一种Web认证防ARP欺骗方法.docVIP

一种Web认证防ARP欺骗的方法 　　摘要：该文主要介绍WEB认证场景下的ARP欺骗技术，提出了一种认证过程中解决ARP欺骗的技术，解决了认证前ARP欺骗无法抵御的问题。 　　关键词： WEB认证；ARP欺骗；TCP窥探 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2018）13-0106-03 　　1背景 　　WEB认证 　　Web认证是一种基于http技术对用户访问网络进行控制的身份认证方法，这种认证方法不需要用户安装专用的客户端认证软件，使用普通的浏览器软件就可以进行身份认证，有着广泛的应用。 　　未认证用户访问网络前需要先使用浏览器打开一个站点，部署身份认证的网络接入设备（网络接入设备概念比较泛，一般是按以有可能是有线交换机，也有可能是个无线设备，也有可能是个网络防火墙或者路由器）会强制浏览器访问Web认证服务器，通常称为Portal服务器。用户通过浏览器在Portal服务器推送的页面上输入身份信息进行身份认证，只有认证通过后才可以使用网络资源。 　　Web认证的应用场景模型图如下： 　　图1中，用户要访问internet前必须先通过网络设备的认证（部署身份认证功能的网络设备通常被称为NAS，Network Access Server），认证过程如下： 　　1） 用户在PC上打开浏览器，输入一个网址，并回车； 　　2） 浏览器会发出http请求，这个请求会被网络设备拦截，并将请求重定向到portal服务器； 　　3） portal服务器会推送一个认证页面到浏览器，然后用户输入身份帐号并进行认证； 　　4） portal服务器从页面解析出认证信息并发给NAS； 　　5） NAS将认证信息通过一定方式（业界最通用的做法是利用radius协议来传输这些信息），传递给认证服务器； 　　6） 认证服务器校验身份信息，并将结果返回给NAS； 　　7） NAS根据认证结果判断是否允许用户访问网络。 　　图1中的eportal设备就是portal服务器，其主要功能是提供定制化的认证页面并解析认证信息；图1中的SAM设备是身份认证服务器，用于校验身份准确性，通常来说这就是一台radius服务器，运行radius协议；NAS负责根据认证结果控制用户是否可以访问网络。Web认证的详细交互过程如下： 　　如图2所示，整个交互过程主要由3部分组成： 　　1） HTTP重定向 　　所谓的重定向，是指浏览器原本要访问的站点是A，但是请求被NAS拦截后，NAS告知浏览器跳转去访问站点B（通过在http报文中设置特定指令）。在这里，站点B就是portal服务器的地址，通过这个技术实现将认证页面推送到浏览器。 　　2） Portal服务器和NAS的交互 　　Portal服务器解析用户在认证页面中输入的帐号信息，提取并发送给NAS。另外NAS也会将认证结果反馈给portal服务器，portal服务器会将认证结果通过http协议推送到用户的浏览器界面，让用户能看到认证结果。 　　3） Radius协议交互 　　Radius协议是国际互联网标准组织IETF定义的一种网络身份认证通信技术，可以存在多种认证信息，且扩展性和安全性都很强，被业界广泛采用。 　　ARP欺?_ 　　在局域网中，每个设备都有两个地址：1）硬件地址，由于它包含在数据链路层的帧头中，更准确地说应该是数据链路层地址，但实际上对本地地址进行处理的是数据链路层中的MAC子层，因此习惯上称为MAC地址，MAC地址在局域网上代表着IP设备；2）IP地址，在互联网上代表着IP设备，同时它也说明了该设备所属的网络。 　　局域网上两台IP设备之间需要通信，必须要知道对方的MAC地址。根据IP地址来获知MAC地址的过程称为地址解析（ARP）。 　　ARP是用来绑定MAC地址和IP地址的，以IP地址作为输入，ARP能够知道其关联的MAC地址。一旦知道了MAC地址，IP设备就可以封装链路层的帧，然后将数据帧才可以发送到局域网上去。 　　ARP欺骗是指某个IP设备对外发送假的ARP报文，伪造成其它IP设备，从而将发往其他IP设备的数据流引向自己，实现一些窥探，这种行为会导致其它合法的IP设备无法通信。如下图所示： 　　如图所示，局域网中，C是恶意设备或者中了病毒。A原本要和B通信，为此A需要学习到B的ARP信息，而此时C向A发出一个欺骗性的ARP，导致A以为B的MAC地址为C，于是当A向B发送数据时，数据流会发到C，导致A和B实际是无法通信的。 　　现状和问题 　　由于Web认证是基于ip网络进行通信，因此在认证前PC就需要有ip地址和arp等相关信息，但是由于用户还没经过认证，因此用户的网络信息无法控制，这是个巨大的漏洞