校園網中對ARP攻擊的防范

江蘇省城市職業學院南通辦學點 徐勤岸 謝 琴

一、引言

隨著網絡的快速發展，網絡的規模越來越大，人們對網絡的使用也越來越多，隨之而來的各種網絡攻擊行為也在急劇增加。2O11年1月發布的《第27次中國互聯網絡發展狀況統計報告》中顯示，截至2O1O年12月，有92.7%的中國中小企業接入了互聯網，規模較大的企業中互聯網得接入比例已經接近1OO%。同時有2.O9億人遇到過病毒或木馬攻擊，占到網民總數的45.8%。為了提高企業的安全防護水平，在接入互聯網得中小企業中，有91.7%的中小企業安裝了殺毒軟件，有76.5%的中小企業加裝了防火墻。雖然這些措施可以防范大部分病毒和木馬的攻擊，但是對ARP攻擊卻有點無可奈何。

中小企業內部基本都擁有規模不等的局域網，ARP攻擊對局域網的影響非常大。ARP欺騙木馬只需成功感染一臺電腦，就可能導致整個局域網都無法上網，甚至可能帶來整個網絡的癱瘓。更嚴重的是，它還可以竊取用戶密碼。如盜取QQ密碼、各種網絡游戲密碼和賬號去做金錢交易，盜竊網上銀行賬號來做非法交易活動等。校園網作為一種局域網，同樣面臨ARP攻擊的威脅。

ARP攻擊對局域網的威脅這么大，那么什么是ARP攻擊，它又是如何實現的？

二、ARP攻擊及其原理

1、故障現象

某一日學校機房管理員向筆者反映某機房內的所有計算機突然不能上網了。進入機房實地檢查后發現，計算機可以使用銳捷客戶端通過認證，但是卻無法連接到互聯網。據在機房上機的學生講，剛開始是可以上網，但過一會就打不開網頁了。于是筆者將機房內所有計算機關機，然后再單獨啟動一臺計算機，這時可以通過銳捷認證并上網。但是當所有計算機啟動之后，很快整個機房又無法上網了。于是筆者判斷機房內某臺計算機感染了ARP病毒，從而造成整個機房網絡遭受了ARP攻擊。

圖1 以太網數據幀結構

2、ARP攻擊的概念

ARP攻擊是針對以太網地址解析協議（ARP）的一種攻擊技術。這種攻擊可讓網絡上特定計算機或所有計算機無法正常連接，造成網絡的擁塞甚至癱瘓。

3、ARP攻擊原理

ARP攻擊利用ARP協議的不足實現其攻擊目的。ARP協議是“Address Resolution Protocol”（地址解析協議）的縮寫。在局域網中，網絡中實際傳輸的是“數據幀”。數據幀里面是有目標主機的MAC地址的（以太網數據幀結構如圖1所示，目的地址和源地址都是使用的MAC地址）。在以太網中，一臺計算機要與另一臺計算機進行直接通信，必須要知道目標主機的MAC地址。但是目標主機的MAC地址卻不是一開始就知道的。它是通過地址解析協議（即ARP協議）獲得的。所謂“地址解析”就是計算機在發送數據幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。計算機會將查詢到的MAC地址及其對應的IP地址用一個ARP高速緩存存放起來。

由于ARP是個早期的網絡協議，早期的互聯網采取的是信任模式，在科研機構、大學內部使用，追求的是功能和速度，所以對網絡安全考慮的很少。尤其是以太網的洪泛特點，能夠很方便的用來查詢。但就為日后的黑客開了方便之門。

默認情況下，ARP從緩存中讀取IPMAC條目，緩存中的IP-MAC條目是根據ARP響應包動態變化的。因此，只要網絡上有ARP響應包發送到本機，即會更新ARP高速緩存中的IP-MAC條目。正是因為ARP協議有這樣的特點，所以在局域網中，黑客通過監聽ARP Request廣播包，能夠偷聽到其它節點的（IP，MAC）地址，然后黑客就可以利用偷聽到的信息偽裝為某計算機節點A，告訴計算機節點B（受害者）一個假地址，使得B在發送給A的數據包都被黑客截取，而A、B卻渾然不知。

如果攻擊者持續不斷地發出偽造的ARP響應包就能更改目標主機ARP緩存中的IPMAC條目，造成網絡中斷或中間人攻擊。

后來，有人利用這一原理，制作了一些所謂的“管理軟件”。例如網絡剪刀手、執法官、終結者等。有些人使用這些軟件的目的不一定是用于管理，而是以惡意破壞為目的，這樣就導致了ARP惡意攻擊的泛濫。再后來病毒木馬程序也加入了ARP攻擊的行列。盜號程序就是為了竊取用戶帳號密碼數據而進行的ARP欺騙。

ARP攻擊主要是存在于局域網中。如果局域網中有一臺計算機感染ARP木馬，則計算機將會試圖通過“ARP欺騙”手段截獲所在網絡內其它計算機的通信信息，造成網內其它計算機的通信故障。因為這種攻擊是利用ARP請求報文進行“欺騙”的，所以防火墻會誤以為是正常的請求數據包，不予攔截。因此普通的防火墻很難抵擋這種攻擊。

三、ARP攻擊的防范

防止ARP攻擊是比較困難的，修改ARP協議也是不大可能的。但是我們可以通過其它一些方法來提高校園網絡的安全性。

1、在用戶層面進行防范

這主要通過在計算機上安裝一些安全軟件來實現對ARP攻擊。通過使用這些安全軟件，我們可以綁定網關的IP地址和MAC地址，同時只接受來自網關的ARP請求，對其它計算機發來的ARP請求進行丟棄處理，這樣就不會將“錯誤”的ARP信息更新到當前計算機的ARP緩存中；我們還可以綁定計算機自身的IP地址和MAC地址，同時定期向外廣播ARP信息，保證自身的ARP信息不被黑客篡改。從而達到防范ARP攻擊的目的。這樣就可以保證和網關通信的通暢，實現自己ARP信息不被篡改。這方面的產品很多，主要是一些ARP防火墻和一些帶ARP防火墻功能的安全軟件。如彩影ARP防火墻、36OARP防火墻、金山貝殼ARP防火墻和服務器安全狗（DDOS/ARP防火墻）等軟件產品。

2、在校園網絡層面進行防范

由于筆者所在學校使用的都是銳捷的網絡設備，所以通過可以結合相關的軟硬件設備對銳捷接入交換機進行設置來實現對ARP攻擊的防范。

（1）利用銳捷交換機的地址綁定（address-bind）功能

在銳捷交換機的配置模式下使用addre-ss-bind 192.168.O.2 OO24.216e.12a3命令，可以將計算機的IP地址192.168.O.2和MAC地址OO24.216e.12a3進行綁定。如果機房有1OO臺機器，就需要將每臺計算機的IP地址和MAC地址一個一個地進行1OO次綁定，而且我們還要事先收集到這1OO計算機的IP地址和MAC地址。很明顯，如果計算機很多，這種綁定的工作量是很大的，所以我們可以采取批量導入的方法。由于學校購買了RG-SAM安全計費管理系統，這個系統可以記錄使用銳捷客戶端登錄計算機的相關信息，其中就包括聯網計算機的IP地址和MAC地址。我們可以使一個機房的計算機統一登錄，將收集到的IP地址和MAC地址導出。同時我們將銳捷交換機的配置導出，將機房計算機的所有IP地址和對應的MAC地址加入到配置文件后再重新導入到交換機，從而減少地址綁定的工作量。

（2）使用銳捷交換機端口安全功能，并啟用arp-check功能

通過設置接入交換機的端口安全功能也可以有效防范ARP攻擊。首先進入某接口，然后在該接口綁定用戶的MAC和IP地址。具體命令為switchport port-security mac-address OO24.216e.12a3 ip-address 192.168.O.2，然后使用switchport portsecurity開啟端口安全功能，最后使用switchport port-security arp-check開啟端arp檢查功能。

該方法對機房管理員來說工作量同樣很大，可以參考第一種方法實施批量導入。

（3）使用銳捷交換機的ARP動態檢測功能（DAI）

如果機房內計算機是通過DHCP服務器來自動獲取IP地址的話，那么也可以通過配置銳捷交換機的ARP動態檢測功能（DAI）來防范ARP攻擊。具體步驟為，在全局配置模式下通過ip dhcp snooping開啟dhcp snooping，接著進入上聯端口使用ip dhcp snooping trust將其設置為信任端口，這樣只有此端口連接的服務器發出的DHCP響應報文才能夠被轉發，然后進入其它端口使用ip dhcp snooping address-bind配置DHCP snooping的地址綁定功能，最后在全局配置模式下使用命令ip arp inspection來啟用全局的DAI，同時使用ip arp inspection vlan 1啟用vlan1的DAI報文檢查功能。

四、受到ARP攻擊后的應對措施

如果局域網已經被ARP病毒感染，正在遭受ARP攻擊，我們可以通過一些軟件找出ARP病毒的源頭，并對其進行清除，然后再使用上面提到的ARP防范方法將ARP攻擊從根本上的杜絕。

1、對ARP攻擊的定位

定位ARP攻擊不是件容易的事，不過借助一些軟件我們還是可以將“元兇”找出來。

（1）主動定位方式

因為所有的ARP攻擊源都會有其特征——網卡會處于混雜模式，可以通過ARPKi-ller這樣的工具掃描網內有哪臺機器的網卡是處于混雜模式的，從而判斷這臺機器有可能就是“元兇”。定位好機器后，再做病毒信息的收集。

（2）被動定位方式

在局域網發生ARP攻擊時，查看交換機動態ARP表中的內容，確定攻擊源的MAC地址。也可以在局域網中部署Sniffer工具，定位ARP攻擊源的MAC。一般ARP攻擊都是冒充網關的MAC地址，所以我們可以直接Ping網關IP，完成Ping后，用ARP–a查看網關IP對應的MAC地址，此MAC地址應該為欺騙地址，使用NBTSCAN可以取到PC的真實IP地址、機器名和MAC地址。

2、對ARP病毒的處理

我們可以使用趨勢科技提供的ARP病毒清除工具對ARP病毒進行清除，然后再安裝ARP防火墻軟件，對網關的IP地址和MAC地址進行綁定。這樣就可以將ARP攻擊拒之門外了。

五、小結

ARP攻擊會影響校園網絡的正常使用，甚至會導致校園網的癱瘓。通過對校園網中的計算機安裝ARP防火墻，在接入交換機上進行防ARP攻擊的設置，就可以有效應對ARP攻擊，保證校園網絡的正常運行。

[1]中國互聯網絡信息中心.第27次中國互聯網絡發展狀況統計報告[EB/OL].http://www.cnnic.net.cn/dtygg/dtgg/201101/t20110118_20250.htm,2011-01-19/2011-11-10.

[2]謝希仁.計算機網絡第五版[M].北京:電子工業出版社,2008.

[3]星網銳捷網絡有限公司.RG-S2600系列交換機RGOSV10.4(3)版本配置手冊[EB/OL].http://www.ruijie.com.cn/service/doc-searchone.aspx?uniid=c90cba58-5592-457f-a9bccbb4e8ffdfb9,2011-08-10/2011-11-10.