劉婷+孫陸鵬+孟慶偉

摘要：互聯(lián)網(wǎng)時刻面臨著各種各樣的攻擊和威脅，校園網(wǎng)也面臨著嚴(yán)重的挑戰(zhàn)和威脅. ARP協(xié)議欺騙是網(wǎng)絡(luò)欺騙的行為之一，利用 ARP 協(xié)議自身的安全缺陷， 攻擊者可以重新偽造一個以太網(wǎng)上的 IP 數(shù)據(jù)報以取得目標(biāo)主機的信任，在校園網(wǎng)上可以進行各類的攻擊。文中在分析 ARP 協(xié)議工作原理、ARP協(xié)議的設(shè)計缺陷、攻擊方式的基礎(chǔ)上，詳細論述了幾種基于ARP協(xié)議的校園網(wǎng)防御策略，為校園網(wǎng)的安全建設(shè)提供參考。

關(guān)鍵詞：ARP欺騙；網(wǎng)絡(luò)攻擊；校園網(wǎng)

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2016）22-0021-03

Internet的發(fā)展極大地提高了人們的生活和工作效率，計算機已經(jīng)進入千千萬萬的家庭當(dāng)中。2016年1月的第37次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告顯示：截至2015年12月，中國網(wǎng)民規(guī)模達6.88億，互聯(lián)網(wǎng)普及率為50.3%。因特網(wǎng)的開放性造成的網(wǎng)絡(luò)和信息安全等問題也越來越受到人們的重視，校園網(wǎng)是為學(xué)校師生提供教學(xué)、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)，校園網(wǎng)的安全狀況直接影響到教學(xué)、科研、管理等活動的進行。目前針對網(wǎng)絡(luò)的攻擊方式有很多種類：嗅探掃描攻擊，網(wǎng)絡(luò)系統(tǒng)缺陷攻擊、Email攻擊、堆溢出攻擊、ARP攻擊等，其中基于ARP的攻擊是危害較大的、比較典型一種攻擊方式，本文重點研究基于ARP欺騙的校園網(wǎng)攻擊防御方法，希望給校園網(wǎng)的安全建設(shè)提供一些借鑒。

1 ARP協(xié)議的工作原理和典型應(yīng)用

ARP（Address Resolution Protocol）地址解析協(xié)議）是 TCP/IP協(xié)議族中的一個重要協(xié)議， ARP 是解決同一個局域網(wǎng)上的主機或路由器的 IP 地址和硬件地址的映射問題，在 IPV4 版本下， ARP協(xié)議的功能是完成從32位的IP地址到48位的MAC地址的轉(zhuǎn)換。

1.1 ARP 協(xié)議工作原理

在局域網(wǎng)中的每臺計算機都同時擁有兩個地址，一個是 MAC 地址， 另一個是 IP 地址。MAC地址就是以太網(wǎng)卡硬件地址（Physical Address）， 它在生產(chǎn)時就已經(jīng)固化在網(wǎng)卡上的ROM中， 是全球唯一的。IP地址是網(wǎng)絡(luò)層和以上各層使用的地址，是一種邏輯地址，它是由軟件分配的， 根據(jù)使用情況需要是可以更改的。不管網(wǎng)絡(luò)層使用的是什么協(xié)議，在實際網(wǎng)絡(luò)的鏈路上傳送數(shù)據(jù)幀時，最終還是必須使用硬件地址。 每一個主機都設(shè)有一個 ARP 高速緩存（ARP cache），里面有所在的局域網(wǎng)上的各主機和路由器的 IP 地址到硬件地址的映射表。當(dāng)主機A欲向本局域網(wǎng)上的某個主機B發(fā)送 IP 數(shù)據(jù)報時，就先在其 ARP 高速緩存中查看有無主機B的 IP 地址。如有，就可查出其對應(yīng)的硬件地址，再將此硬件地址寫入 MAC 幀，然后通過局域網(wǎng)將該 MAC 幀發(fā)往此硬件地址。為了減少網(wǎng)絡(luò)上的通信量，主機A在發(fā)送其 ARP 請求分組時，就將自己的 IP 地址到硬件地址的映射寫入 ARP 請求分組。主機B收到A的 ARP 請求分組時，就將主機A的這一地址映射寫入主機B自己的 ARP 高速緩存中。這對主機B以后向A發(fā)送數(shù)據(jù)報時就更方便了。

1.2使用 ARP 的四種典型情況

如果所要找的主機和源主機不在同一個局域網(wǎng)上，那么就要通過ARP找到一個位于本局域網(wǎng)上的某個路由器的硬件地址，然后把分組發(fā)送給這個路由器，讓這個路由器把分組轉(zhuǎn)發(fā)給下一個網(wǎng)絡(luò)。剩下的工作就由下一個網(wǎng)絡(luò)來做。從IP地址到硬件地址的解析是自動進行的，主機的用戶對這種地址解析過程是不知道的。只要主機或路由器要和本網(wǎng)絡(luò)上的另一個已知 IP 地址的主機或路由器進行通信，ARP 協(xié)議就會自動地將該 IP 地址解析為鏈路層所需要的硬件地址。使用 ARP有以下四種情況如圖1所示：

發(fā)送方是主機，要把IP數(shù)據(jù)報發(fā)送到本網(wǎng)絡(luò)上的另一個主機。這時用 ARP 找到目的主機的硬件地址，如圖1：主機B與主機C之間發(fā)送信息。

發(fā)送方是主機，要把 IP 數(shù)據(jù)報發(fā)送到另一個網(wǎng)絡(luò)上的一個主機。這時用 ARP 找到本網(wǎng)絡(luò)上的一個路由器的硬件地址。剩下的工作由這個路由器來完成，如圖1：主機A與主機B或主機C之間發(fā)送信息。

發(fā)送方是路由器，要把 IP 數(shù)據(jù)報轉(zhuǎn)發(fā)到本網(wǎng)絡(luò)上的一個主機。這時用 ARP 找到目的主機的硬件地址。如圖1：路由器R1與主機A之間發(fā)送信息或路由器R2與主機B或主機C之間發(fā)送信息。

發(fā)送方是路由器，要把 IP 數(shù)據(jù)報轉(zhuǎn)發(fā)到另一個網(wǎng)絡(luò)上的一個主機。這時用 ARP 找到本網(wǎng)絡(luò)上另一個路由器的硬件地址。剩下的工作由這個路由器來完成，如圖1：路由器R1與路由器R2之間發(fā)送信息。

2 ARP 協(xié)議的漏洞

TCP/IP 協(xié)議棧中的的ARP 協(xié)議，其最初設(shè)計是建立在同一個局域網(wǎng)內(nèi)各站點之間互相信任的基礎(chǔ)之上，僅考慮其傳輸效率，而缺乏必要的認證和鑒別機制，導(dǎo)致ARP協(xié)議的安全性能相當(dāng)脆弱，主要體現(xiàn)在以下幾個方面：

① ARP協(xié)議的請求包與應(yīng)答包通過廣播形式進行傳送

當(dāng)一臺計算機發(fā)送的 ARP請求包是以廣播的形式進行傳送，在整個局域網(wǎng)內(nèi)全部的計算機都能接到這些請求如圖2所示：

網(wǎng)絡(luò)中一些圖謀不歸站機就有發(fā)送應(yīng)答包的機會，目標(biāo)計算機里 ARP緩存的內(nèi)容就有可能被改變。當(dāng)一臺計算機發(fā)送的 ARP應(yīng)答包是以廣播的形式進行傳送，局域網(wǎng)計算機里面的 ARP 緩沖區(qū)的 IP 與 MAC 聯(lián)系就會發(fā)生改變，網(wǎng)絡(luò)就會出現(xiàn)異常情況。

②ARP協(xié)議的回復(fù)與請求不需要相互關(guān)聯(lián)。

不管局域網(wǎng)內(nèi)的某站點有沒有發(fā)出請求數(shù)據(jù)，在同一個局域網(wǎng)內(nèi)的任何站點都可以向目標(biāo)站點發(fā)送ARP的應(yīng)答數(shù)據(jù)，收到來一個局域網(wǎng)站點的 ARP 回復(fù)包，就會修改ARP 緩存區(qū)保存的 IP 與MAC的關(guān)系，并不會考慮這個ARP 回復(fù)包是否是對應(yīng)的請求包引起的，目標(biāo)計算機里 ARP緩存的內(nèi)容隨時都有可能被改變。

③ARP 緩沖區(qū)當(dāng)中的IP與MAC對應(yīng)關(guān)系是動態(tài)變化的。這即是優(yōu)點也是缺陷。在 ARP 緩沖區(qū)當(dāng)中的IP與MAC對應(yīng)關(guān)系是不斷地進行動態(tài)的更新，如果有數(shù)據(jù)在更新之前被篡改了，那么在局域網(wǎng)計算機的通信就不能完成正常通信。

3 基于ARP的攻擊方式

校園網(wǎng)是一種局域網(wǎng)，校園網(wǎng)的數(shù)據(jù)通訊使用ARP協(xié)議。由于ARP協(xié)議自身的設(shè)計缺陷，利用這些 ARP漏洞，可以實現(xiàn)多種ARP攻擊校園網(wǎng)，達到截獲校園網(wǎng)數(shù)據(jù)的目的。常見的基于 ARP 的攻擊有如下幾種方式：

3.1 ARP 洪泛攻擊

局域網(wǎng)中的惡意用戶和向校園網(wǎng)發(fā)出大量的ARP報文，導(dǎo)致整個校園網(wǎng)絡(luò)通信被阻斷，學(xué)校服務(wù)器癱瘓，最后使得整個學(xué)校的用戶不能登陸互聯(lián)網(wǎng)。

3.2 偽造網(wǎng)關(guān)

通過偽造虛假的網(wǎng)關(guān)或主機，向校園網(wǎng)里的所有計算機或者終端發(fā)送 ARP 偽造的網(wǎng)關(guān)，使校園網(wǎng)用戶發(fā)送數(shù)據(jù)到了假的網(wǎng)關(guān)，造成用戶無法上網(wǎng)。

3.3 ARP 病毒攻擊

ARP 病毒是利用ARP協(xié)議的漏洞進行傳播的一類病毒。局域網(wǎng)中有人使用ARP欺騙的木馬程序，ARP 攻擊和木馬病毒組合，對校園網(wǎng)造成更大的危害。

3.4 IP 地址沖突

校園網(wǎng)中的一臺主機發(fā)送更改的 ARP 報文， 將另一個偽裝的MAC地址和目的主機的IP地址做映射， 這樣系統(tǒng)就會檢測到同一個 IP 地址對應(yīng)兩個不同的 MAC 地址，造成IP地址沖突。如果機器使用的是Windows 操作系統(tǒng)，則在系統(tǒng)中彈出警告對話框，如果是Linux/Unix 操作系統(tǒng)，則會給用戶發(fā)送mail 進行警告用戶， 并且出現(xiàn)整個網(wǎng)絡(luò)的暫時中斷。

3.5 拒絕服務(wù)攻擊

拒絕服務(wù)攻擊就是讓網(wǎng)絡(luò)中的計算機不能夠正?；貞?yīng)其他計算機提出的要求，從而不能提供服務(wù)。如果校園網(wǎng)中的攻擊者將目標(biāo)主機ARP緩存中的MAC地址全部改為根本就不存在的MAC地址，那么目標(biāo)主機會因為錯誤的MAC地址造成向外發(fā)送的數(shù)據(jù)全部丟失，從而導(dǎo)致目標(biāo)主機產(chǎn)生拒絕服務(wù)。

4 ARP攻擊的防御策略

根據(jù)ARP攻擊方式的多樣性，我們?yōu)榱吮M可能提高校園網(wǎng)的安全性，提出多種防御策略，而且其中某些方案在特定的條件下的防御效果十分顯著。

4.1劃分虛擬局域網(wǎng)（VLAN）和端口綁定

虛擬局域網(wǎng) VLAN 是由一些局域網(wǎng)網(wǎng)段構(gòu)成的與物理位置無關(guān)的邏輯組，采用劃分VLAN和把計算機和交換機一對一的方式進行綁定，在靜態(tài)VLAN 中，由網(wǎng)絡(luò)管理員根據(jù)交換機端口進行靜態(tài)的VALN 分配。把校園網(wǎng)劃分成多個VLAN，縮小了網(wǎng)絡(luò)的廣播范圍，即使網(wǎng)絡(luò)中發(fā)生了ARP欺騙攻擊，也只能在很小的一個虛擬范圍，不會對整個校園網(wǎng)造成嚴(yán)重的破壞?；诙丝诘腣LAN 配置簡單，網(wǎng)絡(luò)的可監(jiān)控性強。但缺乏足夠的靈活性，不適用于便攜式電腦，而且這種方法并不能使網(wǎng)關(guān)免受ARP病毒的攻擊，如果網(wǎng)關(guān)受到ARP病毒的攻擊，同樣會導(dǎo)致校園網(wǎng)的癱瘓。

4.2設(shè)置靜態(tài) ARP 緩存表

基于ARP協(xié)議攻擊最根本的原理就是改變IP地址與 MAC 地址的正確對應(yīng)關(guān)系，可以設(shè)置目標(biāo)主機的 ARP 緩存中設(shè)置靜態(tài)地址映射記錄來防止IP地址與 MAC 地址的正確對應(yīng)關(guān)系的改變。在校園網(wǎng)中兩個站點發(fā)送數(shù)據(jù)前就不需要通過向所在的局域網(wǎng)廣播ARP請求來尋找MAC地址。但這種方法手工工作量很大，維護十分繁瑣。

4.3 個人ARP防火墻

現(xiàn)在很多殺毒軟件都設(shè)計出了ARP防火墻的模塊，可以交效的避免遭受攻擊者所冒充的假網(wǎng)關(guān)的攻擊，個人ARP防火墻的局限性：個人防火墻只關(guān)注了本機的安全性，并沒有考慮網(wǎng)關(guān)的安全，防火墻本身也有可能綁定一個假冒的網(wǎng)關(guān)，防火墻比較適用于個人用戶使用，對整個校園網(wǎng)網(wǎng)絡(luò)來說不能起到防御的作用。

4.4 PV6 的應(yīng)用

在 IPV6 版本下， 定義了鄰居發(fā)現(xiàn)協(xié)議（NDP）。IPv6地址解析技術(shù)工作在OSI參考模型的網(wǎng)絡(luò)層，與鏈路層協(xié)議無關(guān)，加強了地址解析協(xié)議與底層鏈路的獨立性，在第三層實現(xiàn)地址解析可以利用三層標(biāo)準(zhǔn)的安全認證機制來防止ARP攻擊和ARP欺騙。但IPv4和IPv6是兩種相互不兼容的協(xié)議，兩者在本質(zhì)上就不能互通，這對IPv6的普及造成了很大的困難。

5 結(jié)束語

總之，校園網(wǎng)的安全是十分重要的，校園網(wǎng)作為一個大型局域網(wǎng)非常容易受到ARP攻擊，文中所采用的ARP欺騙的偵測及防御方法，對校園網(wǎng)的建設(shè)有具有一定的應(yīng)用價值，在用戶、硬件設(shè)備、網(wǎng)關(guān)等之間建立不同的ARP防御體系，盡最大限度保障校園網(wǎng)的安全暢通，盡可能降低ARP攻擊。

參考文獻：

[1] 謝希仁.計算機網(wǎng)絡(luò) [M]. 6版.北京.電子工業(yè)出版社，2013，6.

[2] 邊浩江. ARP欺騙的偵測及防御方法的研究與實現(xiàn)[D].昆明：昆明理工大學(xué)，2015.

[3] 鄭森森. 基于ARP欺騙的數(shù)據(jù)截獲與高速轉(zhuǎn)發(fā)技術(shù)研究[D].四川師范大學(xué)，2015.

[4] 單國杰. 基于ARP欺騙攻擊的防御策略研究[D].山東師范大學(xué)，2011.

[5] 王燕，張新剛. 基于ARP協(xié)議的攻擊及其防御方法分析[J].微計算機信息，2007（23）：72-74.