校园网ARP欺骗攻击及其防范研究.docVIP

校园网ARP欺骗攻击及其防范研究 摘要 校园网是一种不通于企业网的网络架构，企业网主要是80/20的网络架构模型，更注重内部各节点之间的数据交流。而校园网则更加注重20/80规则设计，与互联网的流量通信更加频繁，面对的风险更大。本文主要通过4个方面来揭示校园网的ARP攻击，及其造成的危害：校园网络拓扑及流量分析， ARP协议详解，ARP攻击原理分析及渗透测试， ARP攻击防御原理分析及虚拟环境模拟。ARP防御实验网络攻击的实施是利用人们安全意识的缺失，网络工作人员的不正当操作及协议，服务中存在的固有漏洞实施的会对局域网造成一定损害的行为。前两者可以通过后来的培训来进行弥补，而后者只能通过后来的软件或者硬件产品来进行弥补。本文正式通过分析ARP中存在的固有缺陷，对现在厂商主流的安全解决方案进行研究。本文通过是试验环境现象的模拟，使ARP协议的缺陷表现更加直观，同时通过使用相关的策略进行抵御，使现象表现得更加明显。 关键字 协议分析，校园网，ARP欺骗，ARP防御 目录 前言 校园网拓扑及流量分析 在企业园区网的架构中，企业的流量主要属于内部流量，因为企业的网络主要是为了满足在上班工作时各个部门之间的信息交流，及企业员工访问公司的内部服务器，与外部公网的交流并不是太频繁的，流量较少,因此为了满足这种网络需求的架构模式属于80/20的网络架构模型。所以很多企业为了保障企业的内部各个部门和对外服务器的安全，会选择在企业内网与公网之间架设一道防火前来抵御外部的攻击。 而校园网是一个以人、人与人的关系网络和应用产品为核心，通过认证、授权与开放接口进行有机融合，形成的一个庞大综合社区服务平台。现在学生的的网络生活越来越丰富，类似于网络购物，资料查询，网络娱乐等网络活动使得校园网与外部的联系越来越多，这就导致校园网与公网之间的网络流量会变得很大。为了满足这种网络需求的网络架构则要选择20/80的网络架构模型。 这种网络架构模型的特点就在于与公网的流量非常的大，带宽需求高。而现在市场上的类似与防火墙、IPS、IDS等硬件安全产品是无法在这样巨大的网络流量下进行网络安全监控和防范的。 图（1） 如图（1），为某大学的网络架构，从图中我们可以看到在防火墙和IDS只是部署在服务器前面的，用于监控和抵挡黑客对校园网服务器发起的攻击，而在其他的地方是没有部署网络安全设备的。全网通过NAT技术与外网相联，不同校区之间可以通过GRE封装的IPSecVPN进行互联，由于本拓扑中未能反映出不同私网站点之间的互联，在此不作讨论。 由于采用了NAT技术，外网是无法直接与内网互联的，外部主机只能访问内外对外开放的服务器。因此，可以很好的抵御外部的攻击，由于内网是没有任何安全设备的，所以对于内部网络的攻击几乎是无法抵御的。倘若黑客通过内部主机对内部的某台设备发动攻击，使内部的某台交换机或路由器被毒化，就可以很轻松的获得用户的很多未进行加密的通信流量，窃取数据，对用户造成未知的损失。 ARP详解 1.ARP报文分析 图（2） 如图（2）所示，ARP报文是封装在二层帧中进行传输的，作者认为在OSI的七层模型中，二层和七层是最为危险的。第七层由于用户的不正当操作，以及系统的漏洞容易导致主机被攻击。而在二层，它不像在第三层或是第四层有很多的安全措施，尽管这些措施有很多是有漏洞的，但是他们还是有效的抵御了部分的网络攻击。在二层的安全措施有L2TP的隧道加密技术等等，但这种技术用在校园网中很显然是不合理的而且这种技术也是无法抵御ARP攻击的。 ARP报文首部有很多可选项用来定义不同的硬件地址和逻辑地址，在此我们只考虑以太网和IPv4，包括： 硬件类型：2个字节，用来定义运行ARP的网络类型。每一种局域网类型会浙派一个整数。以太网是1。 协议类型：2个字节，用来定义使用的协议。对于IPv4而言是080016。 硬件地址长度：1个字节，用来定义物理地址的长度，以字节为单位。以太网是6。 协议地址长度：1个字节，用来定义逻辑地址长度，以字节为单位。IPv4是4。 OP码：即操作码，2个字节，用来定义分组类型。ARP请求（1），ARP回答（2）。 发送者的硬件地址：这是一个可变长度的字段，用来定义发送方的物理地址。对于以太网而言是6个字节。 发送者的IP地址：这是一个可变长度的字段，用来定义发送方的逻辑地址。对于IPv4协议而言是4个字节。 目标硬件地址：这是一个可变长度的字段，用来定义发送方的物理地址。对于以太网而言是6个字节。 目标IP地址：这是一个可变长度的字段，用来定义接收方的逻辑地址。对于IPv4协议而言是4个字节 2.ARP工作过