浅谈无线校园网络ARP欺骗防范.docVIP

浅谈无线校园网络ARP欺骗防范摘要：ARP欺骗攻击在有线校园网时期曾对各高校造成了很大的影响，而随着数字化校园建设项目的进一步展开，无线网络的优势使得各高校在日常教学、科研、管理等方面享受到了前所未有的便捷，因而对无线校园网的依赖程度正逐步加深。这期间，ARP欺骗攻击同样也对无线校园网造成了一定程度的危害。本文在分析了ARP欺骗原理的基础上，针对无线校园网的ARP欺骗防范措施提出了一些建议。 关键词：无线；校园网；ARP欺骗 中图分类号：TP393.18 文献标识码：A文章编号：1007-9599(2012)05-0000-02 在有线校园网大面积普及时期，ARP欺骗攻击一度成为影响校园网稳定运行的主要风险之一，可谓是谈及色变――轻则影响正常的工作秩序，重则导致整个网络陷入瘫痪，给日常教学、训练和管理带来了巨大的损失。随着我国教育行业信息化工作的逐步深入以及数字化校园建设项目的进一步展开，无线校园网以其独有的特点和优势正逐步被各高校所接受。依托无线通信网络,学校的教学、科研、管理和服务等各项业务变得越来越便捷,教学模式变得越来越人性化，各级人员对无线网络的倚赖程度也变得越来越高。虽然无线网络的安全性在某些方面要高于有线网络，但还是面临着不少的安全威胁，这其中ARP欺骗攻击仍旧是危害性较大的威胁之一，也是网管人员在管理无线校园网过程中比较头疼的问题。 一、无线校园网的优势及面临的安全问题 相对于有线校园网络，无线技术“自由”、“灵活”的特点在校园网应用中体现的淋漓尽致。无线校园网一方面为师生们带来了更人性化、更灵活高效的工作、教学和学习体验；另一方面也迎合了教育信息化的发展趋势，持续推动了校园文化迈向更深一步的变革。目前，无线校园网已成为提升教学环境质量、提高教育信息资源利用率、增加教学方法灵活性的重要方式，其优势如下： （一）信号覆盖全面 有线校园网目前存在许多“网络盲点”，如会议室、图书馆、操场、体育馆等一些不宜布线的场所。通过合理布置无线网络接入点，可使无线网络信号覆盖整个校园，且由于不再受到有线介质的限制，学校方面也能更方便地配置各类教学场地，真正实现数字化校园的功能。 （二）扩展灵活，成本较低 对于有线校园网来说，位置变更或拓扑结构改变通常意味着重新布线建网，这是一项耗时耗力耗资金的工程。使用无线接入技术，可在临时性位置和一些物理布线困难的地方从容扩展网络，使用户不再受到线路的限制。同时，由于WLAN技术本身就是面向数据通信领域的IP传输技术，因此能够直接与已建成的有线校园网高度集成，从体系结构上节省了协议转换器等相关设备，而且还能使学校已有投资和信息资源不被浪费。 （三）维护方便，管理高效 有线校园网的检测维护是非常繁琐的，当遇到某条线路出现物理断路，维护人员很难快速地查到断裂点，通常只有整条线路更换，维护成本较高。而采用无线接入方式，则容易许多，维护人员只需检测出现故障的无线接入点设备即可。另外，无线校园网的管理维护与有线校园网并无太大不同，完全可根据已有规则稍作修改来进行管理。 当然，无线校园网的便利也给其带来了不少的安全隐患，具体问题包括：WEP破解（易于侵入）、 物理地址欺骗（ARP欺骗攻击）、非法AP、流量分析与侦听、信号干扰（使用同频率的干扰信号扰乱无线网络的正常运行）、未经授权使用服务（占带宽）等等，本文重点分析无线校园网对ARP欺骗攻击的防范措施。 二、基于网络管理端的防范策略 对于无线校园网中的ARP欺骗攻击，应以预防为主，网管人员应采用如下几种方法： （一）网关的ARP绑定。根据ARP欺骗攻击的原理我们可知道其攻击的对象有两类――网络网关和用户端计算机，因此ARP绑定也分为网关ARP表的绑定和用户端本地ARP表的绑定，这称为ARP双向绑定。如果只单一的将路由器的ARP表绑定了而没有将用户端的ARP表绑定，无线校园网内用户端被恶意修改ARP表后就不会把数据包发送到网关上，而是发送到一个错误的MAC地址上，这样就会造成网关无法访问或网络堵塞。这里先说明网关的ARP绑定。在无线校园网中，无线AP端一般有两种连接方式：一是以有线介质与有线校园网连接；二是以客户端模式（AP Client）与其他AP连接。因此，我们应主要在与无线AP相连的有线网关处进行绑定，即在网关处绑定各用户终端的“IP-MAC地址映射”或绑定“交换机端口-MAC地址映射”（有的网关设备还能提供IP地址、MAC地址和交换机端口的同时绑定）。 （二）运用VLAN划分技术。VLAN技术增加了广播域的数量，减少了广播域的范围，使得广播信息只在本VLAN中传播，无线网络在校园的有效带宽得到增加，网络性能得到提高。即使出现ARP欺骗攻击，也可将影响控制在