校园网ARP欺骗攻击与防范研究
2010-05-09秦勇张海丰
秦勇 张海丰
北京青年政治学院计算机系 北京 100102
0 引言
随着网络技术的普及和发展,网络安全问题日益成为人们关注的焦点,校园网更成了网络安全问题的多发领域,作为惠众面最大的多媒体局域网,经常会发生网络连接正常,大面积的计算机却突然掉线,无法实现网络共享或者访问互联网的现象,以致严重影响校园网内广播教学,给校园网的教学和办公造成巨大损失。这种现象发生多半是由地址欺骗攻击引起的,表现最为突出的就是ARP欺骗攻击,很多病毒都会利用以太网的ARP协议对本网段内的其他用户实施欺骗攻击,窃取用户的个人私密信息,以致造成用户的损失。
1 ARP协议
地址解析协议(Address Resolution Protocol,ARP),是TCP/IP协议栈的基础协议之一,解决了局域网网上的主机或路由器在网络通信中的IP地址和硬件地址的映射问题。
网络上的每台主机都有IP地址,在真正发送数据分组时并不使用IP地址,依据网络分层的思想,数据分组从认知IP地址的网络层传输到数据链路层,需要封装成数据链路层硬件认知的MAC帧后才能在实际网络中发送,但是采用IPv4技术的地址拥有32bit的信息,网络硬件在世界范围内有惟一的48bit地址信息,两者之间需要调和才能在网络中联合应用,ARP协议通过在两者之间建立动态映射很好的解决了这个问题。
2 ARP实现
网络中的主机都有一个动态更新的ARP高速缓存表,保存最新的IP与MAC的映射,主机每隔一段时间或有ARP应答时就会更新,长期不使用的映射,在更新时会自动删除。
ARP通过发送数据报时把IP地址映射成物理地址和回答来自其他机器的请求这两部分功能实现地址解析。当IP数据报准备在网络上发送时,发送方要查询本机ARP缓存中是否有目标的IP地址与MAC地址的映射,如果有,则把数据报封装成添加了目的MAC地址的数据帧由数据链路层放送出去,如果没有,则向局域网广播一个封装了目的主机IP地址的ARP请求,局域网内的主机收到后提取出IP地址与自己的IP地址匹配,只有匹配成功的目的主机才会响应,直接把包含目的MAC的ARP应答回送到源主机,源主机收到ARP应答,提取出目的MAC地址添加到ARP高速缓存中,形成目的主机IP地址与MAC地址的映射。
3 ARP欺骗攻击原理
ARP协议的设计是以局域网的主机间相互信任为前提的,出于对传输效率的考虑,要求主机都有ARP高速缓存,在降低主机向网络广播ARP请求的同时,为网络欺骗攻击提供了便利条件。另外,ARP协议是无状态的局域网协议,即任何主机在没有ARP请求的时候也可以做出应答,并且应答不需要认证,只要应答包有效,接收到应答包的主机就无条件地根据应答包的内容刷新本机高速缓存,这样攻击者就可以发送伪造的应答包与真正的主机应答包竞争,迫使发送请求的主机被攻击者应答,以致成为ARP欺骗攻击的对象。
典型的ARP欺骗攻击如图1所示。
图1 典型局域网络拓扑图
局域网络中的主机间相互信任,能够实现所有的网络应用,主机C由于受到外部因素的干扰成为实施ARP欺骗的攻击者。攻击者可以通过局域网嗅探工具监听网络通信,获取同一网络内的相关主机的IP和MAC等信息。主机ARP缓存中IP与MAC的映射对有无决定了实施ARP欺骗的两种状态:
(1)当A要求与B通信,缓存表为空,A会向网络广播要求找到IP地址为B的ARP请求,攻击机监听到这一请求后,通过发送封装了B的IP地址与非B的MAC地址的应答给A,由于主机一般使用后收到的应答来刷新ARP缓存,所以攻击者会延迟发送伪装的ARP应答,达到欺骗的目的。
(2)当A与B正常通信后,B的IP地址与MAC地址的映射对能够暂存在A的ARP缓存表中,但主机缓存表在收到ARP应答时会立即更新,攻击者C直接发送封装了B的IP地址与非B的MAC地址的应答给A,使得A的ARP缓存表动态更新实现欺骗。
当主机缓存的映射对的MAC地址都指向攻击者C时,C就可以利用相关软件获取IP地址为伪造映射对的主机的网络通信信息;当主机缓存的网关IP地址被映射到其他未知的MAC时,就会造成主机不能访问网络的现象。
总之,ARP欺骗攻击就是网络攻击者利用ARP协议,向目标主机发送伪造的源IP-和MAC映射的ARP应答,使得目标主机收到该应答帧后在ARP缓存中被更新,从而使目标主机将报文发送给错误的对象,造成用户信息泄露等网络安全问题。
4 校园网ARP欺骗攻击的防范策略
校园网是典型的多元化局域网,对ARP欺骗攻击的防范任重道远,为防止对校园网用户造成不必要的损失,网络管理者应该从网络技术和人员素质两个方面部署防御策略。
4.1 网络管理员的网络技术水平
网络安全防护的关键体现在人员的素质上,校园网是由多个分支局域网组成,各分支的网络管理员技术水平参差不齐,面对ARP欺骗攻击和其他网络安全问题,处理措施千差万别,因此,校园网的管理部门应关注网络系统管理员素质的提高,积极组织网络管理员参加网络安全防御技术培训,提高网络安全技术水平和防范意识。
4.2 校园网计算机的防护
校园网ARP欺骗攻击行为不是独立发生的,大部分是由于计算机感染网络病毒,由病毒发起的,因此校园网计算机应该加强自身防护。
首先,校园网计算机应该安装正版杀毒软件,及时升级病毒库,为Windows系统打补丁,关闭远程管理端口,防止病毒侵扰,由于现在的杀毒软件厂商在其软件中都添加了ARP欺骗防御功能,计算机同时具备了基本的ARP防护功能。
其次,为防止攻击者利用嗅探工具获取网络主机信息,计算机也应安装防嗅探软件防护。
最后,鉴于校园网ARP欺骗攻击主要是针对网关的攻击,计算机还应当做网关IP地址和MAC地址的ARP静态绑定,防止ARP缓存更新导致网关映射对被恶意修改,导致计算机掉线的情况。
4.3 交换机ARP防域策略
对于采用智能交换机搭建的网络,可以采用交换机端口安全来防止非法用户的接入,由于网络硬件的相对固定性,网络管理员可以采取静态IP与主机MAC联合绑定到交换机端口的方式进行防护,考虑到防护的隐蔽性,端口安全可以采用特点的违例方式来处理。
对ARP欺骗攻击的防护,交换机厂商也专门开发了象DAI的动态ARP入侵检测功能,网络系统管理员可以根据厂商设备配置说明,结合校园网接入层的实际情况部署防御策略。
5 结论
校园网ARP欺骗攻击是由多种因素造成的,爆发时极易造成局域网大面积瘫痪,给网络管理员造成巨大困扰,但防范胜于治理,为免于巨大损失的造成,校园网的管理者应该从网络运营的初始阶段就部署防御策略,实现对ARP欺骗攻击的积极防范。
[1]谢希仁.计算机网络[M].北京:电子工业出版社.2002.
[2]邵丹.ARP安全问题的研究[J].长春大学学报.2009.
[3]郑文兵,李成忠.ARP欺骗原理及一种防范算法[J].江南大学学报(自然科学版).2003.
[4]袁再龙,吴晓洪.ARP欺骗攻击原理及防范方法[J].贵州教育学院学报(自然科学版).2008.