摘要：ARP欺騙攻擊將導(dǎo)致用戶(hù)無(wú)法安全穩(wěn)定的使用網(wǎng)絡(luò)，對(duì)于承擔(dān)著大量學(xué)習(xí)資源交流與共享的校園局域網(wǎng)來(lái)講，針對(duì)ARP欺騙攻擊的安全防范就顯得尤其重要。本文從校園局域網(wǎng)ARP欺騙攻擊原理、ARP欺騙攻擊對(duì)校園局域網(wǎng)造成的安全危害、我校局域網(wǎng)ARP欺騙攻擊防范策略的實(shí)踐等三個(gè)方面進(jìn)行了探討。

關(guān)鍵詞：校園局域網(wǎng)；ARP欺騙；安全防范

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 15-0000-01

隨著校園數(shù)字化應(yīng)用的不斷深入，校園網(wǎng)已成為重要的學(xué)習(xí)交流平臺(tái)及工具，給我們的工作和學(xué)習(xí)生活帶來(lái)極大的方便。然而伴隨著應(yīng)用的不斷深入和普及校園局域網(wǎng)的安全及防范就成為一個(gè)較為突出的問(wèn)題。ARP欺騙攻擊隱蔽性強(qiáng)、危害大對(duì)其進(jìn)行合理的安全防范才能保證校園網(wǎng)正常穩(wěn)定運(yùn)行。

1 校園局域網(wǎng)ARP欺騙攻擊原理分析

實(shí)現(xiàn)對(duì)ARP欺騙攻擊的有效處置及防范就不得不研究一下ARP協(xié)議，這種攻

擊行為就是因?yàn)槔昧薃RP協(xié)議本身的漏洞來(lái)實(shí)現(xiàn)的。

ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫(xiě)?；竟δ芫褪峭ㄟ^(guò)目標(biāo)設(shè)備的IP地址，查詢(xún)目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皵?shù)據(jù)幀”，數(shù)據(jù)幀如果要到達(dá)目的地，就必須通過(guò)ARP協(xié)議獲得對(duì)方的MAC地址。局域網(wǎng)中裝有TCP/IP協(xié)議的計(jì)算機(jī)都有一個(gè)ARP緩存表，表里的IP地址與MAC地址是一一對(duì)應(yīng)的。例如：ARP緩存表

主機(jī)IP地址MAC地址

HOST1192.168.36.100-C6-B5-2a-19-00

HOST2192.168.36.200-07-6d-80-c9-28

在局域網(wǎng)中當(dāng)HOST1發(fā)送數(shù)據(jù)給HOST2時(shí)，HOST1會(huì)在自己的ARP緩存表中尋找是否有目標(biāo)IP。如果有則可查詢(xún)到目標(biāo)MAC地址并寫(xiě)入數(shù)據(jù)幀即可完成發(fā)送。如果查詢(xún)不到，則會(huì)在網(wǎng)內(nèi)發(fā)送廣播，目標(biāo)MAC地址是“FF.FF.FF.FF.FF.FF”，這表示向同一網(wǎng)段內(nèi)的所有主機(jī)發(fā)出這樣的詢(xún)問(wèn)：“192.168.36.2的MAC地址是什么？網(wǎng)內(nèi)僅有目標(biāo)IP為192.168.36.2的HOST2做出響應(yīng)并以將自己的MAC地址應(yīng)答給HOST1，這樣HOST1就知道了HOST2的MAC地址實(shí)現(xiàn)數(shù)據(jù)發(fā)送了，同時(shí)它還更新了自己的ARP緩存表，下次再向主機(jī)HOST2發(fā)送信息時(shí)，直接從ARP緩存表里查找就可以了。

在ARP協(xié)議的工作流程中當(dāng)源主機(jī)不知道目標(biāo)主機(jī)的MAC地址的發(fā)起廣播詢(xún)問(wèn)時(shí)，如果一個(gè)主機(jī)想要發(fā)起欺騙，那么它只需向源主機(jī)回復(fù)一下，響應(yīng)的IP地址沒(méi)錯(cuò)，但MAC地址卻變成了發(fā)起欺騙的主機(jī)的，這樣，信息就發(fā)到它那里去了。ARP協(xié)議是建立在網(wǎng)內(nèi)主機(jī)信任的基礎(chǔ)之上的，這樣一個(gè)漏洞被利用后對(duì)局域網(wǎng)就會(huì)形成ARP網(wǎng)關(guān)型欺騙，中間人欺騙以及ARP泛洪攻擊。

2 ARP欺騙攻擊對(duì)校園局域網(wǎng)造成的安全危害

當(dāng)校園局域網(wǎng)受ARP欺騙攻擊時(shí)往往造成內(nèi)部網(wǎng)絡(luò)的混亂，網(wǎng)關(guān)無(wú)法和客戶(hù)端正常通信，使得某些被欺騙的計(jì)算機(jī)無(wú)法正常訪問(wèn)內(nèi)外網(wǎng)，網(wǎng)絡(luò)重要信息被竊取。

ARP協(xié)議工作在更低層，隱蔽性更高，往往不易被用戶(hù)發(fā)現(xiàn)。通過(guò)以上校園局域網(wǎng)ARP欺騙攻擊原理的分析，網(wǎng)絡(luò)管理員可使用檢查ARP緩存列表的方式判斷。判斷步驟為：點(diǎn)擊“開(kāi)始”菜單，選擇“運(yùn)行”， 然后輸入“cmd”， 點(diǎn)擊“確定”按鈕，在命令提示符窗口中輸入“arp –d”命令清除本機(jī)的 ARP 緩存表，然 后重新嘗試上網(wǎng)，如果能恢復(fù)正常，則說(shuō)明此次掉線可能是受 ARP 欺騙攻擊所致?！?arp –d”命令能清除 ARP 緩存表，系統(tǒng)會(huì)自動(dòng)重建新的 ARP 緩存表。

3 校園局域網(wǎng)ARP欺騙攻擊防范策略

校園局域網(wǎng)通常可采用的防范策略主分有以下三個(gè)方面：1）在用戶(hù)端計(jì)算機(jī)上綁定交換機(jī)網(wǎng)關(guān)的IP和MAC地址。2）在核心交換機(jī)上綁定用戶(hù)主機(jī)的IP地址和網(wǎng)卡的MAC地址，同時(shí)在邊緣交換機(jī)上將用戶(hù)計(jì)算機(jī)網(wǎng)卡的MAC地址和交換機(jī)端口綁定的雙重安全綁定方式。3）將校園局域網(wǎng)規(guī)劃出若干個(gè)VLAN方式進(jìn)行邏輯隔離防護(hù)。然而單一采取其中的一種方式，在實(shí)際的實(shí)施過(guò)程都不能達(dá)到較好防范效果且網(wǎng)絡(luò)管理員而言也存在實(shí)施難度大、管理工作負(fù)荷大的缺點(diǎn)。

我校在進(jìn)行校園局域網(wǎng)ARP欺騙攻擊防范策略上，就有針對(duì)性選用了銳捷網(wǎng)絡(luò)GSN解決方案中的“ARP三重立體防御體系”。其主要思想是建立可信任ARP（Trusted ARP）機(jī)制，采用銳捷網(wǎng)絡(luò)S37系列等智能三層接入/匯聚交換機(jī)能夠支持可信任ARP表項(xiàng)功能的網(wǎng)絡(luò)設(shè)備在網(wǎng)關(guān)設(shè)備上增加可信ARP表項(xiàng)。從 網(wǎng)關(guān)防御、客戶(hù)端防御、交換機(jī)非法報(bào)文過(guò)濾三個(gè)方面全方位立體的解決了ARP欺騙中的網(wǎng)關(guān)型欺騙，中間人欺騙以及ARP泛洪攻擊，完善的解決了由于ARP協(xié)議本身的缺陷所帶來(lái)的漏洞。在可能發(fā)生ARP請(qǐng)求和響應(yīng)的所有環(huán)節(jié)，都加以防范同時(shí)對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō)，所有操作完全都是透明的，不會(huì)明顯的增加網(wǎng)絡(luò)管理員的工作負(fù)荷，有效保證了我校園局域網(wǎng)安全穩(wěn)定的運(yùn)行。

4 結(jié)束語(yǔ)

校園局域網(wǎng)ARP欺騙攻擊安全防范是一個(gè)持久而又堅(jiān)巨的系統(tǒng)工程。網(wǎng)絡(luò)管員需要不斷跟蹤防范欺騙類(lèi)攻擊的最新技術(shù)，合理靈活有針對(duì)性的采用網(wǎng)絡(luò)企業(yè)解決方案，及時(shí)的調(diào)整防策略，只有這樣才能保證網(wǎng)絡(luò)安全穩(wěn)定的運(yùn)行。

參考文獻(xiàn)：

[1]易云飛，阮忠，林芳.ARP協(xié)議漏洞分析[J].軟件導(dǎo)報(bào)，7，4

[2]吳煜煌.校園網(wǎng)中ARP病毒欺騙的防御及措施[J]科協(xié)論壇（下半月），2009，03

[3]潘志華.告別網(wǎng)絡(luò)安全單兵作戰(zhàn)-探秘銳捷網(wǎng)絡(luò)GSN全局安全方案[J].中國(guó)教育網(wǎng)，2007（9）：49-50