蔣婷

摘 要：ARP欺騙攻擊是校園網(wǎng)中最為常見的攻擊方式之一。本文首先對ARP欺騙攻擊實現(xiàn)原理、攻擊方式、造成的影響等內(nèi)容進行了介紹，然后重點對幾種有效的、可防止ARP欺騙攻擊的安全防護技術(shù)進行了研究和分析。

關(guān)鍵詞：ARP欺騙；校園網(wǎng)

校園網(wǎng)網(wǎng)絡(luò)環(huán)境復(fù)雜，用戶數(shù)據(jù)交換頻繁，用戶安全防范意識參差不齊，這些因素極易導(dǎo)致校園局域網(wǎng)中出現(xiàn)網(wǎng)絡(luò)故障。ARP欺騙是一種常見的校園網(wǎng)網(wǎng)絡(luò)攻擊方式，其利用ARP協(xié)議本身緩存更新這一協(xié)議缺陷來向網(wǎng)絡(luò)用戶發(fā)送大量的報文信息，阻礙其他正常用戶的網(wǎng)絡(luò)通信。

1 ARP欺騙攻擊手段極其對校園網(wǎng)的影響分析

校園網(wǎng)內(nèi)的用戶進行通信時首先需要將用戶的IP地址對應(yīng)的轉(zhuǎn)換為MAC地址才能夠在兩者之間建立通信鏈路進行數(shù)據(jù)通信，這一過程需要使用ARP協(xié)議來完成。ARP欺騙即利用該協(xié)議缺陷不斷向網(wǎng)絡(luò)內(nèi)其他用戶發(fā)送偽造的ARP應(yīng)答包來擾亂其他用戶的緩存表，進而達到對用戶監(jiān)聽或攻擊的目的。

校園網(wǎng)的網(wǎng)絡(luò)環(huán)境開放性高，管理相對寬松，學(xué)生用戶數(shù)大，但是安全意識參差不齊，一旦出現(xiàn)ARP欺騙攻擊，會對校園網(wǎng)帶來非常大的安全隱患。目前校園網(wǎng)常見的ARP欺騙攻擊方式主要體現(xiàn)在以下幾個方面。

⑴對其他主機用戶進行通信監(jiān)聽和數(shù)據(jù)包篡改。ARP協(xié)議是校園網(wǎng)所使用的通信協(xié)議之一，其不是病毒，因而安全防護軟件不會對其進行查殺。利用這一特點，感染ARP欺騙程序的用戶主機會不斷的向校園網(wǎng)內(nèi)其他用戶主機發(fā)送相應(yīng)的ARP協(xié)議，通過該協(xié)議其可以監(jiān)聽到其他用戶的通信數(shù)據(jù)，更為嚴重的是，ARP欺騙病毒還有可能對所監(jiān)聽到的數(shù)據(jù)包進行非法篡改，在其中添加惡意網(wǎng)址等信息。

⑵冒充主機，阻礙其他用戶的網(wǎng)絡(luò)訪問。ARP欺騙攻擊病毒會在局域網(wǎng)內(nèi)偽造一臺虛假的主機，同時頻繁在局域網(wǎng)內(nèi)對其IP地址與MAC地址進行廣播。

⑶數(shù)據(jù)截取。ARP欺騙攻擊還有可能將被感染主機插入兩臺正常主機的通信鏈路之間，正常主機之間的通信需要通過被感染主機的轉(zhuǎn)發(fā)才能實現(xiàn)。當目標主機是DHCP服務(wù)器時，被感染主機就有可能將正常用戶引導(dǎo)到釣魚網(wǎng)站，從而竊取用戶的重要賬號資料。

2 ARP欺騙防御技術(shù)

綜合考慮校園網(wǎng)的網(wǎng)絡(luò)特點，可以通過配置路由交換設(shè)備等從根本上消除ARP欺騙攻擊對網(wǎng)絡(luò)用戶的影響。

2.1 雙向靜態(tài)映射

校園網(wǎng)通常是由多個層次構(gòu)成的，在可控的層級內(nèi)為路由設(shè)備建立靜態(tài)MAC地址映射并對其進行手動維護可以有效防止ARP欺騙攻擊所帶來的ARP緩存表動態(tài)更新狀況的發(fā)生。鑒于ARP攻擊的目標分為路由和目標主機兩種，故靜態(tài)IP-MAC地址映射也分為兩種。但是實際執(zhí)行過程中靜態(tài)映射的設(shè)置需要同時修改目標主機、網(wǎng)關(guān)以及路由器管理頁面的IP-MAC等三部分內(nèi)容。需要注意的是，雙向靜態(tài)映射建立完畢后，網(wǎng)絡(luò)管理相關(guān)人員需要按照校園網(wǎng)使用情況對ARP緩存進行定期檢查和更新。

2.2 VLAN和端口隔離技術(shù)

校園網(wǎng)中的網(wǎng)絡(luò)通信分為網(wǎng)內(nèi)通信、網(wǎng)外通信兩種，為滿足用戶的網(wǎng)絡(luò)通信需求同時降低ARP欺騙攻擊風(fēng)險，可在網(wǎng)絡(luò)交換設(shè)備中部署VLAN技術(shù)。該技術(shù)可以將校園網(wǎng)內(nèi)的用戶主機分成多個小的局域網(wǎng)段，網(wǎng)段內(nèi)用戶可以進行自由通信，網(wǎng)段間用戶不能直接通信，這樣ARP攻擊風(fēng)險就被限制在可控范圍，某一網(wǎng)段的ARP欺騙攻擊不會影響到其他網(wǎng)段用戶。

進一步的，在網(wǎng)段間通信時可以使用端口隔離技術(shù)，該技術(shù)既可以保證用戶通過VLAN端口與外網(wǎng)通信，還能夠?qū)⒂脩糁鳈C端口的廣播限制在其所在的VLAN內(nèi)，避免不同VLAN之間的相互探測，進而阻止ARP欺騙攻擊行為的出現(xiàn)。

2.3 DHCPSnooping技術(shù)

為便于使用，某些學(xué)?；蚰承┉h(huán)境下的網(wǎng)絡(luò)用戶IP地址是由DHCP服務(wù)器動態(tài)分配的，這種情況下就無法使用IP-MAC雙向靜態(tài)映射的方式來防御ARP欺騙攻擊。此時可以使用DHCPSnooping技術(shù)來增強校園網(wǎng)的網(wǎng)絡(luò)安全性能，避免ARP攻擊造成的大范圍網(wǎng)絡(luò)故障出現(xiàn)。

該技術(shù)會在DHCP服務(wù)器中建立一個DHCPSnooping綁定表，表中將用戶相關(guān)信息分為可信區(qū)域和不可信區(qū)域。其中可信區(qū)域包含了DHCP服務(wù)器為信任主機分配的IP地址及其MAC地址。在網(wǎng)絡(luò)內(nèi)用戶發(fā)送ARP報文時，交換機等設(shè)備會對報文中的IP地址和MAC地址進行匹配檢查，只有通過檢查的主機信息才能夠被發(fā)送出去。未通過檢查的用戶相關(guān)信息會被記錄到不可信區(qū)域進行記錄和管理。

3 校園網(wǎng)用戶防ARP欺騙攻擊

為提升校園網(wǎng)的安全性能，避免ARP欺騙攻擊對用戶帶來安全威脅，在用戶端也應(yīng)該采取必要的安全防護措施。具體來說，用戶應(yīng)該對系統(tǒng)和應(yīng)用程序等進行定期檢測與漏洞修復(fù)，提升操作系統(tǒng)本身的安全性能。同時用戶還可以安裝ARP防火墻、病毒防護等軟件。

4 總結(jié)

ARP欺騙攻擊是校園網(wǎng)內(nèi)最為常見的攻擊方式之一。鑒于ARP協(xié)議本身存在缺陷，故針對ARP的欺騙攻擊是無法避免的。但是必要的安全防護策略可有效提升校園網(wǎng)的安全性能，降低ARP欺騙攻擊所帶來的損失。

[參考文獻]

[1]馬麗君.基于校園網(wǎng)ARP欺騙分析及防御技術(shù)[J].數(shù)字技術(shù)與應(yīng)用，2012（02）.

[2]姚圣軍.淺析ARP欺騙的原理及校園網(wǎng)ARP欺騙的防御方法[J].教育觀察，2012（7）.

[3]方禹潤.淺談高校校園網(wǎng)中ARP欺騙的檢測和防范[J].黑龍江科技信息，2011（12）.

[4]秦豐林，段海新，郭汝廷.ARP欺騙的監(jiān)測與防范技術(shù)綜述[J].計算機應(yīng)用研究，2009，26（1）：30-33.