校園網(wǎng)ARP攻擊的防范

　　隨著信息技術(shù)的發(fā)展，特別是現(xiàn)代高速網(wǎng)絡(luò)技術(shù)的快速推進(jìn)，各大高校對(duì)互聯(lián)網(wǎng)的應(yīng)用更加廣泛。很多新的應(yīng)用技術(shù)也在不斷地開發(fā)并投入應(yīng)用之中。但是科技從來都是“矛盾”并行的，新技術(shù)可以讓我們感受到科技帶來的便利，同時(shí)也會(huì)給我們“附送”新的煩惱。在我們?cè)絹碓揭蕾嚮ヂ?lián)網(wǎng)的時(shí)候，網(wǎng)絡(luò)攻擊的問題也更加突出。對(duì)于校園網(wǎng)來說，ARP攻擊就是一個(gè)揮之不去的夢(mèng)魘。
　　ARP攻擊又稱為“ARP欺騙”，這種攻擊往往被加載到木馬和病毒程序上，在校園網(wǎng)內(nèi)快速擴(kuò)散，嚴(yán)重干擾了校園網(wǎng)正常運(yùn)行。ARP攻擊的具體表現(xiàn)為：在使用校園網(wǎng)時(shí)經(jīng)常突然掉線，過一會(huì)兒網(wǎng)絡(luò)又可能恢復(fù)，這種現(xiàn)象頻繁出現(xiàn)。如果重新啟動(dòng)計(jì)算機(jī)或者在命令提示符下鍵入“arp-d”，暫時(shí)又可以恢復(fù)網(wǎng)絡(luò)的使用，如此周而復(fù)始。ARP攻擊一般較為頑固，在一個(gè)網(wǎng)絡(luò)中只要一臺(tái)電腦有ARP病毒程序，就會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)出現(xiàn)間歇性中斷，甚至整個(gè)網(wǎng)絡(luò)癱瘓，危害特別大，前一段時(shí)間，各大校園網(wǎng)都受到不同程序的攻擊。ARP攻擊由于附著于木馬之上，經(jīng)常還兼有盜取用戶QQ密碼、游戲賬號(hào)，以及網(wǎng)上銀行賬號(hào)等行為，給用戶帶來了不便甚至造成了經(jīng)濟(jì)損失。
　　鑒于ARP攻擊的危害極大，對(duì)于ARP攻擊的防范在校園網(wǎng)的應(yīng)用中就為一種常規(guī)任務(wù)了。我院在遭受ARP攻擊后，采用相關(guān)技術(shù)積極應(yīng)對(duì)，大大減少了ARP攻擊的成功率，確保了學(xué)院校園網(wǎng)的正常運(yùn)行。下面我就我院出現(xiàn)的ARP攻擊現(xiàn)象簡(jiǎn)單分析ARP攻擊的過程和相應(yīng)的對(duì)策。
　　1.ARP協(xié)議及ARP攻擊原理及攻擊方式
　　1.1ARP協(xié)議簡(jiǎn)介
　　ARP協(xié)議是Address Resolution Protocol地址解析協(xié)議的縮寫。是一種將IP地址轉(zhuǎn)化成物理地址，即MAC地址的協(xié)議，在TCP/IP局域網(wǎng)中以幀的方式傳輸數(shù)據(jù)。并且根據(jù)幀中目標(biāo)主機(jī)的MAC地址來進(jìn)行尋址。在TCP/IP網(wǎng)絡(luò)中，一臺(tái)主機(jī)與另一臺(tái)主機(jī)進(jìn)行直接通信，就必須要知道目的主機(jī)的MAC地址。這個(gè)目的MAC地址就是通過ARP協(xié)議獲取的。地址解析就是主機(jī)在發(fā)送幀前將目的主機(jī)的IP地址轉(zhuǎn)換成目的主機(jī)MAC地址的過程。這樣即可實(shí)現(xiàn)各主機(jī)間的通信。
　　1.2ARP協(xié)議的工作方式
　　ARP在同網(wǎng)段和不同網(wǎng)段的工作方式略有不同。
　　在同網(wǎng)段內(nèi)：源主機(jī)若要向目的主機(jī)發(fā)送信息，首先會(huì)查看本機(jī)的緩存表，確定其中是否包含有目的主機(jī)對(duì)應(yīng)的ARP表。如果有目的主機(jī)對(duì)應(yīng)的MAC地址，則直接利用ARP表中的MAC地址，對(duì)IP數(shù)據(jù)包進(jìn)行幀封裝，并將數(shù)據(jù)包發(fā)送給目的主機(jī)。如果在本機(jī)中沒有找到目的主機(jī)對(duì)應(yīng)的MAC地址，則將緩存該數(shù)據(jù)報(bào)文。然后以廣播方式發(fā)送一個(gè)ARP請(qǐng)求報(bào)文。由于ARP請(qǐng)求報(bào)文以廣播方式發(fā)送，該網(wǎng)段上的所有主機(jī)都可以接收到該請(qǐng)求。但只有被請(qǐng)求的目的主機(jī)會(huì)對(duì)該請(qǐng)求進(jìn)行處理，其他主機(jī)會(huì)自動(dòng)丟棄這個(gè)請(qǐng)求報(bào)文。而目的主機(jī)會(huì)比較自己的IP地址和ARP請(qǐng)求報(bào)文中的目標(biāo)IP地址。如果相同則將ARP請(qǐng)求報(bào)文中的源主機(jī)的IP地址和MAC地址存入自己的ARP表中，之后以單播方式發(fā)送ARP響應(yīng)報(bào)文給源主機(jī)。源主機(jī)在收到ARP響應(yīng)報(bào)文后會(huì)將目的主機(jī)的MAC地址加入到自己的ARP緩存表中，用于后續(xù)報(bào)文的轉(zhuǎn)發(fā)。同時(shí)將IP數(shù)據(jù)包進(jìn)行封裝后發(fā)送出去。
　　在不同網(wǎng)段中：源主機(jī)在確認(rèn)與目的主機(jī)不在同一個(gè)網(wǎng)段時(shí)，就會(huì)先向網(wǎng)關(guān)發(fā)出ARP請(qǐng)求報(bào)文，從收到的響應(yīng)報(bào)文中獲得網(wǎng)關(guān)的MAC地址后，將報(bào)文封裝并發(fā)給網(wǎng)關(guān)。如果網(wǎng)關(guān)已經(jīng)有目的主機(jī)的ARP表項(xiàng)，網(wǎng)關(guān)直接把報(bào)文發(fā)給目的主機(jī)；如果網(wǎng)關(guān)沒有目的主機(jī)的ARP表項(xiàng)，網(wǎng)關(guān)會(huì)廣播ARP請(qǐng)求。目標(biāo)IP地址為目的主機(jī)的IP地址。當(dāng)網(wǎng)關(guān)從收到的響應(yīng)報(bào)文中獲得目的主機(jī)的MAC地址后，就可以將報(bào)文發(fā)給目的主機(jī)，同時(shí)將目的主機(jī)的IP地址和MAC地址存入ARP緩存表中，以后再進(jìn)行數(shù)據(jù)交換時(shí)，只需直接從緩存表中讀取映射條目就可以了。
　　1.3ARP攻擊的工作方式
　　從ARP協(xié)議的工作方式可以看出，由于網(wǎng)絡(luò)中各主機(jī)是建立在互相信任的基礎(chǔ)之上，協(xié)議本身考慮更多的是穩(wěn)定性和高效性，所以ARP協(xié)議是一個(gè)高效的數(shù)據(jù)鏈路層協(xié)議。但是也存在如下的缺陷：ARP高速緩存根據(jù)所接收到的ARP協(xié)議包隨時(shí)進(jìn)行動(dòng)態(tài)更新；ARP沒有連接的概念，任意主機(jī)即使在沒有ARP的時(shí)候也可以做出應(yīng)答；ARP協(xié)議沒有認(rèn)證機(jī)制，只要接收到的協(xié)議包是有效的，主機(jī)就無條件地根據(jù)協(xié)議包的內(nèi)容刷新本機(jī)ARP緩存，并不檢查該協(xié)議包的合法性。因此攻擊者可以隨時(shí)發(fā)送虛假的ARP包更新被攻擊主機(jī)上的ARP緩存，進(jìn)行地址欺騙或拒絕服務(wù)攻擊。
　　ARP的攻擊主要分為兩種形式：一種是截獲網(wǎng)關(guān)數(shù)據(jù)，這種方法是攻擊者通知網(wǎng)關(guān)一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行改善，使真實(shí)的地址信息無法通過更新保存到網(wǎng)關(guān)的路由中，結(jié)果造成網(wǎng)關(guān)的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常的主機(jī)無法收到信息，或者信息被監(jiān)聽或轉(zhuǎn)發(fā)。另一種是偽造網(wǎng)關(guān)，這種方法建立虛假的網(wǎng)關(guān)，讓被欺騙的主機(jī)向它發(fā)送數(shù)據(jù)，而不是通過正常的網(wǎng)關(guān)途徑上網(wǎng)，造成被攻擊主機(jī)無法上網(wǎng)。
　　2.ARP攻擊的解決思路和防御策略
　　2.1ARP攻擊的檢測(cè)
　　如果懷疑網(wǎng)絡(luò)中的主機(jī)受到了ARP攻擊，可以采用如下幾種方法進(jìn)行檢測(cè)。
　　2.1.1進(jìn)入命令提示符界面，鍵入“arp-a”命令，查看本機(jī)ARP的緩存。正常情況下，除網(wǎng)關(guān)外不會(huì)有其他記錄，需要注意的是網(wǎng)關(guān)的MAC地址是否和正常的時(shí)候一樣。在沒有更換網(wǎng)關(guān)的網(wǎng)卡的情況下，如果出現(xiàn)不同、沒有記錄或者記錄過多，都有可能是受到了ARP攻擊。鍵入“arp-d”命令，查看網(wǎng)絡(luò)是否可以恢復(fù)。如果情況有所緩解，說明已經(jīng)恢復(fù)了默認(rèn)的arp緩存表。
　　2.1.2Ping網(wǎng)關(guān)，看看是否出現(xiàn)丟包的現(xiàn)象，如果有丟包現(xiàn)象，但是又有時(shí)能夠連通，則有可能受到了攻擊。
　　2.1.3使用tracert命令跟蹤網(wǎng)絡(luò)連接。直接使用tracert連接最近的路由，檢查是不是原來設(shè)定的路由，如果或者通過很多路由，就可能受到了攻擊，而且通過的路徑都有可能是攻擊路由。
　　2.2ARP攻擊的解決思路
　　2.2.1應(yīng)該把網(wǎng)絡(luò)安全信任關(guān)系建立在IP和MAC基礎(chǔ)之上，不能僅僅建立在IP或MAC基礎(chǔ)上（因?yàn)镽ARP同樣可以攻擊）。
　　2.2.2設(shè)定好靜態(tài)的IP-MAC對(duì)應(yīng)表，不讓主機(jī)去更新綁定的ARP緩存表，從而制止ARP攻擊。
　　2.2.3管理員定期輪詢，檢查主機(jī)上的ARP緩存表。
　　2.2.4使用ARP防火墻監(jiān)視網(wǎng)絡(luò)，發(fā)現(xiàn)ARP攻擊及時(shí)阻斷攻擊源并立即追蹤。
　　2.3ARP攻擊的總體防御對(duì)策
　　我根據(jù)上面提到的思路，再結(jié)合我院軟硬件條件，制定了一套切實(shí)可行的防御策略并著手實(shí)施。
　　2.3.1對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行一次全面而徹底的殺毒，而且為了避免以后再次受到ARP攻擊，要求本網(wǎng)絡(luò)內(nèi)的所有計(jì)算機(jī)都安裝上正版殺毒軟件，并且保持隨時(shí)更新。
　　2.3.2針對(duì)性地安裝ARP防火墻，控制ARP攻擊在本網(wǎng)內(nèi)的傳播和發(fā)作。
　　2.3.3綁定本網(wǎng)絡(luò)中所有機(jī)器的IP-MAC地址，將本網(wǎng)中所有的IP地址、MAC地址及對(duì)應(yīng)的使用人登記備案，以便在發(fā)生ARP攻擊時(shí)快速定位攻擊源。
　　3.總結(jié)
　　由于TCP/IP最初設(shè)計(jì)的應(yīng)用環(huán)境是美國(guó)國(guó)防系統(tǒng)的內(nèi)部網(wǎng)絡(luò)，這個(gè)網(wǎng)絡(luò)環(huán)境是互相信任的。因此，TCP/IP協(xié)議只是為了解決計(jì)算機(jī)的互聯(lián)互通的問題。而當(dāng)其推廣到全社會(huì)的應(yīng)用環(huán)境后，安全問題就發(fā)生了，其中IPv4中的ARP協(xié)議簇的安全缺陷就是來源于協(xié)議自身設(shè)計(jì)思想上的時(shí)間局限性。我對(duì)ARP協(xié)議的工作原理和安全缺陷進(jìn)行了簡(jiǎn)單分析，同時(shí)根據(jù)我院受到的ARP攻擊情況分析了基于ARP協(xié)議安全缺陷的攻擊，并提出了針對(duì)ARP攻擊的檢測(cè)和防御策略。這些防御策略能有效地抵御ARP攻擊，但是校園網(wǎng)的管理者日常管理維護(hù)的工作量相當(dāng)大，網(wǎng)絡(luò)問題也并不僅僅是ARP攻擊。如果要徹底解決網(wǎng)絡(luò)中的ARP攻擊，目前最根本有效的措施就是在校園網(wǎng)中使用IPv6協(xié)議。因?yàn)镮Pv6協(xié)議簇定義了鄰機(jī)發(fā)現(xiàn)協(xié)議（NDP），把ARP納入NDP并運(yùn)行于Internet控制報(bào)文協(xié)議（ICMP）上，使ARP更具有一般性，包括更多的內(nèi)容，適用于各種鏈路層協(xié)議，而不用為每種鏈路層協(xié)議定義ARP。另外，NDP中還定義了可達(dá)性檢測(cè)過程，可達(dá)性檢測(cè)的目的是確認(rèn)相應(yīng)IP地址代表的主機(jī)或路由器是否還能收發(fā)報(bào)文，對(duì)此，IPv4還沒有統(tǒng)一的解決方法。
　　
　　本文為院級(jí)科研基金項(xiàng)目。