校园网内ARP攻击源的准确定位

1、校园网内ARP攻击源的准确定位董 忠 尤良芳（天水师范学院 数理与信息科学学院，甘肃 天水 741001）摘 要：目前，依然没有十分有效的方法防范ARP攻击，更多的还是依赖主机自身的抵抗能力以及是否能够及时监测到感染的主机并进行相应处理。实践表明，利用snmp协议获取核心交换机ip-mac对照表与dhcp服务器ip-mac对照表比对确定ARP攻击源是一种行之有效的方法。关键词： ARP攻击； SNMP ； DHCP1 引言近两年ARP （Address Resolution Protocol）病毒及各变种在校园网络上大量出现，造成校园网各网段频繁掉线，用户重启计算

2、机或刷新网络连接后，又可正常上网，但网络时断时续的现象随着ARP病毒的发作不断产生。据CERNET应急响应组2007年5月报告，ARP攻击是网络安全首要的威胁。该病毒主要通过 ARP欺骗实施破坏行为。 常见ARP 欺骗分两种，一种是对路由器中ARP 表的欺骗；另一种是对内网 PC 网关的欺骗。前者的原理是ARP病毒截获网关数据，然后通知路由器一系列错误的内网 MAC 地址，并按照一定的频率不断的更新学习进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送错误的 MAC 

3、地址，造成正常的 PC 无法收到信息。后者原理是ARP病毒通过交换机的 MAC 地址学习机制，建立假的网关，让被它欺骗的 PC 向假网关发送数据，而不是通过正常的路由器或交换途径寻找网关，造成在同一网关的所有 PC 无法访问网络。目前，依然没有十分有效的方法防范ARP攻击，更多的还是依赖主机自身的抵抗能力以及是否能够及时监测到感染的主机并进行相应处理。2 快速定位的原理我院校园网被划成8个子网，核心交换机下接各接入交换机，所有用户通过楼层接入交换机接入校园网。用户从DHCP服务器获得ip，通过代理服务器（squid

4、2.6）访问internet。快速定位实现原理如下：(1)利用snmp协议从核心交换机上实时读出所有用户的ip、mac对照表,并保存在switch_ip_mac.table文件中；(2)利用程序判断switch_ip_mac.table表中有没有重复的mac,若发现有2条以上相同的mac纪录，即可断定该mac地址为ARP病毒源的mac地址；(3)通过DHCP服务器的文件dhcpd.leases获得标准的ip_mac对照表并保存在dhcpd_ip_mac.table文件中；(4)在dhcpd_ip_mac.table表中查该mac地址，与该地址对应的ip就是ARP病毒源的ip地址(5)给该ip用

5、户发送提示信息或直接隔离中毒机器；(6)清理核心交换机arp表；3快速定位的关键步骤实验环境FreeBSD6.2工作站。 （1）获得所有用户的ip、mac对照表SNMP（Simple Network Management Protocol，简单网络管理协议），用于管理IP网络上结点的协议。几乎所有的网络设备和网络操作系统都支持SNMP。目前，开发SNMP的软件包有许多可以选择如SNMP+、AGENT+、NET-SNMP等。这里我们选用的是NET-SNMP。首先它是一个开源软件，其次基于C语言开发，便于移植。ucd-snmp源自于卡耐基.梅隆大学的SNMP软件包CMU snmp 2.1.2.1,

6、 由加州大学Davis分校(University of California at Davis)开发与维护, 所以命名为ucd-snmp。2000年11月ucd-snmp项目转到由SourceForge()管理, 并更名为net-snmp。安装net-snmp：# cd /usr/ports/net-mgmt/net-snmp# make install cleannet-snmp提供的查询工具有很多，snmpwalk就是其中之一，其语法如下：USAGE: snmpwalk OPTIONS AGENT OID使用如下命令可从核心交换机上获取用户ip、mac对照表snmpwalk -v 2c -

7、c public xxx.xxx.xxx.xxx ip.ipNetToMediaTable.ipNetToMediaEntry.ipNetToMediaPhysAddress 参数 -v 2c 指定SNMP 版本-c public 设定community名为publicxxx.xxx.xxx.xxx 指定核心交换机的ip地址ip.ipNetToMediaTable.ipNetToMediaEntry.ipNetToMediaPhysAddress 要读取节点的MIB信息显示结果如下（部分）：IP-MIB:ipNetToMediaPhysAddress.2050.210.26.27.15 = S

8、TRING: 0:1:6c:ba:ce:aeIP-MIB:ipNetToMediaPhysAddress.2051.210.26.28.70 = STRING: 0:f:ea:ca:c5:8dIP-MIB:ipNetToMediaPhysAddress.2053.210.26.29.63 = STRING: 0:7:95:fa:d:3aIP-MIB:ipNetToMediaPhysAddress.2053.210.26.29.64 = STRING: 0:11:5b:fe:fa:55从以上每行信息中整理出ip和mac的对应关系并保存在switch_ip_mac.table文件中，若发现有重复的

9、mac地址，该mac地址即为攻击源的mac地址，要最终确定攻击源的ip还要经过以下比对过程。（2）获得标准的ip_mac对照表客户机在启动时从DHCP服务器处获得ip，在DHCP服务器的dhcpd.leases文件中保留着各客户机的基本信息，形式如下：lease 210.26.31.215 starts 5 2007/08/17 14:52:37; ends 5 2007/08/17 20:52:37; tstp 5 2007/08/17 20:52:37; binding state free; hardware ethernet 00:17:f2:32:82:16; uid "0

10、010000273622202026"其中包含了ip地址、客户机的mac地址及租用时间。由于该信息在客户机启动时获得，所以其信息不可能是伪造的，可以说是“标准”的ip-mac对照表。利用ssh可从DHCP服务器中获得。# scp usernameDHCPServerIp:/var/db/dhcpd.leases ./其中DHCPServerIp为DHCP服务器的ip，username为登录DHCP服务器的用户名，输入用户密码后可获得dhcpd.leases。按照当天时间整理出ip-mac对照表保存到dhcpd_ip_mac.table。用上一步找到的攻击源的mac地址和dhcpd_i

11、p_mac.table文件中的记录比对，与该mac地址对应的ip就是攻击源的ip地址。至此，确定了攻击源的ip地址和mac地址，接下来可以通过squid代理服务器给该用户一个提示，督促用户杀毒，也可以通过接入交换机关掉它的端口，把它与校园网隔离。4 结束语本文描述了如何准确定位校园内的ARP攻击源，基于此原理作者开发了相应的软件，ARPWatch。ARPWatch由shell语言编写，运行之后自动完成对ARP攻击源的确定，不需要人为的干预。该软件在已在天水师院校园网上运行数月，效果良好。参考文献1 Solomoon. 用NET-SNMP软件包开发简单客户端代理. 2005(9)2 郑先伟. A

12、RP欺骗是首要威胁M. 中国教育网络, 2007, (7)3 黄成山. ARP欺骗的防治方法J. 大众科学, 2007(01)4 邓岳. ARP病毒防范初探J. 电脑知识与技术（学术交流），2007（04）作者简介：1 董忠 1967.2 湖北武汉 数理与信息科学学院副教授，从事校园网络管理和网络安全方面的研究 Tel:Mail: dz2 尤良芳 1966.8 四川潼南 数理与信息科学学院讲师，硕士, 主要从事物理学方面的研究Accurate detection of ARP attack on the campusDong Zhong You LiangfangC

13、ollege of Mathematics Physics and Information Science, Tianshui Normal University, Tianshui, Gansu, China, 741001AbstractARP attack is one of most commonly used technique by attackers to compromise security of a LAN. There are no specific tools we can use to avoid an ARP attack on the campus network

14、 today. In this paper, we present a passive approach to ARP attack detection by monitoring IP-MAC tables from switches and DHCP servers, and report any flips which might occur. In practice, this method is implemented by SNMP protocol, so the detection is instantaneous.Index-terms - ARP attack, SNMP, DHCPAuthor, Mr. Dong, is