功能，面对及其使用率高、资源共享、网络开放性、学生用户网络安全意识薄弱等特点，针对ARP欺骗攻击技术原理，为了抵御ARP攻击，要从以下三个方面采取对策：
1. 提高网络安全意识，养成良好的习惯。
关注每一阶段网络病毒的爆发期，及时更新操作系统补丁，升级杀毒软件和防火墙，关闭一些不需要的服务，上网时不要随意下载有安全隐患的软件，不随便打开或运行陌生邮件、可疑文件和程序，以免被注入ARP欺骗程序，从而影响整个校园网。
2. 提高网络防范能力，加强网络设备建设。
建议安装网络版杀毒软件，使用ARP服务器，专门保存并且维护网络内的所有主机的IP地址与MAC地址的映射记录。安装相关的ARP防护软件和防火墙，用来防止ARP攻击。使用可防御ARP攻击的三层交换机，绑定端口-MAC-IP，限制ARP流量，及时发现并自动阻断ARP攻击端口，合理划分VLAN，彻底阻止盗用IP、MAC地址，杜绝ARP的攻击。从可能遭受ARP欺骗攻击的三个层面出发全面防治ARP欺骗带来的危害：
网关：自动学习并添加认证用户的可信任ARP表项，确保网关获取真实可靠的用户ARP信息。
接入交换机：在接入端口上自动学习并绑定用户的真实IP－MAC对应信息，将伪造的非法ARP报文直接在端口上丢弃，防止恶意攻击者对正常用户进行欺骗。
客户端：在客户端PC上自动绑定对应网关的真实信息，避免用户遭到恶意欺骗。
3.提高网络管理技术，规范网络管理制度。
从制度上规范和约束校园网络管理，及时制定防范ARP病毒的规章制度，采取有效切实可行的措施加强管理，将网络分为不同的网络段，使用安全拓扑结构，增加网络安全设备、调整网络结构，在接入层引进可网管的交换机，将网段细化，把ARP病毒限定在较小范围之内。对于经常爆发病毒的网络，进行Internet访问控制，限制用户对网络的访问。
综上所述，ARP欺骗利用的是ARP协议本身的缺陷，因此到目前为止，还没有可以杜绝这种攻击的方法。针对校园网ARP欺骗攻击需要通过网络部门和全校的教师的共同努力，采取多种方案，才可以最大限度地杜绝ARP欺骗攻击的出现，才能保障校园网络的正常运行。
参考文献：
[1] 罗琳.校园ARP欺骗分析与防范检测技术[J].电脑知识与技术，2009(5)：3364-3366.
[2] 姚小兵.ARP协议简析及ARP病毒攻击的防御[J].技术研究，2009(9)：49-50.
[3] 陈章斌.局域网中基于ARP协议的欺骗攻击及其防御策略研究[J].福建电脑.2009(9):69-70.
[4] 苏宏庆,梁正安.ARP欺骗攻击类型及防御方案[J]. 广西科学院学报,2009,25(3):216-218.
[5] 王晓军.公共机房针对ARP欺骗的诊断分析与防御[J].实验室研究与探索，2009(8)：87-89.