校园网中ARP攻击分析与防御探讨|利用校园网老是攻击外网怎么回事

　　摘要：分析ARP病毒对联网计算机实验室PC机的危害和攻击方式，通过指出各防御方式的利弊，分析各种ARP病毒防御方式的可行性。 　　关键词：ARP病毒；ARP协议；MAC地址
　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)20-4855-02
　　The Campus Network ARP Attack Analysis and Defense Explore
　　SU Ning
　　（City College of Dongguan University of Technology，Dongguan 523106,China）
　　Abstract: Analysis of ARP virus hazards and attacks on a networked computer lab PC, to analyze the feasibility of the approach of a variety of ARP virus defense by pointing out the pros and cons of each defense style.
　　Key words: ARP virus; ARP protocol; MAC address
　　近年来随着基于TCP/IP的以太网架构不断发展与成熟，计算机实验室基本采用了该种架构进行局域网联网。此架构在ISO模型中的二层数据链接层的寻址方式一般采用ARP协议，由于早期的设计并没有考虑到该层的安全性，导致ARP协议只能满足寻址功能，而不能抵御欺骗性攻击。由此在二层容易产生各种类型的安全漏洞，对七层模型中的三层以上的应用产生了严重的影响。如今各种大容量移动介质的量产与普及，使得基于ARP协议的各种病毒无孔不入。校园网中的计算机实验室由于PC机集中，数量多，往往最容易受到ARP病毒的攻击。由此给实验室管理员带来了巨大的工作量，并影响了师生正常开展各做实验。该文根据实验室的管理经验分析ARP病毒的原理，并结合校园网的一些技术提出一些解决方法。
　　 1 ARP简介与ARP病毒攻击方式
　　 1.1 ARP的原理和作用
　　ARP全称为Address Resolution Protocol，是ISO七层模型中的二层地址解析协议，
　　是一种将IP地址转化成物理地址的协议。ARP协议的主要功能具体说来就是将网络层地址解析为数据链路层的物理地址，目前计算机实验室中的联网PC一般采用以太网架构，数据链路层的物理地址一般为MAC地址。
　　在正常的局域网中，一般一个IP地址只对应一个MAC地址，该MAC地址为全世界唯一的物理地址，在硬件出厂时已经固化，不允许修改。以太网中的二层交换机通过广播方式学习MAC地址，并与端口对应，形成一张MAC地址与端口的对应表，以中兴2826S交换机为例，该表如图1。这样局域网内同个网段的交换机能够通过这张表找到相应的MAC地址所在的端口。
　　
　　图1
　　如果以太网的PC机不在网个网段，由于二层广播包无法穿越三层，所以在汇聚层三层交换机中会将MAC地址对应上IP地址，形成ARP地址表，以方便使用三层路由协议进行路由。如图2。
　　
　　以太网正是采用这种一一对应的方式，让互联网的计算机中能够寻找到其位置，并进行数据传输。MAC地址和IP地址的组合就有如家里的门牌号，让数据如信件一样能找到对应的门户传输到位。
　　1.2 ARP病毒的攻击方式
　　根据以上的介绍，我们知道了ARP协议在数据传输中的重要性，值得注意的是，MAC地址虽然是唯一并且固化，但没有任何加密方式，采用明文传输，可在传输过程中被修改，且二层交换机的地址表是可以学习变化的缓存。这就是ARP协议中的安全漏洞，一旦地址在传输过程中被篡改，那么直接造成数据的目的地发生改变，可以利用此获得他人数据，严重的可让他人数据无法传输。
　　利用以上漏洞，在校园网计算机实验室中最常见的ARP病毒攻击方式主要集中在地址欺骗，而地址欺骗分为两种，一种是对ARP表进行欺骗；另一种是对局域网中的PC机进行网关欺骗。
　　第一种ARP的欺骗原理是截获网关数据。它利用感染病毒的PC机对三层交换机或路由器通知一系列错误的或者不存在的局域网MAC地址，并按照一定的频率进行，使真实的地址信息无法通过更新保存在ARP地址表，造成正常的PC机无法收到信息。
　　第二种ARP欺骗原理是网关欺骗。受欺骗的对象是PC机而不是网关，所有基于TCP/IP协议的以太网架构中的PC机都有一个网关IP地址，该网关地址对应着固定的MAC地址，在需要数据发送或者接入时，都首先从该网关发送出去或接入。而此种欺骗方式正是利用感染病毒的PC机本身修改了自己的网关MAC地址，这样一来可以让受病毒感染的计算机成为傀儡，数据将首先发送至不可信的地址，或者直接无法发送。
　　除了以上两种主要的攻击方式外，近年来，也偶有发现新型的ARP病毒采用非欺骗方式阻塞网络，其原理利用病毒首先扩散传染局域网内的PC机，然后在某一固定时段采用广播方式不停向交换机请求寻址，使到全网段的PC机同时向网关发出巨量寻址请求，使得网关交换机或者路由的硬件资源耗尽而断网。
　　 2 ARP病毒的防御方式
　　多年来，针对以上的ARP病毒攻击方式实验室管理员也采用了各种方法进行防御，常见的方法有：
　　最常见的方法是在PC端安装各种ARP病毒防治软件，这对于一些对网络技术太了解的管理员是较方便的方法。其原理多是首先寻找病毒特征码杀灭病毒，然后利用互联网数据的转发查找真正的网关，然后通过静态绑定网关的方式进行病毒抵御。该方式在初期还是比较有效的，但是随着后来ARP病毒的变种，这种个人版的病毒库的更新往往跟不上病毒的更新速度，从而起不到杀灭的作用。而有一些ARP病毒所欺骗的MAC地址也是能够作为网关出互联网的“假网关”，其目的在于捕获染病毒计算机的数据。此种类型的病毒，ARP病毒防治软件起不到作用。还有一些ARP病毒与病毒防治软件抢“优先权”，防毒软件可能五分钟检查一次网关的正确性，但是病毒每秒钟就欺骗数百次，防毒软件在不能找到病毒本体时，往往对该进病毒束手无策。因为这种病毒会高占用系统资源，而防毒软件的设计对资源的占用是有一定限度的。
　　第二种是手工绑定网关。对于大多数实验室使用的多数是WINDOWS系统，WINDOWS系统中采用arp–s命令可以静态绑定网关，对于大量PC机的实验室，这无疑增加了实验室管理员的工作量。近年来也有利用各种文件分发工具，在服务端对PC端自动分发带有arp -s批处理文件，将该处理文件放至启动文件夹，达到启动绑定静态网关的作用。此种方式一定程度防止了本地PC机的ARP网关欺骗，但是对于阻塞网络的病毒，欺骗三层交换机或路由的病毒仍然起不到作用。
　　第三种方式是做“交换机端口—MAC地址—IP地址”三绑定，并起用了二层交换机的端口隔离功能。这种方式的原理就是将实验室局域网内所有PC机三个代表特征全部进行绑定，每一个端口对应一个MAC地址，每个MAC地址对应一个IP地址。如此一来，病毒便无法进行欺骗同。由于采用了端口隔离功能，病毒也无法在内网进行广播式传播。此种方式无疑是最有效的防御方式。但我们也自然会想到，该种方式在少量PC机下是很容易实现的，但如果PC机的数量特别多则需要巨大的人工工作量，且端口隔离功能也使局域网内的资源共享功能完全丧失，常用的系统网络克隆也无法进行。结合实验室管理的实际情况，该种方式虽有效但采用的人极少。
　　第四种方式是近年来由设备厂家研发的DHCP Snooping技术。由于现在小型家用路由的泛滥使用，导致一些不懂网络技术的用户，将小型家用路由器错接驳到大型局域网中当交换机使用的形象频频发生。这些错接进大型局域网的路由器在局域网内非法分发IP地址，给网络管理员带来了无尽的烦恼。早期DHCP Snooping技术的设计正是为了防范局域网内的非法DHCP服务器，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。随着DHCP Snooping技术的广泛使用，网络管理员发现该技术的绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID接口等信息，与防御ARP病毒的最有效方法类似。当交换机开启了DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。目前该技术与交换机的DAI配合，非常有效地防止了ARP病毒的传播，同时也不会给实验室管理员带来多大的工作压力，对实验室的正常网络使用也没有任任何影响。此种方式可以说是目前防御ARP病毒的最有效方法，但其缺点在于所有接入设备必须都是可网管并且支持DHCP Snooping功能的交换设备，对于大规模的实验室，其建设成本也是相对较大的。
　　 3结束语
　　通过以上分析，我们了解到ARP病毒的几种攻击方式和危害。结合各种计算机实验室的不同实际情况，我们应该权衡利弊，采用不同的应对防御方式，将ARP病毒的危害减少到最小程度。
　　参考文献：
　　[1]王湘渝,邱春荣.基于ARP攻击与防范课程实验设计[J].实验室研究与探索,2009(5).
　　[2]李俊民,郭艳丽.网络安全与黑客安全宝典[M].北京:电子工业出版社,2010.
　　[3]葛玮,谢坚,刘斌.基于终端的计算机网络防御体系技术小析[J].江西电力职业技术学院学报,2011(1).