基于ARP原理攻擊的校園網絡安全策略分析

嚴 蕾，何 覃

（西安財經學院行知學院，陜西 西安 710038）

基于ARP原理攻擊的校園網絡安全策略分析

嚴 蕾，何 覃

（西安財經學院行知學院，陜西 西安 710038）

在眾多威脅校園網絡安全因素當中，ARP自身工作的缺陷漏洞常常被利用，攻擊者從而施以各類型的網絡欺騙。文章從ARP的工作原理角度出發，總結出的3種網絡欺騙攻擊行為，并針對性的從ARP自身優化以及網絡通信環境各個層面分析，提出應對策略，為校園網絡安全提供服務。

網絡安全；校園網；ARP攻擊；應對策略

當今，網絡安全已上升為國家戰略問題，受到來自各種形式的安全威脅，其中以網絡協議之一地址解析協議ARP為目標進行校園網絡攻擊時常可見，由于ARP協議本身的工作原理沒有一定的通信信用核實機制，導致在同一個虛擬局域網中的主機容易遭受來自其他主機ARP的廣播請求錯誤或者信息源無法驗證，形成廣播被響應錯誤或數據被截獲的攻擊。致使校園網絡用戶網絡間斷、掉線形式，妨礙校內正常網絡教學、辦公等，學校相關部門對此應當作出相應分析與對策，保障校園網絡安全與信息安全。下面將從ARP工作機制、漏洞攻擊的方式以及各種相對應的優化策略進行分析。

1 ARP簡介與工作原理機制

1.1 簡介

地址解析協議（Add ress Resolution Protocol，ARP）是Internet中TCP/ΙP協議簇的子協議之一。工作在TCP/ΙP模型的第三層網絡層，目標作用是將主機的IP地址即網絡地址映射到M AC地址即物理地址的協議，M AC地址對應TCP/ΙP模型的第四層網絡接口層，對應OSI開放式系統互聯七層參考模型的數據鏈路層和物理層[1]。在網絡中，網絡層通信主機之間以IP地址定位，而在物理層是通過M AC地址識別的。ARP是完成主機間在物理層到數據鏈路層間的通信協議。

1.2 工作原理機制

在網絡通信中，每個主機里都有IP與MAC動態緩存機制表。若主機a和主機b進行通信，主機a向目標主機b發送數據信息，由于數據幀頭部需要顯示目標主機的MAC地址，所以主機a在自身ARP緩存表中查找是否暫存有主機b的IP地址，如果有則直接將緩存的主機b的MAC加到幀上，正常通信；如果沒有，則主機a在所處的LAN中進行廣播，發送ARP請求報文，尋找主機b的MAC地址，主機b收到廣播的數據幀，響應并反饋給a，主機a將以最新的主機b對應的MAC地址進行緩存，方便再次通信的直接調取[2]。

2 利用ARP漏洞的攻擊方式

在某LAN中，攻擊者利用局域網中主機、網關相互信任的通信特點，偽裝成ARP應答包以及局域網中存在的某臺主要網絡IP地址，進行欺騙目標主機、網關，從而造成網絡的非法數據信息獲取。

2.1 攻擊主機

在LAN中，主機a向主機b通信，但在a當中沒有緩存b的MAC地址，于是進行廣播。主機a被作為目標主機，攻擊者向主機a發送假ARP應答包，目標主機a收到攻擊者的假MAC地址，主機a更新的b是錯誤的IP地址[3]。

2.2 攻擊網關

在LAN中，網關路由器中也存在ARP緩存表，當攻擊主機偽裝一個假的ARP應答包時，利用LAN其中的一主機的IP地址冒充成自己的，而MAC地址則是自己真實的，故當此假ARP應答包通過網關時，網關收到真主機的IP和攻擊者的MAC而更新緩存表，則當網關發送到真IP地址的時候，直接轉發到攻擊者主機上，導致網關的發送錯覺，對網關的安全造成攻擊。

2.3 攻擊主機+網關

在LAN中，攻擊主機會同時發送給目標主機和網關假的ARP應答包，一方面給目標主機的應答包中包含自己的偽M AC地址，攻擊主機的網關緩存表中的M AC地址則是假的；另一方面攻擊主機發送到網關的應答包中，包含有其中冒充某主機的真IP地址，MAC地址還是攻擊主機的，于是網關發送數據信息時，被轉發到了攻擊主機處，則造成的現象是目標主機的短暫掉線情況，在此期間攻擊主機截獲了信息，威脅安全。

3 安全防范策略的研究

由于ARP的通信必要性，無法去除此協議，所以必須采取必要的防范策略進行安全防御，以下提出幾種策略方案，從協議工作原理、網絡通信環境、網絡設備等來研究。

3.1 增加ARP通信安全驗證功能

通過ARP工作原理，發現ARP在主機通信間缺乏安全認證機制，故從安全認證方面來增強安全性[4]。若主機a向主機b發送數據，a在自己中查找是否有b對應的IP，有則直接發送，無則開始在網內廣播；b接收到ARP應答包，同時向a發送一個只有b自己知道的驗證包，b先判斷此驗證包是否真假，若真則給出驗證的方法，即完成驗證機制，進而方可更新a的ARP緩存，加強了通信安全性。

3.2 設置靜態緩存表IP

無論在網絡中的主機或是相應的網關，都存在ARP緩存表，利用不斷地緩存更新導致漏洞的存在，被隨意更改IP與M AC的映射。通過對主機系統下和網關的設置，添加每臺設備對應的IP與MAC地址，在主機中的操作，通過命令：ARP將IP綁定設置，主機和網絡均可通過此方法查詢目標主機地址，如圖1所示。

圖1 靜態綁定IP與MAC地址

3.3 設置殺毒軟件、防火墻等主動隔離

此方法對LAN中的個人用戶比較有效，ARP防火墻通過攔截假應答包，告知目標主機正確的物理地址，而起到排除網絡IP地址沖突、防御惡意攻擊等作用[5]。管理人員需在校園網站上放置相應殺毒軟件、ARP防火墻等抵御工具，供校園網用戶下載使用，注重正確使用和及時更新版本開啟對應功能，并提醒校園網用戶對于比較重要的個人文件和部門共享文件等，注意信息安全保護，因為ARP防火墻只是防御功能，減小被攻擊的可能性，并不能完全根除隱患。

3.4 采用技術隔離—VLAN交換機端口隔離

由于校園網的物理區域比較大，可以將其劃分為多個邏輯上相關的相對小范圍容易管理的區域即VLAN虛擬局域網邏輯隔離技術，因此該方法的工作量比較大。

若有ARP攻擊出現，則可以在劃分出的該虛擬局域網VLAN進行及時處理，處理方法首先確定后臺檢測控制的某主機的IP地址和所處VLAN，每個VLAN都有一個交換機端口，進行端口的設置[6]，如用某品牌交換機H3C系列在VLAN的3個分層全面進行部署并設置開啟隔離，在該局域網接入層設置啟動DHCP snooping，DHCP snooping通常維護一張綁定表，里面有多種信息，其中包括DHCP Client的IP地址的對應關系，確保合法Client對網絡的訪問，類似于在Dhcp Client和DHCP Server之間建立一道防火墻，保證了直接隔離非法ARP攻擊包的入侵。

3.5 IP協議版本的更新

在校園網中，目前應用的IP，可以應用IP來增強攻擊的防御功能。由于ARP協議只有在IP中被定義應用，在IP中的此功能被鄰居發現協議NDP替代并升級了，NDP還增加了如：前綴發現、鄰居不可達檢測NUD、無狀態地址配置等功能，NDP一部分通過在節點間交互鄰居請求NS和鄰居公告NA報文完成IP地址到MAC地址的解析，另一部分就是鄰居不可達檢測NUD的維護過程，進行全校園網的協議更新也是一種安全方式。

4 結語

通過對校園網ARP攻擊原理的分析，實質是在網絡層與數據鏈路層上協議的本身漏洞特點造成的，以協議自身、通信環境、網絡設備部署、防火墻設置、網絡協議版本升級等方式多維度分析增強防御策略，穩定校園網的安全運行。在實際中對校園網管理部門以及網絡安全建設提供了理論依據與方法，有助于校園網絡安全工作。

[1]謝希仁.計算機網絡[M].6版.北京：電子工業出版社，2013.

[2]朱澤波.ARP防攻擊技術的研究與實現[D].南京：南京理工大學，2013.

[3]邊浩江.ARP欺騙的偵測及防御方法的研究與實現[D].昆明：昆明理工大學，2015.

[4]鄭森森.基于ARP欺騙的數據截獲與高速轉發技術研究[D].四川：四川師范大學，2015.

[5]李紅.如何防御校園網內的ARP攻擊[J].赤峰學院學報（科學教育版），2011（5）：106-107.

[6]邢金閣，劉揚.ARP欺騙攻擊的檢測及防御技術研究[J].東北農業大學報，2012（8）：74-77.

Analysis on the strategy of campus network security based on ARP principle attack

Yan Lei, He Tan
（Xingzhi College of Xi’an University of Finance and Econom ics, Xi’an 710038, China）

Among many security factors threatening the campus network security, the defects and flaws of ARP itself work loophole has often been used so that attackers further implement various types of network cheating. From the perspective of the working principle of ARP, the article summarizes three kinds of network cheating attack behaviors, and puts forward coping strategies to provide services for campus network security by analyzing the ARP self-optim ization and various aspects of network communication environment.

Ιnternet security; campus network; ARP attack; coping strategy

嚴蕾（1988— ），女，陜西渭南，碩士，助教；研究方向：信息管理與信息系統。