构筑立体式ARP欺骗攻击防御体系.docVIP

构筑立体式ARP欺骗攻击防御体系 　　摘要:针对目前校园网及网吧频繁发作的ARP欺骗病毒攻击,从ARP协议的缺陷方面分析了欺骗攻击的形式和ARP欺骗的类型,提出了立体式防御ARP欺骗攻击的解决方案。 　　关键词: ARP协议 ARP欺骗 防御 攻击 立体式 　　 　　Build three-dimensional defense system ARP spoofing attack 　　LI Jun ? ya ,ZHANG Pei - peng 　　(Jiyuan Vocational and Technical College,Jiyuan 454650,Henan) 　　Abstract:View of the current campus network and Internet cafes often ARP cheating attack viruses, deficiencies from the ARP protocol analysis and ARP spoofing attacks in the form of the type of deception, proposed a three-dimensional defense ARP spoofing solutions. 　　Key words:ARP protocol; ARP deception; Defense; Attacks;Three-dimensional 　　 　　1 引 言 　　 自2006年以来,基于ARP协议的欺骗攻击愈演愈烈,ARP病毒在各大校园网内泛滥成灾,严重威胁了用户的信息安全,轻则网络变慢、时断时续,重则直接无法上网、重要信息被窃取,为此研究有效的防范ARP欺骗攻击的措施已成为确保网络畅通的必要条件。 　　 　　2 ARP欺骗攻击 　　2.1 ARP协议缺陷 　　 ARP(Address Resolution Protocol,地址解析协议)位于OSI参考模型中的数据链路层,负责将网络层IP地址解析为数据链路层的MAC地址。在局域网中,网络中实际传输的是“帧”,帧里面有源和目标主机的MAC地址,帧在网络中就是靠这个MAC地址进行目标识别和传输的。ARP协议通过发送请求广播包,查询目标设备的MAC地址,得到应答后将MAC地址插入帧中.就可以在网络中进行传输了。 　　 ARP协议设计初衷是方便数据的传输,它是建立在局域网主机相互信任基础之上,所以ARP协议具有广播性、无状态性、无认证性、无关性和动态性等一系列的安全缺陷: 　　 (1)ARP协议寻找MAC地址是广播方式的。攻击者可以应答错误的MAC地址.同时攻击者也可以不间断地广播ARP请求包.造成网络的缓慢甚至网络阻塞; 　　 (2)ARP协议是无状态和动态的。任意主机都可以在没有请求的情况下进行应答.且任何主机只要收到网络内正确的ARP应答包。不管它本身是否有ARP请求,都会无条件的动态更新缓存表; 　　 (3)ARP协议是无认证的。ARP协议默认情况下是信任网络内的所有节点,只要是存在ARP缓存表里的IP/MAC映射以及接收到的ARP应答中的IP/MAC映射关系。ARP都认为是可信任的,并没有对IP/MAC映射的真实性、有效性进行检验,也没有维护映射的一致性。 　　2.2 ARP欺骗攻击的形式 　　 在网络中各种形式的ARP欺骗攻击,给网络带来的危害基本上可以表现为:网络异常、数据窃取、数据篡改、非法控制等,给网络的通信和网络结点的安全带来重大的危害,常见ARP欺骗病毒攻击的典型症状有: 　　 (1)上网时经常会弹出一些广告,有弹出窗口形式的,也有嵌入网页形式的。下载的软件不是原本要下载的,而是其它非法程序; 　　 (2)网关设备ARP表项存在大量虚假信息,上网时断时续;网页打开速度让使用者无法接受; 　　 (3)终端不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框; 　　 (4)经常会有用户的网上银行、游戏及QQ账号频繁丢失的现象。 　　 这些问题的出现很大一部分要归因于ARP欺骗攻击,目前校园网内已发现的ARP欺骗攻击系列病毒已经有了几十个变种,这种病毒的程序如PwSteal.Lemir或其他变种,属于木马程序/蠕虫类病毒。据检测数据显示,APR欺骗攻击从未停止过。 　　 　　3 立体式防御ARP欺骗攻击 　　 从分析ARP欺骗的过程得出,如果要消除ARP欺骗就要将局域网中每一个主机的IP地址与MAC地址绑定在一起,这样就不会出现欺骗问题了。 　　 结合我校校园网ARP防范经验,依托锐捷网络的GSN全局安全网络中的强大数据源和联动能力,通过三层网关设备、安全智能交换机、RG-SU用户接