使用SNMP之ARP攻擊偵測技術

夏德宏

江西省水利水電學校計算機應用與管理工程系，江西 南昌 330013

1 研究的目的與意義

由于網絡安全越來越重要，一個網絡管理者的工作除了維護網絡的正常暢通通信之外，也必須對整個網絡使用的安全有具體的防范措施，如何保護使用者的賬號密碼不被輕易竊取也應是其本的首要工作。當ARP Spoofing技術不斷的推陳出新及相關的攻擊程序也容易從網絡下載取得，這代表了我們所標榜的信息安全已經面臨空前的挑戰。因此，如何有效防范ARP攻擊是網絡管理人員必須面對的職責，網絡管理人員所管轄的網絡通常包括多個子網絡，由于ARP攻擊的信息只出現于子網絡的網段，當ARP攻擊發生時，網絡管理人員無法有效從遠端觀察每一可能發生ARP攻擊的網絡段信息，因此如何建立一個以整體網絡管理的ARP攻擊監測架構，是本論文計劃探討的研究課題。

2 使用SNMP之ARP攻擊偵測技術

對于網絡管理人員而言，所管轄的網絡通常包括幾百臺以上的電腦，數十臺具網管功能的網絡交換機和1臺對外連接的路由器，為了在IP地址的管理上可以達到動態便利性，通常都會架設一臺DHCP服務器，以方便用戶端的IP動態設定。最近我們更發現ARP Spoofing的技術不止發展了DOS、MiM及Hijacking，并結合病毒與后門程序利用網絡散布，對于網絡安全的威脅令人擔心，事實上我們所處網絡的安全已幾乎岌岌可危。網絡管理人員當真就束手無策了嗎？答案是否定的，現將提出一個使用SNMP的ARP攻擊偵測技術，可以利用網絡上的路由器及交換機所提供的網絡管理信息，簡易地發現使用ARP的DOS的攻擊者與MiM的攻擊，并找出攻擊者所在，及時將攻擊者所使用的網絡隔離，不讓攻擊者輕易地癱瘓或監聽網絡。

2.1 偵測網絡架構

本文所提供的ARP攻擊偵測架構是基于路由器及交換機所提供標準的網絡管理信息，這些信息可經由SNMP協議遠端截取。除了ARP攻擊偵測服務器之外，我們發現無論是一般企業或者是大型機構甚至是學校的宿舍網絡架構幾乎都很類似，都是由防火墻與路由器與對外網絡連接，內部網絡的部份端視規模大小決定，需要設置多少臺交換器及切割多少個區域網段便于管理底下的使用者。

2.2 偵測流程

本偵測系統的需要搜集資料的對象包括了DHCP服務器、網絡路由器、與網絡交換機等主要設備，所以路由器與網絡交換機必須提供具網管的SNMP的功能。我們從DHCP服務器中得到DHCP Log資料，也利用SNMP從路由器中得到ARP Table，為了找出攻擊者的所在位置，所以也利用SNMP的Bridge MIB得到網絡交換器中MAC與Port的對應，所以不僅可以偵測到哪一個IP地址在攻擊之外，我們還需知道攻擊者是經由哪一臺交換器及通信接口（Port）進行攻擊，我們就可以透過網管機制將該Port斷線，阻斷其攻擊。

路由器的ARP table為路由器現行運作所需的IP與MAC地址對應表，為維護網絡暢通，路由器必須不斷地維護此表格取得所管轄網絡中所有的IP與MAC地址的正確對應。然而為了避免ARP封包太多在網絡中流竊，思科路由器的ARP Cache Timeout出廠預設為4個小時，是可以接受的。

3 系統制作與測試

ARP攻擊偵測系統本身主要架構分為3部分，包括了數據庫、SNMP管理端程序及相關比對程序。其執行主要分3個步驟：

1）定時將路由器上的ARP Table，存回數據庫中，此步驟需使用PHP的SNMP Get Request 的方式，向路由器取回動行中ARP Table并直接存進數據庫中。

2）除了管理人員所輸入排外名單外，找出對應至重復MAC地址的IP地址。

3）對比上一筆的ARP Table，篩選出前后地址變動的差異。

3.1 實驗網絡架構

在本實驗中，ARP偵測服務器以校園宿舍網絡區為偵測及測試的對象，宿舍區網絡以一臺Cisco 6506路由器為主，往下分成10個LAN網共有96臺D-Link 3225G網絡交換機，約提供1800臺主機上網使用，ARP偵測服務器架設于網絡服務器區的網段內，ARP偵測服務器主要是向宿舍區Cisco 6506要回宿舍區底下10個網段的ARP Table回來分析對比，現階段的取樣頻率以10min一次。為產生ARP Mim攻擊，我們使用Cain & Able v4.9.14程序執行中間人監聽動作，以測試ARP偵測服務器可否將正在攻擊中的主機偵測出來，再借由偵測輔助系統尋找出攻擊主機的所在位置，然后將該Switch Port關閉使其無法使用網絡進行ARP攻擊。

3.2 測試結果

本實驗實際測試網絡架構所示，本次測試以vlan52為測試網段，我們將兩臺筆記本電腦，分別接于不同的網絡交換機底下，由攻擊者（Attacker）執行MiM攻擊程序，另一臺則是模擬成一般使用者Host A（主機A），執行上網登入個人信箱網頁，查看電子郵件的動作。由攻擊者電腦可以清楚看出攻擊軟件將主機A登入畫面的網址以及輸入帳號密碼的內容完整呈現出來。此時ARP攻擊偵測服務器也發現該攻擊，將有問題的IP與MAC地址顯示出來以告知管理者，然而偵測服務器尚無法確認何人為攻擊者與受害者，因此網絡管理者必須至DHCP log查詢出攻擊者及受害者真實IP與MAC地址。根據所示的DHCP log資料，我們可以發現發生重復的MAC地址原為10.10.52.161所有，因此可以判斷攻擊者為10.10.52.161。為進一步確認攻擊者與受害者位置，我們將DHCP log中所顯示兩者的MAC地址至所儲存的交換機表資料中找出對應的交換機的通信接口。

4 結論

本文研究探討近年來興起的ARP攻擊之偵測與防治，在論文研究期間，為了追查ARP攻擊的起因，卻意外發現ARP攻擊的方式已經發展為病毒傳播新的方法，其目的不外乎是利用后門程序的植入達到竊取受害者網絡所在的機密資料，在如此不斷更新且利用新技術的病毒攻擊模式，網絡安全已經不是使用者或管理者單方面就能獨立捍衛起來的，必須結合使用者與網絡管理者齊心協力，才能阻擋攻擊者的入侵行動。

[1]陳明.計算機網絡工程[J].北京：中國鐵道出版社，2009.

[2]李海鷹，程灝，等.針對ARP攻擊的網絡防御模式設計與實現，2005.

[3]曹磊.局域網中ARP的欺騙攻擊[J].氣象科技，2007.

[4]劉舫.企業局域網感染ARP病毒的處理方法[J].科技情報開發與經濟，2007.