针对校园网ARP攻击的主动防护方案.pdfVIP

第 37卷 第 5期 计 算 机 工 程 2011年 3月 March 2011 、，0137 NO．5 ComputerEngineering · 安全技术 · 文章编号：1OO0—3428(20l1)05—0l81—03 文献标识码：A 中图分类号：TP309．2 针对校 园网ARP攻击的主动防护方案 郭 征，吴向前，刘胜全 (新疆大学现代教育技术中心，乌鲁木齐 830046) 摘 要：针对校园网中频繁发作的ARP协议欺骗攻击，提出一种主动防护方案。通过对ARP攻击的原理和方法进行分析，实现与校园网 身份认证系统联动实时定位主机攻击、强制对接入用户隔离的主动防护。实践结果表明，该方案通用性强，可有效抵御多数 ARP攻击， 降低网络管理难度，提高网络运行水 。 关键词 ：地址解析协议；简单网络管理协议；Telnet协议；Radius服务 ActiveProtectionSchemeAgainstARPAttackinCampusNetwork GUo Zheng，W U Xiang-qian，LIU Sheng-quan (ModernEducationTechnologyCenter,Xi@angUniversity,Urumqi830046，China) [Abstract]AimingatthedeceiveattackofARPprotocolincampusnetwork，thispaperproposesanactiveprotectionscheme．Itanalysesmethod andprincipleofARPattackandrealizesthelocationofattackwithID authenticationsystem andactiveprotectionforcetoisolateusers．Application resultshowsthattheschemecanbeagainstmostARPattack，reducethedifficultyofnetwork managementanddecreasethelevelofnetwork running． |Keywords]AddressResolutionProlocol(ARP)；SimpleNetworkManagementProtocol(SNMP)；Telnetprotocol；Radiusservice DOh1O．3969~．issn．1000—3428．2011．05061 1 概述 有权发送 ARP应答包，而且没有对接收到的 ARP应答包进 目前校园网普遍采用星型结构(核心交换机+汇聚交换 行安全验证 ，即无条件接收ARP应答包，随后将其插入到 自 机+接入交换机)构建，通过 VLAN将整网划分若干子网，使 己的ARP地址转换表中。该协议是建立在主机问的通信是相 用802．1x协议实现接入认证，配置Radius计费认证系统进行 互信任的基础之上的，这个问题导致的后果是攻击者可以伪 管理校园网用户。这样的优点是简单、易于实现、易于管理， 装 ARP应答 ，与请求主机进行竞争，还可以判断同 VLAN 但在安全方面存在很大缺陷，其中，每个VLAN中的地址解 中 MAC地址缓存刷新时间，以确保最大时问限度地进行 析协议(AddressResolutionProtocol，ARP)ARP攻击 问题是最 攻击。 大的安全威胁。 2．2 ARP攻击的主要方式 利用ARP欺骗，攻击者可实施拒绝服务攻击(DOS)或中 ARP攻击方式一般分为欺骗主机和欺骗网关