高校校园网ARP病毒欺骗原理及防御方法

2010-03-20 19:55闫实刘占波冯修猛
网络安全技术与应用 2010年6期
关键词:网段IP地址校园网

闫实 刘占波 冯修猛

1 牡丹江医学院教育技术与信息中心 黑龙江 157011

2 牡丹江医学院教务处 黑龙江 157011

0 引言

随着互联网在高校校园的普及,网络安全成为高校网络管理一大难题。教学活动对校园网的依赖程度越来越高,网络安全成为高校教学工作能顺利进行的重要保障之一。近两年,校园网普遍爆发一种叫“ARP欺骗型”病毒,该病毒发作时会导致网络时断时续,严重影响了校园网的正常运行,给网络管理人员带来了前所未有的挑战。

1 ARP病毒欺骗原理

1.1 ARP协议

地址解析协议(Address Resolution Protocol,ARP)。是一种将IP地址转化为物理地址的协议。一般用于局域网中,它将IP地址解析为网卡的物理地址,又称为MAC地址。局域网中的所有IP通讯最终都必须转换成基于MAC地址的通信。ARP协议的工作就是查找目的主机的IP地址所对应的MAC地址,并实现双方通信。

1.2 ARP协议的设计缺陷

由于ARP协议的设计初衷是为了方便数据传输,设计的前提是网络绝对安全的,因此ARP协议不可避免的存在设计缺陷。

(1)ARP高速缓存根据所接到的ARP协议包随时进行动态更新。

(2)ARP协议没有连接的概念,任意主机即使在没有ARP请求的时候也可以做出应答。

(3)ARP协议没有认证机制,只要接收到的协议包是有效的,主机就无条件的根据协议包的内容刷新本机 ARP缓存,并不检查该协议包的合法性。

1.3 ARP欺骗方式

ARP欺骗分为两种:一种是对路由器ARP表的欺骗;另一种是对网段中网关的欺骗。第一种ARP欺骗的原理是截获网关数据。然后按照一定频率不断的发送给路由器错误的MAC地址,结果路由器记录的是错误的MAC地址。另一种方式是伪造网关。就是一台感染 ARP病毒的主机伪造成网关,使本网段内所有欲访问 Internet的主机转而访问病毒主机,导致同一网段内的所有主机都无法上网。

1.4 感染ARP病毒网络症状

感染ARP病毒的网络一般会有如下症状:

(1)网络时断时续且网速很慢,客户端无法正常访问网络,本地连接中发包数据量远远大于收包数据量。

(2)同一网段的所有上网主机均无法正常连接网络。

(3)打开 Windows任务管理器,出现可疑进程,如“MIE0.dat”等进程。

(4)客户端利用“arp -a”命令返回的网关MAC地址与实际网关MAC地址不符。

(5)介入交换机指示灯大面积相同频率的闪烁。

如果出现以上网络现象,就表明该网段中至少有一台主机感染了ARP病毒。

2 ARP病毒防御方法

2.1 安装ARP软件防火墙

目前 ARP软件防火墙比较多,比如 360安全卫士、AntiARP、瑞星ARP防火墙等等。其原理是对本机IP地址和MAC地址及网关IP和MAC进行绑定,达到控制ARP病毒的目的。当网络中出现ARP欺骗时,ARP防火墙需要占用一定的网络带宽来阻挡欺骗,因此对客户端的正常上网造成一定的影响。

2.2 在介入交换机上做IP、Mac与交换机端口绑定

在介入交换机中将计算机的IP地址和MAC地址与交换据的正常转发。但是此方案操作量大,不易维护,适合规模较小的校园网。

2.3 划分VLAN(虚拟局域网)

ARP欺骗攻击一般是针对同一网段内的所有主机,因此只要VLAN划分的足够小,就可以缩小ARP病毒影响范围。而且可以很方便的找到病毒源,该方法适合规模适中校园网。

2.4 使用DHCP Snooping技术

如果校园网比较大,可以使用DHCP Snooping技术实现主机的IP地址动态分配。DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期和VLAN-ID接口等信息。交换机上连接普通主机的端口在发送ARP报文时受到交换机检测,报文中IP地址与MAC地址对必须与DHCP Snooping检测并记录的主机当时动态申请的IP地址相符。这样中毒主机就无法发送虚假的ARP报文了,同时还对端口发送ARP报文数量进行限制,防止中毒主机发送大量ARP报文造成网络拥塞。

3 总结

由于 ARP欺骗利用的是网络协议本身的缺陷,所以在IPv4时代我们无法从源头上控制,只能制定出一套防御策略,将ARP病毒的发作几率降到最低。随着IPv6技术的即将的实施,相信高校校园网解决ARP欺骗的问题指日可待。

[1] 马玲.如何防范校园网ARP攻击[J].黑龙江科技信息.2009.

[2] 樊景博,刘爱军.ARP病毒的原理及防御方法[J].商洛学院学报.2007.

[3] 康玉虎.配置交换机防范校园网ARP欺骗病毒[J].甘肃高师学报.2008.112

猜你喜欢
网段IP地址校园网
数字化校园网建设及运行的几点思考
铁路远动系统几种组网方式IP地址的申请和设置
单位遭遇蠕虫类病毒攻击
试论最大匹配算法在校园网信息提取中的应用
可变编组动车组制动系统TCN网络信号传输需求研究*
网上邻居跨网段访问故障
基于VRRP和MSTP协议实现校园网高可靠性
IP地址切换器(IPCFG)
NAT技术在校园网中的应用
基于SNMP的IP地址管理系统开发与应用