石 峰

(包头财经信息职业学校,内蒙古 包头 014060)

0 引言

ARP病毒的出现为国民的网络生活带来不利,甚至对使用者的隐私造成威胁,所以ARP病毒的防范和ARP防火墙技术的使用显得尤为重要。

1 ARP防火墙技术概述

1.1 ARP攻击方式

1.1.1 ARP泛洪攻击

ARP泛洪攻击主机将持续性地把伪造的MAC-IP映射发送给受害主机并对局域网内的所有终端进行广播,感染正常通信。ARP泛洪攻击有以下3点特征:第一是通过伪造ARP广播数据使终端不停地处理广播数据,从而消耗网络带宽；第二是ARP泛洪攻击将局域网内部的主机或者网关无法及时找到通信对象,导致通信异常或者通信阻断；第三是用虚拟的IP地址信息抢占ARP高速缓存空间,造成终端无法创建缓存表,无法进行通信。

1.1.2 ARP溢出攻击

ARP溢出攻击的特征主要分为两种:第一是数据包中的源IP地址是非本地网络中的虚拟IP地址,但是其MAC地址是固定的,当操作系统收到源IP地址在ARP高速缓存表中的数据包时,就会在缓存表中建立对应的入口项；第二是数据包中的源IP地址是非本地网络中虚拟的IP地址,但是其MAC地址是变化的,发送这种攻击数据包时会引起CAM表溢出。

1.1.3 ARP扫描攻击

ARP扫描攻击是向局域网中的所有使用终端发送ARP请求,从而获取终端的IP和MAC地址映射对。ARP扫描是为发送ARP扫描攻击而做准备,从而达到网络监听、盗取数据等隐蔽式攻击的目的。

1.1.4 虚拟主机攻击

虚拟主机攻击是攻击者将自身虚拟成局域网络中的一台主机,拥有虚拟的IP地址和物理地址,通过链路层捕获的ARP请求数据包对其进行分析,对于虚拟IP地址的ARP请求则会发送对应的ARP响应和ARP通告。虚拟主机攻击会占用局域网络中的IP地址,使之与正常运行的主机IP地址发生冲突,并且新加入局域网的主机也无法正常获取IP地址,影响主机正常运行。

1.2 ARP防火墙技术

ARP防火墙可在局域网内拦截虚拟的ARP数据包以及主动通告网关本机正确的MAC地址,以确保不经过第三者达到保障数据正确流向的目的。ARP防火墙技术是保证局域网内数据安全、网络畅通、数据不受第三方控制的防火墙技术。

2 校园网网络安全影响因素分析

2.1 规模庞大,终端不统一

校园网中的用户不仅数量较多,并且使用频次密集,再加上校园网与外界网络有着密切联系,所以用户携带的电脑若已经被外界网络病毒攻击,那么终端接入校园网之后,校园网也极易受到病毒的侵害,影响校园网的安全运行。

2.2 用户群体使用活跃

校园网中的使用群体主要是学生和老师,其中学生作为最活跃的使用群体,为校园网的安全带来一定影响,同时由于无法确定下载的资源是否安全,导致资源中隐藏的木马等病毒侵入校园网络。

3 防火墙技术在校园网环境中的应用

3.1 部署防火墙

部署防火墙主要是将防火墙技术置于保护网络资源的前方,让防火墙技术能够发挥抵御病毒、防止病毒侵害的作用,为使用者提供网络实时监控和管理[1]。

3.2 选择工作模式

防火墙技术中的工作模式分为路由模式、透明模式和混合模式。若其他设备已经完成配置,使用者通过防火墙-路由器访问互联网,防火墙需要设置相应的NAT规则,将防火墙模式改为路由模式；若设备配置完成,使用者通过路由器-防火墙-路由器访问互联网,那么防火墙则设置为透明模式,并且其安全规则改为包过滤规则[2]。用户应该根据校园网的实际情况、结构、使用需求选择合适的模式进行连接。

3.3 访问控制策略

首先设置DMZ。DMZ是解决安装防火墙之后用户无法访问内部网络服务器的问题而设立的缓冲区域,使校园网络之外的用户在外网情况下也能访问内网资源；配置NAT是通过一对一或一对多的形式将内网地址与外网地址进行转换,不仅能够解决外网地址不足的问题,也能够隐藏真实IP地址,为网络访问起到安全防护作用；攻击检测与防护能够抵挡外网漏洞扫描、木马攻击、恶意代码植入等攻击,以分析、识别、统计、流量异常监视等手段判断是否具有入侵行为,及时发现并及时阻止入侵行为；网络访问控制是使用终端进行端口过滤、过滤审计、URL拦截和Ddos攻击等,长时间结合时间对象、区域对象、服务对象等进行全方位的掌控和监护；应用层控制是针对网络、邮件或其他应用对应用内容进行分析,筛除垃圾邮件,并针对具体应用和识别控制采取病毒防护和入侵防护措施；病毒防护是通过防火墙技术的相应配置,依托病毒特征建立病毒特征库,达到隔离病毒、预防病毒入侵的目的；安全报警是当设备本身出现故障或者安全事故时发出警报,以便于管理员及时处理；身份认证预授权是将防火墙技术作为认证服务器,为用户提供认证服务并与第三方认证服务器通力协作,完成动态口令、证书等用户认证功能,结合其他访问控制策略,达到对使用终端的网络行为实时管控的目的；流量控制是在网络资源受限的情况下,各类应用抢占网络带宽时通过技术手段保证网络的服务质量,针对校园网应用情况可以采用部署QOS策略。

4 校园网环境中ARP防火墙技术的配置

4.1 利用命令行方式检测并绑定

当校园网中出现ARP攻击时,ARP公司的计算机会发送ARP攻击广播,此时校园网中其他电脑会根据ARP缓存表,将网关中的MAC地址记录成带有ARC病毒的MAC地址。因此,此时需要打开命令提示符窗口,输入“arp-a”显示ARP缓存表内容,若缓存表显示内容与源数据不符合,那么表明ARP缓存表中的数据已经受到侵害,甚至已经被篡改。若出现被篡改的情况,则应该删除现有的IP-MAC对应表,再在缓存表中添加正确的IP-MAC数据。

4.2 在交换机端口应用IP-MAC进行绑定

在交换机端口上将MAC地址与IP地址端口进行绑定。绑定成功之后,交换机的ARP缓存表数据将固定,任何ARP病毒攻击或者侵入都无法改变或者影响交换机的ARP缓存表,以此保证路由的准确性。

4.3 在交换机上设置VLAN

校园网中各个使用终端的广播信息不能跨越校园网络,所以通过划分和设置VLAN能够缩小ARP广播的传播范围,从而减小ARP攻击为校园网带来的影响。校园网络管理人员利用ARP病毒专杀工具监测校园网络中交换机上出现的病毒源头之后,立即关闭病毒传染的端口,使用终端检查相应的用户,并及时通知其彻底查杀病毒,继而关闭校园网络连接,做好单机防范。在彻底查杀病毒之后再开放交换机端口,重新开通,连接互联网进行使用。

4.4 ARP报文限速功能

H3C低端以交换机支持端口提供ARP报文限速的功能,使受到ARP攻击的端口暂时关闭通信功能[3]。开启了ARP报文限速功能之后,交换机将对ARP报文数量实行每秒统计,若每秒出现的ARP报文数量超过了原有的报文限定值则判定此使用端口受到ARP报文冲击。此时若使用终端关闭端口,使终端拒绝接收任何报文便能够有效避免ARP报文攻击。

5 结语

ARP攻击是利用了ARP协议上的设计问题为网络安全、信息安全、隐私安全和财产安全带来隐患,基于此应该注重从ARP根源处出发,采取行之有效的防护措施减小或杜绝ARP病毒带来的危害,保证校园网络的畅通和安全。