针对校园网中ARP欺骗的防御技术手段研究.docVIP

针对校园网中ARP欺骗的防御技术手段研究 摘 要：ARP欺骗攻击是校园网中最为常见的攻击方式之一。本文首先对ARP欺骗攻击实现原理、攻击方式、造成的影响等内容进行了介绍，然后重点对几种有效的、可防止ARP欺骗攻击的安全防护技术进行了研究和分析。 关键词：ARP欺骗；校园网 校园网网络环境复杂，用户数据交换频繁，用户安全防范意识参差不齐，这些因素极易导致校园局域网中出现网络故障。ARP欺骗是一种常见的校园网网络攻击方式，其利用ARP协议本身缓存更新这一协议缺陷来向网络用户发送大量的报文信息，阻碍其他正常用户的网络通信。 1 ARP欺骗攻击手段极其对校园网的影响分析 校园网内的用户进行通信时首先需要将用户的IP地址对应的转换为MAC地址才能够在两者之间建立通信链路进行数据通信，这一过程需要使用ARP协议来完成。ARP欺骗即利用该协议缺陷不断向网络内其他用户发送伪造的ARP应答包来扰乱其他用户的缓存表，进而达到对用户监听或攻击的目的。 校园网的网络环境开放性高，管理相对宽松，学生用户数大，但是安全意识参差不齐，一旦出现ARP欺骗攻击，会对校园网带来非常大的安全隐患。目前校园网常见的ARP欺骗攻击方式主要体现在以下几个方面。 ⑴对其他主机用户进行通信监听和数据包篡改。ARP协议是校园网所使用的通信协议之一，其不是病毒，因而安全防护软件不会对其进行查杀。利用这一特点，感染ARP欺骗程序的用户主机会不断的向校园网内其他用户主机发送相应的ARP协议，通过该协议其可以监听到其他用户的通信数据，更为严重的是，ARP欺骗病毒还有可能对所监听到的数据包进行非法篡改，在其中添加恶意网址等信息。 ⑵冒充主机，阻碍其他用户的网络访问。ARP欺骗攻击病毒会在局域网内伪造一台虚假的主机，同时频繁在局域网内对其IP地址与MAC地址进行广播。 ⑶数据截取。ARP欺骗攻击还有可能将被感染主机插入两台正常主机的通信链路之间，正常主机之间的通信需要通过被感染主机的转发才能实现。当目标主机是DHCP服务器时，被感染主机就有可能将正常用户引导到钓鱼网站，从而窃取用户的重要账号资料。 2 ARP欺骗防御技术 综合考虑校园网的网络特点，可以通过配置路由交换设备等从根本上消除ARP欺骗攻击对网络用户的影响。 2.1 双向静态映射 校园网通常是由多个层次构成的，在可控的层级内为路由设备建立静态MAC地址映射并对其进行手动维护可以有效防止ARP欺骗攻击所带来的ARP缓存表动态更新状况的发生。鉴于ARP攻击的目标分为路由和目标主机两种，故静态IP-MAC地址映射也分为两种。但是实际执行过程中静态映射的设置需要同时修改目标主机、网关以及路由器管理页面的IP-MAC等三部分内容。需要注意的是，双向静态映射建立完毕后，网络管理相关人员需要按照校园网使用情况对ARP缓存进行定期检查和更新。 2.2 VLAN和端口隔离技术 校园网中的网络通信分为网内通信、网外通信两种，为满足用户的网络通信需求同时降低ARP欺骗攻击风险，可在网络交换设备中部署VLAN技术。该技术可以将校园网内的用户主机分成多个小的局域网段，网段内用户可以进行自由通信，网段间用户不能直接通信，这样ARP攻击风险就被限制在可控范围，某一网段的ARP欺骗攻击不会影响到其他网段用户。 进一步的，在网段间通信时可以使用端口隔离技术，该技术既可以保证用户通过VLAN端口与外网通信，还能够将用户主机端口的广播限制在其所在的VLAN内，避免不同VLAN之间的相互探测，进而阻止ARP欺骗攻击行为的出现。 2.3 DHCPSnooping技术 为便于使用，某些学校或某些环境下的网络用户IP地址是由DHCP服务器动态分配的，这种情况下就无法使用IP-MAC双向静态映射的方式来防御ARP欺骗攻击。此时可以使用DHCPSnooping技术来增强校园网的网络安全性能，避免ARP攻击造成的大范围网络故障出现。 该技术会在DHCP服务器中建立一个DHCPSnooping绑定表，表中将用户相关信息分为可信区域和不可信区域。其中可信区域包含了DHCP服务器为信任主机分配的IP地址及其MAC地址。在网络内用户发送ARP报文时，交换机等设备会对报文中的IP地址和MAC地址进行匹配检查，只有通过检查的主机信息才能够被发送出去。未通过检查的用户相关信息会被记录到不可信区域进行记录和管理。 3 校园网用户防ARP欺骗攻击 为提升校园网的安全性能，避免ARP欺骗攻击对用户带来安全威胁，在用户端也应该采取必要的安全防护措施。具体来说，用户应该对系统和应用程序等进行定期检测与漏洞修复，提升操作系统本身的安全性能。同时用户还可以安装ARP防火墙、病毒防护等软件。 4 总结 ARP欺骗攻击是校园网内最为常见的攻击方式之一。鉴于ARP协议本身存在缺陷，故针对ARP的欺骗攻击是无法避免