基于802.1x认证实现校园网ARP欺骗防御.docVIP

PAGE PAGE 1 基于802.1x认证实现校园网ARP欺骗防御 　　摘要：随着计算机网络的普及，以校园网为基础的数字化校园建设也取得了飞速的发展。然而，随着网络应用的日渐广泛，网络病毒和攻击形式也日趋多样，校园网安全问题日益突出。长期以来，ARP病毒防治一直是网络管理人员研究和探讨的问题。该文介绍了ARP协议原理，在此基础上分析了ARP病毒的欺骗原理，从而提出了基于802.1x认证，通过对主机IP地址、MAC地址进行绑定来实现对ARP欺骗的防治。 　　关键词：校园网；ARP欺骗；802.1x认证 　　中图分类号：TP393文献标识码：A文章编号：1009-3044（2013）05-0998-02 　　校园网是数字化校园建设的基础，是教学、办公自动化和信息化的依托，随着数字化校园建设的不断发展，广大师生越来越依赖于校园网内日益丰富的资源和应用。由于校园网自身的一些特点和广大师生网络安全意识的淡薄，我们在享受校园网带来方便的同时，也使校园网面临着各种安全隐患。ARP欺骗便是其中非常典型的一种，ARP病毒大规模爆发时，其造成的影响和危害都比较严重。它利用了ARP协议的天然缺陷，因此单纯靠网络安全软硬件产品很难防御，这就需要校园网络管理人员综合利用科学有效的网络管理制度配合最新的网络安全软硬件产品和网络技术，形成立体的网络安全体系，做到预防为主，防治结合。 　　1ARP协议及欺骗原理 　　1.1ARP协议 　　地址解析协议（AddressResolutionProtocol），简称ARP协议，负责将某个IP地址解析成对应的MAC地址，主要应用在以太网中，但也能在ATM和FDDI网络中使用。在OSI网络模型中，网络被分为七层，IP地址位于OSI七层模型的第三层，MAC地址位于第二层，OSI网络模型中的各层不能直接打交道，只能通过层之间的接口来相互通讯。局域网中数据通讯是基于MAC地址进行寻址的，而不是IP地址，数据帧如果要到达目的地，就必须知道对方的MAC地址。因此，为保证通讯的顺利进行，在仅知道目标主机IP地址的情况下，需要使用ARP协议来实现将目标主机的IP地址解析为对应的MAC地址。 　　每台安装有TCP/IP协议的主机都有一个ARP缓存表，表里记录了一系列IP、MAC地址对，它描述了其它主机IP地址与MAC地址的对应关系。当主机A往主机B发送数据时，主机A会查找本机的ARP缓存表，如果存在主机B的IP地址，根据ARP缓存表中的对应关系，直接返回主机B的MAC地址，把主机B的MAC地址写入数据帧；如果不存在主机B的IP地址，主机A会广播一个ARP请求包，ARP请求包中包含主机B的IP地址，网络上的所有主机都会接受这个请求，但只有主机B收到这个ARP请求包时，才向主机A发送包含自身MAC地址信息的ARP应答包。这样，主机A就获取了主机B的IP地址与MAC地址对应关系，并以此更新本机ARP缓存表，主机A就可以向主机B发送数据了。ARP缓存表采用了老化机制，是有生存期的，生存期结束后，将再次重复以上过程，这样大大减少ARP缓存表的长度，加快查询速度。以上就是ARP协议的原理，由于其没有相应的安全验证机制，也就使得ARP欺骗产生了。 　　1.2ARP欺骗原理 　　ARP协议是个早期的网络协议，RFC826在1980年就出版了。早期的互联网在科研、大学内部使用，采取的是信任模式，追求功能、速度，没考虑网络安全。ARP协议缺乏相应的安全验证机制，主机会接受任何向它发送的ARP应答报文，并根据应答报文中的IP地址和MAC地址更新本地的ARP缓存表，而不管是否发送过相应的ARP请求。因此，可以用虚假ARP应答包来欺骗主机，使主机获得不真实的IP地址与MAC地址对应关系。 　　假设局域网中有三台主机，分别为主机A、主机B、主机C。它们的IP地址分别为192.168.200.11、192.168.200.22、192.168.200.33；MAC地址分别为AD-AD-AD-AD-AD-AD、BD-BD-BD-BD-BD-BD、CD-CD-CD-CD-CD-CD。 　　在ARP欺骗攻击前，A和B之间能够正常通讯。随后，主机A收到恶意主机C伪造的ARP应答报文，伪造的ARP应答报文中IP地址为主机B的IP地址192.168.200.22，MAC地址为主机C的MAC地址CD-CD-CD-CD-CD-CD，主机A根据伪造的ARP应答报文更新ARP缓存表。此时，主机A的ARP缓存表中主机B的IP地址对应于主机C的MAC地址，由于局域网的数据通信是根据MAC地址进行寻址，主机C通过ARP欺骗就获取了主机A原本发送给主机B的数据，这是一个简单的ARP欺编。如果主机B是网关或路由器，主机C通过ARP欺骗，将导致主机A找不到正确的网关而使网络中断。AR