浅析校园网中ARP病毒的攻击及防治

1、浅析校园网中ARP病毒的攻击及防治    摘要：该文针对目前校园网中出现的ARP欺骗攻击现象，在详细分析ARP协议工作原理的基础上，指出了该协议固有的安全漏洞，介绍了网段内和跨网段的ARP欺骗攻击的实现过程。最后有正对性的提出了若干种方法防御ARP欺骗攻击，并在实际校园网环境中使用验证了其方便实用性。关健词：ARP；欺骗攻击；TCP/IP协议；网络安全中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)28-6862-02随着计算机网络技术的发展和普及，高校中教学和管理对计算机网络的依赖性日益增强。然而校园网中用户数的增多，网络环

2、境日益复杂。ARP欺骗攻击现象频繁出现，导致校园网内部分网段的用户经常断线(全断或时断时续)，严重的干扰了教学和管理部门的正常工作。由于该病毒变种多，传播速度快，网络管理员很难及时地予以检测和清除。如何抵御ARP欺骗攻击，保证校园网的稳定性和可靠性，成了各个高校网络管理员亟待解决的问题。1 ARP协议的工作原理在局域网中，一台主机要和其它主机进行通信，需要知道目标主机的IP地址，但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的，只能识别其硬件地址即MAC地址。MAC地址是48位的，通常表示为12个16进制数，每2个16进制数之间用“-”或者冒号隔开，如：00-0B-2F-13-

3、1A-11就是一个MAC地址。每一块网卡都有其全球唯一的MAC地址，网卡之间发送数据，只能根据对方网卡的MAC地址进行发送，这时就需要一个将高层数据包中的IP地址转换成低层MAC地址的协议，而这个重要的任务将由ARP协议完成。发送数据的主机在传输数据前，首先要对初始数据进行封装，在该过程中会把目的主机的IP地址和MAC地址封装进去。在通信的最初阶段，我们能够知道目的主机的IP地址，而MAC地址却是未知的。这时如果目的主机和源主机在同一个网段内，源主机会以第二层广播的方式发送ARP请求报文。ARP请求报文中含有源主机的IP地址和MAC地址，以及目的主机的IP地址。当该报文通过广播方式到达目的 主

4、机时，目的主机会响应该请求，并返回ARP响应报文，从而源主机可以获取目的主机的MAC地址，同样目的主机也能够获得源主机的MAC地址。如果目的主机和源主机地址不在同一个网段内，源主机发出的IP数据包会送到交换机的默认网关，而默认网关的MAC地址同样可以通过ARP协议获取。经过ARP协议解析IP地址之后，主机会在缓存中保存IP地址和MAC地址的映射条目，此后再进行数据交换时只要从缓存中读取映射条目即可。2 ARP欺骗攻击的实现过程上述数据的发送机制有一个致命的缺陷，即它是建立在对局域网中计算机全部信任的基础上的，也就是说它的假设前提是：无论局域网中的哪台计算机，其发送的ARP数据包都是正确的。那么

5、在实际复杂的网络环境中，尤其是在有病毒发作的局域网中，这种信任机制就会带来安全问题。ARP欺骗攻击就是攻击者（携带病毒的计算机）通过伪造IP地址和MAC地址实现ARP欺骗（见图3），能够在网络中产生大量的ARP数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢，实际上网络中存在较高的丢包率（见图4）。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。攻击者快速持续不断的发包，淹没了网关（路由器）发出的正确ARP广播包，最终使目标主机（未携带病毒的计算机）内的ARP缓存表中的IP-MAC条目保存了错误的映射信息，找不到正确的网关，引起

6、目标主机网络中断。如果局域网中是通过身份认证上网的，会突然出现能够通过认证，但不能上网（无法ping通网关）的现象，导致整个局域网的网络环境不稳定，严重时能导致整个网络的瘫痪。3 防治方法鉴于以上的分析，根据ARP协议的工作原理和ARP病毒攻击的特点，本文在分析文献1，2，4，5的基础上，提出了一系列方法能够从不同层面上抵制攻击。1）在客户端使用arp命令绑定网关的真实MAC地址命令如下：arp -d *(先清除错误的ARP表)2）在交换机上做端口与MAC地址的静态绑定。这种方法需要接入层的交换机具有可管理功能，否则需要更新交换机。该方法需要升级硬件，成本较高。3）在路由器上做IP地址与MAC

7、地址的静态绑定。路由器工作在TCP/IP协议栈的第三层，完成路由选择的功能。一般交换机均支持绑定网络地址，故该方法成本较低，缺点是随着绑定列表的增加可以会影响路由的性能，影响程度与硬件配置相关。4）设立“ARP SERVER”服务器，按一定的时间间隔广播网段内所有主机的正确IP-MAC映射表，使局域网主机及时删除错误的ARP映射表。服务器的搭建可以采用专业硬件服务器，也可发布在局域网的PC机上，可以灵活选择。5）由于ARP病毒攻击不能跨网段进行，可以将局域网划分VLAN，同时需要兼顾可管理性和易用性。在不增加网络复杂性的前提下，充分运用VLAN的划分手段，将同一部门或权限相近的用户划分到同一个

8、VLAN内，弱化非法使用同网段IP地址所带来的利益。6）部署网络管理系统。网络管理软件可以实现静态ARP表绑定的初始化操作，避免网络管理员的大量重复性劳动。网络管理软件的日常监视和日志功能，可以及时有效的发现网络中的IP地址变化、MAC地址变化、交换机端口改变等异常行为，帮助网络管理员查找网络故障的根源。同时，网络管理员还可以借助网管系统，很方便的管理网络交换机，针对个别问题突出的用户，进行交换机端口绑定操作，禁止其修改MAC地址。7）与应用层的身份认证相结合，建立完整严密的多层次的安全认证体系，弱化IP地址在身份认证体系中的重要性。与IP地址非法使用的问题类似，用户名和口令也属于容易盗用的资

9、源，建议有条件的单位采用指纹鼠标等先进的身份认证系统，强化重要系统的安全强度。8）启用ARP防火墙ARP防火墙可以拦截ARP攻击。具体来说包括：在系统内核层拦截外部虚假ARP数据包，保障系统不受ARP欺骗、ARP攻击影响，保持网络畅通及通讯安全；在系统内核层拦截本机对外的ARP攻击数据包，以减少感染恶意程序后对外攻击给用户带来的麻烦。AntiArpSniffer是一款功能强大使用方便的arp防火墙。它有如下几个特色：开启安全模式后，除了网关外，不响应其它机器发送的ARP Request，达到隐身效果，减少用户计算机受到ARP攻击的概率；启用ARP数据分析，可以分析本机接收到的所有ARP数据包，

10、有利于用户发现潜在的攻击者或中毒的机器；监测ARP缓存能够自动监测本机ARP缓存表，如发现网关MAC地址被恶意程序篡改，将报警并自动修复，以保持网络畅通及通讯安全；主动防御能够主动与网关保持通讯，通知网关正确的MAC地址，以保持网络畅通及通讯安全。这几种方法在实践中可以结合使用，也可以根据实际的网络环境有选择的使用。在发现ARP病毒源之后要及时予以清除和隔离，确保消除了安全隐患的情况下再允许其接入局域网中。4 结束语本文在分析ARP病毒攻击的原理和过程的基础上，提出了几种有正对性的防治方法，而且在实践中取得了良好的效果。网络安全依赖每一个用户的安全意识和实际的参与。面对ARP攻击对校园网的威胁

11、，不仅需要用户自身做好防范工作之外，更需要网络管理员时刻保持高度警惕，并不断跟踪防范欺骗类攻击的最新技术，研究新方法，做到防范于未然，保障校园网的安全稳定，为构建的信息化校园提供有力的支撑。参考文献：1 谭敏,杨卫平.ARP 病毒攻击与防范J.网络安全技术与应用,2008(4).2 刘舫.企业局域网感染ARP病毒的处理方法J.科技情报开发与经济,2007(31).3 曹磊.局域网中ARP的欺骗攻击J.气象科技,2007(12).4 孟晓明.基于ARP的网络欺骗的检测与防范J.信息技术,2005(5):41-44.5 徐功文,陈曙,时研会.ARP协议攻击原理及其防范措施J.网络与信息安全,2005(1):4-6.6 王佳,李志蜀.基于ARP协议的攻击原理分析J.微电子学与计算机,2004,21(4):10-12.    相关论文    ·