王曉妮，韓建剛

(1.咸陽師范學院 信息中心，陜西 咸陽 712000；2.西北機電工程研究所電調室，陜西 咸陽 712000)

0 引 言

隨著網絡通信和計算機技術的飛速發(fā)展，人們的工作和生活離不開網絡，整個社會已進入信息時代，擔任國家信息化建設重要任務的高校責無旁貸，智慧校園應運而生[1]。校園網對高校的科學研究、行政管理、人才培養(yǎng)、學科建設和師生工作學習及日常生活等方面產生了深遠的影響，已成為學校的重要基礎設施。然而高校信息化建設的快速發(fā)展和校園網用戶的急劇增加，使網絡安全問題變得尤為突出，最為常見的欺騙攻擊便來自于ARP病毒。其破壞力非常大，它的危害程度在所有電腦病毒中位居第五，ARP欺騙攻擊已嚴重威脅校園網的安全，ARP病毒的防御問題已引起廣大高校網絡管理人員的高度重視[2]。文中分析了常見的ARP欺騙防御措施存在的不足，并提出免疫網絡以解決高校局域網中的ARP欺騙攻擊。

1 ARP攻擊原理和危害

ARP(address resolution protocol，地址解析協(xié)議)是一個根據(jù)主機IP地址獲取其MAC地址的TCP/IP協(xié)議[3]。在IPV4網絡環(huán)境中會為每臺設備分配一個固定的IP地址，可是如果兩臺主機想在以太網中直接通信，源主機僅知道目標主機的IP地址是無法實現(xiàn)的，必須知道其IP地址對應的MAC地址(唯一標識)，而這個MAC地址只能通過ARP協(xié)議獲取[4]。ARP協(xié)議的工作原理[5]見圖1。因為ARP協(xié)議在起初設計時沒有考慮到其安全性，它是以LAN中所有設備都相互信任和安全為基礎來實現(xiàn)的。雖然ARP協(xié)議保證了數(shù)據(jù)傳輸?shù)谋憬莞咝?，但是其自身卻存在廣播性、無認證、動態(tài)性和無狀態(tài)這些安全漏洞[6]。

圖1 ARP協(xié)議工作原理

ARP欺騙攻擊就是黑客利用ARP協(xié)議的這些漏洞，把自己的MAC和想要截獲數(shù)據(jù)的目標設備的IP構成IP/MAC發(fā)送給源主機，冒充目標主機去響應ARP請求，讓收到響應的源主機更新其ARP cache，這樣就讓本該發(fā)送給目標主機的數(shù)據(jù)發(fā)給了黑客。ARP病毒欺騙原理如圖2所示。校園網中出現(xiàn)了ARP攻擊欺騙現(xiàn)象，病毒主機就會向網絡中發(fā)送大量的數(shù)據(jù)包，造成網絡擁塞，出現(xiàn)用戶打開網頁很慢甚至根本無法打開的現(xiàn)象[7]，接著發(fā)現(xiàn)整個校園網中病毒的網段內的主機不停提示IP地址沖突、網速奇慢無比、頻繁斷網、不停有惡意廣告彈出，重啟設備、網卡禁用或更換新的IP后網絡就會恢復短暫的正常[8]。

圖2 ARP欺騙網關攻擊原理

2 基于免疫網絡的ARP欺騙攻擊防御方案設計

2.1 需求分析

目前ARP欺騙防御措施雖然很多，但用戶仍舊無法徹底擺脫ARP欺騙攻擊的困擾，主要是因為常見的防御措施存在諸多不足[9]。雙向靜態(tài)綁定雖能有效防止普通的ARP欺騙攻擊，但僅適應于較小規(guī)模的局域網，一旦更換上網地點綁定就會失效[10]。VLAN劃分由于缺乏保護網關的措施，即使VLAN劃分的再細，一旦網關遭受了ARP攻擊就會前功盡棄。ARP防火墻無法識別所綁網關的正確性，無法解決ARP攻擊造成的危害，故存在一定的風險[11]。交換機端口綁定必須利用那些帶有MAC學習功能的交換機，其價格很高，這就加大了網絡投資成本[12]。ARP服務器法必須保證ARP服務器的安全性，這就成了整個校園網的瓶頸，稍有不慎就會全網癱瘓。采用PPPOE計費方式雖能避免其遭受ARP欺騙，但由于封裝和解封裝操作降低了網絡傳輸率，該技術使局域網間無法訪問和共享網絡資源[13]。故現(xiàn)有ARP防范措施都存在一定的問題，雖然對ARP進行了非常深入的研究，但依然在實踐中無法徹底解決。因此，免疫網絡防御方案應運而生。在校園網中組建免疫網絡系統(tǒng)成本不是很高，因為所使用的網絡設備和以往傳統(tǒng)設備價位差不多，但在性能上卻有很大的優(yōu)越性[14]?？梢姴捎妹庖呔W絡來防御ARP欺騙的方案在技術上是可行的。

2.2 設計思想及目標

該方案的設計思路是網絡問題靠網絡手段去解決，其核心是免疫墻，利用其免疫機制來控制管理內網的傳輸層和鏈路層操作，實現(xiàn)內網安全管理防御ARP攻擊。此方案通過控制中心、驅動程序、免疫路由器和服務器等軟硬件相結合的獨特技術架構，利用先天免疫技術來實現(xiàn)網關的主動防御機制和獨特的NAT處理機制這兩種有效技術措施，提前制定好相關的免疫策略來控制校園網，從多角度立體化防御ARP攻擊。

該方案的設計目標是通過免疫網絡技術來對校園網進行內外兼顧和軟硬兼施綜合管理，采用免疫路由器、用戶終端上網驅動程序和監(jiān)控中心三者結合，對校園網運行狀況全面掌控。它打破了原來網絡被動防御的局限，立足局域網內部，聯(lián)動所有網絡設備、提高接入設備的可信度、增強了防御和控制措施、細化帶寬和業(yè)務管理和提高整個網絡的監(jiān)測評估，更好地解決目前多樣復雜的網絡攻擊和威脅。

2.3 技術架構設計

免疫網絡原指自然界的生物體內連鎖發(fā)生的那些自我識別過程，現(xiàn)指讓互聯(lián)網具備了類似人體的監(jiān)視、防御和穩(wěn)定的功能[15]。它運用了自我管理和防御的理念，將全網聯(lián)動、群控群防和源頭抑制這些措施充分利用在網絡中的所有節(jié)點，增強了其安全性，使其面對各種攻擊應對自如。免疫網絡防御體系是一套針對局域網底層防火墻，其核心是構造出類似于人體神經控制網絡技術的架構，把它的神經末梢滲透到網絡的各部分。免疫網絡通過免疫路由器管控局域網中的所有用戶主機，每個用戶主機的網卡驅動層都安裝了上網驅動程序，防止非法用戶的不安全接入。網絡中的所有設備和主機的驅動程序使其具有探測功能，通過探測流經本機上的網絡信息并將它發(fā)送到免疫監(jiān)控中心，該探測信息包含設備信息、異常流量和事件等。免疫監(jiān)控中心收到探測信息后根據(jù)規(guī)約庫中的控制策略對此做出響應并返回相應的指令，并給出相應的防御措施和警告信息。網絡設備和主機根據(jù)監(jiān)控中心的響應指令，通過免疫驅動程序采取措施攔截或清除非法傳播的錯誤網關信息，阻止其進入用戶主機，避免終端用戶主機發(fā)起ARP攻擊。

人體免疫系統(tǒng)需要分辨“敵我”，同樣免疫網絡防御體系也需要。在免疫網絡防御體系中，只允許符合條件的客戶端設備接入網絡，直接攔截和隔離來自非法用戶的數(shù)據(jù)包，對所有的網絡設備和數(shù)據(jù)報文通過免疫監(jiān)控中心來控制。此方案采用的核心設備是欣向NuR8528G+免疫路由器，IBM服務器，其操作系統(tǒng)是Server 2008，數(shù)據(jù)庫采用SQL Server 2005。首先要建立認證接入的基礎架構，保證各種應用的安全傳輸；其次檢測出異常信息后應及時攔截和清除，盡可能減少ARP攻擊；最后要建立信任的身份認證和管理體系，利用免疫驅動程序來實現(xiàn)合法用戶的身份認證，確保上網用戶的IP/MAC真實有效，用戶的所有上網數(shù)據(jù)都必須經過驅動程序，這樣便能有效防范ARP攻擊。

2.4 體系架構設計

利用免疫網絡與人體結構防御體系相對應的特點來設計方案的體系架構。該方案采用C/S體系架構，主要由服務器端、免疫路由器、內網安全協(xié)議和客戶端這幾部分組成。防火墻、物理網閘等網絡的隔離設備對應于人體的表皮層，交換機、路由器等網絡設備對應于人的神經層，服務器和用戶計算機等主機設備對應于人的體內組織。利用控制中心和通信協(xié)議將各組成部分聯(lián)動起來，全方位地遏制網絡安全威脅。服務器端包括免疫服務器、免疫監(jiān)控中心，策略庫和Webserver等免疫服務組件，主要負責資源存儲、審計監(jiān)控、發(fā)布控制策略、安全管理控制和應用服務等操作，實現(xiàn)統(tǒng)一管理網絡終端和網關，確保校園網內部協(xié)議穩(wěn)定安全?？蛻舳税ㄓ脩羯暇W驅動程序，主要向服務器發(fā)送請求和執(zhí)行來自服務器端的安全管理控制策略，避免用戶主機遭受其他網絡設備的攻擊及自身攻擊其他主機。內網安全協(xié)議負責服務器端和客戶端間的通信，將服務器、客戶端上網驅動程序、免疫墻路由器、免疫監(jiān)控中心等這些軟硬件資源有機結合在一起，實現(xiàn)各部分的聯(lián)動控制和信息共享。免疫網絡防御體系具體的體系架構如圖3所示。

圖3 免疫網絡體系架構

3 方案部署及實現(xiàn)

該方案采用軟硬件相結合的方式在校園網中搭建了一個可靠穩(wěn)定的基礎網絡平臺，提供整體內網基礎架構免疫服務來實現(xiàn)統(tǒng)一策略和安全管理，能夠有效防御ARP攻擊欺騙的發(fā)生。組建方式類似于傳統(tǒng)的校園網，在校園網中具體部署該方案的免疫網絡拓撲結構如圖4所示。部署過程如下：首先將普通網絡結構中的寬帶接入設備用免疫網關或免疫墻路由器代替，根據(jù)校園網管理的實際需求，把相應的免疫策略和IP管理措施在免疫網絡設備上規(guī)劃好；其次加入一臺始終運行免疫中心軟件和自帶網關的免疫服務器；要求所有用戶安裝客戶端的上網驅動程序，否則就無法上網。

具體實現(xiàn)過程如下：

(1)客戶端。在免疫模式下，校園網用戶必須通過免疫網關上網。所有用戶必須安裝記錄了網關MAC地址的上網驅動程序，實現(xiàn)對IP/MAC的看守式綁定，把正確的網關IP/MAC地址合理存儲和保護，杜絕對網關的非法更改，就能夠避免ARP欺騙的發(fā)生。

(2)服務器端。網管人員首先確定校園網用戶的真實身份，利用驅動程序將其真正的IP/MAC和免疫標識整合在一起形成數(shù)據(jù)包，防止篡改和假冒。網管員信息中心的運行室能夠通過免疫監(jiān)控中心對所有用戶上網行為隨時監(jiān)控和管理，變被動防御為主動出擊，及時發(fā)現(xiàn)ARP病毒引起的異常設備并把攻擊消滅在萌芽狀態(tài)。

圖4 免疫網絡拓撲結構

(3)免疫墻路由器。首先要對局域網用戶的IP地址進行NAT轉換，在進行NAT時改變了算法，加入了特殊的機制和安全措施，在IP轉換過程中網關自動將用戶主機的MAC地址記錄在它的NAT表中，丟棄了往常的NAT映射IP/MAC算法，拒絕處理所有對終端IP/MAC列表的ARP請求，避免了處理ARP請求，使ARP病毒對免疫網絡失效。這既從根本上杜絕了內網中出現(xiàn)ARP攻擊欺騙網關現(xiàn)象的發(fā)生，又能節(jié)省IP地址。針對該校的具體情況，對不同的區(qū)域采用的不同的NAT路由配置方法。例如校內專用服務器(Web、郵件、FTP、DSN等)和防火墻DMZ接口均采用靜態(tài)NAT，將其私有IP地址轉化為固定的公有IP，便于校外用戶對這些特定設備的訪問。而在用戶數(shù)相對松散的行政辦公區(qū)、綜合教學樓、后勤集團、校醫(yī)院、附中和幼兒園等采用動態(tài)NAT，將這些用戶的私有IP地址轉化為不確定的公有IP，可緩解IP地址緊缺的壓力。而在用戶密集和ARP攻擊泛濫區(qū)如學生公寓樓、家屬樓、各系部實驗室、多媒體教室和閱覽室采用端口復用動態(tài)NAT，改變外出數(shù)據(jù)的源端口并加以轉換，既能節(jié)省IP地址，又能防御外網攻擊。

現(xiàn)以辦公樓為例來進行端口復用動態(tài)NAT路由配置，共分四步：首先設置外部和內部端口；然后定義合法IP地址池和內部訪問列；接著改變算法和機制，并加入安全措施；最后設置復用動態(tài)地址轉換。對應的部分命令語法如下：interface serial/ehernet 0；ip address ip地址值+網關；ip nat outside/inside；interface ehernet 0；ip nat pool 地址緩沖池的名稱 ip地址范圍 netmask 子網掩碼；access-list 1 允許訪問的互聯(lián)網的網段范圍；ip nat inside source list 訪問列表號pool內部合法地址池名稱overload。

4 方案測試及應用效果

4.1 方案測試

由于校園網結構復雜，用戶數(shù)量大，故選擇圖書樓來進行方案測試，具體的測試環(huán)境如下：信息中心運行室北電核心交換機一臺，免疫路由器一臺，各樓宇間的銳捷匯聚交換機和接入交換機數(shù)臺，免疫中心服務器使用IBM服務器一臺，圖書樓中的用戶主機數(shù)臺。該系統(tǒng)C/S結構的客戶端驅動程序安裝在用戶主機上，免疫中心服務器端部署在IBM服務器上。

4.2 應用效果

在校園網中部署了免疫網絡技術方案后，能夠盤查到互聯(lián)網的出入口、總攬到校園網的全貌、拓展到校園網的最末端和入到網絡協(xié)議的最底層，很好地監(jiān)控和防御了該校的ARP病毒。通過測試可知，對免疫網絡防御ARP攻擊欺騙方案與目前ARP病毒常見的防御策略在具體應用中對技術指標進行了詳細對比，其結果見表1。

表1 ARP欺騙攻擊防御措施技術指標對比

從表1對比結果中可知，其他防御措施的技術指標達標率大部分在28.6℅～71.4℅之間，只有免疫網絡高達85.7℅，由此說明該方案的技術指標已達標。由于客戶端要安裝免疫驅動程序，因此不可避免地影響用戶上網操作，但其安裝過程簡便，速度很快幾乎可以忽略不計，對該方案的整體的性價比和實用性影響不大。

5 結束語

在高校局域網中組建免疫網絡系統(tǒng)后，能夠將外網的出入口檢測到、對內網的各個角落一覽無余、對協(xié)議的最底層和網絡的最末端觸手可及，使整個校園網的免疫力得到提高，全面抵御校園網中的ARP病毒攻擊。使網絡管理員能夠隨時監(jiān)控校園網內所有設備的運行細節(jié)，特別是對終端用戶設備的管理做到方便可控，能夠全面抵御網絡病毒，對ARP病毒防患于未然。較之六種常見的ARP病毒防御措施，免疫網絡具有嚴謹?shù)募夹g、可行的應用、低廉的成本等優(yōu)點，使它能夠很好地解決ARP欺騙攻擊。作為網絡技術前沿發(fā)展陣地的高校，擁有豐富的人力資源和國家大力支持的科研經費，這就為免疫網絡在高校中的推廣和深化提供了有力的保障。故在高校中搭建免疫網絡系統(tǒng)，為校園網的安全運行提供有力保障。