◆王林胜
(华胜电脑公司 浙江 314500)
公司集团局域网ARP恶意攻击分析与防范措施研究
◆王林胜
(华胜电脑公司 浙江 314500)
从当前的局域网技术发展和管理现状来看,外部各种形式的攻击依然非常猖獗,例如当前较受关注的ARP攻击。对于公司集团来说,局域网对于其各部门的交流、整合、协调来说具有相当重要的作用意义,如果其受到了ARP攻击,则会导致公司集团的信息安全陷入危机,甚至造成整个公司集团的运作暂时停止,后果往往非常严重,因此在如今的信息时代下,公司集团必须要做好对ARP攻击的安全防范。本文基于作者自身的实际工作与学习经验,首先简单分析了ARP协议的原理及ARP攻击形式,并较为详细的阐述了ARP攻击可能对公司集团局域网造成的危害,最后主要对如何有效的进行公司集团局域网ARP攻击安全防范提出了部分措施建议。
ARP欺骗;攻击原理;防范;措施
目前,公司集团的规模越来越大,部门和员工人数越来越多,这对公司集团的组织、协调等提出了更高的要求,如果依然想按照传统的管理方式来运营整个公司集团,显然是不现实的,其一是效率非常低下,其二是工作量非常大,容易漏洞百出。而通过组建公司集团局域网,则能够很好解决公司集团在管理过程当中的各种难题,实现各部门乃至各人员的高效交流、整合、协调,这可以显著提升公司集团的管理水平。但在局域网的运行过程当中,有着诸多的因素都可能会危害到公司集团内部的信息安全,这会使得局域网的运行出现故障甚至是瘫痪,影响到公司集团的运营管理,泄露商业信息,给公司集团造成严重的损失。例如,目前的ARP(Address Resolution Protocol,地址解析协议)攻击,就极易对公司集团的局域网造成严重的信息安全威胁。如今的ARP病毒具有非常强的感染力,而且变种非常多,一旦感染就会快速的扩散,尚没有能够完全消除ARP攻击的办法,只能不断的加强安全防范[1]。
1.1 ARP协议
ARP协议即地址解析协议,它是TCP/IP协议的一个下属协议,通过ARP协议,我们能够根据IP地址获取到物理地址,该协议在如今的网络运行过程当中,发挥着极其重要的作用。在局域网当中,每一台计算机都拥有一个IP地址,在局域网的内部,这个IP地址是独立的,各台计算机之间没有影响,但局域网内的计算机在发送数据信息时,所真实使用的却并不是该IP地址。依据网络分层的原则,数据分组从已知IP地址的网络层发送到数据链路层,这需要封装成数据链路层硬件认知的独立MAC地址后,才可以在网络中以数据帧的形式传输。ARP协议的作用就是,将IP地址映射为网络上的48位MAC地址,以这样的方式来建立起局域网内MAC和IP地址的联系,最终确保数据信息能够正确的传输[2]。
1.2 ARP协议的缺陷
如上所述,ARP协议在网络的运行过程当中发挥着重要的作用,但它也是存在缺陷的,容易引起信息安全方面的问题。当前,主机地址的映射表是动态更新、高速缓存的,在正常的情况下,主机MAC地址都会在一定的时间内进行刷新,此时如果有人刻意的在交换前篡改被欺骗主机的地址缓存,就可以拒绝服务或是假冒。ARP协议是没有状态的,因此所有的主机在没有进行ARP请求发送的情况下,也必须要对ARP做出响应,这就给攻击者留下了一个攻击点,他们能够随时的发送ARP应答,只要应答是有效的,则接收到ARP应答分组的电脑主机就根据应答分组的内容来刷新本机的高速缓存,ARP应答则无须认证。
在局域网内,所有的主机通信都是相互信任的,不需要进行审核或是认证,只要其收到了内部的ARP应答分组,就会将其中的MAC/IP地址映射刷新存入到高速缓存中,整个过程是没有阻碍的。从这里可以看出,ARP协议虽然重要,但是其缺陷是没有一个安全方面的检测机制,ARP应答报文合法还是不合法,MAC/IP地址映射都会被刷入,所以有很多的人都会通过相关的技术手段,来进行IP和MAC地址映射伪造,从而实施ARP攻击,这既可能造成局域网运行效率降低或是瘫痪,还有可能造成相关的数据信息泄露[3]。
从目前的实际ARP攻击情况来看,其攻击的具体形式可以分为两个类别,一个是主动攻击,另一个是被动攻击。
2.1 主动攻击的形式(1)中间人的攻击
中间人的攻击是ARP主动攻击中较为常见的一种形式,也常被称作ARP双向欺骗,在这种形式的供给之下,受攻击的计算机可能出现网络运行时断时续的情况,而且网速会变得非常缓慢。通过对ARP进行查看可以发现,MAC地址已经被进行了修改,同时网关上的MAC地址也是虚假的。这会使得受攻击的计算机数据流量被转移到另外的计算机上,致使数据信息丢失,如图1所示:
图1 中间人攻击
A:192.168.1.1 AA—AA—AA—AA—AA—AA
B:192.168.1.2 BB—BB—BB—BB—BB—BB(网关地址)
C:192.168.1.3 CC—CC—CC—CC—CC—CC
D:192.168.1.4 DD—DD—DD—DD—DD—DD
在某局域网当中,如果所有计算机都没有收到ARP攻击,其状态完全正常,那么计算机A就可以通过ARP协议实现与计算机D的通信,但如果计算机C通过非法的手段,向计算机A传输了一个ARP数据包,内容是(192.168.1.4,CC—CC—CC—CC—CC—CC),此时计算机A就会作出响应,对自己的ARP缓存表进行修改,计算机D的MAC就会成为CC—CC—CC—CC—CC—CC,在这样的情况下,如果计算机A再与计算机D进行通信,其数据信息其实就会流向计算机C,简而言之也就是计算机C窃取了计算机A的数据包。
(2)仿冒网关的欺骗
仿冒网关欺骗就是ARP病毒向网络的中主机传送含有错误网关(MAC,IP)映射对的ARP数据包,受害电脑主机接收到此ARP数据包同时更新了自己的ARP缓存表,一旦受害电脑主机发送数据时,这些本来传向网关的数据却被重新定向到另一主机上或一个错误的MAC地址上,从而导致受害主机根本无法访问网关。如图2 所示:
如果主机A向本网段中传输了一个ARP数据包,内容是(192.168.1.3,FF-FF-FF-FF-FF-FF),在本网段中的电脑主机C接受到此ARP数据包,会根据其内容更新自己的ARP缓存表,就会错误的更改了网关的(MAC,IP,)映射,这时电脑主机C是无法访问到网关的。
图2 仿冒网关欺骗
(3)ARP洪泛的攻击
这种攻击形式指的是受到了病毒感染的计算机,在一定的时间内,不停的向网络发送ARP数据包,这会使得网段中计算机的ARP缓存表超出容量限制,最终计算机ARP缓存当中的地质映射都是错误的,这样的话计算机就不能够正常的接入网络。
2.2 被动攻击的形式
ARP被动攻击和主动攻击是相对的,主动攻击是不法分子利用相关的技术手段,去主动修改ARP缓存表,从实施攻击。而被动攻击则不会主动修改ARP缓存表,它会在受害计算机发送ARP协议询问包时,进行欺骗性的应答,进而实现攻击,这个时候ARP协议认为所有的ARP数据包都是可信的,可见其缺陷[4]。
在一个局域网当中,如果存在ARP攻击,该攻击的对象就将是局域网内的所有计算机以及网关,在攻击成功的情况下,局域网内计算机之间的正常通信和计算机与网关之间的正常通信就会受攻击者的修改或转发。在实际发生ARP的时候,作为一般的计算机用户,是察觉不到的,而且这种攻击模式所发出的攻击都是随机的,具有较高的隐蔽性,因此想要查找攻击的源头是较为困难的。受攻击之后,受到危害的计算机会出现明显的性能下降,网速变慢,甚至是直接掉线。
(1)如果公司集团的局域网受到了ARP攻击,可能会表现得网络不稳定,网速严重减缓,甚至是瘫痪。通过对计算机的收包数据量进行查看,可以发现其数据量远远低于发包数据量。通过网络抓包工具,可以发现在集团的局域网当中有着大量的ARP报文出现。如果局域网当中的某一台计算机受到了ARP病毒的攻击感染,就会向局域网内的其他计算机或其他相关设备不间断的发送非法ARP欺骗数据包,从而使得局域网阻塞。一旦发生这种情况,公司集团的局域网内部通信就会变得非常迟缓,很多数据信息都不能及时的传输,由此公司集团的运营甚至可能完全停止。
(2)在ARP的供给之下,公司集团局域网内的计算机都可能面临非法的监听,不论是管理人员还是一般工作人员,只要其接入了局域网,他们通过计算机发送的相关数据信息就都可能被窃取,这会使得公司集团的商业机密和员工的个人信息泄露,后果可大可小。
(3)在ARP的攻击之下,公司集团的局域网可能出现一个由攻击可以创建的“伪网关”,这个时候“伪网关”就可以将相关的恶意信息插入到数据之中,然后发送给局域网中的计算机,例如一段恶意的代码,在计算机接收到了数据之后,代码便会运行,对计算机造成破坏。
4.1 用户端计算机的防御
(1)要做好基本的计算机安全防护工作,例如安装公司集团统一的防火墙、杀毒软件,并进行定期的更新。同时还可以安装ARP专杀软件,专门针对ARP共计进行安全防护,及时的发现和清楚ARP病毒。
(2)另外,在进行计算机操作的时候,要注意养成良好的安全习惯,例如不要随意打开来历不明的网站、信息或是其他的程序文件,而且在公司集团的局域网中,最好是不能进行私人的信息或娱乐操作,减少感染ARP病毒的风险。
(3)必须在用户端电脑主机上绑定交换机网关的MAC和IP地址。同时Windows用户也可通过在命令行方式,执行“arp-s 网关IP 网关MAC 地址”命令来减轻中毒主机对本机的影响。本机的网关IP和网关MAC地址可以在网络工作正常时通过命令行方式下的“arp-a”命令来得到。也可以编写一个批处理文件arp.bat,来实现将交换机网关的MAC地址和网关的IP地址的绑定,同时将这个批处理文件拖到“ 开始-程序-启动”中,这样用户每次开机后计算机自动加载并执行该批处理文件。
4.2 网络设备管理端防御
(1)为了避免公司集团的局域网受到ARP攻击,可以在核心交换机上进行主机IP与MAC地址绑定,并在边缘交换机上绑定网卡MAC地址和交换机端口,最后还需得在三层交换机上进行IP、MAC 对应表实时检控,在二层交换机上进行用户计算机上传MAC的数量限制。通过这些措施,可以有效的防范ARP攻击。
(2)利用虚拟局域网技术进行交换机端口隔离,当前公司集团的局域网都是拓扑结构,利用虚拟局域网技术,可以将局域网内的所有计算机重新划分为若干的虚拟局域网,同时将交换机上虚拟局域网进一步划小。这能够利用ARP报文在域内传送的特点,将其攻击和感染隔离开来,减少受危害的计算机。
(3)使用交换机的ARP特定功能。当前,ARP攻击的危害已经受到了重视,很对交换机的生产厂商还是进行应对,并采取了一些较为有效的措施,可以帮助防范ARP攻击。例如,在锐捷的S21系列二层交换机上,通过使用其Anti -ARP -Spoofing功能,能够防范同一个网段内的ARP攻击。另外,CISCO交换机也具有相关的功能,可以防范ARP攻击,这些功能都是较为有效的,公司集团的局域网应当积极的尝试应用。
(4)可以建立一个ARP服务器,用于存储ARP转换表,公司集团局域网内的计算机通过该服务器中的数据,来响应ARP广播,这也可以有效的防范ARP攻击,不过这里有一个前提,那就是ARP服务器必须是安全的。
(5)对公司集团局域网中的计算机进行上网认证和地址绑定。在一些情况之下,不论是软件设备还是硬件设备,可能都无法完全抵御ARP攻击,为此可以在局域网计算机中使用静态的IP地址,不允许其IP地址发生变化,同时还要在汇聚交换机上进行IP和MAC地址绑定,整个绑定过程需要涉及到的内容应当包括接入交换机PORT、接入交换机IP、MAC地址、IP地址、密码、帐号,这可以防止一个MAC地址有多个IP地址对应等情况出现,这可以在很大程度上提高公司集团局域网对ARP的防范抵御能力。
4.3 立体ARP的防御
可以在公司集团局域网中安装一套802.1x认证软件,这认证软件,有三个元素,第一是用户的客户端软件,第二是接入交换机,第三是认证服务器。经过用户通过认证后,使服务器把用户的IP、MAC、接入,同时交换机的端口绑定到接入交换机上,可以把服务器把网关的IP和MAC地址下发给用户端,让用户即绑定正确的网关地址,并在网关上实现可信任ARP,从而来保证网络中的立体ARP防御功能,进而可以确保整个网络无ARP攻击和欺骗。
当前,公司集团的规模变得越来越大,为了有效的对公司集团进行管理,协调、组织公司集团运营,必须要有一套完整的内部局域网做支撑。同时,我们还需要做好对公司集团局域网的安全防范工作,防止ARP等攻击在局域网内发生,使公司集团的局域网能够保持安全、高效的运行,促进公司集团管理、运营。
[1]吴旻,李晓玲.校园网ARP欺骗分析与解决方案[J].科技情报开发与经济,2009.
[2]秦勇,张海丰.校园网ARP欺骗攻击与防范研究[J].网络安全技术与应用,2010.
[3]吴经龙,吴立锋.校园网ARP欺骗原理及解决方案[J].中南民族大学学报,2008.
[4]叶青,徐俏虹.校园网ARP欺骗原理与防御方法研究[J].数字技术与应用,2011.