唐坤劍

鄭州輕工業學院易斯頓美術學院 河南 451450

0 引言

隨著各企事業單位信息化程度的提高，類似OA、ERP、以及服務器等各種網絡應用也越來越普及。與此同時，掉線、卡滯等網絡問題也層出不窮，這些問題對網絡化辦公已成為常態的人們帶來了各種不便。究其原因，主要是網絡中協議存在漏洞和技術人員不擅長網絡管理，導致內網存在攻擊造成的，諸多攻擊中尤以ARP攻擊最為嚴重。因此，ARP攻擊問題已成為企事業單位網絡安全的罪魁禍首。下文將對當前較常見的四種ARP攻擊的防范措施進行行分析，并探討在免疫網模式下怎樣對ARP攻擊等問題進行徹底解決。

1 常見的防范ARP攻擊的措施

ARP即地址解析協議，其功能是將OSI協議棧中網絡層的IP地址解析為數據連接層的MAC地址。ARP攻擊就是通過偽造IP地址和MAC地址實現ARP欺騙，致使被感染的電腦自動截取所在網絡中其它終端的通信信息，并進行轉發，近而產生大量的無用信息使網絡阻塞。當前常見的ARP防范措施有如下四種。

1.1 雙綁

雙綁即雙向綁定，是指在網絡兩端的路由器和電腦上進行IP-MAC綁定的措施，從ARP欺騙原理來看，它對數據被截取和偽造網關都具有約束作用，但該措施只能應對最普通的ARP欺騙，且存在如下不足：1)在終端上進行的靜態綁定，很容易被新的ARP攻擊所搗毀，使靜態綁定失效；2)IP-MAC的綁定在路由器管理上是非常繁瑣的，若終端上有網卡或IP地址的更換都需要重新配置路由。這會造成巨大的網絡維護負擔，且對移動使用的電腦不適用；3)雙綁只是讓網絡兩端的終端不接收相關ARP信息，但是大量的ARP攻擊數據仍能發出，且還在網內傳輸，這樣將大幅降低內網傳輸效率。因此，雙綁應對ARP攻擊的防范能力有限，且管理煩瑣。

1.2 ARP個人防火墻

目前很多殺毒軟件中都帶有ARP個人防火墻的功能，其主要是通過在電腦上對網關進行綁定，使其不受假網關的影響，雖能保護自身數據不被竊取，但也存在如下不足：1)不能確保綁定的網關的正確性；2)只在終端做ARP防范，而不顧及另一端的網關，這種措施并不完整。因此，ARP個人防火墻并不能保證可靠性，是與網絡穩定無關的措施。

1.3 進行VLAN劃分和交換機端口綁定

VLAN(虛擬局域網)劃分和交換機端口綁定，可以使ARP的攻擊只在小范圍內起作用。如果借助網管交換機的MAC地址學習功能，并把對應的MAC和端口進行綁定，這樣能避免ARP攻擊篡改自身地址，從而減少數據被截獲的風險，但也存在如下不足：1)未對網關進行保護。無論如何細分VLAN，網關一旦被攻擊，同樣會造成網絡的不穩定；2)把終端MAC和交換機端口進行綁定的管理方式太死板，不適宜于移動性終端在無線網絡狀態下的動態應用。因此，這種措施也不能從根本上起到防范ARP攻擊的作用。

1.4 PPPOE

PPPOE即基于以太網的點對點協議，上網時用戶需要通過輸入相應的賬號和密碼進行認證的網絡管理方式。上網時PPPOE需要對數據包進行二次封裝，使其不受ARP欺騙的影響，從某種意義上來講，該措施對防范ARP攻擊確實起到了一定的作用，但其效率較低且不實用，體現如下：在接入端解封 PPPOE二次封裝過的數據包必然會降低網絡傳輸效率，造成網絡帶寬的浪費。PPPOE方式阻斷了局域網之間的互訪，使內網喪失了局域網的優勢。

盡管 PPPOE在技術上避開了底層協議的連接，但是以喪失局域網優勢為代價通過犧牲網絡效率來換取了網絡的穩定，得不償失。

因此，要根除ARP的欺騙和攻擊，需要有以下三個技術支撐：1) 終端與網關的綁定要可靠、唯一，且能夠抵制被病毒搗毀；2) 接入的設備(路由器或網關)對終端IP-MAC的識別要保證始終唯一、準確；3)要有一個可靠的機制，能保護IP-MAC，且能分發正確的網關信息和封殺出現的假網關信息。

2 免疫防范

免疫防范是指針對網絡內部因協議漏洞、不擅長管理等因素造成的經常遭受病毒、木馬、黑客等攻擊的網絡問題，而采取的加強網絡自身免疫，主動防御攻擊的技術。采用免疫防范技術后的網絡就像人體因接種了疫苗而對所接觸的某些病毒產生抗體一樣，力保網絡中的各種攻擊無法發作。免疫防范能突破邊界防護和終端防護的局限，從局域網的交互網絡整體進行聯動防護，群防群控。在免疫防范中起關鍵作用的則是免疫墻技術。

2.1 免疫墻

免疫墻不同于傳統的防火墻，傳統防火墻主要是在內網和外網之間、專網與公網之間的邊界上構造一個保護屏障，保護內部網免受非法用戶的入侵。而免疫墻是由網關、服務器、電腦終端和免疫協議等一整套的硬軟件組成，通過對內網中包括全部終端和底層協議的策略控制，堵上以太網協議漏洞并強化帶寬管理，從而徹底解決網絡掉線、卡滯等難管理的棘手問題。

2.2 免疫墻的結構部署和控制方式

要實現對ARP攻擊等的防范，免疫墻需要在結構上進行如下部署：

(1) 多點布控在網絡接點上布控，并在設備中安裝免疫機制，承載免疫功能，如表1所示。

表1 網絡架構點上的相關設備

(2) 深入協議底層并核實身份，使通信過程和安全機制相融合。

(3) 設置網絡內的公信和調度機構——免疫運行服務器

免疫運行服務器可以對用戶的免疫身份進行審查并記錄；對免疫策略進行分發和執行；并運作免疫安全管理協議，監控服務器的接口等。

(4) 制定免疫墻管理策略：免疫墻管理策略能對OSI協議棧中數據鏈路層和網絡層進行監控、免疫身份審查、數據流量流向等進行管理，并與分組策略、時間策略等共同作用，使網絡安全管理的內容變得規范。

(5) 提供開放式的管理操作平臺：免疫墻通過軟件實現了開放式的管理平臺，通過該平臺可以對網絡進行的參數和策略的配置，并實時顯示網絡狀況。

因此，可見免疫墻通過實效的結構部署和控制方式，實現了通信過程和安全機制與身份管理的緊密結合，使整個網絡成為了在安全管理上具有自主防御、自主管理能力的免疫網絡。

2.3 免疫墻的功能

免疫墻的功能可分為核心功能和輔助功能兩大類，核心功能主要包括：

(1) 通過安全機制，對網絡底層協議進行深入管理

免疫墻技術針對網絡底層的據鏈路層和網絡層協議，在網絡架構的各關鍵節點都部署了相應的免疫安全策略，進而實現對網絡中每次通信握手及通信協議和數據交換的進行全面監控，從而達到及時制止、主動防御底層網絡攻擊的目的，如圖1所示。

圖1 免疫墻在底層協議中防御體現

(2) 通過部署免疫策略，對網絡身份進行認證

免疫墻技術改變了以傳統的IP地址和MAC地址為基礎的網絡身份，通過對終端的物理身份進行提取、確認和綁定，在網絡的各節點進行核查和控制，從而實現了對網絡身份的基因式管理。把普通網絡成員改造成了可管控的免疫成員，進而保障了網絡的穩定。

(3) 對網絡中數據的流量和流向進行管理

目前的帶寬管理設備大多是基于以太網共享網絡中 IP的管理，并且部署在靠近接入點的位置，很難實現對網絡中節點與節點之間的細致管理。所以導致網絡中依然充斥大量無效數據，以致網絡的通信效能大幅下降。而免疫墻則通過對網絡中每一個終端、節點、端口進行帶寬的管理，設定它們之間的數據流量和流向，從而實現對全網的智能化、細致化管理。

輔助功能主要包括：

(1) 實時的全網監控：免疫墻通過開放的可操作性管理平臺，使管理過程圖形化顯示，能對全網實時監控，并及時準確地定位故障點。

(2) 編制和分發免疫策略：免疫策略作為免疫網絡的核心在免疫墻中的體現非常突出。在免疫墻中諸如對終端流量和流向的設定、干預條件、執行方式等都可以根據需要進行免疫策略的設定和組合，因此根據不同的需求可設置不同的免疫策略，如圖2所示。

圖2 豐富的免疫安全策略

(3) 實時全面的網絡審計、統計和分析：通過管理平臺，免疫墻能對網絡的訪問記錄、流量、帶寬使用率、故障事件等實時進行全面完善的統計記錄，以便管理人員對網絡進行合理的調整規劃。

3 免疫網絡的組建

免疫網絡的組建方式與傳統網絡完全一致，組建時只需用免疫墻路由器或免疫網關替換傳統的寬帶接入設備，并添加一臺自帶網關且能全天候運行免疫中心的服務器即可。這些設備的成本并不比傳統通信設備貴很多，因此整個網絡的組建成本不會有大幅度增加。通過免疫設備可以根據需要設置好相應的免疫策略和IP規劃，從管理角度來說，管理員的所從事工作與傳統網絡管理相比并沒有太大區別。

4 結束語

免疫網技術的范圍拓展到了網絡的最末端，深入到了協議的最底層、檢測到了外網的出入口、總覽到了內網的全貌，提高了網絡的免疫力，實現了對網絡病毒的全面自主抵御，同時完善了對網絡的管理，使網絡可控、可管、可防、可觀。因此可見，免疫網絡在技術上是嚴謹的，應用上是可行的。與傳統網絡相比，免疫網絡的安全性能有了大幅提高，而管理成本卻大幅降低。

[1]常俊.淺談免疫墻技術.科技創新導報.2011.

[2]劉家卿.淺談局域網內ARP攻擊的防范策略.計算機光盤軟件與應用.2011.

[3]北京欣全向技術有限公司巡路免疫網.http://www.nuqx.com/immwall/index.asp.