朱昊+徐济成+李静月

摘要：该文旨在探讨网络强国战略下，围绕大学生网络安全课程实验教学，尝试将网络安全意识、真实问题情境、职业化素质理念等多种要素融入到实验教学过程，激发学生的积极性和主动性，引导学生按照发现、分析和解决问题的一般规律逐步解决问题，并以问题清单的形式对实验进行总结，最终体现“学生为主、教师为辅”的教学理念，同时提升学生的实践动手能力。

关键词：ARP欺骗攻击；网络安全意识；问题情境；职业素质

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）35-0100-03

Abstract： This paper aims to integrate the network safety consciousness， real problem situation， professional quality concept into the college experimental teaching process under the strategy of network power， to stimulate students' enthusiasm and initiative， and guide students to find， analyze and solve the problem， to sum up the experiment in the form of lists. Ultimately， the "student oriented， supplemented by teachers" teaching ideas are reflected， and students' practical ability are enhanced.

Key words： ARP spoofing；network safety consciousness； problem situation； professional quality

1 引言

2014年来，中央网络安全和信息化领导小组组长习近平多次提出了“没有网络安全就没有国家安全”以及“建设网络强国”的重要论断。2015年政府工作报告提出的“互联网+行动计划” 体现出信息化对网络发展巨大推动作用和以网络为载体的数据驱动巨大魅力的同时，也呼唤着人们通过网络的进一步发展来不断提升网络安全的能力和意识。两届国家网络安全宣传周活动的开展也为加强全民网络安全宣传教育、提升网民的网络安全防范意识和技能提供了良好的途径。

网络安全上升到国家战略层面，各类网络攻击和窃取事件的频发驱动信息安全需求急剧增加，目前网络安全普遍存在的问题是信息安全意识不强、缺乏整体安全方案、没有安全管理机制、系统本身不安全以及缺少必要的安全专才。

网络安全意识比技术更重要。作为培养网络专业技能人才的一线高校教师，在平常实验教学中除了借助各种安全设备和环境完成实训内容外，更重要的是提升学生的安全意识和处理安全事故的能力，在提高专业技能水平的同时培养学生的职业素质，因此设计好网络安全实验课程显得尤为重要。本文以ARP欺骗攻击与防范实验教学为例，探索在真实网络安全情境下，新型安全课程实验教学模式的改革以及教学效果。

2 ARP欺骗攻击原理

ARP协议是以太网等数据链路层的基础协议，负责完成IP地址到硬件地址的映射。工作过程简述如下：1）当主机或者网络设备需要解析一个IP地址对应的MAC地址时，会广播发送ARP请求报文。2）主机或者网络设备接收到ARP请求后，会进行应答。同时，根据请求发送者的IP地址和MAC地址的对应关系建立ARP表项。3）发起请求的主机或者网络设备接收到应答后，同样会将应答报文中发送者的IP地址和MAC地址的映射关系记录下来，生成ARP表项。从ARP工作机制可以看出，ARP协议简单易用，但是却没有任何安全机制，攻击者可以发送伪造ARP报文对网络进行攻击。伪造ARP报文具有如下特点：伪造的ARP报文中源MAC地址/目的MAC地址和以太网帧封装中的源MAC地址/目的MAC地址不一致；伪造的ARP报文中源IP地址和源MAC地址的映射关系不是合法用户真实的映射关系。目前主要的ARP攻击方式有如下几类：仿冒网关攻击、仿冒用户攻击（欺骗网关或者其他主机）、泛洪攻击。

3 问题情境设计

教学情境是课堂教学的基本要素，有价值的教学情境一定是内含问题的情境，它能有效地引发学生的思考。问题情境的创设，对于学生学习兴趣的激发起着决定作用。因此，如何设计具有一定情绪色彩的、以形象为主体的生动具体的场景，以激发学生一定的情感，就成为教学之初需要考虑的问题。

在一个没有防御的园区网中爆发的ARP病毒会造成网络丢包、不能访问网关、IP地址冲突等问题，实验室所有主机分配的是同一网段IP地址，接入交换机，预先在教师机上开启Sniffer嗅探者软件，运行数据包发生器，修改后的ARP广播报文会持续被发送到当前局域网中，为学生建立一个真实园区网面临的问题情境，接下来引导学生按照“发现问题-分析问题-解决问题”的顺序完成实验内容，提升自己的安全意识和实践能力。

4 实施过程

4.1 实验环境

实验室所有主机处于同一网段，类似如下所示的拓扑图环境：

4.2 问题情境的构造

教师机IP地址为172.16.75.105，在本实验中充当攻击者身份。首先构造用于攻击的ARP欺骗报文，在Sniffer软件上定义好过滤器后，开始捕获报文，首先将教师机的ARP缓存清空，尝试PING网关，停止捕获并显示结果如下图所示，

发送当前的帧之前做如下修改：（1）更改源IP地址为网关IP地址；（2）更改源MAC地址为伪造的MAC 地址11-22-33-44-55-66；（3）更改目的IP地址为任一同网段主机IP地址；（4）更改目的MAC地址为全F值。设置为连续不断地发送帧，启动数据帧发生器，此时当前网段会充斥着此类ARP广播报文。

4.3 问题情境的呈现

以4-5人为一组，以真实的网络管理员遇到的企业局域网故障为案例，向学生说明经常受到的网络攻击来自于网络内部，表现为访问互联网时断时续，打开网页或下载文件的速度明显变慢，甚至无法访问公司的Web服务器等资源，严重影响了企业办公业务的正常运行，公司领导对此很不满意，要求立刻彻底解决问题。要求在实验报告上完成每步测试内容并填写检查结果。此环节注重引入职业教育理念，既要注重技能锻炼，又要注意素质培养。立足本职岗位，敢于承担责任，从工作中发现问题是什么，为什么到怎么做，同时培养学生的团队意识。

4.4发现问题

此环节旨在让学生运用已掌握的网络维护技能发现当前局域网存在的问题，通过观察学生在测试环节中采用的方法，可以了解到学生能否快速有效地定位网络中的故障，在不投入新的设备情况下解决问题。

通过观察，多数学生会按照如下测试步骤检测网络状况：1）检查本机网络连接情况及IP地址是否有效；2）检查与同一网段内其余主机连接情况；3）检查与网关连接情况；4）检查与DNS服务器连接情况；5）检查与Web服务器连接情况。这一过程旨在帮助学生基于收集到的测试数据判断问题症结点的能力，只有在充分调查研究的基础上具体问题具体分析，才能把存在的问题症结点找准、找实、找透，才能开对方子，做到对症下药。

4.5分析问题

根据课堂反映来看，绝大多数学生在实施到第3步时发现PING网关IP地址不通，并且重启机器后症状依旧，没过多久又会产生丢包现象。不少学生通过使用ARP -a命令发现学习到的网关MAC地址是伪造的11-22-33-44-55-66，进而判断出问题在于网关MAC地址被篡改，通过使用Sniffer软件，可以嗅探到局域网内充斥着大量的ARP报文，并且通过抓包分析，发现源IP地址为172.16.75.254的网关的MAC地址为11-22-33-44-55-66。此时需要引导学生去思考两个问题：一是为什么主机会无条件更新，二是如何防范此类错误。结合课本上提到的TCP/IP协议栈的脆弱性，部分同学会得出主机并不对收到的ARP报文进行检查，从而导致PC主机更新本机ARP缓存里的网关MAC地址的结论。

这个分析问题的过程注重培养学生遇到问题的应变能力，这种能力的训练对于今后可能从事的网络运维岗位而言，是非常有必要的。

4.6 解决问题

明白了问题的原因，如何解决问题就是一个水到渠成的过程。通过几分钟分组讨论的形式，最后总结了几组的意见，归纳出两种解决思路：一是主机对于收到的ARP伪造报文不进行更新操作，二是限制此类ARP广播报文在局域网内的泛洪。此时，结合实训指导书内容，教师提出两种解决方案让学生选择，一是在局域网内各台主机上静态绑定正确的网关MAC地址，这样即使主机收到了虚假MAC地址也不予以更新；二是在交换机各端口上设置单位时间内允许通过的ARP报文数量的阈值，超过阈值则关闭端口。同时让学生分组讨论，对这两种方案的优缺点进行比较，最终得出如下的结论，方案一因为要在局域网内每台主机上配置命令，工作量较大，网关MAC地址一旦改变又得重新配置，而且治标不治本，不能有效遏制网段内ARP报文造成的广播风暴，网络传输性能较低；方案二只需在交换机端口上进行配置，与网关MAC地址无关，如果再在端口上划分好VLAN，将会进一步限制广播报文的传输范围。

4.7 实验总结

总结既是自己对于实验的理解归纳，也是对整个实验过程的回放，既要总结有所收获的地方，也要归纳出不足之处。通过将实验全过程中涉及现象、情境及步骤列成问题清单，让每位学生都能从实验中总结出得与失。最后借鉴翻转课堂的思想，邀请一位学生就实验目的、方法、步骤进行口头陈述，由其余学生进行补充，从而获得更深层次的理解。

5 结语

通过网络安全实验课程的教学尝试，以及学生的反映来看，收到了一定成效。总结起来达到了三个目的，一是探索网络安全意识、网络安全技能并重的新型网络安全实验教学方法，二是引导学生进入实际问题情境中，深入角色，积极主动地去发现、分析及解决问题，三是将个人责任感、团队合作等职业化素质理念融入到教学过程当中，培养主人公意识。在教学过程中需要注意对于课堂进度以及时间的把握，如学生遇到难点应及时进行引导，推动进程。

参考文献：

[1] 迟恩宇，刘天飞，杨建毅，王东.网络安全与防护[M].电子工业出版社，2009.

[2] 叶成绪.校园网中基于ARP协议的欺骗及其预防[J].青海大学学报： 自然科学版，2007（3）：59-61.

[3] 秦丰林，段海新，郭汝廷.ARP欺骗的监测与防范技术综述[J].计算机应用研究，2009（1）：30-33.

[4] 孟令健.计算机网络安全ARP攻击行为的防范研究[J].齐齐哈尔大学学报： 自然科学版，2013（3）：9-11.

[5] 郭会茹，杨斌，牛立全.ARP攻击原理分析及其安全防范措施[J].网络安全技术与应用，2015（6）：5-6.

[6] 刘名卓，赵娜.网络教学设计样式的研究与实践[J].远程教育杂志，2013（3）：79-86.

[7] 杨慧娟.网络课程建设：高校教师专业发展的契机[J].青岛职业技术学院学报，2012（6）：35-38.

[8] 梅武成.高职院校网络课程建设及推广运用[J].科技信息，2012（1）：505-506.