李 杰 伊向超 崔立波

(長(zhǎng)春建筑學(xué)院，長(zhǎng)春 130607)

隨著教育信息化的不斷發(fā)展，許多學(xué)校都已經(jīng)建立了自己的校園網(wǎng)絡(luò)，互聯(lián)網(wǎng)在校園內(nèi)變得越來(lái)越普及，同時(shí)也暴露出了一些問(wèn)題，如網(wǎng)絡(luò)安全問(wèn)題.2006年的9月，ARP病毒在許多單位和學(xué)校局域網(wǎng)內(nèi)開(kāi)始爆發(fā)，造成了大面積計(jì)算機(jī)網(wǎng)絡(luò)中斷，嚴(yán)重影響了正常的工作和教學(xué)［1］.針對(duì)ARP病毒的攻擊本文從其概念、攻擊原理出發(fā)，闡述了其危害，并通過(guò)對(duì)其攻擊原理的分析、結(jié)合校園網(wǎng)的環(huán)境和歸納相關(guān)資料，提出了ARP欺騙攻擊的防范措施.

1 ARP協(xié)議概述及其欺騙攻擊的原理

ARP是英文Address Resolution Protocol的簡(jiǎn)稱(chēng)，是地址解析協(xié)議的意思，它是一個(gè)位于TCP/IP協(xié)議棧中的底層協(xié)議，對(duì)應(yīng)于數(shù)據(jù)鏈路層，負(fù)責(zé)將某個(gè)IP地址解析成對(duì)應(yīng)的MAC地址［2］.

實(shí)施ARP欺騙攻擊的原因是，計(jì)算機(jī)之間進(jìn)行數(shù)據(jù)交換最終用的是MAC地址，但我們?cè)诰W(wǎng)絡(luò)之間進(jìn)行數(shù)據(jù)傳遞用的是IP地址［3］.在IP與MAC地址進(jìn)行切換的時(shí)候，不具備任何的認(rèn)證機(jī)制，所以在局域網(wǎng)內(nèi)很容易實(shí)現(xiàn)IP地址和MAC不匹配的欺騙現(xiàn)象.例如假設(shè)校園網(wǎng)內(nèi)有這樣一個(gè)網(wǎng)絡(luò)，一個(gè)宿舍Hub連接3臺(tái)pc機(jī):A，B 和C.

正常情況下，計(jì)算機(jī)A要想和主機(jī)C進(jìn)行通信，首先在自己的ARP緩存表中查找是否有主機(jī)C的IP地址，如果找到了也就知道了主機(jī)C的MAC地址了，直接把目標(biāo)MAC地址寫(xiě)入數(shù)據(jù)幀里面發(fā)送就可以了;如果在ARP緩存表中找不到主機(jī)C的IP地址，主機(jī)A就需要在網(wǎng)絡(luò)上發(fā)送一個(gè)廣播，目標(biāo)MAC地址是“FF－FF－FF－FF－FF－FF”，這表示向同一網(wǎng)段內(nèi)所有的主機(jī)發(fā)送這樣的詢(xún)問(wèn):“192.168.1.3的MAC地址是什么?原則上網(wǎng)絡(luò)上其他的主機(jī)并不響應(yīng)ARP詢(xún)問(wèn)，只有主機(jī)C接收到這個(gè)數(shù)據(jù)幀才會(huì)向主機(jī)A作出響應(yīng):“192.168.1.3”的MAC 地址是14－e6－e4－88－2d－06”.這樣，主機(jī) A 就知道主機(jī) C 的 MAC 地址，它就可以向主機(jī)C發(fā)送信息了，同時(shí)它還更新了自己的ARP緩存表，下次再向主機(jī)C發(fā)送信息時(shí)，直接從ARP緩存表中查找就可以了.但是如果主機(jī)B主動(dòng)向A發(fā)送自己偽造的ARP應(yīng)答，而這個(gè)偽造的數(shù)據(jù)發(fā)送的IP地址是192.168.1.3(C的IP地址)，MAC地址是14－e6－e4－88－2d－05(B的 MAC地址)，當(dāng)主機(jī)A不知道MAC地址被偽裝的話，A發(fā)送到C的數(shù)據(jù)就被B所獲知了.

2 校園網(wǎng)內(nèi)ARP欺騙攻擊的危害

因?yàn)樾@網(wǎng)具有ARP病毒傳播的可行條件，所以ARP病毒對(duì)校園網(wǎng)信息安全提出的很大的挑戰(zhàn)，其在校園網(wǎng)內(nèi)主要的危害包含以下幾個(gè)方面［4］:

(1)造成網(wǎng)絡(luò)異常，上網(wǎng)速度慢、網(wǎng)速極不穩(wěn)定.查看“本地連接”會(huì)發(fā)現(xiàn)收包數(shù)據(jù)量遠(yuǎn)遠(yuǎn)小于發(fā)包數(shù)據(jù)量.利用網(wǎng)絡(luò)抓包工具，抓到局域網(wǎng)內(nèi)有大量的ARP報(bào)文，當(dāng)局域網(wǎng)內(nèi)某臺(tái)計(jì)算機(jī)感染ARP病毒后，它就持續(xù)地向網(wǎng)內(nèi)所有計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備發(fā)送非法ARP欺騙數(shù)據(jù)包，阻塞網(wǎng)絡(luò)通道.最終導(dǎo)致大面積掉線或電腦逐個(gè)掉線，網(wǎng)絡(luò)時(shí)通時(shí)斷;

(2)通過(guò)監(jiān)聽(tīng)盜取其他同學(xué)的數(shù)據(jù)信息，如QQ、郵箱、游戲、銀行卡等的賬號(hào)密碼.通過(guò)ARP欺騙監(jiān)聽(tīng)其他同學(xué)之間進(jìn)行的信息交流，竊取其可用信息;

(3)充當(dāng)“偽網(wǎng)關(guān)”，在被欺騙主機(jī)和網(wǎng)關(guān)之間建立“中間人”進(jìn)行數(shù)據(jù)交互，“偽網(wǎng)關(guān)”在得到網(wǎng)關(guān)傳來(lái)的數(shù)據(jù)后，在數(shù)據(jù)內(nèi)插入惡意代碼等，當(dāng)不知情的被欺騙主機(jī)接受了數(shù)據(jù)，主機(jī)系統(tǒng)一旦執(zhí)行了惡意代碼的內(nèi)容，直接對(duì)用戶(hù)計(jì)算機(jī)安全造成破壞.

3 對(duì)ARP病毒的檢測(cè)及其防范

3.1 對(duì)ARP病毒的檢測(cè)

通過(guò)閱讀參考資料，結(jié)合ARP病毒的攻擊原理，對(duì)ARP病毒的檢測(cè)總結(jié)為以下3種方法:

(1)檢測(cè)本地計(jì)算機(jī)是否中了ARP木馬病毒.通過(guò)“任務(wù)管理器”，選擇“進(jìn)程”，查看是否有一個(gè)名為“MIR0.dat”的進(jìn)程.如果有，則說(shuō)明已經(jīng)中毒.右鍵點(diǎn)擊此進(jìn)程后選擇“結(jié)束進(jìn)程”;

(2)通過(guò)網(wǎng)關(guān)檢測(cè)是否中毒.登陸局域網(wǎng)的上聯(lián)三層交換機(jī)查看其ARP緩存表，在網(wǎng)關(guān)的ARP表中是否有錯(cuò)誤的MAC記錄.如果檢查ARP表時(shí)，發(fā)現(xiàn)有多個(gè)IP同時(shí)指向一個(gè)MAC地址，并且這個(gè)MAC地址不是本地網(wǎng)關(guān)的，那么，此MAC地址對(duì)應(yīng)的主機(jī)就是ARP病毒源;

(3)使用抓包工具進(jìn)行抓報(bào)，選擇校園網(wǎng)內(nèi)的任意一臺(tái)計(jì)算機(jī)進(jìn)行抓包，通過(guò)抓包發(fā)現(xiàn)如果某個(gè)IP在不斷的發(fā)送ARP請(qǐng)求包，那么這臺(tái)計(jì)算機(jī)很可能感染了ARP病毒源.

3.2 針對(duì)ARP病毒攻擊的防范策略

在了解了APR病毒的攻擊原理和攻擊方式后，針對(duì)ARP病毒攻擊進(jìn)行防范最簡(jiǎn)單的策略就是記錄自己常用網(wǎng)關(guān)及其他訪問(wèn)服務(wù)器的IP地址和MAC地址，如果發(fā)現(xiàn)遭受ARP欺騙攻擊之后，只需要用ARP–a查看IP地址與MAC地址是否和原先記錄的一致，如果不一致，將它改成原先記錄的，就可以避免ARP欺騙攻擊了.通過(guò)查閱資料和結(jié)合校園網(wǎng)的具體情況，歸納總結(jié)了針對(duì)ARP病毒攻擊的防范策略主要包含以下的5個(gè)方面:

(1)設(shè)置路由與交換機(jī)

目前，多數(shù)新型號(hào)的路由交換機(jī)都支持APR入侵檢測(cè)功能，如TP－Link，H3C的$3600.對(duì)路由的設(shè)置主要包含兩個(gè)方面的內(nèi)容:

圖9—圖12為區(qū)間右線施工時(shí)樁側(cè)摩阻力及樁身軸力變化圖。右側(cè)隧道開(kāi)挖時(shí)，同樣在隧道中心線上下一定范圍內(nèi)的土體由于開(kāi)挖卸載的影響，樁側(cè)摩阻力會(huì)有局部下降，而在隧道下部由于土體卸載回彈的影響，樁側(cè)摩阻力有少量的增大，但數(shù)值均較小。由于左側(cè)隧道和右側(cè)隧道開(kāi)挖對(duì)1#墩都有一定的影響，因此，右線隧道掘進(jìn)時(shí)1#墩樁側(cè)摩阻力減小最大值達(dá)到約-1.6 kPa左右，而下部增大最大值為0.6 kPa左右。與左線隧道掘進(jìn)時(shí)類(lèi)似，樁身軸力變化不大，開(kāi)挖會(huì)引起樁身軸力有所增加，變化趨勢(shì)為先增大后減小，在樁長(zhǎng)25 m左右最大，為80 kN。

a.啟用ARP綁定，提前把局域網(wǎng)內(nèi)的IP地址和MAC地址綁定，當(dāng)通過(guò)路由的數(shù)據(jù)包進(jìn)入內(nèi)網(wǎng)時(shí)，查找DHCP Snooping表是否和ARP報(bào)文中的源MAC地址、源IP地址一致，如果一致，則認(rèn)為該報(bào)文是合法的ARP報(bào)文，進(jìn)行轉(zhuǎn)發(fā);否則認(rèn)為是非法的ARP報(bào)文，直接丟棄.

b.對(duì)ARP報(bào)文進(jìn)行速度限制，開(kāi)啟端口的ARP報(bào)文限速功能，對(duì)每秒內(nèi)該端口接收的ARP報(bào)文數(shù)量進(jìn)行統(tǒng)計(jì)，檢測(cè)ARP報(bào)文的發(fā)送頻率，如果每秒收到的ARP報(bào)文數(shù)量超過(guò)設(shè)定值，則認(rèn)為該端口處于超速狀態(tài).此時(shí)需要關(guān)閉該端口，使其不再接收任何報(bào)文，從而避免大量ARP報(bào)文攻擊.同時(shí)，設(shè)備支持配置端口狀態(tài)自動(dòng)恢復(fù)功能，對(duì)于配置了ARP限速功能的端口，在其因超速而被交換機(jī)關(guān)閉后，經(jīng)過(guò)一段時(shí)間可以自動(dòng)恢復(fù)為開(kāi)啟狀態(tài);

(2)安裝ARP防火墻

在計(jì)算機(jī)與外網(wǎng)連接之間或個(gè)人計(jì)算機(jī)終端需要安裝ARP防火墻.在計(jì)算機(jī)終端目前的殺毒軟件都自帶了ARP防火墻，如瑞星、360安全衛(wèi)士等.我們平時(shí)需要更新病毒庫(kù)，并且定期對(duì)計(jì)算機(jī)進(jìn)行病毒掃描.一旦發(fā)現(xiàn)ARP病毒攻擊，在檢測(cè)到病毒源機(jī)器后對(duì)該機(jī)器進(jìn)行殺毒或重做系統(tǒng)操作，這樣可以有效地阻斷ARP病毒繼續(xù)對(duì)局域網(wǎng)中的其他機(jī)器進(jìn)行攻擊;

(3)個(gè)人用戶(hù)計(jì)算機(jī)綁定網(wǎng)關(guān)

在每臺(tái)電腦進(jìn)入DOS，輸入ARP－s網(wǎng)關(guān)IP網(wǎng)關(guān)MAC地址，回車(chē)后即完成了綁定.但是這個(gè)操作必須在每次系統(tǒng)啟動(dòng)時(shí)進(jìn)行，很麻煩.我們可以把此命令做成一個(gè)批處理文件，放在系統(tǒng)的啟動(dòng)里，批處理文件如下:

ARP－d

ARP － s 192.168.1.1 14－e6－e4－88－2d－04

但是通過(guò)批處理之后的計(jì)算機(jī)每一次開(kāi)機(jī)之后需要重新綁定;

(4)采用VLAN技術(shù)隔離端口

校園網(wǎng)的網(wǎng)絡(luò)管理員可根據(jù)實(shí)際需要設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，具體規(guī)劃出若干個(gè)VLAN，當(dāng)管理員發(fā)現(xiàn)有非法用戶(hù)在惡意利用ARP欺騙攻擊網(wǎng)絡(luò)，或者因合法用戶(hù)受病毒ARP病毒感染而影響網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)管理員可利用技術(shù)手段首先查找到該用戶(hù)所在的交換機(jī)端口，然后將該端口劃一個(gè)單獨(dú)的VLAN，將該用戶(hù)與其它用戶(hù)進(jìn)行物理隔離，以避免對(duì)其它用戶(hù)的影響.當(dāng)然，也可以利用將交換機(jī)端口Disable來(lái)屏蔽該用戶(hù)對(duì)網(wǎng)絡(luò)造成影響，從而達(dá)到安全防范的目的;

(5)用戶(hù)的安全意識(shí)

在終端用戶(hù)方面除了安裝ARP木馬防火墻之外，用戶(hù)的網(wǎng)絡(luò)安全意識(shí)也很重要，如需要注意加強(qiáng)密碼管理(如用戶(hù)的QQ、銀行卡、游戲賬號(hào)等)、關(guān)閉不需要的安全服務(wù)項(xiàng)(如網(wǎng)絡(luò)共享等)、對(duì)u盤(pán)移動(dòng)硬盤(pán)等存儲(chǔ)設(shè)備連接電腦加強(qiáng)管理等方面來(lái)避免感染ARP病毒.

4 結(jié)語(yǔ)

由于ARP協(xié)議本身具有致命的缺陷，它不具備任何的認(rèn)證機(jī)制，校園網(wǎng)的ARP欺騙是不能從根本上根除的.因此，我們只有清楚的了解局域網(wǎng)信息交互和ARP欺騙攻擊的原理，才能有效地檢測(cè)和防御響應(yīng)的欺騙攻擊.本文在分析了欺騙攻擊的原理基礎(chǔ)上，結(jié)合參閱的相關(guān)文獻(xiàn)資料，提出了一個(gè)較全面的檢測(cè)方案和防范策略.這些防范策略有助于解決校園網(wǎng)ARP欺騙攻擊，但不是最根本的方法，最根本的方法應(yīng)該是改進(jìn)或擴(kuò)展ARP協(xié)議，甚至是重新設(shè)計(jì)一種安全的地址解析協(xié)議，從根本上增強(qiáng)ARP協(xié)議的安全性，這將是以后防御ARP欺騙研究的重點(diǎn).

［1］孫 博.針對(duì)校園網(wǎng)ARP病毒攻擊的分析及防范［J］.長(zhǎng)春教育學(xué)院學(xué)報(bào)，2012(2):137－138.

［2］梁 菊.淺談校園網(wǎng)ARP病毒的攻擊與防范［J］.硅谷，2011(2):5.

［3］于 宙.局域網(wǎng)絡(luò)環(huán)境下ARP欺騙攻擊及安全防范策略［J］.南鋼科技與管理，2008(4):8－9.

［4］馬麗君.基于校園網(wǎng)ARP欺騙分析及防御技術(shù)［J］.數(shù)字技術(shù)與應(yīng)用，2012(2):216－217.