0引言
近期一些局域网中的计算机系统受到一种“地
址解析协议欺骗”(简称:ARP欺骗)的恶意木马程序的入侵破坏,严重影响了局域网中用户计算机系统的正常运行。
ARP,全称AddressResolutionProtocol,中文名
为地址解析协议,它工作在数据链路层,在本层和硬件接口联系,同时对上层提供服务。
而ARP病毒给教学学习带来很大的麻烦,给校园网络的维护人员带来很大压力,也给校园网络的安全带来新的挑战。
结合本人在学校宿舍网络中对ARP病毒的防治办法,重点介绍IP地址和MAC地址绑定、交换机端口和MAC地址绑定、端口隔离、VLAN隔离等几种能够有效防御ARP欺骗攻击的技术及安全防范策略,并通过实际应用验证了该安全策略的有效性。
1ARP欺骗及处理机制
整个ARP的体系基本由ARPRequest和Res-
ponse组成。
ARP欺骗主要分为以下两种。
1.1
对主机发起的针对其网关的ARP欺骗在这种情况下,主机发往上端服务器的数据,在发送到网关时,数据会被发往欺骗的地址,如果欺骗的地址为一主机,由于主机不能转发数据包,所以数据包会被丢弃,导致网络中断。
以实例说明ARP发生时的症状,正常上网情况
下,如图1所示。
图1正常上网时PC的网络状态
受到攻击后的情况,如图2所示。
图2受攻击后PC的网络状态
收稿日期:2007-03-22
作者简介:吕伟春(1981-),男,江苏吴江人,助教,研究方向:网络安全,系统分析与集成等。
校园网络安全的攻防技术研究
吕伟春
(苏州市职业大学网管中心,江苏苏州215104)
摘
要:从ARP协议的原理入手,围绕两种ARP攻击的形式及该协议内在的缺陷,提出了防御办法及解决策略。
关键词:局域网;ARP协议;网络安全;MAC地址中图分类号:TP393
文献标识码:A
文章编号:1008-5475-(2007)04-0062-03
苏州市职业大学学报
JournalofSuzhouVocationalUniversity
第18卷第4期2007年11月
Vol.18No.4Nov.2007
62--
要找到应对方法,必须先识别出ARP欺骗的特点。
1.1.1ARP欺骗发生时
无论出于什么目的,ARP欺骗最开始、也是最关键的一步就是通过免费ARPResponse信息,发送错误的网关ARP信息给局域网主机,其方法不外乎两种。
第一,在本网段首先发送大量的ARPRequest扫描,通过Response报文收集当前活动的主机,随后给每个主机发送免费的ARPResponse。
在这种情况下,三层设备只能看到从一个固定的MAC地址发出大量ARP请求广播,而且这个过程可能会周期性重复。
第二,ARPCheater不需要逐个找局域网的主机IP,它直接冒充网关,通过免费ARPResponse广播通告全网。
在这种情况下,三层设备上应该可以观察到免费ARPResponse报文,其SenderIpAddress信息就是自己的IP地址。
无论是哪种情况,其目的都是欺骗PC,三层设备虽然可能通过某些特征判断ARP欺骗的发生,但是根本无法制止,因为三层设备对该PC是没有控制权的。
1.1.2ARP欺骗发生后
对于内网主机的ARP欺骗,作为三层设备本身基本上是无能为力的,至少效果非常有限。
所以在对付ARP欺骗的时候,PC还是需要进行静态ARP绑定措施。
比如在PC机上配置autoexec.bat批处理文件:
@echooff
Arp-d
Arp-s172.18.158.6600-11-5d-af-f8-00
使得在PC机上能够静态绑定网关的正确MAC地址,防止欺骗。
在RG2126G交换机的端口配置模式下设置anti-arp-spoofingipxxx.xxx.xxx.xxx。
xxx.xxx.xxx.xxx是网关地址,RG2126G将阻止源IP是本网段网关地址的报文从这个端口进入,达到防止该端口上连接的PC发出对其它PC进行网关欺骗的ARPResponse、ARPRequest报文。
而在RG2026G交换机的端口配置模式下设置switchportprotected。
这样对端口进行隔离,防止此类ARP欺骗。
针对此类欺骗,我们还可以使用相关的ARP防火墙,如AntiArp,可以防止对主机发起的针对其网关的ARP欺骗的发生。
1.2对网关发起的针对主机的ARP欺骗
在这种情况下,主机发往上端服务器的数据,在发送到上端服务器时,可以正常送达,但在上端服务器响应后,数据包返回到达网关时,由于有对网关针对主机的ARP欺骗存在,数据包交付给了欺骗的IP地址,真正的用户不能得到回应的数据包,所以由于数据包返回不能到达主机,导致网络中断。
跟PC的情况不同,由于路由器、Layer3Switch都是三层设备,几乎没有什么上层应用会跟内网主机直接通讯,所以它的ARP表项通常不是主动请求获得的,而是被动学习到的,比如收到ARPRequest或者免费的ARPResponse。
前者是正常情况,不在我们讨论范围之内;而后者就是ARPCheater欺骗网关设备的手段。
1.2.1ARP欺骗发生时
通常情况下,ARP欺骗是通过单播性质的免费ARPResponse把错误的主机ARP信息强制通告路由器、Layer3Switch的,而且由于内网的主机数量众多,路由器、Layer3Switch每次会收到大量的免费ARPResponse单播报文。
它们的SenderInternetAdd-ress分别是局域网的主机IP地址,但是SenderHardwareAddress却都是ARPCheater的网卡MAC地址。
显然,路由器、Layer3Switch完全可以通过免费ARPResponse报文的特征来确定欺骗是否发生,但当确定的同时,ARP欺骗的结果是已经造成,如图3所示。
图3ARP欺骗的发起者
1.2.2ARP欺骗发生后
由于路由器、Layer3Switch的ARP表项是被动学习的,所以在ARP欺骗发生之后,路由器、Layer3Switch必须自己主动去查询正确的ARP信息,方法只有一种:就是根据现有ARP表项中的IP
吕伟春:校园网络安全的攻防技术研究
2007年第4期
63
--
地址列表,强制性的逐一发送ARPRequest,通过对方的Response信息来更新校正自己的ARPTable。
针对此类ARP欺骗,我们在三层设备上作IP和MAC的静态绑定。
利用RGSAM系统我们可以很快得查找出相关的对应信息,然后对三层设备进行批处理绑定。
以学校宿舍网络为例:在RG3760上的相关配置如图4所示。
图4交换机ARP绑定配置
通过对以上两种ARP欺骗的针对性处理,目前我校宿舍局域网的ARP欺骗的发生率几乎为零,已经很好地遏制了ARP欺骗的发生,保障了网络的安全运行。
2结论
在这主要的两类ARP问题中,一般的非恶意地址冲突不会对路由器、Layer3Switch造成实质性的影响。
而对于各种目的的ARP欺骗机制,无论是从预防还是后期干预,三层设备都没有直接有效的手段。
由于ARP协议存在安全漏洞,使得防范ARP的攻击很棘手,经常查看当前的网络状态、监控流量、分析数据包等手段有利于网络管理员的管理,也能让管理员及时了解当前网络运行的各种情况,有针对性的进行安全防护。
在处理ARP欺骗的问题上,虽然可以通过双向的静态ARP来避免ARP欺骗带来的影响,但就实施和后期的维护来看,都非常不方便,而且也很容易出错,这只是治标的方法。
比较好的出路在于从硬件结构上对交换机进行改良,实现成本与功能的平衡,或者是修改ARP协议,增加其自身的安全性,才是防止ARP问题的根本之路。
参考文献:
[1]RICHARDstevensW.协议[M].TCP/IP详解:卷1.北京:机械工业出版社,2003.
[2]张海燕.ARP漏洞及其防范技术[J].网络安全,2005(4):40-42.
[3]王爱兵,刘吉强.ARP欺骗在以太网访问控制中的应用[J].计算机时代,2007(01):19-20.
[4]周华,赵海燕,袁小刚.运用ARP欺骗进行网络安全管理[J].网络安全技术与应用,2005(03):44-45.
(责任编辑:杜洁)
AStudyofAttackandDefenseoftheCampusNetworkSecurity
LUWei-chun
(SuzhouVocationalUniversity,Suzhou215104,China)
Abstract:BasedontheARPprotocolprinciple,thearticleproposesthedefensesolutioninviewofthetwowaysofARPattackandtheinherentflawsofARPprotocol.
Keywords:LAN;ARPprotocol;networksecurity;MACaddress
苏州市职业大学学报第18卷64
--。
