基于移动互联网的ARP安全性分析与实验教学研究

2018-07-12米花星胡曦明马苗李鹏

电脑知识与技术 2018年14期

米花星胡曦明马苗李鹏

摘要：針对传统计算机网络实验教学中存在的实验场所固定、实验学时受限、实验内容单一等问题，提出了一种基于移动互联网以手机APP作为实验操作端，开展ARP安全性实验的方法。以手机端Web浏览的攻击和防御为教学案例，通过手机开展中间人攻击和移动互联网抓包，实现了移动互联网ARP攻击的可视化和数据量化分析，为实验教学信息化提供了新的途径。

关键词：移动互联网；手机；ARP；安全；实验教学

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2018）14-0138-04

Abstract： Aiming at the problems existing in the traditional computer network experiment teaching， such as the fixed place of experiment， the limited time of experiment， and the unitary content of experiment， a method of ARP security experiment based on mobile Internet and mobile APP as experimental operation terminal is proposed. Taking the attack and defense of mobile web browsing as a teaching case， man-in-the-middle attacks and mobile Internet packet capture were carried out through mobile phones， which enabled visualization and quantitative analysis of mobile internet ARP attacks， providing a new approach for experimental teaching informatization.

Key words： mobile internet； mobile phone； ARP； safety； experiment teaching

1 引言

计算机网络是计算机及相关专业的一门专业必修课[1，2]，教学内容主要围绕计算机网络五层协议展开，如何开展好网络协议实验教学一直都是教学工作的重点和难点[3]。通常计算机网络实验教学需要在专门的网络实验室进行，师生的实验操作时间受到学时和实验室安排的限制[4，5]，而且由于实验操作设备数量和功能的限制造成实验内容单一，往往容易导致学生对实验教学参与的积极性不高，在有限的实验教学时间内学习效率较低[6]。

随着移动互联网的发展，智能手机在学生群体中得以普及，在手机上安装和使用电子商务、即时通讯等APP已成为学生日常生活必不可少的部分[7，8]。如果能够利用学生的手机开展计算机网络实验教学，那么就可以将学生在日常生活中已经养成的手机操作习惯和心理依赖应用到实验教学中来，从而不仅可以极大地提高学生的实验操作积极性，而且可以通过利用APP的丰富功能实现对原有实验教学内容的开发。为此，本文提出了一种基于移动互联网以手机APP作为实验操作端，开展ARP安全性实验的方法。

2 ARP安全性实验原理

地址解析协议（Address Resolution Protocol，ARP），是负责将IP地址转换为物理地址的网络层协议[9]。ARP协议建立在局域网内主机间相互信任的基础之上，具有广播性、无状态性、无认证性和动态性[10，11]。运行ARP协议的主机可以主动向局域网内的其他主机发送假的ARP请求包和ARP应答包[12]，而局域网内的主机只要收到和自己MAC地址一致的数据包，不论数据包内IP和MAC映射是否真实有效，都会更改自己的ARP缓存[13，14]，这就导致局域网内的主机特别容易遭受ARP攻击。

3 基于手机的ARP安全性实验教学

3.1 教学设计

基于移动互联网，以手机APP作为实验操作端开展ARP安全性实验，实验教学设计如图1所示。

（1）实验环境搭建和攻击嗅探

在攻击手机上使用手机APP作为实验操作端，开展ARP安全性实验。首先，手机需要获得Root权限，获得Root权限后并不影响手机的正常使用，也不会对手机的安全带来任何危害。

选择一款安全可控并且适用于教学实验的手机APP来实现ARP的攻击是整个实验技术实现的重要环节，名为zANTI的APP广泛适用于各类场景，不仅可以映射整套网络并嗅探其中的cookie还可以支持多种攻击，如中间人攻击，网络扫描，会话劫持MAC地址欺骗等。要使用zANTI的所有功能，需要在手机上安装BusyBox（一个集成和压缩了许多Linux命令和工具的软件）。

实验过程需要安装Tcpdump作为手机抓包工具，同时需要安装终端模拟器作为命令输入输出界面。

KingRoot ，zANTI，BusyBox，Tcpdump和终端模拟器都是安全的APP，不会对手机的正常使用造成任何影响，用户可在实验完成后可以将其安全卸载。

（2）手机移动Web可视化

攻击手机扫描网络后，选择其中一个IP地址进行中间人攻击，攻击结果将在攻击手机和被攻击手机上显示。

（3）数据量化分析

手机连接网络后，在终端模拟器上输入Tcpdump的相关命令抓取攻击过程中的ARP报文，并对其进行量化分析。

（4）防御

针对分析结果，提出基于手机的ARP防御措施。

3.2 教学实例

3.2.1 实验环境

本实验用一台教师手机开放热点，名字：test，网关IP：172.27.35.1，学生手机连接教师手机所开放的热点，网关、攻击手机和被攻击手机的实验环境如表2。

3.2.2 攻击嗅探

（1）扫描网络

本文主要利用zANTI的中间人攻击功能在手机上实现ARP攻击。打开zANTI，扫描所连接的网络，扫描结果如表3。

（2）中间人攻击

中间人攻击选项如表4所示，选择扫描到的某一个IP地址（除本机和网关），通过中间人截获网络数据包，实现手机ARP攻击移动web可视化。这里选择IP地址为172.27.35.3的手机作为被攻击手机进行以下攻击。

① 中间人——查看已记录请求和图像

在已记录的请求里面可以看到被攻击者所浏览网页的链接，点击链接后可以查看被攻击者正在浏览的页面。在已记录的图像中可以查看攻击者所访问过的页面的一些图片。

② 中间人——替代图片

从攻击手机上选择一张图片替换被攻击手机正在浏览的网页上所显示的图片。以访问电子商务为例，替代图片后，web页面计算机网络课本的图片被替换为了指定图片，结果如图3所示。

3.2.3 手机ARP攻击的量化分析

（1）查看手机ARP缓存

中间人攻击前，在终端模拟器输入命令：cat proc/net/arp查看网关和被攻击机的ARP缓存，结果如表5和表6。

（2）手机抓包

中间人攻击前，使用终端模拟器根据具体需求输入Tcpdump的相关操作命令截获攻击手机和被攻击手机上的网络数据包。本次实验使用以下命令：/data/local/tcpdump –i any –p –s 0 –w /storage/arp.pcap。意为按包长截取所有通过网络接口的数据包并将分组直接写入文件中。

（3） ARP协议分析

当使用zANTI扫描网络时，攻击机不知道网络有多少主机，所以会把整个网络扫描一遍。该网络内的主机一旦收到和自己IP地址对应的ARP请求包时便会应答，回复该主机IP+MAC给攻击手机。将图4、图5所截获的数据包导入wireshark，数据包显示如图6、图7：

（4） ARP欺骗数据包分析

此时攻击手机已经知道局域网中的其他主机的MAC地址信息，通过报文可以看到攻击手机开始对IP地址为172.27.35.3的用户和网关进行ARP欺骗。d0：37：42：41：d1：e3是攻击手机的MAC地址，他真正的IP地址为172.27.35.2，但是攻击手机却欺骗被攻击手机，声称网关IP地址172.27.35.1所对应的MAC地址是其本身。而被攻击手机不论数据包内IP和MAC映射是否真实有效，都会更改自己的ARP缓存，网关IP地址被覆盖，生成了错误的ARP映射，使被攻击手机将流量交给了攻击手机。同理，攻擊手机覆盖掉网关ARP缓存中172.27.35.3的ARP映射，形成中间人。被攻击手机和网关的流量都将通过攻击手机，网络数据被截获。数据包如图8。

（5）改变ARP缓存

之后，攻击手机不断询问被攻击手机的MAC地址信息并给被攻击手机发送假的ARP报文。

（6）攻击结果分析

此时再次查看网关和被攻击手机的ARP缓存，网关的ARP缓存中IP地址为172.27.35.3的MAC地址被替换为攻击手机的MAC地址：d0：37：42：41：d1：e3，同样被攻击手机的ARP缓存中IP地址为172.27.35.1的MAC地址被替换为攻击手机的MAC地址：d0：37：42：41：d1：e3。ARP缓存如表7、表8。由此证明：中间人攻击成功。

4 移动端的ARP防御

（1）动态ARP检测（Dynamic ARP Inspection，DAI）

交换机记录每个接口对应的IP地址和MAC地址，即PORT-MAC-IP，生成DAI检测表。交换机检测每个接口发送回来的ARP回应包，根据DAI检测表判断是否违规，若违规则丢弃此数据包并对接口进行惩罚（软关闭或静默处理）。

（2）交换机或路由器做IP-MAC地址绑定

网络设备中的ARP表一般都是动态更新的，这样网络攻击者就可以通过发送伪造MAC地址的方法使得被攻击手机形成错误的ARP映射，所以我们将IP地址和MAC地址绑定，就可以有效防止ARP攻击。

（3）划分VLAN

VLAN就是一个逻辑广播域，通过VLAN技术可以在局域网中创建多个子网，ARP广播不能跨子网或网段传播，这样就在局域网中隔离了广播，即使部分网段受到ARP攻击，这些攻击也只能在小范围起作用，不会发生大范围的网络事故。

（4）在手机上安装ARP防火墙

在手机上安装ARP防火墙可以检测到ARP攻击，以DrpidSheepGuard为例，它可以帮助手机检测网络中的ARP嗅探。当检测到ARP嗅探时，会提示本机受到了ARP攻击。

（5）静态绑定IP地址

给手机设置静态IP而非通过DHCP动态分配也可有效地防止ARP攻击。这种方法在日常生活中最易使用，它的配置也很简单。打开手机WLAN，在连接的网络下，选择修改网络，在高级设置里选择静态并设置IP地址、网关IP地址等，注意：将DNS设置为网关的IP地址。

5 总结

传统的计算机网络实验教学往往是先进行理论学习，之后在固定的实验室开展，实验学时受到限制，实验内容单一。本文针对现有计算机网络实验中存在的上述问题，提出了一种基于移动互联网以手机APP作为实验操作端，开展ARP安全性实验的实验教学设计和教学案例。在本教学案例中通过手机端进行Web浏览的攻击和防御，并进行移动互联网抓包，实现了移动互联网ARP攻击的可视化和数据量化分析，不仅极大地提高学生的实验操作积极性，而且可以通过利用APP的丰富功能实现对原有实验教学内容的开发，为实验教学信息化提供了新的途径。随着移动互联网的发展，智能手机将会不断应用于计算机网络的方方面面。在课堂教学中有效的利用智能手机可以丰富计算机网络教学的内容和方式，支撑教学模式创新，培养学生的自主学习能力和创新能力。

参考文献：

[1] 王小耿.计算机网络课程教改探索[J].电脑知识与技术，2016，12（36）：139-140.

[2] 谢锐兵.开放教育《计算机网络》优质课程建设研究[J].电脑与电信，2015（3）：57-59.

[3] 曹杰，娄建楼，刘志颖，奚洋.计算机网络实验教学系统设计[J].电脑知识与技术，2016，12（2Z）：51-52.

[4] 徐生炜.高校计算机网络实验教学模式的探讨[J].实验科学与技术，2012（6）.

[5] 刘锁兰，孔立智，宦娟，王洪元.计算机网络实验室的优化建设研究[J].信息通信.2013（8）：127-128.

[6] 边胜琴，王建萍，崔晓龙.计算机网络实验室建设与实验教学改革[J]. 实验室研究与探索，2017，36（2）：259-262.

[7] 方献梅，高晓波，覃琪，韦静.基于智能手机的移动学习在大学生群体中的应用研究[J].电脑知识与技术，2017，13（2）：94-95.

[8] 宋秋艳.智能手机APP对学生的影响分析[J].电脑知识与技术，2014（9X）：6126-6127.

[9] 季永炜.ARP攻击和实现原理解析[J].电脑知识与技术，2012，8（5）：1019-1021.

[10] 卢艳，李辉.交换式局域网ARP欺骗嗅探技术研究[J].计算机工程与应用，2013，49（1）：94-97.

[11] 王绍龙，王剑，冯超.ARP欺骗攻击的取证和防御方法[J].网络安全技术与应用，2016（10）：27-28.