[使用绑定技术实现校园网ARP病毒的防治]校园网病毒
摘要 随着网络应用的日渐广泛,网络病毒和攻击形式也日趋多样,校园网的安全问题日益突出,近几年,ARP病毒的防治一直是网络管理人员研究和探讨的问题。高校校园网由于规模大,主机多,用户群活跃,局域网内部通信多,极易产生ARP病毒,其造成的危害很大。本文分析了ARP病毒的攻击原理以及绑定技术的原理,从而提出了通过对IP地址、MAC地址和交换机端口三者进行绑定来实现对ARP病毒的防治,并以华三和思科的设备为例具体介绍了绑定的配置过程。
关键词 ARP;绑定;监听;检测
中图分类号TP39 文献标识码A 文章编号 1674-6708(2011)34-0174-02
0 引言
校园网是学校数字化校园建设的主体,随着校园网规模的不断扩大,资源的不断增多,网上应用的日益丰富,广大师生对网络的依赖程度越来越高,因此,校园网的安全建设非常重要。由于网络的开放性及高校校园网自身的一些特点,使得网络的管理较为复杂,校园网面临着许多安全隐患,经常会遭到一些恶意攻击。其中,利用ARP协议的漏洞对校园网进行攻击是近几年最常见的一种方式,其造成的影响和危害都比较严重,病毒爆发时,会导致网速变慢,局域网内PC大面积掉线,网络通信瘫痪。ARP病毒不同于其他病毒,它的攻击是基于基础网络协议的天然缺陷,所以其防治也比较困难,单靠传统的杀毒软件和防火墙是不能根治的。这就需要网络管理人员采取积极有效的措施做到预防为主,防治结合。
1 ARP协议及ARP病毒
1.1 什么是ARP[1]
ARP是“Address Resolution Protocol”(地址解析协议)的缩写,ARP是处于数据链路层的网络通信协议,在本层和硬件接口联系,并对上层提供服务。ARP协议的基本功能就是将目标设备的IP地址转换为MAC地址,以保证通信的顺利进行。
1.2 什么是ARP欺骗
通过伪造IP地址和MAC地址实现ARP欺骗,导致数据包不能发到正确的MAC地址上去,会在网络中产生大量的ARP通信量使网络阻塞,从而导致网络无法进行正常的通信。从影响网络连通的方式来看,ARP欺骗分为两种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息;第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发送数据,而不是通过正常的路由器途径上网。在PC看来,就是网络频繁掉线。
1.3 ARP病毒
ARP地址欺骗类病毒(简称ARP病毒)是一类特殊的病毒,其使用ARP欺骗的原理,取得受害主机的信任后,再将病毒或木马传播给受害主机,由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害比一般的蠕虫病毒还要严重得多。
2 绑定技术介绍
2.1 IP地址、MAC地址和交换机端口的绑定[2]
为了防止IP地址被盗用,通过简单的交换机端口绑定(端口的MAC表使用静态表项),可以在每个交换机端口连接指定的主机的情况下防止修改MAC地址的盗用。如果是可网管交换机还可以提供:IP地址、MAC地址和交换机端口三者的绑定。在交换机上配置了三者的绑定功能以后,交换机会检查每个数据包的源IP地址和MAC地址,对于没有在交换机内记录的IP和MAC地址的计算机所发出的数据包都会被交换机所阻止,这样可以有效的防止ARP病毒的攻击,也有效地防止了内部网络某些人出于某些目的擅自修改自己计算机IP、MAC地址或者交换机端口号的行为。绑定分静态和动态两种:静态绑定是手工用命令在交换机端口上输入IP与MAC的对应关系表配置绑定,动态绑定是指通过配置命令在计算机上网的过程中绑定,断网后自动解除。
2.2 DHCP监听和ARP检测技术[3]
DHCP监听(DHCP Snooping)技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。当在交换机上开启DHCP Snooping以后,交换机会对DHCP报文进行侦听,并从接收到的请求或回应报文中提取记录并生成IP和MAC的绑定表。另外,DHCP Snooping允许将某个物理端口设置为信任端口或不信任端口。受信任的端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这就确保了客户端从合法的DHCP Server获取IP地址,起到防止非法DHCP服务器的作用。DHCP Snooping与ARP检测相配合,可以防止ARP病毒的传播。
ARP检测(ARP inspection或 ARP detection)技术是用来检测非法的ARP请求的。它的工作是基于DHCP Snooping生成的绑定表的,只有IP与MAC都符合表中的绑定条目时,才能被交换机正确的转发。因为那个表是DHCP Server正常回应时建立起来的,里面包括是正确的ARP信息。如果这个时候有ARP攻击,利用ARP检测技术就可以拦截这个非法的ARP数据包。对于部分端口可以设置为可信任端口,对该端口不进行ARP检测。
3 绑定的具体配置
通过对绑定技术的研究,如果在交换机上进行配置,将IP地址、MAC地址和交换机端口三者进行绑定,可以有效防止ARP欺骗和攻击。根据校园网的特点,依笔者实际经验,将校园网根据功能和服务范围划分成两大区域,即教学办公区和宿舍区,每个区域内部划分成许多VLAN,然后对两个区域分别采取不同的绑定措施。对于教学办公区,主机上网地点相对固定,IP地址也由网管人员统一分配,因此采取地址静态绑定的方式;对于宿舍区,主机流动性强,IP地址都是自动获取的方式,故而采取地址动态绑定的策略。图一是办公区及宿舍区的网络拓扑示意图,各区域均是核心层――汇聚层――接入层的三层模式。接入层设备均为可网管的,因此,直接在接入层设备上进行绑定配置。
图1网络拓扑示意图
3.1 办公区静态绑定的配置
如图1所示,教学办公区以H3C的E126A为例。假设接入该设备的用户所属VLAN号为11。具体配置如下:
[E126A-vlan11]arp detection enable
/* 进入接入用户所属的VLAN,开启ARP检测功能
[E126A-Ethernet1/0/1]ip source static binding ip-address X.X.X.X mac-address xxxx-xxxx-xxxx
/* 将IP与MAC绑定在相应的接入端口上,同一端口可绑定多条记录
[E126A-GigabitEthernet1/1/1]arp detection trust
/* 将上联的trunk口设为ARP检测可信任的端口
3.2 宿舍区动态绑定的配置
如图一所示,宿舍区以CISCO的C2960为例。假设接入该设备的用户所属VLAN号为21。具体配置如下:
C2960(config)#ip dhcp snooping
/* 启用dhcp snooping
C2960(config)#ip dhcp snooping vlan 21
/* 设定DHCP snooping作用的VLAN
C2960(config)#ip arp inspection vlan 21
/* 定义ARP检测作用的VLAN
C2960(config)#ip arp inspection validate src-mac dst-mac ip
/* 侦测有效客户端须满足src-mac、dst-mac、ip均无错
C2960(config-if)# ip arp inspection limit rate 100
/* 对access接入口设置每秒的ARP报文数量,超过100会被errdisable
C2960(config-if)#ip dhcp snooping trust
C2960(config-if)#ip arp inspection trust
/* 对上联的trunk口设为DHCP可信任端口,不作ARP检测,端口默认为非信任
4 结论
校园网在教学办公区实行地址静态绑定、在宿舍区实行地址动态绑定的策略后,从根源上杜绝了ARP病毒在校园网内的攻击,同时还解决了原办公区存在的私设IP地址造成网络用户之间IP地址冲突的问题。但是保障网络的安全还需要用户提高防范意识,注意经常升级操作系统、安装补丁,更新防病毒软件及防火墙,和网络管理人员共同努力才能营造良好的校园网络环境。
参考文献
[1]雷建峰.使用双绑定技术解决校园网内的arp欺骗[J].科教文汇,2008,24:279-279.
[2]陶洪建.浅谈IP地址的管理及IP、MAC的绑定[J].科学咨询,2010,13:79-79,123.
[3]利用CISCO交换机完美解决ARP威胁[EB/OL].https://www.省略/show.asp?id=1924,2010-01-05.
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文