基于校园网ARP欺骗及防范措施

来源:用户上传      作者:

　　摘 要 高校校园网用户多、开放性较大，在运行过程中，极易遭受攻击。ARP欺骗是最常见的一种病毒攻击的方法，严重可使整个校园网瘫痪。本文分析了校园网ARP欺骗的工作原理及攻击方式，最后提出了应对ARP病毒的几种解决方案。
　　关键词 校园网；ARP欺骗；防御
　　中图分类号TP3 文献标识码 A 文章编号 1674-6708（2015）136-0055-01
　　Abstract the campus network users， greater openness， in the process of operation， is very vulnerable to attack. ARP spoofing is a method of virus attacks， the most common， serious can bring the whole campus network paralysis. A campus network ARP Spoofing principle and attacks are analyzed in this paper. Finally， it puts forward some solutions to deal with the ARP virus.
　　Key words campus network； ARP spoofing； Defense
　　随着教育信息化的不断发展，许多学校都建起了自己的校园网，校内互联网正变得越来越普及，但随之而来的计算机病毒也成为最大的威胁。ARP病毒是常见的破坏性病毒，它可以伪装局域网内合法主机的MAC地址，利用ARP协议的漏洞，通过ARP欺骗感染网内的其他合法用户，导致网络不稳定，时断时续，严重可导致整个网络瘫痪。
　　1 ARP协议的工作原理
　　ARP即地址解析协议，是一个链路层协议，工作在数据链路层。在本层和硬件接口间进行联系，同时对上层网络层提供服务，负责将网络层（IP层）地址解析为数据连接层（MAC层）的MAC地址，保证通信的顺利进行[1]。每一个安装TCP/IP协议的计算机都有ARP高速缓存，里面存放着IP地址和MAC地址对应映射表，它有局域网内所有的主机的IP地址和MAC地址对应
　　关系。
　　下面我来举例说明ARP协议的工作流程。校园网网内有两台主机A/B，主机A要向主机B发送数据，假设它已知B的IP地址，且A和B在同一网段，这时主机A会检查本机的ARP缓存，如果有主机B的IP/MAC的对应关系，则直接发送。如果没有，则通过广播ARP请求包，请求IP地址对应的MAC的主机做出回应，主机A若接受到应答信息后，更新本机ARP缓存的对应表，然后才把包含物理地址的数据包直接发送给B。还有一种情况，加入主机A和主机B不在同一个网段上，则主机A将广播ARP的请求发送到网管，然后判断网管与主机B是否在同一网段。如果是，则查找ARP缓存并转发数据，如果无，则继续广播ARP的请求。
　　2 ARP欺骗
　　在很多校园网中，都使用一台服务器作为局域网网关，该网关就是连接内网和外网的必然通道。局域网内的ARP病毒主机就是通过伪造服务器网关的IP和MAC地址，向目标主机发送伪造的ARP相应包，从而更改目标主机的ARP缓存表。在ARP欺骗的网络中，使用用户的明显的表征就是网络时断时续，使用ARP-d命令后，又可以正常一段时间，但不能解决根本问题。严重可使整个网络瘫痪。下面具体说明。
　　假设一个网络环境中，有三台主机，分别是A、B、C。它的IP地址和MAC地址对应如下。
　　A：IP：192.168.1.2 MAC：00-00-00-00-00-00
　　B：IP：192.168.1.3 MAC：11-11-11-11-11-11
　　C：IP：192.168.1.4 MAC：22-22-22-22-22-22
　　正常情况下A和C之间进行通讯，由于ARP协议是通过广播查找目标地址，此时B中了ARP病毒，它通过伪装C的IP地址（192.168.1.4），MAC地址11-11-11-11-11-11，应答了A的请求，于是B就伪装成C了，A的ARP缓存也随之更新。于此同时B向C发送了一个应答包，IP地址（192.168.1.2），MAC地址11-11-11-11-11-11，当C接收到应答包后也会更新ARP缓存，这样主机A和B都被C欺骗了，他们的数据都必须经过C，这就是典型的ARP欺骗过程。
　　3 防范ARP欺骗的几种方案
　　3.1 采用静态ARP缓存
　　既然ARP欺骗可以虚拟合法主机的MAC地址来达到攻击的目的，那我们可以为ARP缓存中添加静态的IP-MAC映射列表。采用静态缓存后，主机需要和其他计算机进行通信时，就不必通过广播ARP请求，只需要在静态缓存根据IP地址寻找对应的MAC地址，然后发送给目标主机。在这个过程中，如果有入侵者向主机发送ARP回应，目标主机也不会更新自己的ARP缓存，从而避免ARP欺骗。但是此种方法需要手动设置静态的IP-MAC地址映射，对校园网这样一个大的用户群体来说，工作量较大，因此此种方法使用与小型局域网[2]。
　　3.2 采用VLAN技术隔离
　　我们在进行校园网络规划的时候，网络管理员可以尽可能的将局域网划分出多个vlan，当发现有非法用户在利用ARP欺骗攻击网络的时候，可以使用技术手段查找该端口，将此端口划分到其他独立的vlan里，这样就不能对本vlan的用户造成干扰，当然也可以直接使用命令将该交换机端口关掉，从而达到防范的目的。
　　3.3 路由分割
　　MAC地址交换主要工作在二层网络结构下，我们可以采取高层交换的方式，我们采用三层以上的网络交换机，因为三层交换技术主要使用的是IP路由交换协议。这样在第二次也就是数据链路层的MAC地址和ARP协议已经不起作用，所以在这种情况下，ARP欺骗在这种交换环境下是不起作用的，就可以防止ARP欺骗的发生[3]。
　　3.4 安装ARP防火墙软件
　　ARP欺骗基本都是由于普通用户使用网络过程中没有养成良好的病毒查杀习惯，而被其他主机利用。做好网络接入端的防范工作就可以防止ARP欺骗。对于普通用户，我们可以通过安装瑞星、360安全卫士、antiarp等查杀工具，养成好的上网习惯。其中antiarp由主程序和辅助扫描工具组成，当主机受到攻击时会迅速记录和追踪攻击者且攻击程度至最低。
　　4 结论
　　ARP欺骗作为一种非常专业化的攻击手段，给校园网网络管理员带来了严峻的挑战。但俗话说“技防不如人防”，我们在应对网络安全问题的时候，一方面要及时发现问题、解决问题来弥补校园网管理的缺陷，另一方面在解决问题的同时，网络管理者也需要不断总结经验教训，及时制定和弥补制度不足，只有这样才能保证校园网网络安全。
　　参考文献
　　[1]李俊民，郭丽艳，等.网络安全与黑客攻防[M].2版.北京：电子工业出版社，2010.
　　[2]孟晓明.基于ARP的网络欺骗的检测与防范[J].信息技术，2005（5）：41-44.
　　[3]张丹，等.ARP病毒入侵的防范[J].电脑学习，2008（5）：25.
转载注明来源:https://www.xzbu.com/8/view-11805597.htm