PPPOE技术在校园网ARP攻击防御方案中的应用研究

2018-09-20 11:29王晓妮韩建刚
无线互联科技 2018年15期
关键词:校园网

王晓妮 韩建刚

摘要:为了解决校园网中的ARP攻击问题,文章研究了ARP协议和ARP攻击,结合校园网的具体情况和多年网管经验,按用户数目把校园网划分成不同区域并采取不同防御策略。针对ARP攻击的重灾区家属楼和学生公寓采用PPPOE技术方案,能够有效预防ARP攻击。

关键词:校园网;ARP攻击;PPPOE;防御策略

随着高校信息化的迅速发展,校园网早已覆盖整个校园,这为师生的生活、工作和学习提供了便利。从网上购物、在线学习、资料查阅等都离不开网路,但是由于校园网用户数量庞大,水平差别很大,上网需求各不相同,难免会访问被黑客植入了木马病毒的网站,下载包含蠕虫和Trojan的软件,地址解析协议(Address Resolution Protocol,ARP)欺骗攻击就在其中[1]。ARP欺骗攻击会篡改盗取用户隐私,使网络瘫痪,直接威胁校园网用户的财产信息安全。采用PPPOE技术能够很好地防御ARP欺骗攻击,确保校园网的安全稳定运行。

1 相关技术

1.1 ARP协议

ARP工作在数据链路层,主要作用是把以太网中所有网络设备的32位逻辑上的IP地址转换成48位物理MAC地址[2]。因为ARP协议在当初设计时默认网络环境是绝对安全的,忽视了安全性的考虑,但随着网络技术的不断发展,网络攻击日益猖獗,导致网络环境也危机四伏,不存在绝对安全的情况。故ARP协议就存在缺乏认证、无状态、广播式和动态性等安全漏洞。

1.2 ARP攻击

因为ARP协议的设计漏洞为其带来安全隐患,使ARP攻击在校园网中很常见。ARP攻击原理是黑客利用ARP协议漏洞,伪造IP/MAC地址冒充合法地址,连续向攻击目标发送大量伪造的ARP请求或响应报文,误导其不断更新ARP缓存表,使目标主机根本无法保存正确的缓存信息,让本该发往目标主机的数据被黑客直接截获或篡改,使网络通信中断,电脑死机、信息泄露和整个网络瘫痪。ARP攻击具有隐蔽性强、难以根除和极易堵塞等特点[3],可分为攻击主机、攻击网关、双向攻击和洪泛攻击4种常见类型。

1.3 PPPOE技术

PPPOE是一种能够把点对点协议封装在以太网框架中的链路控制协议,其全称为Point to Point Protocol OverEthernet。它通过远端接入设备与互联网相连,并对每个接入主机或用户实现单独控制[4]。PPPOE协议的工作流程包括发现和会话这两个阶段,无状态的发现阶段是为了获得终端设备的MAC地址和建立唯一的PPPOESESSION-ID,主机和其所选接入集中器就在以太网中建立起了对应的PPP连接的信息并进入会话阶段,然后PPP数据就能实现以任何别的PPP封装形式发送。PPPOE协议能够在以太网中为主机和网关设备建立了一个点对点的通道,使此通道和别的主机相互隔离,处在不同的广播域就能避免ARP攻击。

2 方案设计

因为校园网用户的特点是数目庞大、网络需求不同、网络安全知识和操作水平差别大、安全意识淡薄;校园网用途广泛、使用频率很高等特点让ARP攻击乘虚而入,采取单一措施很难防范。传统的这些防御措施各有利弊,例如不管怎么划分VLAN,但因其没有针对网关的保护措施,很难防御攻击网关的ARP;双向绑定只要变换上网地点就会导致绑定失效;ARP防火墙存在着对所绑网关的正确性无法识别的安全隐患;ARP服务器的前提是要保证服务器的安全,一旦服务器被攻击仍会全网瘫痪;绑定交换机端口必须采用价格昂贵的具有学习功能的交换机,使成本加大;PPPOE技术使网络传输率降低,内网间无法访问和共享网络资源。通过校园网和传统ARP防御措施的实际情况的分析,必须对校园网不同区域采取不同的防御措施。在综合办公楼和各教学楼采用VLAN划分、绑定交换机端口和ARP服务器;网络实验室、多媒体教室、电子阅览室和会议室等地方采用双向绑定和ARP防火墙;学生公寓楼和家属楼采用PPPOE技术。

3 PPPOE技术在ARP攻击方案中的应用

因为12栋家属楼和18栋学生公寓楼的上网用户比较集中,每栋楼上的用户数目多,根本无法将其划分在一个网段内,但是如果将他们划分在不同的网段,无疑就会增加管理的难度。随着校园网用户数量的逐渐增加,IP地址越来越紧张,所以在这些区域采用PPPOE技术。让该区域用户通过PPPOE拨号方式上网,既能有效防御ARP攻击,又能缓解IP地址紧张的矛盾。因为PPPOE协议采用点对点的通信方式,不依赖于ARP协议,能夠单独控制所有用户,从根本上杜绝了ARP攻击的实现,这就使ARP攻击重灾区的家属楼和学生公寓得到很好的解决。通过城市热点Dr.com计费软件便能实现在这些区域使用PPPOE拨号上网,不必改变以前已经部署好的校园网拓扑机构图,PPPOE方式网络拓扑图如图1所示。Dr.com计费系统利用绑定用户注册信息(帐号、密码等)、IP地址和MAC地址等相关信息来进行用户身份认证的,可以支持PPPOE、Web和客户端等多种方式认证。PPPOE技术方案在校园网中通过以下4步来部署:首先去掉核心交换机上的VLAN的网关地址并把其对应的VLAN标识保留好;然后在防火墙上重新配置新的路由和借口访问策略;接着把计费软件安装在Dr.com服务器上,并将端口地址设置为校园网的内网地址,配置好PPPOE拨号上网的地址池参数;最后,PPPOE服务器就会以VLAN为用户动态分配的临时IP地址为根据来进行相应的计费策略设置,并把所有用户信息导入服务器中。

4 结语

因为ARP攻击是由ARP协议的设计漏洞造成的,加之校园网用户的复杂性和传统防御措施的局限性,使得单一的策略仅能从某种程度上减弱ARP攻击引起的危害,无法彻底解决。本文结合网管实战经验,把庞大的校园网用户划分成不同区域,然后根据该区域的特点采用不用的防御措施,扬长避短,有效防御了校园网中的ARP攻击。

[参考文献]

[1]吴森森.基于ARP欺骗的数据截获与高速转发技术研究[D].成都:四川师范大学,2015.

[2]郭征,吴向前,刘胜全.针对校园网ARP攻击的主动防护方案[J].计算机工程,2011(5):181-183.

[3]李延香,袁辉,刘淑英.校园局域网ARP欺骗攻击的防御方法和实施[J].自动化与仪器仪表,2015(9):215-217.

[4]纪春坡.使用PPPoE拨号方式解决校园网ARP病毒[J].运城学院学报,2010(5):78-79.

猜你喜欢
校园网
试论最大匹配算法在校园网信息提取中的应用
基于WinPcap的校园网ARP病毒检测防御系统设计与实现
基于VRRP和MSTP协议实现校园网高可靠性
NAT技术在校园网中的应用
校园网安全问题分析及防护探讨
基于安全漏洞扫描的校园网告警系统的开发与设计
网络行为管理在电视大学校园网中的应用
校园网贷有哪些违法隐患
中小学校园网应用调查研究
VPN在校园网中的集成应用