1、 基于校园网ARP欺骗分析及防御技术摘要:近年来对校园网造成巨大安全威胁的主要因素就是arp欺骗, 其攻击通常会导致用户账号、密码丢失,严重时无法正常访问网络。本文分析了arp协议的工作原理以及arp欺骗原理,阐述arp欺骗的主要类型,并在此基础上,通过对arp协议分析及arp欺骗分析,提出了几种快速、有效防止arp欺骗的措施以及技术实现要点。改进和完善arp协议将成为arp欺骗防御的发展趋势。关键词:arp arp欺骗 网络安全中图分类号:tp316文献标识码:a 文章编号:1007-9416(2012)02-0216-02随着互联网在高校校园的普及,近几年校园网普遍爆发一种叫“arp欺骗”
2、的病毒。arp欺骗在局域网内广泛传播,网络中中毒电脑通常伪装成路由器,盗取用户密码,后来发展成潜伏于软件之中,扰乱用户正常的网络通信。欺骗者利用它可进行dos、mim攻击和dns欺骗等多种方式的网络攻击1-2,arp病毒以窃取主机信息为目的,病毒发作时会导致用户账号和密码丢失及网络时断时续,甚至局域网瘫痪,严重影响用户正常上网3。如何采取有效的技术措施防御arp病毒攻击一直是网络安全管理的重要工作,本文主要介绍、分析了arp欺骗的基本原理,讨论了由此引发的网络安全问题,提出了切实可行的解决问题的思路。1、arp的相关知识1.1 arp协议的概念arp协议(address resolution
3、protocol)即地址解析协议是一种将计算机的网络地址(ip地址32位)转化为物理地址(mac地址48位)的协议,其基本功能就是通过目的设备的ip地址,查询到目的设备的物理地址即mac地址,从而保证通信的顺利进行。局域网中的所有ip通讯最终都要转换成基于物理地址(mac)的通信,arp协议的工作就是查找目的主机的ip地址所对应的mac地址,并实现双方通信。从ip地址到物理地址的映射有两种方式:表格方式和非表格方式。1.2 arp协议的工作原理arp协议工作在tcp/ip协议的ip层,所有安装有tcp/ip协议的主机都有一个arp高速缓存,里面存放计算机目前知道的局域网上各主机和路由器的ip地
4、址到mac地址的映射表。查看当前arp缓存表的方法是在windows操作系统的命令行窗口输入“arpa”命令,保存的就是ip地址与mac地址的对应关系。下面以主机a(ip为192.168.0.1,mac为00-00-40-ca-65)向本局域网内的主机b(ip为192.168.0.2,mac为00-00-36-cb-78)发送数据为例来说明arp协议的工作原理(如图所示)。当主机a欲向某主机b发送ip数据报时,主机a先在自己的arp高速缓存表中查找是否有目标主机b的映射信息即ip地址与对应mac信息。如果有就可以查出目标主机b的mac地址,再将其硬件地址写入mac帧中,通过局域网直接发送数据。
5、若主机a的arp高速缓存表中没有找不到主机b的映射信息,它就会在网络上向所有主机发送一个arp请求的广播数据包,向同一网段内的所有主机询问ip为“192.168.0.2”主机的mac地址。正常情况下,网络上除b以外的其他主机虽然收到该数据包,但并不回应这个arp请求数据包,只有主机b接收到这个广播帧后,以arp应答包的方式向主机a做出回应,通知对方本机是“192.168.0.2”,mac地址是“00-00-36-cb-78”。主机a在收到应答包后,就可以根据ip地址与mac地址的对应表发送数据包。同时,主机a还要动态更新自己的arp缓存表,把主机b的映射信息写入缓存表,下次再向主机b发送信息时
6、,直接从arp缓存表里查找其mac地址。arp缓存表还采用了时间老化机制,即arp表中的内容有存活时间(这一段时间称为arp缓存的超时时限),在设置的存活时间内如果表中的某一行没有使用就会被删除,完成自动更新,加快查询时间。1.3 arp协议存在的设计缺陷arp协议是一个高效的数据链路层协议,属于无状态的协议,建立在信任局域网内所有节点的基础之上。可见其设计前提是在网络绝对安全和信任的情况下进行的,不会自动检查是否发送过请求包,也不了解接收到的应答是否合法,只要收到目标mac是自己的arpreply包或arp广播包都要接收并缓存,因此arp协议不可避免的存在着设计缺陷。其缺陷表现在以下方面:(
7、1)主机arp高速缓存依据接收到的arp协议包进行动态更新。因此正常的主机间mac地址刷新都是有时限的,假冒者正是利用更新数据前的时段成功地修改被攻击机器上的地址缓存进行假冒或拒绝服务攻击。(2)arp协议没有连接的概念,局域网内的任意主机在没有arp请求时也可以做出应答。许多系统都会接受未请求的arp响应,并用虚假信息篡改其缓存,这是arp协议的一大安全隐患。(3)arp协议没有认证机制,只要接收到的协议包是有效的,主机就无条件的根据协议包的内容自动更新本机arp缓存,并不检查该协议包的合法性,这种对局域网内主机完全信任的策略,给局域网的安全埋下隐患。可见,arp协议建立在完全信任局域网内所
8、有节点的基础上,是一种高效但缺乏安全性的无状态协议。存在广播性、无序性、无连接性、无认证和动态性等安全漏洞,导致了arp攻击具有合法性、欺骗性和隐蔽性,对其进行入侵检测和防范的难度加大,加之arp欺骗技术门槛低,所以对arp欺骗的防范是一个长期的日常性工作4。1.4 感染arp病毒网络症状在校园网中,原本可以正常上网的计算机,当被arp病毒攻击后,常常出现以下症状:(1)网络异常。表现为:同一网段的所有上网主机均无法正常连接网络。(2)网络性能下降。表现为:网速很慢、网络时断时续,客户端无法正常访问网络,查看“本地连接”会发现收包数据量远远小于发包数据量。(3)打开windows任务管理器,可
9、以查看到一些可疑进程(例如“mie0.dat”等)。(4)客户端执行“arp-a”命令,则返回的网关mac地址与实际网关mac地址存在差异。(5)交换机指示灯会呈现出大面积相同频率的闪烁。如果出现以上网络现象,则表明该网段中至少有一台主机感染了arp病毒。2、常见arp欺骗形式根据被欺骗对象的不同,arp欺骗可以分为欺骗主机、欺骗网关和双向欺骗3种类型5。2.1 对主机的欺骗这一类型的欺骗是欺骗者伪装成网络中网关的mac地址进行欺骗攻击,导致被欺骗主机直接断网。它是通过欺骗主机不断发送arp应答包或请求广播包,以自身mac地址所对应的ip地址冒充网关ip地址,使被欺骗主机arp缓存中的真正网关
10、mac地址错误的更新为欺骗主机的mac地址,导致受骗主机时不时的出现网络掉线现象。2.2 对交换机的欺骗交换机能主动学习客户端的mac地址,将各端口和端口所连接的主机的mac地址的对应关系进行记录,以此来构建并维护端口和mac的对应表,即cam表。如果欺骗源主机持续向交换机快速发送大量有错误的mac地址arp包,快速填满cam表,并导致cam表的溢出,交换机就会以广播方式处理通过交换机的报文,这时,流量以洪泛方式发送到所有接口,会造成交换机负荷过大,网络缓慢和丢包甚至瘫痪。同时,欺骗者可以利用各种嗅探攻击获取网络信息。2.3 对路由器/网关的欺骗arp欺骗网关是欺骗者假冒局域网中其它主机的ma
11、c地址,截获主机数据,或伪造一系列错误的局域网mac地址,按照一定的频率不断发送给局域网的路由器,使真实的地址信息无法更新保存在路由器中,造成路由器的数据只能发送给错误的mac地址,使得网络中的众多主机无法收到信息,无法响应正常的arp请求,导致路由器繁忙通信无法正常进行。2.4 双向欺骗这类arp欺骗是指既欺骗主机也欺骗网关/路由器的一类欺骗,其危害性更大。3、arp欺骗的预防措施arp欺骗主要来自高校校园网内部的主机,由于校园网是一个特殊的网络,局域网内用户数量众多、群体特殊,给arp的防范带来了一定的难度,我们必须针对其特点采取综合措施加以防范。对于arp欺骗的防范,目前国内外尚没有统一
12、的有效的防范措施,防范arp欺骗方法通常采用ip和mac静态绑定以及启用arp报文限速功能等,大致可分为两种:一种是通过交换机的网管功能来进行限制;另一种是在各个用户端进行检测。3.1 客户端的检测和防范(1)windows环境下检测客户端arp;在客户端主机正常的情况下,首先应通过ipconfig/all命令查看并保存本机正确的ip、dns及默认网管等信息。其次使用arp-a命令查看本机的arp缓存表,记录其网关及其对应的mac地址信息,dns及其对应的mac地址。当客户端主机出现异常时,继续使用arp-a命令查看此时的显示结果与正常值是否一致,如果存在差异说明主机已感染了arp病毒。(2)
13、防御措施;首先要及时给客户端主机的操作系统打上最新补丁,增强系统自身的防御能力。其次对初期arp的处理可以通过重启计算机、禁用本地连接和用arp-d命令来清除arp缓存表等方法来暂时解决这一问题,而要做到永久防御,可通过arp-sipmac命令,把本机ip和mac进行绑定,把绑定命令写入到一个批处理文件中,并把该文件放到windows的启动项中。第三可以在网段的主机上安装诸如antiarp、arpfix、360arp网络执法管理等防御arp攻击的软件,并及时查找、处理病毒源。3.2 交换机的检测与防范(1)交换机的arp检测;在交换机上,可以通过日志文件和arp缓存表进行全网监控,及时发现ar
14、p病毒。利用showarp命令查看arp缓存表信息,检查同一vlan中是否有多个地址对应同一mac的情况出现,如果出现下列情况,就能说明存在arp攻击。(2)交换机的防范;通过上述检测,发现某个vlan有arp欺骗攻击后,通过继续查看该vlan接入层交换机上的日志信息,找到感染arp攻击的计算机所在的端口,拔出该主机的连接线,通知用户进行病毒清理。3.3 其他防范方法(1)防范arp欺骗还可采用在局域网内安装arp服务器,替代局域网中的主机应答arp包。这种方法防范效果好,但需安装大量的服务器,成本高、配置复杂,也需更改客户端设置。(2)安装arp防火墙6。常见的防火墙有彩影防火墙(ant-i
15、arp)、金山防火墙、360防火墙、风云防火墙和瑞星防火墙等。其中风云防火墙适用于windowsxp、windows2003等操作系统,简单易用,还提供tcp/ip终止、ssl终止、url过滤、请求分析、等全面防护。对于vista等操作系统,则金山arp防火墙更为合适。(3)也可在交换机端口上绑定ip和mac地址,限制arp流量,设置交换机的arp信任端口,开启端口上的arp报文限速功能等措施杜绝arp攻击。(4)用户的网络安全意识也很重要。不要随便接收、打开或运行陌生可疑文件和程序,严禁访问不健康的网站,养成及时更新操作系统补丁的好习惯。4、结语由于arp协议存在的固有缺陷,arp欺骗不能从
16、根本上避免。因此我们只有清楚地了解arp协议的工作原理和其存在的漏洞后,才能够有效地检测和防御相应的欺骗攻击。本文在分析了arp欺骗原理的基础上,提出了多种可行的安全防御措施。这些防范策略也存在各自的局限性,不可能对所有的arp欺骗都能起到防范作用。在今后的检测上,将趋向于如何综合利用上述检测方法,达到互相补充、互相弥补、提高检测的精确度。当然解决arp欺骗攻击最根本的方法应该是改进或扩展arp协议,甚至是重新设计一种安全的地址解析协议,从根本上增强arp协议的安全性,这将是以后防御arp欺骗研究的重点。参考文献1孔政,姜秀柱.dns欺骗原理及其防御方案j.计算机工程,2010,36(3):125-127.2郭卫兴,刘旭,吴灏.基于arp缓存超时的中间人攻击检测方法j.计算机工程,2008,34(13):133-135.3李俊民,郭丽艳等.网络安全与黑客攻防(第2版)m.北京:电子工业出版社,2010.4李启南.基于farima的arp欺骗入侵检测j.计算机工程,2011,37(2):139-140.5秦丰林,段海新,郭汝廷.arp欺骗的监测与防范技术综述j.计算机应用研究,2009,26(1):30-33.6石利平.arp欺骗研究综述j.计算机与现代化,2011,197(6):193-198.
浙ICP备2021020529号-1 | 浙B2-20240490 
