王晓妮 韩建刚

摘要：为了解决校园网中的ARP攻击问题，文章研究了ARP协议和ARP攻击，结合校园网的具体情况和多年网管经验，按用户数目把校园网划分成不同区域并采取不同防御策略。针对ARP攻击的重灾区家属楼和学生公寓采用PPPOE技术方案，能够有效预防ARP攻击。

关键词：校园网；ARP攻击；PPPOE；防御策略

随着高校信息化的迅速发展，校园网早已覆盖整个校园，这为师生的生活、工作和学习提供了便利。从网上购物、在线学习、资料查阅等都离不开网路，但是由于校园网用户数量庞大，水平差别很大，上网需求各不相同，难免会访问被黑客植入了木马病毒的网站，下载包含蠕虫和Trojan的软件，地址解析协议（Address Resolution Protocol，ARP）欺骗攻击就在其中[1]。ARP欺骗攻击会篡改盗取用户隐私，使网络瘫痪，直接威胁校园网用户的财产信息安全。采用PPPOE技术能够很好地防御ARP欺骗攻击，确保校园网的安全稳定运行。

1 相关技术

1.1 ARP协议

ARP工作在数据链路层，主要作用是把以太网中所有网络设备的32位逻辑上的IP地址转换成48位物理MAC地址[2]。因为ARP协议在当初设计时默认网络环境是绝对安全的，忽视了安全性的考虑，但随着网络技术的不断发展，网络攻击日益猖獗，导致网络环境也危机四伏，不存在绝对安全的情况。故ARP协议就存在缺乏认证、无状态、广播式和动态性等安全漏洞。

1.2 ARP攻击

因为ARP协议的设计漏洞为其带来安全隐患，使ARP攻击在校园网中很常见。ARP攻击原理是黑客利用ARP协议漏洞，伪造IP/MAC地址冒充合法地址，连续向攻击目标发送大量伪造的ARP请求或响应报文，误导其不断更新ARP缓存表，使目标主机根本无法保存正确的缓存信息，让本该发往目标主机的数据被黑客直接截获或篡改，使网络通信中断，电脑死机、信息泄露和整个网络瘫痪。ARP攻击具有隐蔽性强、难以根除和极易堵塞等特点[3]，可分为攻击主机、攻击网关、双向攻击和洪泛攻击4种常见类型。

1.3 PPPOE技术

PPPOE是一种能够把点对点协议封装在以太网框架中的链路控制协议，其全称为Point to Point Protocol OverEthernet。它通过远端接入设备与互联网相连，并对每个接入主机或用户实现单独控制[4]。PPPOE协议的工作流程包括发现和会话这两个阶段，无状态的发现阶段是为了获得终端设备的MAC地址和建立唯一的PPPOESESSION-ID，主机和其所选接入集中器就在以太网中建立起了对应的PPP连接的信息并进入会话阶段，然后PPP数据就能实现以任何别的PPP封装形式发送。PPPOE协议能够在以太网中为主机和网关设备建立了一个点对点的通道，使此通道和别的主机相互隔离，处在不同的广播域就能避免ARP攻击。

2 方案设计

因为校园网用户的特点是数目庞大、网络需求不同、网络安全知识和操作水平差别大、安全意识淡薄；校园网用途广泛、使用频率很高等特点让ARP攻击乘虚而入，采取单一措施很难防范。传统的这些防御措施各有利弊，例如不管怎么划分VLAN，但因其没有针对网关的保护措施，很难防御攻击网关的ARP；双向绑定只要变换上网地点就会导致绑定失效；ARP防火墙存在着对所绑网关的正确性无法识别的安全隐患；ARP服务器的前提是要保证服务器的安全，一旦服务器被攻击仍会全网瘫痪；绑定交换机端口必须采用价格昂贵的具有学习功能的交换机，使成本加大；PPPOE技术使网络传输率降低，内网间无法访问和共享网络资源。通过校园网和传统ARP防御措施的实际情况的分析，必须对校园网不同区域采取不同的防御措施。在综合办公楼和各教学楼采用VLAN划分、绑定交换机端口和ARP服务器；网络实验室、多媒体教室、电子阅览室和会议室等地方采用双向绑定和ARP防火墙；学生公寓楼和家属楼采用PPPOE技术。

3 PPPOE技术在ARP攻击方案中的应用

因为12栋家属楼和18栋学生公寓楼的上网用户比较集中，每栋楼上的用户数目多，根本无法将其划分在一个网段内，但是如果将他们划分在不同的网段，无疑就会增加管理的难度。随着校园网用户数量的逐渐增加，IP地址越来越紧张，所以在这些区域采用PPPOE技术。让该区域用户通过PPPOE拨号方式上网，既能有效防御ARP攻击，又能缓解IP地址紧张的矛盾。因为PPPOE协议采用点对点的通信方式，不依赖于ARP协议，能夠单独控制所有用户，从根本上杜绝了ARP攻击的实现，这就使ARP攻击重灾区的家属楼和学生公寓得到很好的解决。通过城市热点Dr.com计费软件便能实现在这些区域使用PPPOE拨号上网，不必改变以前已经部署好的校园网拓扑机构图，PPPOE方式网络拓扑图如图1所示。Dr.com计费系统利用绑定用户注册信息（帐号、密码等）、IP地址和MAC地址等相关信息来进行用户身份认证的，可以支持PPPOE、Web和客户端等多种方式认证。PPPOE技术方案在校园网中通过以下4步来部署：首先去掉核心交换机上的VLAN的网关地址并把其对应的VLAN标识保留好；然后在防火墙上重新配置新的路由和借口访问策略；接着把计费软件安装在Dr.com服务器上，并将端口地址设置为校园网的内网地址，配置好PPPOE拨号上网的地址池参数；最后，PPPOE服务器就会以VLAN为用户动态分配的临时IP地址为根据来进行相应的计费策略设置，并把所有用户信息导入服务器中。

4 结语

因为ARP攻击是由ARP协议的设计漏洞造成的，加之校园网用户的复杂性和传统防御措施的局限性，使得单一的策略仅能从某种程度上减弱ARP攻击引起的危害，无法彻底解决。本文结合网管实战经验，把庞大的校园网用户划分成不同区域，然后根据该区域的特点采用不用的防御措施，扬长避短，有效防御了校园网中的ARP攻击。

[参考文献]

[1]吴森森.基于ARP欺骗的数据截获与高速转发技术研究[D].成都：四川师范大学，2015.

[2]郭征，吴向前，刘胜全.针对校园网ARP攻击的主动防护方案[J].计算机工程，2011（5）：181-183.

[3]李延香，袁辉，刘淑英.校园局域网ARP欺骗攻击的防御方法和实施[J].自动化与仪器仪表，2015（9）：215-217.

[4]纪春坡.使用PPPoE拨号方式解决校园网ARP病毒[J].运城学院学报，2010（5）：78-79.