数字化校园网ARP攻击分析与综合防御策略.docVIP

数字化校园网ARP攻击分析与综合防御策略 　　摘 要：ARP欺骗攻击成为攻击者首要利用的攻击手段，其覆盖面广，攻击效果明显。在研究ARP协议攻击原理的基础上，结合.Net Framework框架，使用Socket技术，对大型网络提出了一个行之有效的解决方案。充分发动网络用户的主观能动性，改进传统的ARP双向绑定模式，实现ARP自助绑定系统，极大减少网络管理员的工作压力，同时实现对攻击者及早进行自动隔离，从而极大减少对网络的危害性。?? 　　关键词：校园网；ARP攻击；Socket；入侵防御?? 　　中图分类号：TP393.08 文献标识码：A 文章编号：1672-7800（2011）10-0120-02?お? 　　?? 　　作者简介：柯?S（1978-），女，湖北武汉人，硕士，武汉长江工商学院讲师，研究方向为网络安全、网络技术应用。 　　 　　1 ARP攻击原理分析?? 　　 ARP表是IP地址和MAC地址的映射关系表，攻击者利用ARP协议进行攻击的方式可分为：针对ARP表的攻击和针对流项目表的攻击。在针对ARP表攻击时，攻击者通过变换不同的IP地址和MAC地址，向同一台设备，如三层交换机发送大量ARP请求，导致被攻击设备因ARP缓存溢出而崩溃；或误导客户机建立正确的ARP表，当客户机的帧发送给缺省网关时，欺骗攻击修改该客户机的ARP高速缓存中网关对应的真实MAC地址，把数据帧发送给修改后的MAC地址主机，也就是数据发给了攻击者。如果攻击者将劫持的数据发送给路由器，源主机发送的数据经过一次绕行后到达路由器，这使源主机就很难知道自己已被攻击，这便是“数据劫持”；如果攻击者将劫持的数据直接丢弃，则产生数据传输“中断”，也就是用户常说的“掉线”现象。?? 　　 　　2 ARP综合防御策略研究?? 　　 自ARP攻击出现以来，各大硬件设备厂商纷纷推出抑制ARP攻击的硬件设备。如Cisco公司的设备增加了DHCP SNOOPING功能，通过DHCP Server，建立IP地址和MAC地址绑定表。华为公司则在交换机上配置ACL，建立过滤机制进行ARP防御。采用PVLAN实现两层VLAN隔离技术也能有效抑制ARP攻击。这些控制ARP攻击的方法都需要更换新的硬件设备，对于成型的网络并不太适宜。另一类方法是管理员手工双向绑定地址。由于用户主机比较分散，查找处理难以实施。?? 　　 上述现有解决方案中对硬件设备有比较高的依赖性，管理员手工解决问题的工作强度大、效率低下，不适合推广。本文结合学校实际的情况提出一套综合的ARP攻击防御策略，实现了自动双向绑定和智能监控隔离，达到控制ARP攻击目的。?? 　　3 ARP综合防御策略实现?? 　　3.1 自动双向绑定?? 　　 动态双向绑定是一个有效的ARP攻击的解决方案，对路由器端的ARP高速缓存表的维护工作，改变早期由管理员一方负责的管理模式，而发挥所有网络使用者的主观能动性，管理维护其个人IP地址和MAC地址对应关系，本文研发了一套路由器ARP自助绑定系统，实现用户自助绑定路由器端IP地址和MAC地址的映射。 该系统采用B/S模式，当客户端浏览Web应用服务器上部署的Web应用程序，Web应用程序获取客户端的IP地址和MAC地址等信息，用户确认发送路由器端绑定请求，Web应用服务器对路由器发送绑定指令，等待路由器操作响应，再使用数据库记录绑定结果。 ?? 　　3.1.1 获取客户端IP地址和MAC地址?? 　　 考虑到国内高校校园网部署有认证计费系统，该系统一般都记录用户的IP地址和MAC地址信息，本文以锐捷RG-SAM认证系统为例，结合该系统获取用户的IP地址和MAC地址。当用户认证成功后，系统将用户信息存放在在线用户表中，该表存放当前用户基本信息，当用户下线后用户记录即从表中删除。?? 　　3.1.2 管理路由器的ARP表?? 　　 路由器常用的管理模式有用户模式、特权模式、全局模式和接口模式等。每种模式对应不同的权限和指令。为了实现管理路由器ARP表，本文使用SOCKET编成技术，模拟手工管理路由器的ARP表的过程。C??#.NET对SOCKET 支持能力强，并且支持开发Web应用程序。?? 　　 具体实现为初始化网络流，连接路由器23号端口，获取管道流；向SOCKET网络流写入生成的消息流，让进程休眠10毫秒；模拟登录路由器后，绑定ARP高速缓存表的执行指令；退出路由器后，取消ARP高速缓存表的绑定。到此为止，用户通过登录路由器ARP自助绑定系统，实现自助绑定和解除绑定自己的在路由器端的ARP信息。?? 　　3.2 智能监控隔离系统?? 　　 攻击者欺骗路由器后，修改路由器ARP高速缓存表，表中明显特征是一个MAC地址对应多个IP地址。由于网络内