淺析校園網ARP攻擊及對策

摘要:該文分析了校園網ARP欺騙攻擊的原理、方式及其應對策略。

關鍵詞:校園網;ARP欺騙攻擊;對策

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)21-5929-02

目前，各學校普遍都建立了校園網，這種局域網使用非常方便，內部信息的傳輸速率非常高，為學校的教學、辦公等提供了極大的便利。但是由于校園網采用的技術普遍比較簡單，安全措施較少，對來自網絡內部的計算機客戶端的安全威脅更是缺乏必要的安全管理機制，未經授權的網絡設備或用戶往往可以通過局域網的網絡設備自動進人網絡，這樣就給病毒傳播提供了快速有效的通道和數據信息的安全埋下了巨大的隱患。最典型的是利用ARP協議欺騙攻擊網絡的病毒在校園網中經常出現，導致網絡不穩定甚至造成校園網癱瘓，極大地影響了校園網用戶的正常使用，給學校的正常教學、辦公造成巨大的影響和損失。

1 ARP協議與ARP病毒

1.1 ARP協議

ARP協議是Address Resolution Protocol地址解析協議的縮寫，所謂“地址解析”就是主機在發送數據包前將目標主機的網絡IP地址轉換成物理MAC地址的過程。在局域網中，一臺主機要和另一臺主機進行通信，必須要知道目標主機的IP地址，但是最終負責在局域網中傳送數據的網卡等物理設備是不能識別IP地址的，只能識別其硬件地址即MAC地址。ARP協議的基本功能就是在網絡IP地址和硬件地址(MAC地址)之間提供動態映射，使網絡節點間通信的數據幀能夠在鏈路中正確傳輸。

1.2 ARP病毒

ARP地址欺騙類病毒(簡稱ARP病毒)是一類特殊的病毒，屬于木馬(Trojan)病毒，它不會自我復制、不會主動傳播。但是其發作時會向整個局域網內發送偽造的ARP數據包，干擾全網的正常運行，所以其危害性比大多數蠕蟲病毒都要嚴重。

1.3 ARP病毒發作時的現象及危害

現象:網絡頻繁掉線、時斷時續并且網速很慢，無法ping通網關，但網絡連接正常，整個網段內部分計算機不能上網，或者所有計算機無法正常上網，無法打開網頁或打開網頁慢，訪問頁面時常常彈出廣告窗口，IE瀏覽器在使用過程中頻繁出錯或自動關閉等。

危害:網絡異常、IP沖突;數據竊取、個人隱私泄漏(如MSN聊天記錄、郵件等)、賬號被盜用(如QQ賬號、銀行賬號等);數據篡改(如訪問的網頁被添加了惡意內容，俗稱“掛馬”);非法控制(如某些網頁打不開、某些網絡應用程序用不了)。

2 ARP欺騙及攻擊的主要方式

2.1 ARP欺騙

ARP欺騙分為兩種:一種是對內網主機的網關欺騙，其原理是偽造假網關，即把真實網關的IP地址映射到錯誤的MAC地址，這樣主機在向網關發送數據時，根本就不能到達真正的網關，當然也就無法上網了;另一種是對路由器ARP表的欺騙，其原理是攻擊者通過截獲分析網關數據，并通知路由器一系列錯誤的內網IP地址和MAC地址的映射，按照一定的頻率不斷進行，使真實的地址信息映射無法通過更新保存在路由器中，結果路由器轉發數據到錯誤的MAC地址的主機，造成正常主機無法收到信息。

2.2 中間人攻擊

按照ARP協議的設計，一臺主機即使收到的ARP應答并非自身請求得到的，也會將其IP地址和MAC地址的對應關系添加到自身的ARP映射表中。這樣可以減少網絡上過多的ARP數據通信，但也為ARP欺騙創造了條件。例如，有PC-A、PC-B 、PC-C三臺主機，現在PC-A和PC-C通過交換機S進行通信。此時，如果有攻擊者(PC-B)想探聽PC-A和PC-C之間的通信，它可以分別給這兩臺主機發送偽造的ARP應答報文，使PC-A中的ARP緩存表中IP-C和MAC-B所對應，PC-C中的ARP緩存表中IP-A和MAC-B所對應。此后，PC-A和PC-C之間看似直接的通信，實際上都是通過攻擊者所在的主機間接進行的，即PC-B擔當了中間人的角色，它可以對信息進行竊取和篡改。

2.3 ARP泛洪攻擊

攻擊主機持續把偽造的IP地址和MAC地址的映射發給受害主機，對于局域網內的所有主機和網關進行廣播，搶占網絡帶寬并干擾正常通信。導致網絡中的主機和交換機不停地更新自己的IP地址和MAC地址的映射表，浪費網絡帶寬和主機的CPU，使主機間不能正常通信。

2.4 DoS攻擊

DoS(Denial of Service)即拒絕服務，造成DoS的攻擊行為稱為DoS攻擊，是指攻擊者通過消耗受害網絡的帶寬、消耗受害主機的系統資源，發掘編程缺陷，提供虛假路由或DNS信息，使目標主機或網絡無法提供正常的服務或資源訪問甚至系統崩潰。

DDoS(Distributed Denial of Service)即分布式拒絕服務，DDoS攻擊是在傳統的DoS攻擊的基礎上產生的一類攻擊方式，攻擊者利用在已經侵入并已控制的各主機上安裝大量的DoS攻擊程序，它們等待來自中央攻擊控制中心的命令，中央攻擊控制中心在適當的時候啟動全體受控主機的DoS攻擊進程，讓它們充當“幫兇”對某個特定目標“群起圍攻”，發送盡可能多的訪問請求，形成一股DoS洪流沖擊目標系統，導致它無法響應正常的請求乃至癱瘓死機。

3檢測ARP欺騙攻擊的方法

3.1 Sniffer抓包嗅探法

網絡中傳輸的所有數據包都可以通過sniffer來檢測，同樣ARP協議欺騙攻擊數據包也逃不出sniffer的監測范圍。當局域網中有ARP地址欺騙時，往往伴隨著大量的ARP欺騙廣播數據包，此時利用抓包工具找出大量發送ARP廣播包的機器，基本上可以確定它就是“元兇”了。

3.2工具軟件法

目前市面上有很多ARP病毒定位工具，例如ARP防火墻。利用此類軟件，可以輕松地找到ARP攻擊者的MAC地址，然后對比正確的全網IP-MAC地址對照表，即可快速定位出攻擊者。

3.3 命令行法

當局域網中發生ARP欺騙的時候，攻擊者會向整個局域網內不停地發送ARP欺騙廣播，網內的其他電腦就會動態更新自身的ARP緩存表，這樣，網關MAC地址就被攻擊者的MAC地址“貍貓換太子”了。此時，只要在其受影響的電腦中使用“ARP -a”命令查詢一下當前的網關MAC地址，這個MAC地址就是攻擊者的MAC地址，再根據網絡正常時的全網IP-MAC地址對照表就可以找到攻擊者了。

4 防范ARP欺騙攻擊的對策

4.1 采用VLAN技術隔離端口

根據實際需要，將校園網規劃出若干個VLAN，當發現有非法用戶在惡意利用ARP欺騙攻擊網絡，或因合法用戶受病毒ARP病毒感染而影響網絡時，網絡管理員可先找到該用戶所在的交換機端口，然后將該端口劃一個單獨的VLAN，將該用戶與其它用戶進行隔離，以避免對其它用戶的影響，當然也可以利用將交換機的該端口關掉來屏蔽該用戶對網絡造成影響。

4.2 IP地址和MAC地址的靜態綁定

1) 在交換機上綁定

在核心交換機上綁定用戶主機的IP地址和網卡MAC地址，同時在邊緣交換機上將用戶計算機網卡的IP地址和交換機端口綁定的雙重安全綁定方式。這樣可以很大程度上避免非法用戶使用ARP欺騙或盜用合法用戶的IP地址進行流量的盜取，可以防止非法用戶隨意接入網絡，網絡用戶如果擅自改動本機網卡的IP或MAC地址，該機器的網絡訪問將被拒絕，從而降低了ARP攻擊的概率。

2) 在用戶端綁定

ARP欺騙是通過ARP的動態刷新并不需進行驗證的漏洞來欺騙內網主機的，所以把ARP表全部設置為靜態可以解決這個問題，也就是在用戶端實施IP和MAC地址綁定，可以在用戶主機上建立一個批處理文件，此文件內容是綁定內網主機IP地址和MAC地址，并包括網關主機的IP地址和MAC地址的綁定，并把此批處理文件放到系統的啟動目錄下，使系統每次重啟后，自動運行此文件，自動生成內網主機IP地址到MAC地址的映射表。

4.3使用殺毒軟件和防火墻

一是要及時下載安裝系統漏洞補丁，并且關閉不必要的服務來減少病毒的攻擊;二是要安裝正版殺毒軟件，而且實時更新病毒庫，定期對電腦進行全盤殺毒;三是安裝ARP防火墻或者開啟局域網ARP防護，瑞星、金山、360等安全軟件都提供了這類實用的功能。

5 小結

由于早期制定ARP協議時考慮不周，留下了一些安全隱患和缺陷，使得ARP攻擊的破壞性比較大，幸好ARP攻擊僅僅局限于局域網環境中“興風作浪”而已，目前，新一代的IPv6協議已經將這些缺陷彌補、修正好了。

隨著網絡技術及應用的發展，計算機病毒的形式及傳播途徑日趨多樣化，安全問題日益復雜化。校園網安全控制與病毒防治是一項長期而艱巨的任務，需要不斷的探索，以期建立多層次的、立體的防護體系。

參考文獻:

[1] 凌力.網絡協議與網絡安全[M].北京:清華大學出版社，2007.

[2] 王文壽，王珂.網管員必備寶典--網絡安全[M].北京:清華大學出版社，2007.

[3] 李俊民，郭麗艷.網絡安全與黑客攻防寶典[M].北京:電子工業出版社，2010.