刘婷+孙陆鹏+孟庆伟
摘要:互联网时刻面临着各种各样的攻击和威胁,校园网也面临着严重的挑战和威胁. ARP协议欺骗是网络欺骗的行为之一,利用 ARP 协议自身的安全缺陷, 攻击者可以重新伪造一个以太网上的 IP 数据报以取得目标主机的信任,在校园网上可以进行各类的攻击。文中在分析 ARP 协议工作原理、ARP协议的设计缺陷、攻击方式的基础上,详细论述了几种基于ARP协议的校园网防御策略,为校园网的安全建设提供参考。
关键词:ARP欺骗;网络攻击;校园网
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)22-0021-03
Internet的发展极大地提高了人们的生活和工作效率,计算机已经进入千千万万的家庭当中。2016年1月的第37次中国互联网络发展状况统计报告显示:截至2015年12月,中国网民规模达6.88亿,互联网普及率为50.3%。因特网的开放性造成的网络和信息安全等问题也越来越受到人们的重视,校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络,校园网的安全状况直接影响到教学、科研、管理等活动的进行。目前针对网络的攻击方式有很多种类:嗅探扫描攻击,网络系统缺陷攻击、Email攻击、堆溢出攻击、ARP攻击等,其中基于ARP的攻击是危害较大的、比较典型一种攻击方式,本文重点研究基于ARP欺骗的校园网攻击防御方法,希望给校园网的安全建设提供一些借鉴。
1 ARP协议的工作原理和典型应用
ARP(Address Resolution Protocol)地址解析协议)是 TCP/IP协议族中的一个重要协议, ARP 是解决同一个局域网上的主机或路由器的 IP 地址和硬件地址的映射问题,在 IPV4 版本下, ARP协议的功能是完成从32位的IP地址到48位的MAC地址的转换。
1.1 ARP 协议工作原理
在局域网中的每台计算机都同时拥有两个地址,一个是 MAC 地址, 另一个是 IP 地址。MAC地址就是以太网卡硬件地址(Physical Address), 它在生产时就已经固化在网卡上的ROM中, 是全球唯一的。IP地址是网络层和以上各层使用的地址,是一种逻辑地址,它是由软件分配的, 根据使用情况需要是可以更改的。不管网络层使用的是什么协议,在实际网络的链路上传送数据帧时,最终还是必须使用硬件地址。 每一个主机都设有一个 ARP 高速缓存(ARP cache),里面有所在的局域网上的各主机和路由器的 IP 地址到硬件地址的映射表。当主机A欲向本局域网上的某个主机B发送 IP 数据报时,就先在其 ARP 高速缓存中查看有无主机B的 IP 地址。如有,就可查出其对应的硬件地址,再将此硬件地址写入 MAC 帧,然后通过局域网将该 MAC 帧发往此硬件地址。为了减少网络上的通信量,主机A在发送其 ARP 请求分组时,就将自己的 IP 地址到硬件地址的映射写入 ARP 请求分组。主机B收到A的 ARP 请求分组时,就将主机A的这一地址映射写入主机B自己的 ARP 高速缓存中。这对主机B以后向A发送数据报时就更方便了。
1.2使用 ARP 的四种典型情况
如果所要找的主机和源主机不在同一个局域网上,那么就要通过ARP找到一个位于本局域网上的某个路由器的硬件地址,然后把分组发送给这个路由器,让这个路由器把分组转发给下一个网络。剩下的工作就由下一个网络来做。从IP地址到硬件地址的解析是自动进行的,主机的用户对这种地址解析过程是不知道的。只要主机或路由器要和本网络上的另一个已知 IP 地址的主机或路由器进行通信,ARP 协议就会自动地将该 IP 地址解析为链路层所需要的硬件地址。使用 ARP有以下四种情况如图1所示:
发送方是主机,要把IP数据报发送到本网络上的另一个主机。这时用 ARP 找到目的主机的硬件地址,如图1:主机B与主机C之间发送信息。
发送方是主机,要把 IP 数据报发送到另一个网络上的一个主机。这时用 ARP 找到本网络上的一个路由器的硬件地址。剩下的工作由这个路由器来完成,如图1:主机A与主机B或主机C之间发送信息。
发送方是路由器,要把 IP 数据报转发到本网络上的一个主机。这时用 ARP 找到目的主机的硬件地址。如图1:路由器R1与主机A之间发送信息或路由器R2与主机B或主机C之间发送信息。
发送方是路由器,要把 IP 数据报转发到另一个网络上的一个主机。这时用 ARP 找到本网络上另一个路由器的硬件地址。剩下的工作由这个路由器来完成,如图1:路由器R1与路由器R2之间发送信息。
2 ARP 协议的漏洞
TCP/IP 协议栈中的的ARP 协议,其最初设计是建立在同一个局域网内各站点之间互相信任的基础之上,仅考虑其传输效率,而缺乏必要的认证和鉴别机制,导致ARP协议的安全性能相当脆弱,主要体现在以下几个方面:
① ARP协议的请求包与应答包通过广播形式进行传送
当一台计算机发送的 ARP请求包是以广播的形式进行传送,在整个局域网内全部的计算机都能接到这些请求如图2所示:
网络中一些图谋不归站机就有发送应答包的机会,目标计算机里 ARP缓存的内容就有可能被改变。当一台计算机发送的 ARP应答包是以广播的形式进行传送,局域网计算机里面的 ARP 缓冲区的 IP 与 MAC 联系就会发生改变,网络就会出现异常情况。
②ARP协议的回复与请求不需要相互关联。
不管局域网内的某站点有没有发出请求数据,在同一个局域网内的任何站点都可以向目标站点发送ARP的应答数据,收到来一个局域网站点的 ARP 回复包,就会修改ARP 缓存区保存的 IP 与MAC的关系,并不会考虑这个ARP 回复包是否是对应的请求包引起的,目标计算机里 ARP缓存的内容随时都有可能被改变。
③ARP 缓冲区当中的IP与MAC对应关系是动态变化的。这即是优点也是缺陷。在 ARP 缓冲区当中的IP与MAC对应关系是不断地进行动态的更新,如果有数据在更新之前被篡改了,那么在局域网计算机的通信就不能完成正常通信。
3 基于ARP的攻击方式
校园网是一种局域网,校园网的数据通讯使用ARP协议。由于ARP协议自身的设计缺陷,利用这些 ARP漏洞,可以实现多种ARP攻击校园网,达到截获校园网数据的目的。常见的基于 ARP 的攻击有如下几种方式:
3.1 ARP 洪泛攻击
局域网中的恶意用户和向校园网发出大量的ARP报文,导致整个校园网络通信被阻断,学校服务器瘫痪,最后使得整个学校的用户不能登陆互联网。
3.2 伪造网关
通过伪造虚假的网关或主机,向校园网里的所有计算机或者终端发送 ARP 伪造的网关,使校园网用户发送数据到了假的网关,造成用户无法上网。
3.3 ARP 病毒攻击
ARP 病毒是利用ARP协议的漏洞进行传播的一类病毒。局域网中有人使用ARP欺骗的木马程序,ARP 攻击和木马病毒组合,对校园网造成更大的危害。
3.4 IP 地址冲突
校园网中的一台主机发送更改的 ARP 报文, 将另一个伪装的MAC地址和目的主机的IP地址做映射, 这样系统就会检测到同一个 IP 地址对应两个不同的 MAC 地址,造成IP地址冲突。如果机器使用的是Windows 操作系统,则在系统中弹出警告对话框,如果是Linux/Unix 操作系统,则会给用户发送mail 进行警告用户, 并且出现整个网络的暂时中断。
3.5 拒绝服务攻击
拒绝服务攻击就是让网络中的计算机不能够正常回应其他计算机提出的要求,从而不能提供服务。如果校园网中的攻击者将目标主机ARP缓存中的MAC地址全部改为根本就不存在的MAC地址,那么目标主机会因为错误的MAC地址造成向外发送的数据全部丢失,从而导致目标主机产生拒绝服务。
4 ARP攻击的防御策略
根据ARP攻击方式的多样性,我们为了尽可能提高校园网的安全性,提出多种防御策略,而且其中某些方案在特定的条件下的防御效果十分显著。
4.1划分虚拟局域网(VLAN)和端口绑定
虚拟局域网 VLAN 是由一些局域网网段构成的与物理位置无关的逻辑组,采用划分VLAN和把计算机和交换机一对一的方式进行绑定,在静态VLAN 中,由网络管理员根据交换机端口进行静态的VALN 分配。把校园网划分成多个VLAN,缩小了网络的广播范围,即使网络中发生了ARP欺骗攻击,也只能在很小的一个虚拟范围,不会对整个校园网造成严重的破坏。基于端口的VLAN 配置简单,网络的可监控性强。但缺乏足够的灵活性,不适用于便携式电脑,而且这种方法并不能使网关免受ARP病毒的攻击,如果网关受到ARP病毒的攻击,同样会导致校园网的瘫痪。
4.2设置静态 ARP 缓存表
基于ARP协议攻击最根本的原理就是改变IP地址与 MAC 地址的正确对应关系,可以设置目标主机的 ARP 缓存中设置静态地址映射记录来防止IP地址与 MAC 地址的正确对应关系的改变。在校园网中两个站点发送数据前就不需要通过向所在的局域网广播ARP请求来寻找MAC地址。但这种方法手工工作量很大,维护十分繁琐。
4.3 个人ARP防火墙
现在很多杀毒软件都设计出了ARP防火墙的模块,可以交效的避免遭受攻击者所冒充的假网关的攻击,个人ARP防火墙的局限性:个人防火墙只关注了本机的安全性,并没有考虑网关的安全,防火墙本身也有可能绑定一个假冒的网关,防火墙比较适用于个人用户使用,对整个校园网网络来说不能起到防御的作用。
4.4 PV6 的应用
在 IPV6 版本下, 定义了邻居发现协议(NDP)。IPv6地址解析技术工作在OSI参考模型的网络层,与链路层协议无关,加强了地址解析协议与底层链路的独立性,在第三层实现地址解析可以利用三层标准的安全认证机制来防止ARP攻击和ARP欺骗。但IPv4和IPv6是两种相互不兼容的协议,两者在本质上就不能互通,这对IPv6的普及造成了很大的困难。
5 结束语
总之,校园网的安全是十分重要的,校园网作为一个大型局域网非常容易受到ARP攻击,文中所采用的ARP欺骗的侦测及防御方法,对校园网的建设有具有一定的应用价值,在用户、硬件设备、网关等之间建立不同的ARP防御体系,尽最大限度保障校园网的安全畅通,尽可能降低ARP攻击。
参考文献:
[1] 谢希仁.计算机网络 [M]. 6版.北京.电子工业出版社,2013,6.
[2] 边浩江. ARP欺骗的侦测及防御方法的研究与实现[D].昆明:昆明理工大学,2015.
[3] 郑森森. 基于ARP欺骗的数据截获与高速转发技术研究[D].四川师范大学,2015.
[4] 单国杰. 基于ARP欺骗攻击的防御策略研究[D].山东师范大学,2011.
[5] 王燕,张新刚. 基于ARP协议的攻击及其防御方法分析[J].微计算机信息,2007(23):72-74.