閆實(shí) 劉占波 馮修猛

1 牡丹江醫(yī)學(xué)院教育技術(shù)與信息中心 黑龍江 157011

2 牡丹江醫(yī)學(xué)院教務(wù)處 黑龍江 157011

0 引言

隨著互聯(lián)網(wǎng)在高校校園的普及，網(wǎng)絡(luò)安全成為高校網(wǎng)絡(luò)管理一大難題。教學(xué)活動對校園網(wǎng)的依賴程度越來越高，網(wǎng)絡(luò)安全成為高校教學(xué)工作能順利進(jìn)行的重要保障之一。近兩年，校園網(wǎng)普遍爆發(fā)一種叫“ARP欺騙型”病毒，該病毒發(fā)作時(shí)會導(dǎo)致網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)，嚴(yán)重影響了校園網(wǎng)的正常運(yùn)行，給網(wǎng)絡(luò)管理人員帶來了前所未有的挑戰(zhàn)。

1 ARP病毒欺騙原理

1.1 ARP協(xié)議

地址解析協(xié)議(Address Resolution Protocol,ARP)。是一種將IP地址轉(zhuǎn)化為物理地址的協(xié)議。一般用于局域網(wǎng)中，它將IP地址解析為網(wǎng)卡的物理地址，又稱為MAC地址。局域網(wǎng)中的所有IP通訊最終都必須轉(zhuǎn)換成基于MAC地址的通信。ARP協(xié)議的工作就是查找目的主機(jī)的IP地址所對應(yīng)的MAC地址，并實(shí)現(xiàn)雙方通信。

1.2 ARP協(xié)議的設(shè)計(jì)缺陷

由于ARP協(xié)議的設(shè)計(jì)初衷是為了方便數(shù)據(jù)傳輸，設(shè)計(jì)的前提是網(wǎng)絡(luò)絕對安全的，因此ARP協(xié)議不可避免的存在設(shè)計(jì)缺陷。

（1）ARP高速緩存根據(jù)所接到的ARP協(xié)議包隨時(shí)進(jìn)行動態(tài)更新。

（2）ARP協(xié)議沒有連接的概念，任意主機(jī)即使在沒有ARP請求的時(shí)候也可以做出應(yīng)答。

（3）ARP協(xié)議沒有認(rèn)證機(jī)制，只要接收到的協(xié)議包是有效的，主機(jī)就無條件的根據(jù)協(xié)議包的內(nèi)容刷新本機(jī) ARP緩存，并不檢查該協(xié)議包的合法性。

1.3 ARP欺騙方式

ARP欺騙分為兩種：一種是對路由器ARP表的欺騙；另一種是對網(wǎng)段中網(wǎng)關(guān)的欺騙。第一種ARP欺騙的原理是截獲網(wǎng)關(guān)數(shù)據(jù)。然后按照一定頻率不斷的發(fā)送給路由器錯(cuò)誤的MAC地址，結(jié)果路由器記錄的是錯(cuò)誤的MAC地址。另一種方式是偽造網(wǎng)關(guān)。就是一臺感染 ARP病毒的主機(jī)偽造成網(wǎng)關(guān)，使本網(wǎng)段內(nèi)所有欲訪問 Internet的主機(jī)轉(zhuǎn)而訪問病毒主機(jī)，導(dǎo)致同一網(wǎng)段內(nèi)的所有主機(jī)都無法上網(wǎng)。

1.4 感染ARP病毒網(wǎng)絡(luò)癥狀

感染ARP病毒的網(wǎng)絡(luò)一般會有如下癥狀：

（1）網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)且網(wǎng)速很慢，客戶端無法正常訪問網(wǎng)絡(luò)，本地連接中發(fā)包數(shù)據(jù)量遠(yuǎn)遠(yuǎn)大于收包數(shù)據(jù)量。

（2）同一網(wǎng)段的所有上網(wǎng)主機(jī)均無法正常連接網(wǎng)絡(luò)。

（3）打開 Windows任務(wù)管理器，出現(xiàn)可疑進(jìn)程，如“MIE0.dat”等進(jìn)程。

（4）客戶端利用“arp -a”命令返回的網(wǎng)關(guān)MAC地址與實(shí)際網(wǎng)關(guān)MAC地址不符。

（5）介入交換機(jī)指示燈大面積相同頻率的閃爍。

如果出現(xiàn)以上網(wǎng)絡(luò)現(xiàn)象，就表明該網(wǎng)段中至少有一臺主機(jī)感染了ARP病毒。

2 ARP病毒防御方法

2.1 安裝ARP軟件防火墻

目前 ARP軟件防火墻比較多，比如 360安全衛(wèi)士、AntiARP、瑞星ARP防火墻等等。其原理是對本機(jī)IP地址和MAC地址及網(wǎng)關(guān)IP和MAC進(jìn)行綁定，達(dá)到控制ARP病毒的目的。當(dāng)網(wǎng)絡(luò)中出現(xiàn)ARP欺騙時(shí)，ARP防火墻需要占用一定的網(wǎng)絡(luò)帶寬來阻擋欺騙，因此對客戶端的正常上網(wǎng)造成一定的影響。

2.2 在介入交換機(jī)上做IP、Mac與交換機(jī)端口綁定

在介入交換機(jī)中將計(jì)算機(jī)的IP地址和MAC地址與交換據(jù)的正常轉(zhuǎn)發(fā)。但是此方案操作量大，不易維護(hù)，適合規(guī)模較小的校園網(wǎng)。

2.3 劃分VLAN(虛擬局域網(wǎng))

ARP欺騙攻擊一般是針對同一網(wǎng)段內(nèi)的所有主機(jī)，因此只要VLAN劃分的足夠小，就可以縮小ARP病毒影響范圍。而且可以很方便的找到病毒源，該方法適合規(guī)模適中校園網(wǎng)。

2.4 使用DHCP Snooping技術(shù)

如果校園網(wǎng)比較大，可以使用DHCP Snooping技術(shù)實(shí)現(xiàn)主機(jī)的IP地址動態(tài)分配。DHCP Snooping技術(shù)是DHCP安全特性，通過建立和維護(hù)DHCP Snooping綁定表過濾不可信任區(qū)域的DHCP信息。DHCP Snooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期和VLAN-ID接口等信息。交換機(jī)上連接普通主機(jī)的端口在發(fā)送ARP報(bào)文時(shí)受到交換機(jī)檢測，報(bào)文中IP地址與MAC地址對必須與DHCP Snooping檢測并記錄的主機(jī)當(dāng)時(shí)動態(tài)申請的IP地址相符。這樣中毒主機(jī)就無法發(fā)送虛假的ARP報(bào)文了，同時(shí)還對端口發(fā)送ARP報(bào)文數(shù)量進(jìn)行限制，防止中毒主機(jī)發(fā)送大量ARP報(bào)文造成網(wǎng)絡(luò)擁塞。

3 總結(jié)

由于 ARP欺騙利用的是網(wǎng)絡(luò)協(xié)議本身的缺陷，所以在IPv4時(shí)代我們無法從源頭上控制，只能制定出一套防御策略，將ARP病毒的發(fā)作幾率降到最低。隨著IPv6技術(shù)的即將的實(shí)施，相信高校校園網(wǎng)解決ARP欺騙的問題指日可待。

[1] 馬玲.如何防范校園網(wǎng)ARP攻擊[J].黑龍江科技信息.2009.

[2] 樊景博,劉愛軍.ARP病毒的原理及防御方法[J].商洛學(xué)院學(xué)報(bào).2007.

[3] 康玉虎.配置交換機(jī)防范校園網(wǎng)ARP欺騙病毒[J].甘肅高師學(xué)報(bào).2008.112