王曉妮 韓建剛

摘要：為了解決校園網(wǎng)中的ARP攻擊問(wèn)題，文章研究了ARP協(xié)議和ARP攻擊，結(jié)合校園網(wǎng)的具體情況和多年網(wǎng)管經(jīng)驗(yàn)，按用戶數(shù)目把校園網(wǎng)劃分成不同區(qū)域并采取不同防御策略。針對(duì)ARP攻擊的重災(zāi)區(qū)家屬樓和學(xué)生公寓采用PPPOE技術(shù)方案，能夠有效預(yù)防ARP攻擊。

關(guān)鍵詞：校園網(wǎng)；ARP攻擊；PPPOE；防御策略

隨著高校信息化的迅速發(fā)展，校園網(wǎng)早已覆蓋整個(gè)校園，這為師生的生活、工作和學(xué)習(xí)提供了便利。從網(wǎng)上購(gòu)物、在線學(xué)習(xí)、資料查閱等都離不開(kāi)網(wǎng)路，但是由于校園網(wǎng)用戶數(shù)量龐大，水平差別很大，上網(wǎng)需求各不相同，難免會(huì)訪問(wèn)被黑客植入了木馬病毒的網(wǎng)站，下載包含蠕蟲(chóng)和Trojan的軟件，地址解析協(xié)議（Address Resolution Protocol，ARP）欺騙攻擊就在其中[1]。ARP欺騙攻擊會(huì)篡改盜取用戶隱私，使網(wǎng)絡(luò)癱瘓，直接威脅校園網(wǎng)用戶的財(cái)產(chǎn)信息安全。采用PPPOE技術(shù)能夠很好地防御ARP欺騙攻擊，確保校園網(wǎng)的安全穩(wěn)定運(yùn)行。

1 相關(guān)技術(shù)

1.1 ARP協(xié)議

ARP工作在數(shù)據(jù)鏈路層，主要作用是把以太網(wǎng)中所有網(wǎng)絡(luò)設(shè)備的32位邏輯上的IP地址轉(zhuǎn)換成48位物理MAC地址[2]。因?yàn)锳RP協(xié)議在當(dāng)初設(shè)計(jì)時(shí)默認(rèn)網(wǎng)絡(luò)環(huán)境是絕對(duì)安全的，忽視了安全性的考慮，但隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)攻擊日益猖獗，導(dǎo)致網(wǎng)絡(luò)環(huán)境也危機(jī)四伏，不存在絕對(duì)安全的情況。故ARP協(xié)議就存在缺乏認(rèn)證、無(wú)狀態(tài)、廣播式和動(dòng)態(tài)性等安全漏洞。

1.2 ARP攻擊

因?yàn)锳RP協(xié)議的設(shè)計(jì)漏洞為其帶來(lái)安全隱患，使ARP攻擊在校園網(wǎng)中很常見(jiàn)。ARP攻擊原理是黑客利用ARP協(xié)議漏洞，偽造IP/MAC地址冒充合法地址，連續(xù)向攻擊目標(biāo)發(fā)送大量偽造的ARP請(qǐng)求或響應(yīng)報(bào)文，誤導(dǎo)其不斷更新ARP緩存表，使目標(biāo)主機(jī)根本無(wú)法保存正確的緩存信息，讓本該發(fā)往目標(biāo)主機(jī)的數(shù)據(jù)被黑客直接截獲或篡改，使網(wǎng)絡(luò)通信中斷，電腦死機(jī)、信息泄露和整個(gè)網(wǎng)絡(luò)癱瘓。ARP攻擊具有隱蔽性強(qiáng)、難以根除和極易堵塞等特點(diǎn)[3]，可分為攻擊主機(jī)、攻擊網(wǎng)關(guān)、雙向攻擊和洪泛攻擊4種常見(jiàn)類型。

1.3 PPPOE技術(shù)

PPPOE是一種能夠把點(diǎn)對(duì)點(diǎn)協(xié)議封裝在以太網(wǎng)框架中的鏈路控制協(xié)議，其全稱為Point to Point Protocol OverEthernet。它通過(guò)遠(yuǎn)端接入設(shè)備與互聯(lián)網(wǎng)相連，并對(duì)每個(gè)接入主機(jī)或用戶實(shí)現(xiàn)單獨(dú)控制[4]。PPPOE協(xié)議的工作流程包括發(fā)現(xiàn)和會(huì)話這兩個(gè)階段，無(wú)狀態(tài)的發(fā)現(xiàn)階段是為了獲得終端設(shè)備的MAC地址和建立唯一的PPPOESESSION-ID，主機(jī)和其所選接入集中器就在以太網(wǎng)中建立起了對(duì)應(yīng)的PPP連接的信息并進(jìn)入會(huì)話階段，然后PPP數(shù)據(jù)就能實(shí)現(xiàn)以任何別的PPP封裝形式發(fā)送。PPPOE協(xié)議能夠在以太網(wǎng)中為主機(jī)和網(wǎng)關(guān)設(shè)備建立了一個(gè)點(diǎn)對(duì)點(diǎn)的通道，使此通道和別的主機(jī)相互隔離，處在不同的廣播域就能避免ARP攻擊。

2 方案設(shè)計(jì)

因?yàn)樾@網(wǎng)用戶的特點(diǎn)是數(shù)目龐大、網(wǎng)絡(luò)需求不同、網(wǎng)絡(luò)安全知識(shí)和操作水平差別大、安全意識(shí)淡薄；校園網(wǎng)用途廣泛、使用頻率很高等特點(diǎn)讓ARP攻擊乘虛而入，采取單一措施很難防范。傳統(tǒng)的這些防御措施各有利弊，例如不管怎么劃分VLAN，但因其沒(méi)有針對(duì)網(wǎng)關(guān)的保護(hù)措施，很難防御攻擊網(wǎng)關(guān)的ARP；雙向綁定只要變換上網(wǎng)地點(diǎn)就會(huì)導(dǎo)致綁定失效；ARP防火墻存在著對(duì)所綁網(wǎng)關(guān)的正確性無(wú)法識(shí)別的安全隱患；ARP服務(wù)器的前提是要保證服務(wù)器的安全，一旦服務(wù)器被攻擊仍會(huì)全網(wǎng)癱瘓；綁定交換機(jī)端口必須采用價(jià)格昂貴的具有學(xué)習(xí)功能的交換機(jī)，使成本加大；PPPOE技術(shù)使網(wǎng)絡(luò)傳輸率降低，內(nèi)網(wǎng)間無(wú)法訪問(wèn)和共享網(wǎng)絡(luò)資源。通過(guò)校園網(wǎng)和傳統(tǒng)ARP防御措施的實(shí)際情況的分析，必須對(duì)校園網(wǎng)不同區(qū)域采取不同的防御措施。在綜合辦公樓和各教學(xué)樓采用VLAN劃分、綁定交換機(jī)端口和ARP服務(wù)器；網(wǎng)絡(luò)實(shí)驗(yàn)室、多媒體教室、電子閱覽室和會(huì)議室等地方采用雙向綁定和ARP防火墻；學(xué)生公寓樓和家屬樓采用PPPOE技術(shù)。

3 PPPOE技術(shù)在ARP攻擊方案中的應(yīng)用

因?yàn)?2棟家屬樓和18棟學(xué)生公寓樓的上網(wǎng)用戶比較集中，每棟樓上的用戶數(shù)目多，根本無(wú)法將其劃分在一個(gè)網(wǎng)段內(nèi)，但是如果將他們劃分在不同的網(wǎng)段，無(wú)疑就會(huì)增加管理的難度。隨著校園網(wǎng)用戶數(shù)量的逐漸增加，IP地址越來(lái)越緊張，所以在這些區(qū)域采用PPPOE技術(shù)。讓該區(qū)域用戶通過(guò)PPPOE撥號(hào)方式上網(wǎng)，既能有效防御ARP攻擊，又能緩解IP地址緊張的矛盾。因?yàn)镻PPOE協(xié)議采用點(diǎn)對(duì)點(diǎn)的通信方式，不依賴于ARP協(xié)議，能夠單獨(dú)控制所有用戶，從根本上杜絕了ARP攻擊的實(shí)現(xiàn)，這就使ARP攻擊重災(zāi)區(qū)的家屬樓和學(xué)生公寓得到很好的解決。通過(guò)城市熱點(diǎn)Dr.com計(jì)費(fèi)軟件便能實(shí)現(xiàn)在這些區(qū)域使用PPPOE撥號(hào)上網(wǎng)，不必改變以前已經(jīng)部署好的校園網(wǎng)拓?fù)錂C(jī)構(gòu)圖，PPPOE方式網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。Dr.com計(jì)費(fèi)系統(tǒng)利用綁定用戶注冊(cè)信息（帳號(hào)、密碼等）、IP地址和MAC地址等相關(guān)信息來(lái)進(jìn)行用戶身份認(rèn)證的，可以支持PPPOE、Web和客戶端等多種方式認(rèn)證。PPPOE技術(shù)方案在校園網(wǎng)中通過(guò)以下4步來(lái)部署：首先去掉核心交換機(jī)上的VLAN的網(wǎng)關(guān)地址并把其對(duì)應(yīng)的VLAN標(biāo)識(shí)保留好；然后在防火墻上重新配置新的路由和借口訪問(wèn)策略；接著把計(jì)費(fèi)軟件安裝在Dr.com服務(wù)器上，并將端口地址設(shè)置為校園網(wǎng)的內(nèi)網(wǎng)地址，配置好PPPOE撥號(hào)上網(wǎng)的地址池參數(shù)；最后，PPPOE服務(wù)器就會(huì)以VLAN為用戶動(dòng)態(tài)分配的臨時(shí)IP地址為根據(jù)來(lái)進(jìn)行相應(yīng)的計(jì)費(fèi)策略設(shè)置，并把所有用戶信息導(dǎo)入服務(wù)器中。

4 結(jié)語(yǔ)

因?yàn)锳RP攻擊是由ARP協(xié)議的設(shè)計(jì)漏洞造成的，加之校園網(wǎng)用戶的復(fù)雜性和傳統(tǒng)防御措施的局限性，使得單一的策略僅能從某種程度上減弱ARP攻擊引起的危害，無(wú)法徹底解決。本文結(jié)合網(wǎng)管實(shí)戰(zhàn)經(jīng)驗(yàn)，把龐大的校園網(wǎng)用戶劃分成不同區(qū)域，然后根據(jù)該區(qū)域的特點(diǎn)采用不用的防御措施，揚(yáng)長(zhǎng)避短，有效防御了校園網(wǎng)中的ARP攻擊。

[參考文獻(xiàn)]

[1]吳森森.基于ARP欺騙的數(shù)據(jù)截獲與高速轉(zhuǎn)發(fā)技術(shù)研究[D].成都：四川師范大學(xué)，2015.

[2]郭征，吳向前，劉勝全.針對(duì)校園網(wǎng)ARP攻擊的主動(dòng)防護(hù)方案[J].計(jì)算機(jī)工程，2011（5）：181-183.

[3]李延香，袁輝，劉淑英.校園局域網(wǎng)ARP欺騙攻擊的防御方法和實(shí)施[J].自動(dòng)化與儀器儀表，2015（9）：215-217.

[4]紀(jì)春坡.使用PPPoE撥號(hào)方式解決校園網(wǎng)ARP病毒[J].運(yùn)城學(xué)院學(xué)報(bào)，2010（5）：78-79.