陳科武
摘要:近年來(lái)各種形式的ARP攻擊層出不窮,出現(xiàn)在校園網(wǎng)絡(luò)中的ARP攻擊往往導(dǎo)致網(wǎng)絡(luò)中斷,嚴(yán)重影響學(xué)校各項(xiàng)工作的正常開展。本文闡述和分析了ARP協(xié)議的工作原理及缺陷、常見的ARP攻擊方式及防治策略。
關(guān)鍵詞:ARP攻擊;校園網(wǎng);防治
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1673-8454(2008)22-0078-02
近年來(lái),許多校園網(wǎng)絡(luò)陸續(xù)出現(xiàn)內(nèi)網(wǎng)的電腦訪問互聯(lián)網(wǎng)時(shí)斷時(shí)續(xù),甚至整個(gè)網(wǎng)絡(luò)完全中斷的現(xiàn)象。究其原因,多數(shù)是因?yàn)榫W(wǎng)內(nèi)電腦上網(wǎng)時(shí)不慎感染ARP病毒或木馬,并在校園網(wǎng)內(nèi)傳播引起的。本文從ARP協(xié)議的工作原理及缺陷入手,深入分析了ARP的原理,并提出了行之有效的防治措施。
一、ARP協(xié)議的工作原理及缺陷
ARP全稱為Address Resolution Protocol,即地址解析協(xié)議。它在TCP/IP協(xié)議棧中屬于較低層的協(xié)議,負(fù)責(zé)將IP地址解析成對(duì)應(yīng)的MAC地址。當(dāng)以太網(wǎng)中兩臺(tái)主機(jī)通信時(shí),主機(jī)A首先檢查自己的ARP緩存中有沒有主機(jī)B的MAC地址,如果有則將主機(jī)B的IP地址映射到相應(yīng)的MAC地址,協(xié)議棧將IP包封裝到以太網(wǎng)幀中進(jìn)行傳送。如果沒有,主機(jī)A會(huì)發(fā)送一個(gè)ARP請(qǐng)求廣播包,當(dāng)主機(jī)B收到此廣播后,會(huì)發(fā)出ARP響應(yīng)包,將自己的MAC地址傳給主機(jī)A,同時(shí)主機(jī)B將主機(jī)A的IP地址/MAC地址添加到自己的ARP緩存中,以供后面使用。主機(jī)A收到主機(jī)B的ARP響應(yīng)包后,將更新自己的ARP緩存,并開始通信。
ARP協(xié)議作為一個(gè)局域網(wǎng)協(xié)議,它是建立在各主機(jī)之間相互信任的基礎(chǔ)上的,存在嚴(yán)重的安全隱患。正常情況下主機(jī)的ARP緩存生存期有限,例如Windows系統(tǒng)默認(rèn)存活2分鐘,在路由器中默認(rèn)存活4小時(shí),惡意用戶只要在下一次通信前成功地修改被欺騙機(jī)器上的ARP緩存,就可以進(jìn)行ARP欺騙。由于ARP協(xié)議是無(wú)狀態(tài)的,攻擊者可以隨心所欲地發(fā)送ARP響應(yīng)包,收到ARP響應(yīng)包的主機(jī)即使沒有發(fā)送過ARP請(qǐng)求廣播包也將無(wú)條件地利用響應(yīng)包更新自己的ARP緩存,從而受騙。
二、常見ARP攻擊
常見的ARP攻擊主要包括網(wǎng)關(guān)劫持和雙向的ARP欺騙。
圖1 自動(dòng)批處理文件示例
網(wǎng)關(guān)劫持是指攻擊主機(jī)仿冒網(wǎng)關(guān)發(fā)出ARP響應(yīng)包,誘騙其它客戶機(jī)以為攻擊主機(jī)是網(wǎng)關(guān),從而找不到真正的網(wǎng)關(guān)而無(wú)法上網(wǎng)。這種攻擊最常見的是校園網(wǎng)中某一臺(tái)電腦中了ARP病毒,導(dǎo)致整個(gè)網(wǎng)絡(luò)或者中毒電腦所在的網(wǎng)段不能上網(wǎng),如果病毒在校園網(wǎng)中迅速擴(kuò)散,大量的中毒電腦不斷發(fā)送ARP廣播包還可能導(dǎo)致整個(gè)網(wǎng)絡(luò)中斷。
正常情況下校園網(wǎng)中兩臺(tái)主機(jī)A和B是直接通信的,如果攻擊主機(jī)C在主機(jī)A面前通過ARP欺騙仿冒成主機(jī)B,同時(shí)又在主機(jī)B面前仿冒成主機(jī)A,那么攻擊主機(jī)C可以成為主機(jī)A和B之間的信息交流的中轉(zhuǎn)站,在主機(jī)A和B都不知情的情況下竊取他們交流的信息,這是一種典型的黑客行為,嚴(yán)重影響信息安全。
三、ARP攻擊的防治策略
有效防治ARP攻擊,可以分別從客戶端和服務(wù)端兩方面著手。
1.客戶端ARP攻擊防治
(1)靜態(tài)綁定法,針對(duì)網(wǎng)關(guān)劫持的ARP攻擊,可以使用以下命令:“arp –s 網(wǎng)關(guān)IP地址 網(wǎng)關(guān)MAC地址 ”,在客戶端電腦手工綁定網(wǎng)關(guān)的IP地址和MAC地址。為了避免每次開機(jī)都要進(jìn)行重復(fù)操作,建立以下批處理文件(以我校校園網(wǎng)為例配置,下同),并將該批處理文件設(shè)成隨機(jī)自動(dòng)啟動(dòng)即可。
(2)使用工具軟件法,常見的工具軟件有AntiArp,360ARP防火墻等等。以360ARP防火墻為例,可以在安全360軟件界面中點(diǎn)擊打開“保護(hù)-局域網(wǎng)ARP攻擊攔截-ARP攔截高級(jí)設(shè)置-綜合設(shè)置-添加保護(hù)網(wǎng)關(guān)IP/MAC”,將網(wǎng)關(guān)的IP地址和MAC地址輸入后確定退出即可。
2.服務(wù)端ARP攻擊防治
圖2 360ARP防火墻配置
圖3 網(wǎng)關(guān)ARP強(qiáng)制廣播配置
(1)交換機(jī)端口綁定,如果校園網(wǎng)使用Cisco、華為、3COM等品牌的中高端交換機(jī),可以每臺(tái)交換機(jī)設(shè)置IP地址和MAC地址綁定以及MAC地址與交換機(jī)端口的綁定,此方法可以有效地預(yù)防ARP攻擊和IP地址欺騙,但是配置繁瑣且靈活性差,適合較小型、少變化的校園網(wǎng)絡(luò)。
(2)配置VLAN,VLAN可以有效地隔離廣播報(bào)文,大大減少ARP病毒的傳播范圍和傳播速度,同時(shí)也減輕了交換機(jī)的流量負(fù)荷,減少?gòu)V播風(fēng)暴出現(xiàn)的幾率。
(3)網(wǎng)關(guān)ARP強(qiáng)制廣播技術(shù),針對(duì)ARP攻擊中最常見的網(wǎng)關(guān)劫持,可以命令網(wǎng)關(guān)設(shè)備不斷強(qiáng)制廣播正確的ARP報(bào)文,壓制ARP攻擊。由于現(xiàn)在局域網(wǎng)中ARP病毒的泛濫,許多廠家的網(wǎng)關(guān)設(shè)備中增加了ARP強(qiáng)制廣播功能。如圖2以我校路由器為例,可以激活路由器中“防止ARP病毒攻擊”功能,并將“每秒發(fā)送”設(shè)為1~5筆。值得注意的是如果“每秒發(fā)送”設(shè)置值過高,有可能加重整個(gè)校園網(wǎng)的負(fù)荷,造成相反的效果。
(4)設(shè)備廠商開發(fā)的專利偵測(cè)技術(shù),許多網(wǎng)絡(luò)設(shè)備廠商開發(fā)了針對(duì)ARP攻擊的專利技術(shù),以CISCO公司為例,它開發(fā)的動(dòng)態(tài)ARP報(bào)文檢測(cè)技術(shù)(DAI,Dynamic Arp Inspection)的基本原理是利用 DHCP Snooping Bind表判斷ARP欺騙,并丟棄欺騙報(bào)文,屏蔽相應(yīng)的交換機(jī)端口,同時(shí)生成報(bào)警日志。
四、結(jié)束語(yǔ)
由于ARP協(xié)議的先天缺陷,要根治ARP攻擊,不僅需要校園網(wǎng)管理者的努力,也需要校園網(wǎng)內(nèi)每一個(gè)用戶的配合,才能將ARP攻擊對(duì)校園網(wǎng)的影響減小到最低的程度。
參考文獻(xiàn):
[1]Andrew S.Tanenbaum.計(jì)算機(jī)網(wǎng)絡(luò)(第3版)[M].北京:清華大學(xué)出版社.
[2]Joseph Davis,Thomas Lee.Microsoft Windows Server 2003 TCP/IP Protocols and Services Technical Reference[M].
北京:清華大學(xué)出版社.
[3]Liam B Quinn,Richard G.Russell.快速以太網(wǎng)[M].北京:人民郵電出版社.
[4]劉洪濤.VLAN技術(shù)在校園網(wǎng)中的應(yīng)用[J].襄樊職業(yè)技術(shù)學(xué)院學(xué)報(bào),2008,(5).
[5]陳義陸等.八方會(huì)診ARP[J].中國(guó)教育網(wǎng)絡(luò),2007,(12).
[6]蔡宏澤.校園網(wǎng)防病毒策略研究與實(shí)現(xiàn)[J].中國(guó)科技信息,2007,(15).
[7]張道軍,吳銀芳.校園網(wǎng)絡(luò)中ARP病毒的綜合治理[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007,(9).
[8]步山岳,沈益彬.校園網(wǎng)漏洞檢測(cè)與防范[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007,(2).
[9]孔祥翠等.校園局域網(wǎng)防ARP病毒的研究和解決[J].計(jì)算機(jī)安全,2008,(4).