石 峰

(包頭財(cái)經(jīng)信息職業(yè)學(xué)校,內(nèi)蒙古 包頭 014060)

0 引言

ARP病毒的出現(xiàn)為國(guó)民的網(wǎng)絡(luò)生活帶來(lái)不利,甚至對(duì)使用者的隱私造成威脅,所以ARP病毒的防范和ARP防火墻技術(shù)的使用顯得尤為重要。

1 ARP防火墻技術(shù)概述

1.1 ARP攻擊方式

1.1.1 ARP泛洪攻擊

ARP泛洪攻擊主機(jī)將持續(xù)性地把偽造的MAC-IP映射發(fā)送給受害主機(jī)并對(duì)局域網(wǎng)內(nèi)的所有終端進(jìn)行廣播,感染正常通信。ARP泛洪攻擊有以下3點(diǎn)特征:第一是通過(guò)偽造ARP廣播數(shù)據(jù)使終端不停地處理廣播數(shù)據(jù),從而消耗網(wǎng)絡(luò)帶寬；第二是ARP泛洪攻擊將局域網(wǎng)內(nèi)部的主機(jī)或者網(wǎng)關(guān)無(wú)法及時(shí)找到通信對(duì)象,導(dǎo)致通信異?；蛘咄ㄐ抛钄啵坏谌怯锰摂M的IP地址信息搶占ARP高速緩存空間,造成終端無(wú)法創(chuàng)建緩存表,無(wú)法進(jìn)行通信。

1.1.2 ARP溢出攻擊

ARP溢出攻擊的特征主要分為兩種:第一是數(shù)據(jù)包中的源IP地址是非本地網(wǎng)絡(luò)中的虛擬IP地址,但是其MAC地址是固定的,當(dāng)操作系統(tǒng)收到源IP地址在ARP高速緩存表中的數(shù)據(jù)包時(shí),就會(huì)在緩存表中建立對(duì)應(yīng)的入口項(xiàng)；第二是數(shù)據(jù)包中的源IP地址是非本地網(wǎng)絡(luò)中虛擬的IP地址,但是其MAC地址是變化的,發(fā)送這種攻擊數(shù)據(jù)包時(shí)會(huì)引起CAM表溢出。

1.1.3 ARP掃描攻擊

ARP掃描攻擊是向局域網(wǎng)中的所有使用終端發(fā)送ARP請(qǐng)求,從而獲取終端的IP和MAC地址映射對(duì)。ARP掃描是為發(fā)送ARP掃描攻擊而做準(zhǔn)備,從而達(dá)到網(wǎng)絡(luò)監(jiān)聽(tīng)、盜取數(shù)據(jù)等隱蔽式攻擊的目的。

1.1.4 虛擬主機(jī)攻擊

虛擬主機(jī)攻擊是攻擊者將自身虛擬成局域網(wǎng)絡(luò)中的一臺(tái)主機(jī),擁有虛擬的IP地址和物理地址,通過(guò)鏈路層捕獲的ARP請(qǐng)求數(shù)據(jù)包對(duì)其進(jìn)行分析,對(duì)于虛擬IP地址的ARP請(qǐng)求則會(huì)發(fā)送對(duì)應(yīng)的ARP響應(yīng)和ARP通告。虛擬主機(jī)攻擊會(huì)占用局域網(wǎng)絡(luò)中的IP地址,使之與正常運(yùn)行的主機(jī)IP地址發(fā)生沖突,并且新加入局域網(wǎng)的主機(jī)也無(wú)法正常獲取IP地址,影響主機(jī)正常運(yùn)行。

1.2 ARP防火墻技術(shù)

ARP防火墻可在局域網(wǎng)內(nèi)攔截虛擬的ARP數(shù)據(jù)包以及主動(dòng)通告網(wǎng)關(guān)本機(jī)正確的MAC地址,以確保不經(jīng)過(guò)第三者達(dá)到保障數(shù)據(jù)正確流向的目的。ARP防火墻技術(shù)是保證局域網(wǎng)內(nèi)數(shù)據(jù)安全、網(wǎng)絡(luò)暢通、數(shù)據(jù)不受第三方控制的防火墻技術(shù)。

2 校園網(wǎng)網(wǎng)絡(luò)安全影響因素分析

2.1 規(guī)模龐大,終端不統(tǒng)一

校園網(wǎng)中的用戶不僅數(shù)量較多,并且使用頻次密集,再加上校園網(wǎng)與外界網(wǎng)絡(luò)有著密切聯(lián)系,所以用戶攜帶的電腦若已經(jīng)被外界網(wǎng)絡(luò)病毒攻擊,那么終端接入校園網(wǎng)之后,校園網(wǎng)也極易受到病毒的侵害,影響校園網(wǎng)的安全運(yùn)行。

2.2 用戶群體使用活躍

校園網(wǎng)中的使用群體主要是學(xué)生和老師,其中學(xué)生作為最活躍的使用群體,為校園網(wǎng)的安全帶來(lái)一定影響,同時(shí)由于無(wú)法確定下載的資源是否安全,導(dǎo)致資源中隱藏的木馬等病毒侵入校園網(wǎng)絡(luò)。

3 防火墻技術(shù)在校園網(wǎng)環(huán)境中的應(yīng)用

3.1 部署防火墻

部署防火墻主要是將防火墻技術(shù)置于保護(hù)網(wǎng)絡(luò)資源的前方,讓防火墻技術(shù)能夠發(fā)揮抵御病毒、防止病毒侵害的作用,為使用者提供網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控和管理[1]。

3.2 選擇工作模式

防火墻技術(shù)中的工作模式分為路由模式、透明模式和混合模式。若其他設(shè)備已經(jīng)完成配置,使用者通過(guò)防火墻-路由器訪問(wèn)互聯(lián)網(wǎng),防火墻需要設(shè)置相應(yīng)的NAT規(guī)則,將防火墻模式改為路由模式；若設(shè)備配置完成,使用者通過(guò)路由器-防火墻-路由器訪問(wèn)互聯(lián)網(wǎng),那么防火墻則設(shè)置為透明模式,并且其安全規(guī)則改為包過(guò)濾規(guī)則[2]。用戶應(yīng)該根據(jù)校園網(wǎng)的實(shí)際情況、結(jié)構(gòu)、使用需求選擇合適的模式進(jìn)行連接。

3.3 訪問(wèn)控制策略

首先設(shè)置DMZ。DMZ是解決安裝防火墻之后用戶無(wú)法訪問(wèn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的問(wèn)題而設(shè)立的緩沖區(qū)域,使校園網(wǎng)絡(luò)之外的用戶在外網(wǎng)情況下也能訪問(wèn)內(nèi)網(wǎng)資源；配置NAT是通過(guò)一對(duì)一或一對(duì)多的形式將內(nèi)網(wǎng)地址與外網(wǎng)地址進(jìn)行轉(zhuǎn)換,不僅能夠解決外網(wǎng)地址不足的問(wèn)題,也能夠隱藏真實(shí)IP地址,為網(wǎng)絡(luò)訪問(wèn)起到安全防護(hù)作用；攻擊檢測(cè)與防護(hù)能夠抵擋外網(wǎng)漏洞掃描、木馬攻擊、惡意代碼植入等攻擊,以分析、識(shí)別、統(tǒng)計(jì)、流量異常監(jiān)視等手段判斷是否具有入侵行為,及時(shí)發(fā)現(xiàn)并及時(shí)阻止入侵行為；網(wǎng)絡(luò)訪問(wèn)控制是使用終端進(jìn)行端口過(guò)濾、過(guò)濾審計(jì)、URL攔截和Ddos攻擊等,長(zhǎng)時(shí)間結(jié)合時(shí)間對(duì)象、區(qū)域?qū)ο?、服?wù)對(duì)象等進(jìn)行全方位的掌控和監(jiān)護(hù)；應(yīng)用層控制是針對(duì)網(wǎng)絡(luò)、郵件或其他應(yīng)用對(duì)應(yīng)用內(nèi)容進(jìn)行分析,篩除垃圾郵件,并針對(duì)具體應(yīng)用和識(shí)別控制采取病毒防護(hù)和入侵防護(hù)措施；病毒防護(hù)是通過(guò)防火墻技術(shù)的相應(yīng)配置,依托病毒特征建立病毒特征庫(kù),達(dá)到隔離病毒、預(yù)防病毒入侵的目的；安全報(bào)警是當(dāng)設(shè)備本身出現(xiàn)故障或者安全事故時(shí)發(fā)出警報(bào),以便于管理員及時(shí)處理；身份認(rèn)證預(yù)授權(quán)是將防火墻技術(shù)作為認(rèn)證服務(wù)器,為用戶提供認(rèn)證服務(wù)并與第三方認(rèn)證服務(wù)器通力協(xié)作,完成動(dòng)態(tài)口令、證書(shū)等用戶認(rèn)證功能,結(jié)合其他訪問(wèn)控制策略,達(dá)到對(duì)使用終端的網(wǎng)絡(luò)行為實(shí)時(shí)管控的目的；流量控制是在網(wǎng)絡(luò)資源受限的情況下,各類應(yīng)用搶占網(wǎng)絡(luò)帶寬時(shí)通過(guò)技術(shù)手段保證網(wǎng)絡(luò)的服務(wù)質(zhì)量,針對(duì)校園網(wǎng)應(yīng)用情況可以采用部署QOS策略。

4 校園網(wǎng)環(huán)境中ARP防火墻技術(shù)的配置

4.1 利用命令行方式檢測(cè)并綁定

當(dāng)校園網(wǎng)中出現(xiàn)ARP攻擊時(shí),ARP公司的計(jì)算機(jī)會(huì)發(fā)送ARP攻擊廣播,此時(shí)校園網(wǎng)中其他電腦會(huì)根據(jù)ARP緩存表,將網(wǎng)關(guān)中的MAC地址記錄成帶有ARC病毒的MAC地址。因此,此時(shí)需要打開(kāi)命令提示符窗口,輸入“arp-a”顯示ARP緩存表內(nèi)容,若緩存表顯示內(nèi)容與源數(shù)據(jù)不符合,那么表明ARP緩存表中的數(shù)據(jù)已經(jīng)受到侵害,甚至已經(jīng)被篡改。若出現(xiàn)被篡改的情況,則應(yīng)該刪除現(xiàn)有的IP-MAC對(duì)應(yīng)表,再在緩存表中添加正確的IP-MAC數(shù)據(jù)。

4.2 在交換機(jī)端口應(yīng)用IP-MAC進(jìn)行綁定

在交換機(jī)端口上將MAC地址與IP地址端口進(jìn)行綁定。綁定成功之后,交換機(jī)的ARP緩存表數(shù)據(jù)將固定,任何ARP病毒攻擊或者侵入都無(wú)法改變或者影響交換機(jī)的ARP緩存表,以此保證路由的準(zhǔn)確性。

4.3 在交換機(jī)上設(shè)置VLAN

校園網(wǎng)中各個(gè)使用終端的廣播信息不能跨越校園網(wǎng)絡(luò),所以通過(guò)劃分和設(shè)置VLAN能夠縮小ARP廣播的傳播范圍,從而減小ARP攻擊為校園網(wǎng)帶來(lái)的影響。校園網(wǎng)絡(luò)管理人員利用ARP病毒專殺工具監(jiān)測(cè)校園網(wǎng)絡(luò)中交換機(jī)上出現(xiàn)的病毒源頭之后,立即關(guān)閉病毒傳染的端口,使用終端檢查相應(yīng)的用戶,并及時(shí)通知其徹底查殺病毒,繼而關(guān)閉校園網(wǎng)絡(luò)連接,做好單機(jī)防范。在徹底查殺病毒之后再開(kāi)放交換機(jī)端口,重新開(kāi)通,連接互聯(lián)網(wǎng)進(jìn)行使用。

4.4 ARP報(bào)文限速功能

H3C低端以交換機(jī)支持端口提供ARP報(bào)文限速的功能,使受到ARP攻擊的端口暫時(shí)關(guān)閉通信功能[3]。開(kāi)啟了ARP報(bào)文限速功能之后,交換機(jī)將對(duì)ARP報(bào)文數(shù)量實(shí)行每秒統(tǒng)計(jì),若每秒出現(xiàn)的ARP報(bào)文數(shù)量超過(guò)了原有的報(bào)文限定值則判定此使用端口受到ARP報(bào)文沖擊。此時(shí)若使用終端關(guān)閉端口,使終端拒絕接收任何報(bào)文便能夠有效避免ARP報(bào)文攻擊。

5 結(jié)語(yǔ)

ARP攻擊是利用了ARP協(xié)議上的設(shè)計(jì)問(wèn)題為網(wǎng)絡(luò)安全、信息安全、隱私安全和財(cái)產(chǎn)安全帶來(lái)隱患,基于此應(yīng)該注重從ARP根源處出發(fā),采取行之有效的防護(hù)措施減小或杜絕ARP病毒帶來(lái)的危害,保證校園網(wǎng)絡(luò)的暢通和安全。