嚴(yán) 蕾，何 覃

（西安財經(jīng)學(xué)院行知學(xué)院，陜西 西安 710038）

基于ARP原理攻擊的校園網(wǎng)絡(luò)安全策略分析

嚴(yán) 蕾，何 覃

（西安財經(jīng)學(xué)院行知學(xué)院，陜西 西安 710038）

在眾多威脅校園網(wǎng)絡(luò)安全因素當(dāng)中，ARP自身工作的缺陷漏洞常常被利用，攻擊者從而施以各類型的網(wǎng)絡(luò)欺騙。文章從ARP的工作原理角度出發(fā)，總結(jié)出的3種網(wǎng)絡(luò)欺騙攻擊行為，并針對性的從ARP自身優(yōu)化以及網(wǎng)絡(luò)通信環(huán)境各個層面分析，提出應(yīng)對策略，為校園網(wǎng)絡(luò)安全提供服務(wù)。

網(wǎng)絡(luò)安全；校園網(wǎng)；ARP攻擊；應(yīng)對策略

當(dāng)今，網(wǎng)絡(luò)安全已上升為國家戰(zhàn)略問題，受到來自各種形式的安全威脅，其中以網(wǎng)絡(luò)協(xié)議之一地址解析協(xié)議ARP為目標(biāo)進行校園網(wǎng)絡(luò)攻擊時?？梢姡捎贏RP協(xié)議本身的工作原理沒有一定的通信信用核實機制，導(dǎo)致在同一個虛擬局域網(wǎng)中的主機容易遭受來自其他主機ARP的廣播請求錯誤或者信息源無法驗證，形成廣播被響應(yīng)錯誤或數(shù)據(jù)被截獲的攻擊。致使校園網(wǎng)絡(luò)用戶網(wǎng)絡(luò)間斷、掉線形式，妨礙校內(nèi)正常網(wǎng)絡(luò)教學(xué)、辦公等，學(xué)校相關(guān)部門對此應(yīng)當(dāng)作出相應(yīng)分析與對策，保障校園網(wǎng)絡(luò)安全與信息安全。下面將從ARP工作機制、漏洞攻擊的方式以及各種相對應(yīng)的優(yōu)化策略進行分析。

1 ARP簡介與工作原理機制

1.1 簡介

地址解析協(xié)議（Add ress Resolution Protocol，ARP）是Internet中TCP/ΙP協(xié)議簇的子協(xié)議之一。工作在TCP/ΙP模型的第三層網(wǎng)絡(luò)層，目標(biāo)作用是將主機的IP地址即網(wǎng)絡(luò)地址映射到M AC地址即物理地址的協(xié)議，M AC地址對應(yīng)TCP/ΙP模型的第四層網(wǎng)絡(luò)接口層，對應(yīng)OSI開放式系統(tǒng)互聯(lián)七層參考模型的數(shù)據(jù)鏈路層和物理層[1]。在網(wǎng)絡(luò)中，網(wǎng)絡(luò)層通信主機之間以IP地址定位，而在物理層是通過M AC地址識別的。ARP是完成主機間在物理層到數(shù)據(jù)鏈路層間的通信協(xié)議。

1.2 工作原理機制

在網(wǎng)絡(luò)通信中，每個主機里都有IP與MAC動態(tài)緩存機制表。若主機a和主機b進行通信，主機a向目標(biāo)主機b發(fā)送數(shù)據(jù)信息，由于數(shù)據(jù)幀頭部需要顯示目標(biāo)主機的MAC地址，所以主機a在自身ARP緩存表中查找是否暫存有主機b的IP地址，如果有則直接將緩存的主機b的MAC加到幀上，正常通信；如果沒有，則主機a在所處的LAN中進行廣播，發(fā)送ARP請求報文，尋找主機b的MAC地址，主機b收到廣播的數(shù)據(jù)幀，響應(yīng)并反饋給a，主機a將以最新的主機b對應(yīng)的MAC地址進行緩存，方便再次通信的直接調(diào)取[2]。

2 利用ARP漏洞的攻擊方式

在某LAN中，攻擊者利用局域網(wǎng)中主機、網(wǎng)關(guān)相互信任的通信特點，偽裝成ARP應(yīng)答包以及局域網(wǎng)中存在的某臺主要網(wǎng)絡(luò)IP地址，進行欺騙目標(biāo)主機、網(wǎng)關(guān)，從而造成網(wǎng)絡(luò)的非法數(shù)據(jù)信息獲取。

2.1 攻擊主機

在LAN中，主機a向主機b通信，但在a當(dāng)中沒有緩存b的MAC地址，于是進行廣播。主機a被作為目標(biāo)主機，攻擊者向主機a發(fā)送假ARP應(yīng)答包，目標(biāo)主機a收到攻擊者的假MAC地址，主機a更新的b是錯誤的IP地址[3]。

2.2 攻擊網(wǎng)關(guān)

在LAN中，網(wǎng)關(guān)路由器中也存在ARP緩存表，當(dāng)攻擊主機偽裝一個假的ARP應(yīng)答包時，利用LAN其中的一主機的IP地址冒充成自己的，而MAC地址則是自己真實的，故當(dāng)此假ARP應(yīng)答包通過網(wǎng)關(guān)時，網(wǎng)關(guān)收到真主機的IP和攻擊者的MAC而更新緩存表，則當(dāng)網(wǎng)關(guān)發(fā)送到真IP地址的時候，直接轉(zhuǎn)發(fā)到攻擊者主機上，導(dǎo)致網(wǎng)關(guān)的發(fā)送錯覺，對網(wǎng)關(guān)的安全造成攻擊。

2.3 攻擊主機+網(wǎng)關(guān)

在LAN中，攻擊主機會同時發(fā)送給目標(biāo)主機和網(wǎng)關(guān)假的ARP應(yīng)答包，一方面給目標(biāo)主機的應(yīng)答包中包含自己的偽M AC地址，攻擊主機的網(wǎng)關(guān)緩存表中的M AC地址則是假的；另一方面攻擊主機發(fā)送到網(wǎng)關(guān)的應(yīng)答包中，包含有其中冒充某主機的真IP地址，MAC地址還是攻擊主機的，于是網(wǎng)關(guān)發(fā)送數(shù)據(jù)信息時，被轉(zhuǎn)發(fā)到了攻擊主機處，則造成的現(xiàn)象是目標(biāo)主機的短暫掉線情況，在此期間攻擊主機截獲了信息，威脅安全。

3 安全防范策略的研究

由于ARP的通信必要性，無法去除此協(xié)議，所以必須采取必要的防范策略進行安全防御，以下提出幾種策略方案，從協(xié)議工作原理、網(wǎng)絡(luò)通信環(huán)境、網(wǎng)絡(luò)設(shè)備等來研究。

3.1 增加ARP通信安全驗證功能

通過ARP工作原理，發(fā)現(xiàn)ARP在主機通信間缺乏安全認(rèn)證機制，故從安全認(rèn)證方面來增強安全性[4]。若主機a向主機b發(fā)送數(shù)據(jù)，a在自己中查找是否有b對應(yīng)的IP，有則直接發(fā)送，無則開始在網(wǎng)內(nèi)廣播；b接收到ARP應(yīng)答包，同時向a發(fā)送一個只有b自己知道的驗證包，b先判斷此驗證包是否真假，若真則給出驗證的方法，即完成驗證機制，進而方可更新a的ARP緩存，加強了通信安全性。

3.2 設(shè)置靜態(tài)緩存表IP

無論在網(wǎng)絡(luò)中的主機或是相應(yīng)的網(wǎng)關(guān)，都存在ARP緩存表，利用不斷地緩存更新導(dǎo)致漏洞的存在，被隨意更改IP與M AC的映射。通過對主機系統(tǒng)下和網(wǎng)關(guān)的設(shè)置，添加每臺設(shè)備對應(yīng)的IP與MAC地址，在主機中的操作，通過命令：ARP將IP綁定設(shè)置，主機和網(wǎng)絡(luò)均可通過此方法查詢目標(biāo)主機地址，如圖1所示。

圖1 靜態(tài)綁定IP與MAC地址

3.3 設(shè)置殺毒軟件、防火墻等主動隔離

此方法對LAN中的個人用戶比較有效，ARP防火墻通過攔截假應(yīng)答包，告知目標(biāo)主機正確的物理地址，而起到排除網(wǎng)絡(luò)IP地址沖突、防御惡意攻擊等作用[5]。管理人員需在校園網(wǎng)站上放置相應(yīng)殺毒軟件、ARP防火墻等抵御工具，供校園網(wǎng)用戶下載使用，注重正確使用和及時更新版本開啟對應(yīng)功能，并提醒校園網(wǎng)用戶對于比較重要的個人文件和部門共享文件等，注意信息安全保護，因為ARP防火墻只是防御功能，減小被攻擊的可能性，并不能完全根除隱患。

3.4 采用技術(shù)隔離—VLAN交換機端口隔離

由于校園網(wǎng)的物理區(qū)域比較大，可以將其劃分為多個邏輯上相關(guān)的相對小范圍容易管理的區(qū)域即VLAN虛擬局域網(wǎng)邏輯隔離技術(shù)，因此該方法的工作量比較大。

若有ARP攻擊出現(xiàn)，則可以在劃分出的該虛擬局域網(wǎng)VLAN進行及時處理，處理方法首先確定后臺檢測控制的某主機的IP地址和所處VLAN，每個VLAN都有一個交換機端口，進行端口的設(shè)置[6]，如用某品牌交換機H3C系列在VLAN的3個分層全面進行部署并設(shè)置開啟隔離，在該局域網(wǎng)接入層設(shè)置啟動DHCP snooping，DHCP snooping通常維護一張綁定表，里面有多種信息，其中包括DHCP Client的IP地址的對應(yīng)關(guān)系，確保合法Client對網(wǎng)絡(luò)的訪問，類似于在Dhcp Client和DHCP Server之間建立一道防火墻，保證了直接隔離非法ARP攻擊包的入侵。

3.5 IP協(xié)議版本的更新

在校園網(wǎng)中，目前應(yīng)用的IP，可以應(yīng)用IP來增強攻擊的防御功能。由于ARP協(xié)議只有在IP中被定義應(yīng)用，在IP中的此功能被鄰居發(fā)現(xiàn)協(xié)議NDP替代并升級了，NDP還增加了如：前綴發(fā)現(xiàn)、鄰居不可達檢測NUD、無狀態(tài)地址配置等功能，NDP一部分通過在節(jié)點間交互鄰居請求NS和鄰居公告NA報文完成IP地址到MAC地址的解析，另一部分就是鄰居不可達檢測NUD的維護過程，進行全校園網(wǎng)的協(xié)議更新也是一種安全方式。

4 結(jié)語

通過對校園網(wǎng)ARP攻擊原理的分析，實質(zhì)是在網(wǎng)絡(luò)層與數(shù)據(jù)鏈路層上協(xié)議的本身漏洞特點造成的，以協(xié)議自身、通信環(huán)境、網(wǎng)絡(luò)設(shè)備部署、防火墻設(shè)置、網(wǎng)絡(luò)協(xié)議版本升級等方式多維度分析增強防御策略，穩(wěn)定校園網(wǎng)的安全運行。在實際中對校園網(wǎng)管理部門以及網(wǎng)絡(luò)安全建設(shè)提供了理論依據(jù)與方法，有助于校園網(wǎng)絡(luò)安全工作。

[1]謝希仁.計算機網(wǎng)絡(luò)[M].6版.北京：電子工業(yè)出版社，2013.

[2]朱澤波.ARP防攻擊技術(shù)的研究與實現(xiàn)[D].南京：南京理工大學(xué)，2013.

[3]邊浩江.ARP欺騙的偵測及防御方法的研究與實現(xiàn)[D].昆明：昆明理工大學(xué)，2015.

[4]鄭森森.基于ARP欺騙的數(shù)據(jù)截獲與高速轉(zhuǎn)發(fā)技術(shù)研究[D].四川：四川師范大學(xué)，2015.

[5]李紅.如何防御校園網(wǎng)內(nèi)的ARP攻擊[J].赤峰學(xué)院學(xué)報（科學(xué)教育版），2011（5）：106-107.

[6]邢金閣，劉揚.ARP欺騙攻擊的檢測及防御技術(shù)研究[J].東北農(nóng)業(yè)大學(xué)報，2012（8）：74-77.

Analysis on the strategy of campus network security based on ARP principle attack

Yan Lei, He Tan
（Xingzhi College of Xi’an University of Finance and Econom ics, Xi’an 710038, China）

Among many security factors threatening the campus network security, the defects and flaws of ARP itself work loophole has often been used so that attackers further implement various types of network cheating. From the perspective of the working principle of ARP, the article summarizes three kinds of network cheating attack behaviors, and puts forward coping strategies to provide services for campus network security by analyzing the ARP self-optim ization and various aspects of network communication environment.

Ιnternet security; campus network; ARP attack; coping strategy

嚴(yán)蕾（1988— ），女，陜西渭南，碩士，助教；研究方向：信息管理與信息系統(tǒng)。