唐坤劍

鄭州輕工業(yè)學(xué)院易斯頓美術(shù)學(xué)院 河南 451450

0 引言

隨著各企事業(yè)單位信息化程度的提高，類似OA、ERP、以及服務(wù)器等各種網(wǎng)絡(luò)應(yīng)用也越來越普及。與此同時(shí)，掉線、卡滯等網(wǎng)絡(luò)問題也層出不窮，這些問題對(duì)網(wǎng)絡(luò)化辦公已成為常態(tài)的人們帶來了各種不便。究其原因，主要是網(wǎng)絡(luò)中協(xié)議存在漏洞和技術(shù)人員不擅長網(wǎng)絡(luò)管理，導(dǎo)致內(nèi)網(wǎng)存在攻擊造成的，諸多攻擊中尤以ARP攻擊最為嚴(yán)重。因此，ARP攻擊問題已成為企事業(yè)單位網(wǎng)絡(luò)安全的罪魁禍?zhǔn)?。下文將?duì)當(dāng)前較常見的四種ARP攻擊的防范措施進(jìn)行行分析，并探討在免疫網(wǎng)模式下怎樣對(duì)ARP攻擊等問題進(jìn)行徹底解決。

1 常見的防范ARP攻擊的措施

ARP即地址解析協(xié)議，其功能是將OSI協(xié)議棧中網(wǎng)絡(luò)層的IP地址解析為數(shù)據(jù)連接層的MAC地址。ARP攻擊就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，致使被感染的電腦自動(dòng)截取所在網(wǎng)絡(luò)中其它終端的通信信息，并進(jìn)行轉(zhuǎn)發(fā)，近而產(chǎn)生大量的無用信息使網(wǎng)絡(luò)阻塞。當(dāng)前常見的ARP防范措施有如下四種。

1.1 雙綁

雙綁即雙向綁定，是指在網(wǎng)絡(luò)兩端的路由器和電腦上進(jìn)行IP-MAC綁定的措施，從ARP欺騙原理來看，它對(duì)數(shù)據(jù)被截取和偽造網(wǎng)關(guān)都具有約束作用，但該措施只能應(yīng)對(duì)最普通的ARP欺騙，且存在如下不足：1)在終端上進(jìn)行的靜態(tài)綁定，很容易被新的ARP攻擊所搗毀，使靜態(tài)綁定失效；2)IP-MAC的綁定在路由器管理上是非常繁瑣的，若終端上有網(wǎng)卡或IP地址的更換都需要重新配置路由。這會(huì)造成巨大的網(wǎng)絡(luò)維護(hù)負(fù)擔(dān)，且對(duì)移動(dòng)使用的電腦不適用；3)雙綁只是讓網(wǎng)絡(luò)兩端的終端不接收相關(guān)ARP信息，但是大量的ARP攻擊數(shù)據(jù)仍能發(fā)出，且還在網(wǎng)內(nèi)傳輸，這樣將大幅降低內(nèi)網(wǎng)傳輸效率。因此，雙綁應(yīng)對(duì)ARP攻擊的防范能力有限，且管理煩瑣。

1.2 ARP個(gè)人防火墻

目前很多殺毒軟件中都帶有ARP個(gè)人防火墻的功能，其主要是通過在電腦上對(duì)網(wǎng)關(guān)進(jìn)行綁定，使其不受假網(wǎng)關(guān)的影響，雖能保護(hù)自身數(shù)據(jù)不被竊取，但也存在如下不足：1)不能確保綁定的網(wǎng)關(guān)的正確性；2)只在終端做ARP防范，而不顧及另一端的網(wǎng)關(guān)，這種措施并不完整。因此，ARP個(gè)人防火墻并不能保證可靠性，是與網(wǎng)絡(luò)穩(wěn)定無關(guān)的措施。

1.3 進(jìn)行VLAN劃分和交換機(jī)端口綁定

VLAN(虛擬局域網(wǎng))劃分和交換機(jī)端口綁定，可以使ARP的攻擊只在小范圍內(nèi)起作用。如果借助網(wǎng)管交換機(jī)的MAC地址學(xué)習(xí)功能，并把對(duì)應(yīng)的MAC和端口進(jìn)行綁定，這樣能避免ARP攻擊篡改自身地址，從而減少數(shù)據(jù)被截獲的風(fēng)險(xiǎn)，但也存在如下不足：1)未對(duì)網(wǎng)關(guān)進(jìn)行保護(hù)。無論如何細(xì)分VLAN，網(wǎng)關(guān)一旦被攻擊，同樣會(huì)造成網(wǎng)絡(luò)的不穩(wěn)定；2)把終端MAC和交換機(jī)端口進(jìn)行綁定的管理方式太死板，不適宜于移動(dòng)性終端在無線網(wǎng)絡(luò)狀態(tài)下的動(dòng)態(tài)應(yīng)用。因此，這種措施也不能從根本上起到防范ARP攻擊的作用。

1.4 PPPOE

PPPOE即基于以太網(wǎng)的點(diǎn)對(duì)點(diǎn)協(xié)議，上網(wǎng)時(shí)用戶需要通過輸入相應(yīng)的賬號(hào)和密碼進(jìn)行認(rèn)證的網(wǎng)絡(luò)管理方式。上網(wǎng)時(shí)PPPOE需要對(duì)數(shù)據(jù)包進(jìn)行二次封裝，使其不受ARP欺騙的影響，從某種意義上來講，該措施對(duì)防范ARP攻擊確實(shí)起到了一定的作用，但其效率較低且不實(shí)用，體現(xiàn)如下：在接入端解封 PPPOE二次封裝過的數(shù)據(jù)包必然會(huì)降低網(wǎng)絡(luò)傳輸效率，造成網(wǎng)絡(luò)帶寬的浪費(fèi)。PPPOE方式阻斷了局域網(wǎng)之間的互訪，使內(nèi)網(wǎng)喪失了局域網(wǎng)的優(yōu)勢(shì)。

盡管 PPPOE在技術(shù)上避開了底層協(xié)議的連接，但是以喪失局域網(wǎng)優(yōu)勢(shì)為代價(jià)通過犧牲網(wǎng)絡(luò)效率來換取了網(wǎng)絡(luò)的穩(wěn)定，得不償失。

因此，要根除ARP的欺騙和攻擊，需要有以下三個(gè)技術(shù)支撐：1) 終端與網(wǎng)關(guān)的綁定要可靠、唯一，且能夠抵制被病毒搗毀；2) 接入的設(shè)備(路由器或網(wǎng)關(guān))對(duì)終端IP-MAC的識(shí)別要保證始終唯一、準(zhǔn)確；3)要有一個(gè)可靠的機(jī)制，能保護(hù)IP-MAC，且能分發(fā)正確的網(wǎng)關(guān)信息和封殺出現(xiàn)的假網(wǎng)關(guān)信息。

2 免疫防范

免疫防范是指針對(duì)網(wǎng)絡(luò)內(nèi)部因協(xié)議漏洞、不擅長管理等因素造成的經(jīng)常遭受病毒、木馬、黑客等攻擊的網(wǎng)絡(luò)問題，而采取的加強(qiáng)網(wǎng)絡(luò)自身免疫，主動(dòng)防御攻擊的技術(shù)。采用免疫防范技術(shù)后的網(wǎng)絡(luò)就像人體因接種了疫苗而對(duì)所接觸的某些病毒產(chǎn)生抗體一樣，力保網(wǎng)絡(luò)中的各種攻擊無法發(fā)作。免疫防范能突破邊界防護(hù)和終端防護(hù)的局限，從局域網(wǎng)的交互網(wǎng)絡(luò)整體進(jìn)行聯(lián)動(dòng)防護(hù)，群防群控。在免疫防范中起關(guān)鍵作用的則是免疫墻技術(shù)。

2.1 免疫墻

免疫墻不同于傳統(tǒng)的防火墻，傳統(tǒng)防火墻主要是在內(nèi)網(wǎng)和外網(wǎng)之間、專網(wǎng)與公網(wǎng)之間的邊界上構(gòu)造一個(gè)保護(hù)屏障，保護(hù)內(nèi)部網(wǎng)免受非法用戶的入侵。而免疫墻是由網(wǎng)關(guān)、服務(wù)器、電腦終端和免疫協(xié)議等一整套的硬軟件組成，通過對(duì)內(nèi)網(wǎng)中包括全部終端和底層協(xié)議的策略控制，堵上以太網(wǎng)協(xié)議漏洞并強(qiáng)化帶寬管理，從而徹底解決網(wǎng)絡(luò)掉線、卡滯等難管理的棘手問題。

2.2 免疫墻的結(jié)構(gòu)部署和控制方式

要實(shí)現(xiàn)對(duì)ARP攻擊等的防范，免疫墻需要在結(jié)構(gòu)上進(jìn)行如下部署：

(1) 多點(diǎn)布控在網(wǎng)絡(luò)接點(diǎn)上布控，并在設(shè)備中安裝免疫機(jī)制，承載免疫功能，如表1所示。

表1 網(wǎng)絡(luò)架構(gòu)點(diǎn)上的相關(guān)設(shè)備

(2) 深入?yún)f(xié)議底層并核實(shí)身份，使通信過程和安全機(jī)制相融合。

(3) 設(shè)置網(wǎng)絡(luò)內(nèi)的公信和調(diào)度機(jī)構(gòu)——免疫運(yùn)行服務(wù)器

免疫運(yùn)行服務(wù)器可以對(duì)用戶的免疫身份進(jìn)行審查并記錄；對(duì)免疫策略進(jìn)行分發(fā)和執(zhí)行；并運(yùn)作免疫安全管理協(xié)議，監(jiān)控服務(wù)器的接口等。

(4) 制定免疫墻管理策略：免疫墻管理策略能對(duì)OSI協(xié)議棧中數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層進(jìn)行監(jiān)控、免疫身份審查、數(shù)據(jù)流量流向等進(jìn)行管理，并與分組策略、時(shí)間策略等共同作用，使網(wǎng)絡(luò)安全管理的內(nèi)容變得規(guī)范。

(5) 提供開放式的管理操作平臺(tái)：免疫墻通過軟件實(shí)現(xiàn)了開放式的管理平臺(tái)，通過該平臺(tái)可以對(duì)網(wǎng)絡(luò)進(jìn)行的參數(shù)和策略的配置，并實(shí)時(shí)顯示網(wǎng)絡(luò)狀況。

因此，可見免疫墻通過實(shí)效的結(jié)構(gòu)部署和控制方式，實(shí)現(xiàn)了通信過程和安全機(jī)制與身份管理的緊密結(jié)合，使整個(gè)網(wǎng)絡(luò)成為了在安全管理上具有自主防御、自主管理能力的免疫網(wǎng)絡(luò)。

2.3 免疫墻的功能

免疫墻的功能可分為核心功能和輔助功能兩大類，核心功能主要包括：

(1) 通過安全機(jī)制，對(duì)網(wǎng)絡(luò)底層協(xié)議進(jìn)行深入管理

免疫墻技術(shù)針對(duì)網(wǎng)絡(luò)底層的據(jù)鏈路層和網(wǎng)絡(luò)層協(xié)議，在網(wǎng)絡(luò)架構(gòu)的各關(guān)鍵節(jié)點(diǎn)都部署了相應(yīng)的免疫安全策略，進(jìn)而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中每次通信握手及通信協(xié)議和數(shù)據(jù)交換的進(jìn)行全面監(jiān)控，從而達(dá)到及時(shí)制止、主動(dòng)防御底層網(wǎng)絡(luò)攻擊的目的，如圖1所示。

圖1 免疫墻在底層協(xié)議中防御體現(xiàn)

(2) 通過部署免疫策略，對(duì)網(wǎng)絡(luò)身份進(jìn)行認(rèn)證

免疫墻技術(shù)改變了以傳統(tǒng)的IP地址和MAC地址為基礎(chǔ)的網(wǎng)絡(luò)身份，通過對(duì)終端的物理身份進(jìn)行提取、確認(rèn)和綁定，在網(wǎng)絡(luò)的各節(jié)點(diǎn)進(jìn)行核查和控制，從而實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)身份的基因式管理。把普通網(wǎng)絡(luò)成員改造成了可管控的免疫成員，進(jìn)而保障了網(wǎng)絡(luò)的穩(wěn)定。

(3) 對(duì)網(wǎng)絡(luò)中數(shù)據(jù)的流量和流向進(jìn)行管理

目前的帶寬管理設(shè)備大多是基于以太網(wǎng)共享網(wǎng)絡(luò)中 IP的管理，并且部署在靠近接入點(diǎn)的位置，很難實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中節(jié)點(diǎn)與節(jié)點(diǎn)之間的細(xì)致管理。所以導(dǎo)致網(wǎng)絡(luò)中依然充斥大量無效數(shù)據(jù)，以致網(wǎng)絡(luò)的通信效能大幅下降。而免疫墻則通過對(duì)網(wǎng)絡(luò)中每一個(gè)終端、節(jié)點(diǎn)、端口進(jìn)行帶寬的管理，設(shè)定它們之間的數(shù)據(jù)流量和流向，從而實(shí)現(xiàn)對(duì)全網(wǎng)的智能化、細(xì)致化管理。

輔助功能主要包括：

(1) 實(shí)時(shí)的全網(wǎng)監(jiān)控：免疫墻通過開放的可操作性管理平臺(tái)，使管理過程圖形化顯示，能對(duì)全網(wǎng)實(shí)時(shí)監(jiān)控，并及時(shí)準(zhǔn)確地定位故障點(diǎn)。

(2) 編制和分發(fā)免疫策略：免疫策略作為免疫網(wǎng)絡(luò)的核心在免疫墻中的體現(xiàn)非常突出。在免疫墻中諸如對(duì)終端流量和流向的設(shè)定、干預(yù)條件、執(zhí)行方式等都可以根據(jù)需要進(jìn)行免疫策略的設(shè)定和組合，因此根據(jù)不同的需求可設(shè)置不同的免疫策略，如圖2所示。

圖2 豐富的免疫安全策略

(3) 實(shí)時(shí)全面的網(wǎng)絡(luò)審計(jì)、統(tǒng)計(jì)和分析：通過管理平臺(tái)，免疫墻能對(duì)網(wǎng)絡(luò)的訪問記錄、流量、帶寬使用率、故障事件等實(shí)時(shí)進(jìn)行全面完善的統(tǒng)計(jì)記錄，以便管理人員對(duì)網(wǎng)絡(luò)進(jìn)行合理的調(diào)整規(guī)劃。

3 免疫網(wǎng)絡(luò)的組建

免疫網(wǎng)絡(luò)的組建方式與傳統(tǒng)網(wǎng)絡(luò)完全一致，組建時(shí)只需用免疫墻路由器或免疫網(wǎng)關(guān)替換傳統(tǒng)的寬帶接入設(shè)備，并添加一臺(tái)自帶網(wǎng)關(guān)且能全天候運(yùn)行免疫中心的服務(wù)器即可。這些設(shè)備的成本并不比傳統(tǒng)通信設(shè)備貴很多，因此整個(gè)網(wǎng)絡(luò)的組建成本不會(huì)有大幅度增加。通過免疫設(shè)備可以根據(jù)需要設(shè)置好相應(yīng)的免疫策略和IP規(guī)劃，從管理角度來說，管理員的所從事工作與傳統(tǒng)網(wǎng)絡(luò)管理相比并沒有太大區(qū)別。

4 結(jié)束語

免疫網(wǎng)技術(shù)的范圍拓展到了網(wǎng)絡(luò)的最末端，深入到了協(xié)議的最底層、檢測(cè)到了外網(wǎng)的出入口、總覽到了內(nèi)網(wǎng)的全貌，提高了網(wǎng)絡(luò)的免疫力，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)病毒的全面自主抵御，同時(shí)完善了對(duì)網(wǎng)絡(luò)的管理，使網(wǎng)絡(luò)可控、可管、可防、可觀。因此可見，免疫網(wǎng)絡(luò)在技術(shù)上是嚴(yán)謹(jǐn)?shù)?，?yīng)用上是可行的。與傳統(tǒng)網(wǎng)絡(luò)相比，免疫網(wǎng)絡(luò)的安全性能有了大幅提高，而管理成本卻大幅降低。

[1]?？?淺談免疫墻技術(shù).科技創(chuàng)新導(dǎo)報(bào).2011.

[2]劉家卿.淺談局域網(wǎng)內(nèi)ARP攻擊的防范策略.計(jì)算機(jī)光盤軟件與應(yīng)用.2011.

[3]北京欣全向技術(shù)有限公司巡路免疫網(wǎng).http://www.nuqx.com/immwall/index.asp.