秦勇 張海豐

北京青年政治學院計算機系 北京 100102

0 引言

隨著網絡技術的普及和發(fā)展，網絡安全問題日益成為人們關注的焦點，校園網更成了網絡安全問題的多發(fā)領域，作為惠眾面最大的多媒體局域網，經常會發(fā)生網絡連接正常，大面積的計算機卻突然掉線，無法實現(xiàn)網絡共享或者訪問互聯(lián)網的現(xiàn)象，以致嚴重影響校園網內廣播教學，給校園網的教學和辦公造成巨大損失。這種現(xiàn)象發(fā)生多半是由地址欺騙攻擊引起的，表現(xiàn)最為突出的就是ARP欺騙攻擊，很多病毒都會利用以太網的ARP協(xié)議對本網段內的其他用戶實施欺騙攻擊，竊取用戶的個人私密信息，以致造成用戶的損失。

1 ARP協(xié)議

地址解析協(xié)議（Address Resolution Protocol，ARP），是TCP/IP協(xié)議棧的基礎協(xié)議之一，解決了局域網網上的主機或路由器在網絡通信中的IP地址和硬件地址的映射問題。

網絡上的每臺主機都有IP地址，在真正發(fā)送數(shù)據(jù)分組時并不使用IP地址，依據(jù)網絡分層的思想，數(shù)據(jù)分組從認知IP地址的網絡層傳輸?shù)綌?shù)據(jù)鏈路層，需要封裝成數(shù)據(jù)鏈路層硬件認知的MAC幀后才能在實際網絡中發(fā)送，但是采用IPv4技術的地址擁有32bit的信息，網絡硬件在世界范圍內有惟一的48bit地址信息，兩者之間需要調和才能在網絡中聯(lián)合應用，ARP協(xié)議通過在兩者之間建立動態(tài)映射很好的解決了這個問題。

2 ARP實現(xiàn)

網絡中的主機都有一個動態(tài)更新的ARP高速緩存表，保存最新的IP與MAC的映射，主機每隔一段時間或有ARP應答時就會更新，長期不使用的映射，在更新時會自動刪除。

ARP通過發(fā)送數(shù)據(jù)報時把IP地址映射成物理地址和回答來自其他機器的請求這兩部分功能實現(xiàn)地址解析。當IP數(shù)據(jù)報準備在網絡上發(fā)送時，發(fā)送方要查詢本機ARP緩存中是否有目標的IP地址與MAC地址的映射，如果有，則把數(shù)據(jù)報封裝成添加了目的MAC地址的數(shù)據(jù)幀由數(shù)據(jù)鏈路層放送出去，如果沒有，則向局域網廣播一個封裝了目的主機IP地址的ARP請求，局域網內的主機收到后提取出IP地址與自己的IP地址匹配，只有匹配成功的目的主機才會響應，直接把包含目的MAC的ARP應答回送到源主機，源主機收到ARP應答，提取出目的MAC地址添加到ARP高速緩存中，形成目的主機IP地址與MAC地址的映射。

3 ARP欺騙攻擊原理

ARP協(xié)議的設計是以局域網的主機間相互信任為前提的，出于對傳輸效率的考慮，要求主機都有ARP高速緩存，在降低主機向網絡廣播ARP請求的同時，為網絡欺騙攻擊提供了便利條件。另外，ARP協(xié)議是無狀態(tài)的局域網協(xié)議，即任何主機在沒有ARP請求的時候也可以做出應答，并且應答不需要認證，只要應答包有效，接收到應答包的主機就無條件地根據(jù)應答包的內容刷新本機高速緩存，這樣攻擊者就可以發(fā)送偽造的應答包與真正的主機應答包競爭，迫使發(fā)送請求的主機被攻擊者應答，以致成為ARP欺騙攻擊的對象。

典型的ARP欺騙攻擊如圖1所示。

圖1 典型局域網絡拓撲圖

局域網絡中的主機間相互信任，能夠實現(xiàn)所有的網絡應用，主機C由于受到外部因素的干擾成為實施ARP欺騙的攻擊者。攻擊者可以通過局域網嗅探工具監(jiān)聽網絡通信，獲取同一網絡內的相關主機的IP和MAC等信息。主機ARP緩存中IP與MAC的映射對有無決定了實施ARP欺騙的兩種狀態(tài)：

（1）當A要求與B通信，緩存表為空，A會向網絡廣播要求找到IP地址為B的ARP請求，攻擊機監(jiān)聽到這一請求后，通過發(fā)送封裝了B的IP地址與非B的MAC地址的應答給A，由于主機一般使用后收到的應答來刷新ARP緩存，所以攻擊者會延遲發(fā)送偽裝的ARP應答，達到欺騙的目的。

（2）當A與B正常通信后，B的IP地址與MAC地址的映射對能夠暫存在A的ARP緩存表中，但主機緩存表在收到ARP應答時會立即更新，攻擊者C直接發(fā)送封裝了B的IP地址與非B的MAC地址的應答給A，使得A的ARP緩存表動態(tài)更新實現(xiàn)欺騙。

當主機緩存的映射對的MAC地址都指向攻擊者C時，C就可以利用相關軟件獲取IP地址為偽造映射對的主機的網絡通信信息；當主機緩存的網關IP地址被映射到其他未知的MAC時，就會造成主機不能訪問網絡的現(xiàn)象。

總之，ARP欺騙攻擊就是網絡攻擊者利用ARP協(xié)議，向目標主機發(fā)送偽造的源IP-和MAC映射的ARP應答，使得目標主機收到該應答幀后在ARP緩存中被更新，從而使目標主機將報文發(fā)送給錯誤的對象，造成用戶信息泄露等網絡安全問題。

4 校園網ARP欺騙攻擊的防范策略

校園網是典型的多元化局域網，對ARP欺騙攻擊的防范任重道遠，為防止對校園網用戶造成不必要的損失，網絡管理者應該從網絡技術和人員素質兩個方面部署防御策略。

4.1 網絡管理員的網絡技術水平

網絡安全防護的關鍵體現(xiàn)在人員的素質上，校園網是由多個分支局域網組成，各分支的網絡管理員技術水平參差不齊，面對ARP欺騙攻擊和其他網絡安全問題，處理措施千差萬別，因此，校園網的管理部門應關注網絡系統(tǒng)管理員素質的提高，積極組織網絡管理員參加網絡安全防御技術培訓，提高網絡安全技術水平和防范意識。

4.2 校園網計算機的防護

校園網ARP欺騙攻擊行為不是獨立發(fā)生的，大部分是由于計算機感染網絡病毒，由病毒發(fā)起的，因此校園網計算機應該加強自身防護。

首先，校園網計算機應該安裝正版殺毒軟件，及時升級病毒庫，為Windows系統(tǒng)打補丁，關閉遠程管理端口，防止病毒侵擾，由于現(xiàn)在的殺毒軟件廠商在其軟件中都添加了ARP欺騙防御功能，計算機同時具備了基本的ARP防護功能。

其次，為防止攻擊者利用嗅探工具獲取網絡主機信息，計算機也應安裝防嗅探軟件防護。

最后，鑒于校園網ARP欺騙攻擊主要是針對網關的攻擊，計算機還應當做網關IP地址和MAC地址的ARP靜態(tài)綁定，防止ARP緩存更新導致網關映射對被惡意修改，導致計算機掉線的情況。

4.3 交換機ARP防域策略

對于采用智能交換機搭建的網絡，可以采用交換機端口安全來防止非法用戶的接入，由于網絡硬件的相對固定性，網絡管理員可以采取靜態(tài)IP與主機MAC聯(lián)合綁定到交換機端口的方式進行防護，考慮到防護的隱蔽性，端口安全可以采用特點的違例方式來處理。

對ARP欺騙攻擊的防護，交換機廠商也專門開發(fā)了象DAI的動態(tài)ARP入侵檢測功能，網絡系統(tǒng)管理員可以根據(jù)廠商設備配置說明，結合校園網接入層的實際情況部署防御策略。

5 結論

校園網ARP欺騙攻擊是由多種因素造成的，爆發(fā)時極易造成局域網大面積癱瘓，給網絡管理員造成巨大困擾，但防范勝于治理，為免于巨大損失的造成，校園網的管理者應該從網絡運營的初始階段就部署防御策略，實現(xiàn)對ARP欺騙攻擊的積極防范。

[1]謝希仁.計算機網絡[M].北京:電子工業(yè)出版社.2002.

[2]邵丹.ARP安全問題的研究[J].長春大學學報.2009.

[3]鄭文兵，李成忠.ARP欺騙原理及一種防范算法[J].江南大學學報（自然科學版）.2003.

[4]袁再龍，吳曉洪.ARP欺騙攻擊原理及防范方法[J].貴州教育學院學報（自然科學版）.2008.