周嘉雯 陳德林 陳利

摘要：ARP本身協(xié)議的缺陷，沒有相應(yīng)的安全認證，尤其在廣域網(wǎng)防護能力日漸提升的情況下，局域網(wǎng)的攻擊逐漸增多，首當其沖就是ARP攻擊。該文通過分析ARP協(xié)議的原理與其本身的協(xié)議漏洞，判斷在校園網(wǎng)環(huán)境中ARP攻擊方式，制定應(yīng)用相應(yīng)的防護策略。

關(guān)鍵詞：ARP;攻擊方式;防護策略

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2020）15-0067-02

隨著每個學校校園網(wǎng)的組建，校園網(wǎng)在給提供教師和學生便利的同時，也給攻擊者提供了可乘之機，而其中ARP攻擊是網(wǎng)絡(luò)中最常見的一種攻擊方式，它利用ARP協(xié)議作用的不可替代性以及本身協(xié)議存在的漏洞，已嚴重影響到學生和老師的正常上網(wǎng)和數(shù)據(jù)安全。因此掌握ARP工作原理和攻擊方式，制定應(yīng)用相應(yīng)的防護策略很有必要。

1 ARP攻擊

1.1 ARP協(xié)議工作原理

ARP協(xié)議雖然是TCP/IP協(xié)議組的一個子協(xié)議，但主要運用在通信的第二層。在局域網(wǎng)絡(luò)通信中，兩臺主機之間的通信必須要知道對方的物理地址，即MAC地址，ARP協(xié)議則可對目標主機IP（可由DNS獲得）進行解析而得到的。

當源主機需要和目標主機通信時，由于不知道對方的MAC地址，會發(fā)出ARP請求報文，目標主機收到請求報文后會向源主機發(fā)送ARP應(yīng)答報文，包含目標主機的MAC地址，從而獲得目標主機的MAC地址，完成通信。但是在通信中，源主機和交換機在收到ARP報文時不會檢測報文的真實性，直接讀取其中TP和MAC地址，存人相應(yīng)的ARP緩存表和MAC地址表中，而這兩個表如果遇到同樣MAC地址或1P發(fā)來的偽ARP報文時采用直接覆蓋更新的機制，導致表中IP與MAC地址的映射關(guān)系極易被仿冒、篡改。

同時本身主機會每隔固定時間在網(wǎng)絡(luò)中廣播免費ARP報文，包含自己IP和MAC地址，這些報文同樣會不加檢測的被其他主機獲取使自己的緩存表更新，從而導致漏洞的產(chǎn)生。

1.2 ARP攻擊方式

從ARP工作原理可以看出，該協(xié)議沒有任何的安全機制，攻擊者可以隨意偽造虛假的ARP報文信息在網(wǎng)絡(luò)中傳播。目前在校園網(wǎng)中主要為以盜取數(shù)據(jù)為目的的ARP欺騙和以破壞為目的的ARP泛洪這兩種攻擊方式為主。

1.2.1 ARP欺騙

如下圖1所示：PCA要與PCB進行通信，PCA首先需要使用ARP協(xié)議來查找目的PCB的MAC地址，以廣播的形式發(fā)送一個ARP請求報文給局域網(wǎng)上的每一臺主機，正常情況下只有PCB收到該廣播報文后，才會向PCA回復(fù)一個包含其MAC地址的報文，但這是PCC利用ARP協(xié)議的緩存更新不需要驗證的漏洞向PCA和PCB發(fā)送一個偽ARP響應(yīng)，將他們的ARP緩存表中關(guān)于PCA、PCB的MAC地址全部“更新”為自己的MAC地址，從而使PCA、PCB主機間的通信必須通過PCC，這時PCC可截獲A、B之間通信的所有數(shù)據(jù)。

PCC還可以在局域網(wǎng)內(nèi)部發(fā)送免費ARP報文，“欺騙”局域網(wǎng)內(nèi)部的主機網(wǎng)關(guān)地址是PCC的ip，由于缺乏驗證，其他主機會把自己原來正確的網(wǎng)關(guān)地址修改為主機PCC的MAC地址，這樣就會導致PCC能截獲并篡改內(nèi)外網(wǎng)之間通信的所有數(shù)據(jù)，形成網(wǎng)關(guān)偽造攻擊。

1.2.2 ARP泛洪

ARP泛洪攻擊是在校園網(wǎng)中連續(xù)大量發(fā)送正常ARP請求包，耗費主機帶寬，影響交換機和主機對正常ARP報文的學習。這種數(shù)據(jù)包是屬于正常的數(shù)據(jù)包。不會被ARP防火墻過濾掉，使用泛洪攻擊的攻擊者，以惡意破壞為目的，造成惡意ARP攻擊泛濫。

2 ARP攻擊防護策略

針對校園網(wǎng)規(guī)模大、交換機品牌繁多的特點，一般二層交換機僅使用其基本功能，如端口隔離等不添加復(fù)雜設(shè)置，我們需要配置三層交換機來進行ARP攻擊防護策略的應(yīng)用。

2.1固定MAC與主動確認

使用靜態(tài)綁定的方法把校園網(wǎng)中重要的服務(wù)器和網(wǎng)關(guān)的IP地址和MAC地址固定，不允許更改;對于一些需要動態(tài)獲取ip和更新MAC地址映射關(guān)系的設(shè)備如交換機等，使用主動確認的方式進行驗證，即當主機或者設(shè)備收到一個涉及需要修改MAC地址的ARP報文時，不會立即更新原ARP緩存表，而是先對原ARP緩存表中與此MAC地址對應(yīng)的用戶發(fā)一個單播幀確認，如果在規(guī)定時間內(nèi)收到回復(fù)，說明原MAC映射關(guān)系仍然存在，則在一段時間內(nèi)不允許對此該表項進行MAC地址修改，如果未收到回復(fù)，那么就對新主機發(fā)起一個單播請求報文，收到新主機的響應(yīng)報文之后才修改MAC地址。

2.2 DAI（Dynamic ARP Inspection）動態(tài)ARP監(jiān)測與網(wǎng)關(guān)保護

對于校園局域網(wǎng)搭建交換機設(shè)備，可開啟DAI功能進行動態(tài)ARP檢測，DAI開啟后交換機上的所有接口都是untrusted接口，其收到ARP報文時，會提取其中的三層或二層地址，與DHCP綁定表中的信息進行對比，查看IP是否合法。如果不合法會丟棄報文，不轉(zhuǎn)發(fā)。同時針對單一的ARP欺騙中的偽造網(wǎng)關(guān)攻擊，目前主流交換機都引入了ARP網(wǎng)關(guān)沖突防攻擊的功能，原理也是提取源ip信息，查看其ip是否合法。

2.3報文流量限制

針對校園網(wǎng)中ARP泛洪攻擊，在一段時間內(nèi)，如果交換機收到同一源MAC地址發(fā)來的ARP報文數(shù)目達到預(yù)設(shè)閾值，則認為使用該用戶在進行ARP攻擊，則會下發(fā)防攻擊表項，過濾該MAC地址，使其無法正常進行網(wǎng)絡(luò)通信。

2.4認證與加密

在校園網(wǎng)和其子網(wǎng)使用過程中，加入認證模塊，未認證無法加入校園網(wǎng)，從源頭上防范攻擊，同時針對敏感數(shù)據(jù)采用加密或者通過VPN封裝進行傳輸，保證在被攻擊情況下無重要信息泄露。并且認證與加密技術(shù)可通過應(yīng)用層處理去實現(xiàn)，無須添加更改下層網(wǎng)絡(luò)協(xié)議。通過此方式實現(xiàn)提高攻擊門檻和保證即使信息被竊取但無法解密的功能。

2.5設(shè)置防火墻開啟arp防攻擊

設(shè)置防火墻訪問控制并開啟arp防攻擊功能，定位和學習異常端口與異常MAC地址，一旦發(fā)現(xiàn)異常情況達到設(shè)定的閾值則關(guān)閉所有下聯(lián)端口，防止arp攻擊擴散至全網(wǎng)，同時對該端口進行查殺。

3總結(jié)

校園網(wǎng)的飛速發(fā)展給師生帶來便捷高效的學習生活，但由于大學生普遍網(wǎng)絡(luò)安全意識不高，同時廣域網(wǎng)中防護能力的增強，從而導致攻擊者將目光轉(zhuǎn)向校園網(wǎng)，嘗試ARP攻擊，很大可能造成信息泄露或者大面積掉線的威脅。本文根據(jù)ARP攻擊原理，結(jié)合在校園網(wǎng)的實際特征，制定應(yīng)用相應(yīng)的防護策略。