校园网ARP病毒防范研究和应用.docVIP

校园网ARP病毒防范研究和应用 　　摘 要:对于ARP病毒防范的常见对策是针对上网主机进行保护,但对有上千或上万台主机的高校校园网来说,对每台上网主机进行安全控制会很难实现。本文从网络层面对ARP病毒进行分析和研究,通过对网络设备进行设置实现ARP病毒的完全抑制,从而达到ARP病毒的防范。 　　关键词:PVLAN;ARP病毒抑制;以太网 　　中图分类号:TP309.5文献标识码:B文章编号:1673-8454(2010)03-0019-03 　　 　　一、引言 　　 　　随着校园网规模的扩大和上网用户的增加,校园网建设已经成为高校信息化发展的重中之重。但由于校园网的开 　　放、资源共享等因素,网络应用中的安全隐患也越来越凸显。其中利用ARP协议的漏洞对校园网进行攻击就是网络攻击中最常见的一种方式。ARP欺骗和ARP攻击不仅给个别用户的上网带来麻烦,更严重的是影响了同一网段的其他用户,同时对相应网络的接入层交换机造成影响,从而影响整个校园网的运行稳定。对付ARP攻击可以针对每台上网主机进行安全保护,例如:安装完全的系统补丁、安装防火墙并合理配置、安装防病毒软件并及时更新、安装恶意软件清理软件、安装ARP防护软件等。但在网络规模较大的时候,确保整个网段的主机不受ARP攻击是件比较困难的事情。本文根据笔者的工作经验提出防范ARP欺骗和ARP病毒爆发的解决方案。 　　 　　二、ARP协议原理 　　 　　根据当前Internet使用的TCP/IP模型,如图1所示,我们可以知道ARP协议位于IP层的底部。IP协议的一个功能是负责实现不同性质的物理网络互联并屏蔽网络底层的细节,但当数据到达网络层以下的数据链路层的时候,需要通过ARP协议实现IP报文封装,发送至链路层接收。 　　对于以太网而言,则需要ARP协议实现IP地址和MAC地址的转化,数据封装为MAC帧后通过CSMA/CD的机制进行数据在数据链路层的传输。通讯双方的主机如果不知道对方的MAC地址,则通过发送ARP请求报文和应答报文相互获得对方的MAC地址,并将映射关系存入本机的ARP缓存表(缓存表记录IP地址和MAC地址的对应关系),以后的访问即通过ARP缓存表完成,不需要再发送ARP广播报文,缓存表是动态的,ARP列表到达老化时间后自动更新。ARP缓存表的更新就是通过ARP请求报文和应答报文实现的。如果组网使用交换机,则交换机也存在一个ARP缓存表(三层交换机)或MAC地址缓存表(二层交换机)。 　　 　　三、ARP攻击原理 　　 　　ARP协议没有身份验证机制,发送ARP请求报文的主机以广播方式的ARP请求报文发送出去后,同一网段上的任何一台其他主机在收到广播报文后都可以发送响应报文,而请求主机也会直接接收此应答报文。 　　正常情况下,不符合请求报文需要的其他主机接收到请求报文后会直接丢弃此报文,不会应答此报文,只有符合要求的主机才处理此报文并返回应答报文,同时双方进行ARP缓存表的学习或更新,双方后续的通讯数据在数据链路层被封装为MAC帧进行传输。但如果有欺骗主机使用监听程序进行ARP报文接收,并发送假应答报文,让请求主机学习到了假主机的MAC地址,则通讯数据会发送给欺骗主机,导致ARP欺骗的结果。 　　主机之间学习和更新ARP缓存表,正常情况下可以实现数据报文封装为MAC帧在数据链路层发送和接收,但如果ARP缓存表被非法修改,则会导致发送给正确主机的数据报文发送给欺骗主机。 　　根据ARP欺骗的表现方式,可以分为三种情况: 　　(1)冒充网关欺骗受害主机。受害主机在发送ARP请求报文的时候,欺骗主机发送假应答报文给受害主机,导致受害主机将欺骗主机MAC地址作为其网关对应的MAC地址。此后受害主机发送的报文都会发送给欺骗主机而不是发送给网关,欺骗主机将报文都接收和篡改后再转发给真正的网关。此方式下网关发送给受害主机的报文直接发送给受害主机,不经过欺骗主机。 　　(2)冒充受害主机欺骗网关。欺骗主机发送假应答报文给网关,导致网关更新ARP缓存表,将正确的MAC地址修改为欺骗主机MAC地址,当网关有报文要发送给受害主机时,根据MAC地址查询结果,网关会将报文发送给欺骗主机,欺骗主机接收和篡改报文后再转发给受害主机。此方式下受害主机发送给网关的报文直接发送给网关,不经过欺骗主机。 　　(3)冒充网关欺骗受害主机,同时冒充受害主机欺骗网关。将上述两种方法组合使用的情况下,当ARP欺骗成功后,可以将受害主机和网关之间的所有通讯报文都截获并篡改。 　　由上述三点可以看出,欺骗主机通过更新对方的ARP缓存表实现对数据报文的侦听、接收或篡改,同时还要将接收或篡改的报文再转发出去,否则欺骗不能成立,也就是说ARP欺骗要更新对方的ARP缓存表、接收报