羅玉梅

摘要：隨著計算機網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)承載的業(yè)務(wù)數(shù)量及種類越來越復(fù)雜，安全問題也不斷出現(xiàn)。其中，網(wǎng)絡(luò)攻擊問題尤為嚴(yán)重，不僅妨礙網(wǎng)絡(luò)用戶的正常使用，更嚴(yán)重的甚至?xí)绊懙秸麄€網(wǎng)絡(luò)的正常運行。該文分析了幾種主要攻擊的實現(xiàn)過程及特征，從而提出相應(yīng)的防御措施。

關(guān)鍵詞：ARP欺騙攻擊；DNS欺騙攻擊；IP欺騙攻擊；防御攻擊

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）11-0036-02

1 引言

伴隨著網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，網(wǎng)絡(luò)安全問題層出不窮。正是由網(wǎng)絡(luò)本身具有的開放性、互聯(lián)性、多樣性以及不均勻性等特征，使其極易受到各種攻擊；因此，如何保障網(wǎng)絡(luò)的安全是當(dāng)前面臨的首要問題。

網(wǎng)絡(luò)欺騙攻擊就是利用網(wǎng)絡(luò)存在的安全缺陷進(jìn)行攻擊。在實施攻擊的過程中，攻擊方會極力想辦法得到網(wǎng)絡(luò)的信任，其原因是網(wǎng)絡(luò)操作都是傾向于可信系統(tǒng)[1]。一旦建立樂信任關(guān)系，受信系統(tǒng)的管理員就能夠?qū)嵤┕ぷ鞑⒕S護(hù)相應(yīng)的系統(tǒng)安全級別。通常，如果一個系統(tǒng)A是受到另一個系統(tǒng)B的信任的，此時若有一個系統(tǒng)C假裝成B，則C就輕易地獲得B的一些權(quán)力。

2 幾種主要的網(wǎng)絡(luò)欺騙攻擊

2.1 ARP欺騙攻擊

ARP協(xié)議的主要功能是將IP地址轉(zhuǎn)換成對應(yīng)的MAC地址，依靠在內(nèi)存中保存的轉(zhuǎn)換表讓IP能夠在網(wǎng)絡(luò)中獲得目標(biāo)主機的響應(yīng)。在ARP協(xié)議中，為了減少數(shù)據(jù)的通信的數(shù)據(jù)量，主機會將收到的ARP應(yīng)答包插入到自己的ARP緩存表中，不論這個包是否是自己所請求的，如此便使ARP欺騙實施成為可能[2]。如圖1所示，若攻擊者想獲知網(wǎng)絡(luò)中兩個用戶間的通信，向兩個用戶主機發(fā)送一個 ARP 應(yīng)答包，此時兩個用戶都會將攻擊者的主機MAC地址誤以為是對方的 MAC地址。如此一來，攻擊者便可以獲知雙方通信的內(nèi)容，通信雙方看似直接通信的過程，中間實際都是通過攻擊者的主機來間接實施的[3]。

2.2 DNS欺騙攻擊

域名系統(tǒng)（DNS）是一種分布式數(shù)據(jù)庫，主要用于實現(xiàn)主機名和 IP地址的轉(zhuǎn)換，是廣大網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)。然而協(xié)議本身存在的設(shè)計缺陷且沒有適當(dāng)?shù)男畔⒈Ｗo(hù)和認(rèn)證機制，導(dǎo)致DNS極易受到攻擊[4]。在DNS解析過程中，客戶端先向DNS服務(wù)器發(fā)送查詢數(shù)據(jù)包，隨后服務(wù)器將查詢結(jié)果用相同的ID號發(fā)回給客戶端?？蛻舳藢㈨憫?yīng)數(shù)據(jù)包的ID與之前發(fā)送的查詢包的ID進(jìn)行比較，若一致，則說明此響應(yīng)數(shù)據(jù)包正是自己的。在此過程中，若攻擊者假冒DNS服務(wù)器提前給客戶端發(fā)送響應(yīng)數(shù)據(jù)包，客戶端收到的域名對應(yīng)的IP地址就可由攻擊者指定了，當(dāng)客戶端訪問所需網(wǎng)站時實際上訪問到的是攻擊者指定的網(wǎng)站[5]。攻擊過程如圖2所示。

2.3 IP欺騙攻擊

IP欺騙是一種偽造數(shù)據(jù)包源IP地址的攻擊，即是向目標(biāo)主機發(fā)送源地址非本機IP地址的數(shù)據(jù)包。攻擊的簡要過程如圖3所示，攻擊方X對目標(biāo)B實施拒絕服務(wù)攻擊使其崩潰無法應(yīng)答，隨后向A發(fā)送源地址為B的數(shù)據(jù)包，嘗試與A建立連接，從而達(dá)到欺騙的目的。

3 網(wǎng)絡(luò)欺騙攻擊的防御

3.1 ARP欺騙攻擊的防御及測試

在ARP欺騙攻擊過程中需同時欺騙網(wǎng)絡(luò)中的其他主機和網(wǎng)關(guān)交換機，從而實施“中間人攻擊”?？梢詮囊韵路矫孢M(jìn)行控制：

（1）將網(wǎng)管的ARP表項綁定到用戶的主機上，防止中間攻擊者的arp relay報文更新用戶的網(wǎng)管ARP表。

（2）將用戶主機的ARP表綁定到網(wǎng)關(guān)交換機，防止中間攻擊者的arp relay報文更新網(wǎng)關(guān)交換機的ARP表。

防御ARP攻擊的方法很多，例如：

（1）在交換機上阻止“中間人攻擊”。通常，在支持網(wǎng)管的交換機上都能綁定用戶的 ARP，通過端口的 port security將端口上的可學(xué)習(xí) MAC 數(shù)及用戶主機的 MAC 地址進(jìn)行綁定，或使用 dhcp snooping 將用戶主機的 IP 地址和 MAC 地址進(jìn)行綁定。

（2）在用戶主機上控制“中間人攻擊”。 在接入交換機上啟用 pvlan 或者port-isolated 功能隔離不同用戶，從而使被攻擊主機的 arp relay 不能發(fā)給網(wǎng)絡(luò)上其他主機。

（3）在端口開啟 802.1x 認(rèn)證，利用 802.1x 客戶端實現(xiàn)二層網(wǎng)絡(luò)的用戶認(rèn)證，將帳號、端口及MAC 等信息和用戶終端綁定，從而防止中毒的主機侵入內(nèi)部網(wǎng)絡(luò)。

實驗測試環(huán)境如圖4，在網(wǎng)絡(luò)中用戶主機上不能ping通公網(wǎng)地址，有的主機甚至ping不通自己的網(wǎng)關(guān)。

在核心交換機上抓取的數(shù)據(jù)包如下：

從故障的表現(xiàn)及抓包的情況可以判定是受到ARP攻擊；隨后，將連接發(fā)送大量ARP數(shù)據(jù)包主機的交換機斷電，網(wǎng)絡(luò)上其他用戶能夠正常上網(wǎng)。為了防止再次受到類似攻擊，可以采取如下措施：

1）在每個接入交換機上進(jìn)行MAC綁定，對端口的接入主機數(shù)進(jìn)行設(shè)定。

2）在核心交換機上實施IP與MAC綁定，阻止虛假arp數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)；同時，開啟抑制廣播風(fēng)暴功能，防止核心交換機因內(nèi)存或CPU占用過高影響接入交換機工作。

3）在防火墻上布置安全策略。

4）在有訪問權(quán)限的主機上做一個批處理，將本機 IP 與MAC進(jìn)行綁定，同時將本機網(wǎng)關(guān)的IP 與MAC綁定。設(shè)置開機啟動該批處理程序。

3.2 DNS欺騙攻擊的防御

DNS欺騙攻擊的實現(xiàn)主要包括中間人攻擊和緩存投毒攻擊兩種形式，其中中間人攻擊主要針對的對象是DNS查詢客戶端。防御DNS欺騙攻擊，必須要同時保護(hù)DNS客戶端和DNS服務(wù)器。由此，給出防御DNS欺騙的解決方法如下：

（1）對于網(wǎng)絡(luò)中有設(shè)定的DNS服務(wù)器，要及時更新服務(wù)器的版本，將動態(tài)更新和區(qū)域傳輸范圍進(jìn)行限制。

（2）對用戶主機來說，防御DNS的主要措施有如下幾點：1）禁用主機DNS緩存；2）給主機指定DNS服務(wù)器和本地UDP端口號。通過指定UDP端口號，防火墻的設(shè)置更加精確，從而能夠進(jìn)一步提高整體安全性。

3.3 IP欺騙攻擊的防御

IP欺騙攻擊的原理比較簡單，但實際實施卻很困難，需要進(jìn)行序列號猜測和建立信任關(guān)系等過程。然而要成功實施IP欺騙也不無可能，因此，也要對IP欺騙攻擊進(jìn)行防范，主要方法有：

1）盡量不要使用源地址認(rèn)證的服務(wù)系統(tǒng)以及基于IP的認(rèn)證機制，對于遠(yuǎn)程Telnet服務(wù)考慮由SSH替代。

2）在邊界路由器上采取源地址過濾措施，檢查進(jìn)入本網(wǎng)數(shù)據(jù)包的源IP，防止使用本地IP的外部數(shù)據(jù)進(jìn)入本網(wǎng)絡(luò)，從而防御IP欺騙攻擊。

4 總結(jié)

對網(wǎng)絡(luò)來說，除了滿足功能性需求外，還要保證網(wǎng)絡(luò)的安全，防止網(wǎng)絡(luò)受到各種安全性攻擊。在網(wǎng)絡(luò)安全中協(xié)議漏洞是最嚴(yán)重的安全漏洞，給攻擊者創(chuàng)造了成功機會。ARP欺騙攻擊正是利用了 ARP 協(xié)議自身的安全漏洞，通過專用攻擊工具讓攻擊極易成功。IP欺騙攻擊也是利用TCP/IP協(xié)議存在的漏洞來實施的。對于類似網(wǎng)絡(luò)攻擊，用戶除了做好網(wǎng)絡(luò)和終端設(shè)備等硬件的安全防范工作外，還要不斷提高安全意識，不斷了解防范欺騙類攻擊的最新技術(shù)，真正做到防患于未然。

參考文獻(xiàn)：

[1] 謝希仁.計算機網(wǎng)絡(luò)（第五版）[M].北京：電子工業(yè)出版社，2008.

[2] 李浩.ARP.病毒攻擊分析及其防御措施[J].寧波廣播電視大學(xué)學(xué)報，2007.

[3] 李成友，韓昧華.互聯(lián)網(wǎng)協(xié)議中地址解析的欺騙問題研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010.

[4] 鄭亞，謝琳.DNS的原理及其應(yīng)用[J].軟件導(dǎo)刊，2012.

[5]Hudaib Z. DNS Advanced Attacks and Analysis[J]. International Journal of Computer Science and Security （IJCSS），2014.