水利局域网常见的ARP攻击及防范

2015-03-24 12:35高广利
东北水利水电 2015年12期
关键词:局域网IP地址攻击者

喻 勇,高广利

(1.新疆维吾尔自治区水利厅头屯河流域管理处,新疆昌吉831100;2.北京金水信息技术发展有限公司,北京 100053)

水利局域网常见的ARP攻击及防范

喻 勇1,高广利2

(1.新疆维吾尔自治区水利厅头屯河流域管理处,新疆昌吉831100;2.北京金水信息技术发展有限公司,北京 100053)

近年来水利局域网的日益普及,网络安全的问题日益突出,特别是最具典型的ARP欺骗和ARP病毒造成的网络异常事件频频发生,严重影响了网络的正常使用,为水利防汛抗旱工作造成一定隐患。本文从网络管理人角度角度分析了ARP攻击产生的原因,并初步提出了解决办法。

ARP攻击;网络安全;水利局域网

1 概述

随着水利信息化的快速发展,计算机网络已经成为水利事业的重要基础设施,大部分水利单位都建成了自己的局域网,并且对网络的稳定性、安全性和可靠性的依赖程度与日俱增。但由于计算机病毒、黑客和木马对网络的攻击不可避免,使得水利局域网的稳定性、安全性和可靠性受到了严重的威胁,特别是近年来特别典型的ARP欺骗和ARP病毒造成的网络异常事件频频发生,其安全问题带来的影响愈发明显,已经逐步影响到水利业务的开展和部署。

在水利局域网中ARP欺骗和ARP病毒导致的网络异常事件主要包括水利站点网页挂马、网络中断、IP地址冲突和帐号密码丢失等现象。中毒后会导致水利局域网时断时续或者无法打开网页等现象,同时该病毒还会下载多款网游木马,QQ木马,网银大盗等恶性木马,给水利局域网用户的网上办公安全带来严重的威胁。相对与通常其他的病毒攻击ARP病毒的更大危害在于:黑客可以最大化地利用ARP欺骗原理,将其与其他攻击方法组合后运用于多种攻击,如侦听、拒绝服务、挂载病毒等,从而达到多种攻击目的,如窃取水利敏感信息、病毒传播、破坏水利网络路由,暴力广告等等。

2 ARP欺骗攻击形成原因

2.1ARP请求以广播方式进行

当源主机要和目的主机通信而没有目的主机的MAC地址时,便会向整个水利局域网广播ARP请求数据包。这使得攻击者可以伪装ARP应答数据报文,与真正的目的主机展开竞争,并由此确定子网内机器什么时候刷新ARP缓存,以实现最大限度的假冒和欺骗。

2.2ARP高速缓存表动态更新

当主机收到一个ARP报文时,会自动用新报文中的IP-MAC对应关系更新原有的IP-MAC对应关系,这使得假冒者可以随时发送ARP欺骗报文修改其它主机的ARP缓存表。

2.3ARP响应无控制和无认证

ARP协议是局域网协议,设计之初,为了获得较高的传输效率,在数据链路层没有做安全上的防范,在使用ARP协议时无需认证,使用ARP协议的水利局域网假设通信双方是相互信任和相互独立的。由于ARP协议是无状态的,任何主机即使在没有请求的时候也可以做出应答。ARP协议并未规定,主机在未受到查询时不能发送ARP应答包,这是ARP协议的一个安全隐患。任何时候只要接收到ARP应答包,主机就会自动更新ARP缓存。这样攻击者就可以向目标主机发送假冒的ARP数据包进行欺骗,以达到监听的目的。许多系统会接收未请求的ARP响应,并用新信息更新ARP缓存。操作系统在动态维护列表时并没有检测本机是否发出了请求包,而是只要接收了应答包就进行列表维护操作。如果有人故意发送包含错误MAC地址的应答包,就会造成用错误列表的更新和对应。一台主机的IP地址映射在另一台主机的ARP协议缓存后,它就会被当作可信任的计算机,但并未提供验证IP和MAC地址一致性和真实性的验证机制。大多数主机保存了通过ARP得到的映射,没有考虑有效性,也没有维护一致性。这样,ARP表就有可能把几个不同的IP地址映射到同一MAC地址上。

ARP是建立在网内所有主机之间相互信任的基础上,具有无状态、无连接的特征,协议本身不作任何安全检测,当主机收到ARP请求报文和ARP应答报文时,都会无条件地更新自己的ARP缓存。虽然实现了简单和高效传输,但是却存在严重的安全隐患。

2.4ARP欺骗攻击的原理和欺骗报文的分析

在正常情况下,水利局域网内计算机通信数据流向是网关→主机或主机→网关,而当水利局域网内存在感染ARP病毒的主机时,它会自动连续发出伪造的ARP报文,使目标主机接收报文中伪造的IP-MAC之间的映射关系,从而更改目标主机或网关的ARP缓存表中的IP-MAC记录。由于ARP攻击的一般意图是截获所在网络内其他主机的通信信息,所以伪造的IP-MAC记录使数据流向改变为网关→ARP攻击者→主机或主机→ARP攻击者→网关,使主机与网关之间的所有通信数据都流经ARP攻击者即感染ARP病毒的计算机。同时,因网络中存在大量的ARP响应包,导致了网络堵塞。

可见,ARP欺骗攻击的核心就是向目标主机或网关发送伪造的ARP报文,并以此来更新目标主机的ARP缓存表。

3 防御ARP攻击的措施

3.1设置静态ARP缓存表

ARP欺骗攻击最根本的原理就是改变IP地址与MAC地址的正确对应关系,所以可以采取静态ARP表来防范,就是在目标主机的ARP缓存中设置静态地址映射记录。当主机A向主机B发送数据前就不需要通过向所在的水利局域网广播ARP请求来获得B的MAC地址,它会直接查询ARP静态记录表来获得B的MAC地址,攻击者也就没有机会向A发送ARP应答。但是,攻击者在未接收到ARP请求的情况下仍凭空伪造ARP应答发送给A,A将拒绝用伪造的数据更新ARP缓存中的静态记录。这种方法的缺点很明显,就是在经常更换IP地址的水利局域网环境里,由于每个主机都采用ARP静态记录,手工维护十分繁琐,工作量很大,增加网络维护的成本,这种方法在实际上应用中很少采用。

3.2设置ARPServer

为了解决上述方法中维护静态记录的工作分散的缺点,可以采用在水利局域网内部指定一台机器作为ARP服务器来集中管理,专门保存和维护一个相对可信的水利局域网环境下所有主机的IP-MAC地址映射记录。该服务器通过查阅自己的ARP缓存的静态记录,并以被查询主机的名义来响应水利局域网内部的ARP请求。按照一定的时间间隔广播网段内所有正确的IP—MAC地址表,同时可以设置水利局域网内部的其它主机只使用来自ARP服务器的ARP响应。但如何将1台主机配置成只相信来自ARP服务器的ARP响应,目前还是很困难的。

3.3在交换机上绑定交换机端口IP地址

设置交换机的每个端口与主机IP地址相对应,一旦来自该端口的IP地址发生变动,交换机将不为来自该端口的主机转发数据。这样,攻击者就无法发送伪造ARP数据帧,从而阻止了ARP欺骗的发生,这种方法的缺点是不灵活。

3.4禁用ARP解析

在操作系统中禁用ARP解析后,必须做静态ARP协议设置 (因为对方不会响应ARP请求报文),工作繁琐,因而实际网络管理中无法采用。

3.5数据加密传输

通常情况下,ARP欺骗攻击导致数据包从源主机流向攻击方,使得网络通信被非法截取和监听。尽可能地加密水利局域网内传输的数据,可使损失相对减小。但在实际应用中,往往要求替换掉采用明文传输数据的服务,如用ssh、sftp替换telnet、ftp、rsh等。

3.6广播正确的IP-MAC映射关系的ARP报文

不间断地广播ARP报文,发送正确的IP地址与MAC地址映射关系,以覆盖网络中存在的ARP欺骗报文,代价则是增加了网络带宽的开销和网络存在的广播风暴的风险。

3.7安装ARP防火墙

安装ARP防火墙拦截虚假ARP数据包,以获取中毒计算机的IP地址和MAC地址,从而防御ARP欺骗攻击。防火墙最大的优点是既可以防3.8改进ARP协议

止ARP欺骗攻击,还可以防止本机对网内同网段的计算机发送ARP欺骗。但这种方法需要在整个网络内的每台计算机安装ARP防火墙软件,实现起来难度增大。

由于ARP攻击是由ARP协议本身缺陷而引起的安全问题,因此可通过对协议运行机制的改进,弥补协议的漏洞。改进主要是针对ARP协议“无状态”的特点,具体算法是对接收到的ARP请求,不更新缓存表,只接收有发送请求的ARP应答报文,其它的都丢弃。该方法主要是针对单个的主机系统,修改其内核的TCP/IP函数源代码或编写底层驱动程序实现中间件。该方法虽然能有效防范ARP欺骗,但由于采用了复杂的数据结构,且需要对ARP应答报文进行更多的处理,使得改进后的协议运行效率降低,实际的应用中存在较大的局限性。

4 结语

从上述防御ARP欺骗攻击所使用的技术来看,有些管理工作量大且不够灵活(如设置静态ARP缓存表),有些解决方案中需要提供理想状态的数据(如数据库中预先存储端口绑定的IP),这在一定程序上限制了解决方案的使用。真正从网络管理角度解决中小型水利局域网ARP攻击引起的网络异常事件问题,还需结合自身网络实际情况采用合适的方案。

[1]陈婉如,赵仕伟,王津.校园网中的ARP欺骗原理及防范措施[J].成都航空职业技术学院学报,2008,24(3):52—57.

[2]王增波.ARP欺骗原理及防范方案设计[J].科技风,2008(5):57.

[3]傅伟,谢宜辰.基于ARP协议的欺骗攻击及安全防御策略[J]湘潭师范学院学报(自然科学版),2007,29(4):49—53.

[4]WilliamStallings.SNMP网络管理[M].北京:中国电力出版社出版,2001.

TP393.1

B

1002-0624(2015)12-0042-02

2015-09-29

猜你喜欢
局域网IP地址攻击者
机动能力受限的目标-攻击-防御定性微分对策
轨道交通车-地通信无线局域网技术应用
铁路远动系统几种组网方式IP地址的申请和设置
基于VPN的机房局域网远程控制系统
正面迎接批判
IP地址切换器(IPCFG)
基于802.1Q协议的虚拟局域网技术研究与实现
局域网性能的优化
基于SNMP的IP地址管理系统开发与应用
公安网络中IP地址智能管理的研究与思考