园区网络ARP防范研究_网络金融风险及其防范研究

　　【摘要】 ARP攻击是园区网络安全中经常会遇到的棘手问题,攻击者会对被欺骗的主机的数据进行窃取,也可以通过对网络进行破坏,使整个网络发生断网。在实际园区的网络建设中,带来了很大的危害。因此,必须针对这种攻击采取必要的防范措施。文章介绍了园区ARP攻击的原理和常见类型,并且提出了解决该问题的方案。
　　【关键词】 园区ARP攻击 类型 解决方案
　　【中图分类号】 G40-03 【文献标识码】A 【文章编号】 1006-5962(2012)04(a)-0182-01
　　引言
　　很多园区网由于受到ARP攻击,使用户的正常上网受到了严重影响,造成园区用户无法正常访问外部网络。由于ARP病毒木马的清理十分困难,管理员在防范和应对上存在很大困难。因此了解其攻击的原理和防御方法是很重要的,笔者结合自身经验,对该问题进行了简要分析。
　　1 ARP攻击的原理和判断
　　ARP为地址解析协议的英文缩略,是TCP/IP的底层协议,其作用是将计算机的IP地址解析成其所对应的MAC地址。当ARP应答数据包传送到计算机后,计算机开始对本地的ARP缓存进行更新,但是,由于ARP本身存在的缺陷,计算机如果遭遇到伪造的ARP请求,一会对自身的ARP缓存进行更新,从而导致网络出现问题。例如,在某局域网中,分别有三台计算机A、B、C,它们的IP地址分别为:
　　A:IP:192.168.1.1;MAC:00-3A-D0-48-DF-A3
　　B:IP:192.168.1.12;MAC:00-3A-D0-48-DF-D9
　　C:IP:192.168.1.23;MAC:00-3A-D0-48-DF-B8
　　假设正常情况下,A和C在进行正常联系,但是B向A发送了一个伪造的ARP应答,在这个应答的数据中,B伪造了一个和C完全相同的IP地址,MAC地址仍为其原来的地址,当A接受到B伪造的ARP应答后,就会修改计算机的ARP缓存信息,这时,B伪装成C,A就成功地被B所欺骗了。这是简单的ARP欺骗原理。当发生ARP攻击时,用户可以通过对计算机网络进行查看来辨认攻击,即在网络正常的情况下,计算机的网速不稳定,时快时慢,这可能就是计算机遭到了ARP攻击的现象。此外,如果计算机出现频繁掉网,但是在重启之后,网络又恢复正常,则表明计算机遭到了ARP攻击。
　　以上过程是ARP攻击的一个简单范例,网络攻击者在进行ARP网络攻击时,通常会采用的方式是对IP地址和MAC地址进行伪造,从而对攻击目标进行欺骗。被攻击的网络会接受到大量的ARP通讯数据,造成网络拥堵。攻击者通过频繁发送数据,改变了网络中IP地址和MAC地址的对应关系,导致网络发生中断。在园区内,如果有一台电脑遭到了ARP攻击,那么整个园区的其他主机也会感染上ARP病毒,从而造成网络通讯故障的发生。
　　2 ARP的攻击类型
　　在园区中,ARP攻击的类型一般分为3种,即网关欺骗、协议报文欺骗和ARP报头欺骗。
　　(1)所谓网关欺骗,就是在网络中,攻击者通过伪造ARPrequest/reply的报文的方式,将报文的IP地址变为网关的IP地址,但是源MAC地址不是网管的MAC地址,而是攻击发起者的网关地址。通过这样的欺骗,导致被攻击者的电脑自动修改ARP缓存,从而发生错误的对应关系。
　　(2)协议报文欺骗,就是通过伪造ARPrequest/reply报文,在报文的源IP地址或者MAC地址中的字段中加入非法IP地址或非法的MAC地址,导致其他计算机自动更新ARP缓存,从而导致对应关系发生错误。
　　(3)ARP报头欺骗,就是攻击者伪造了ARP报头,将网管MAC地址加入到数据帧中源MAC地址中,使交换机MAC地址发生错误映射,难以正常转发数据帧,并大量发送广播报文,形成网络通道拥挤。
　　(4)Dos:这种攻击手段是以ARP攻击为基础而产生的新的攻击方式,又叫做拒绝服务攻击。它的攻击原理是通过向园区某一台计算机发送出大量的连接请求,造成主机无法对其进行处理,最终使得主机拒绝为用户进行服务。
　　3 ARP攻击的防范
　　3.1 ARP静态绑定
　　用户可以通过使用对主机进行静态绑定的方式来防止其受到其他计算机网管的欺骗。当计算机用户上线后,SMP会将该用户的IP和MAC地址进行确定,并由ＳＵ来进行静态绑定,然后ＳＵ会定时对静态绑定状态进行检测,如果绑定被更改了,ＳＵ就会再次进行绑定,从而防止木马和病毒来对其进行ARP攻击。而当用户下线时,计算机则会自动将ARP的静态绑定进行解除。
　　为了防止主机冒充其他主机来进行欺骗性攻击,当用户上线后,用户的网关信息会被进行传递,根据此信息,ＳＭＰ会在网关上将主机的IP地址和MAC地址进行静态绑定。这种方式联同ARP静态绑定一起使用,可以达到双绑定的效果。通过主机的静态ＡＲＰ绑定和网关的可信任ARP绑定可以有效的预防ARP欺骗。
　　3.2 VLAN端口隔离技术
　　在园区中,网络管理员可以通过制作网络拓扑图,来划出几个ＶＬＡＮ,当用户的计算机感染了ARP病毒后,就可以通过查到该计算机的交换机端口,将其单独归入一个ＶＬＡＮ中,使其与外界发生隔离,以免其对其他用户产生影响。隔离技术的有效应用能够达到ARP的攻击问题,对于整个网络的安全运行也是非常有用的。因此,对于VLAN端口隔离技术的应用应该给予足够的重视,从而能够有效地阻止ARP攻击的现象。
　　4 结束语
　　因为ARP本身具有缺陷,不法用户利用专门的工具,对园区网络进行ARP攻击已经成为了园区网络安全的防范重点。因此,在对ARP攻击进行防范时,首先得了解其进行欺骗的原理,同时,网络管理员要针对ARP攻击建立起一套良好的防御性措施,关注这方面的新信息和新技术,保证园区网络安全运行。园区网络安全与规范需要管理员以及用户之间的相互努力,实现园区的网络健康,保证上网安全。
　　参考文献
　　[1]邓清华,陈松乔.ARP欺骗攻击及其防范[J].微机发展,2004(8):126～128.
　　[2] 张海燕,ARP漏洞及其防范技术[J].网络安全,2005(4):40～42.
　　[3] 徐功文、陈曙,ARP协议攻击原理及其防范措施[J],网络与信息安全,2005(1):4～6.
　　[4] 苗恺、周轲,ARP协议简介及ARP木马防治[J],河南机电高等专科学校学报[J],2006(6):32～33.