針對校園網中ARP欺騙的防御技術手段研究

蔣婷

摘 要：ARP欺騙攻擊是校園網中最為常見的攻擊方式之一。本文首先對ARP欺騙攻擊實現原理、攻擊方式、造成的影響等內容進行了介紹，然后重點對幾種有效的、可防止ARP欺騙攻擊的安全防護技術進行了研究和分析。

關鍵詞：ARP欺騙；校園網

校園網網絡環(huán)境復雜，用戶數據交換頻繁，用戶安全防范意識參差不齊，這些因素極易導致校園局域網中出現網絡故障。ARP欺騙是一種常見的校園網網絡攻擊方式，其利用ARP協(xié)議本身緩存更新這一協(xié)議缺陷來向網絡用戶發(fā)送大量的報文信息，阻礙其他正常用戶的網絡通信。

1 ARP欺騙攻擊手段極其對校園網的影響分析

校園網內的用戶進行通信時首先需要將用戶的IP地址對應的轉換為MAC地址才能夠在兩者之間建立通信鏈路進行數據通信，這一過程需要使用ARP協(xié)議來完成。ARP欺騙即利用該協(xié)議缺陷不斷向網絡內其他用戶發(fā)送偽造的ARP應答包來擾亂其他用戶的緩存表，進而達到對用戶監(jiān)聽或攻擊的目的。

校園網的網絡環(huán)境開放性高，管理相對寬松，學生用戶數大，但是安全意識參差不齊，一旦出現ARP欺騙攻擊，會對校園網帶來非常大的安全隱患。目前校園網常見的ARP欺騙攻擊方式主要體現在以下幾個方面。

⑴對其他主機用戶進行通信監(jiān)聽和數據包篡改。ARP協(xié)議是校園網所使用的通信協(xié)議之一，其不是病毒，因而安全防護軟件不會對其進行查殺。利用這一特點，感染ARP欺騙程序的用戶主機會不斷的向校園網內其他用戶主機發(fā)送相應的ARP協(xié)議，通過該協(xié)議其可以監(jiān)聽到其他用戶的通信數據，更為嚴重的是，ARP欺騙病毒還有可能對所監(jiān)聽到的數據包進行非法篡改，在其中添加惡意網址等信息。

⑵冒充主機，阻礙其他用戶的網絡訪問。ARP欺騙攻擊病毒會在局域網內偽造一臺虛假的主機，同時頻繁在局域網內對其IP地址與MAC地址進行廣播。

⑶數據截取。ARP欺騙攻擊還有可能將被感染主機插入兩臺正常主機的通信鏈路之間，正常主機之間的通信需要通過被感染主機的轉發(fā)才能實現。當目標主機是DHCP服務器時，被感染主機就有可能將正常用戶引導到釣魚網站，從而竊取用戶的重要賬號資料。

2 ARP欺騙防御技術

綜合考慮校園網的網絡特點，可以通過配置路由交換設備等從根本上消除ARP欺騙攻擊對網絡用戶的影響。

2.1 雙向靜態(tài)映射

校園網通常是由多個層次構成的，在可控的層級內為路由設備建立靜態(tài)MAC地址映射并對其進行手動維護可以有效防止ARP欺騙攻擊所帶來的ARP緩存表動態(tài)更新狀況的發(fā)生。鑒于ARP攻擊的目標分為路由和目標主機兩種，故靜態(tài)IP-MAC地址映射也分為兩種。但是實際執(zhí)行過程中靜態(tài)映射的設置需要同時修改目標主機、網關以及路由器管理頁面的IP-MAC等三部分內容。需要注意的是，雙向靜態(tài)映射建立完畢后，網絡管理相關人員需要按照校園網使用情況對ARP緩存進行定期檢查和更新。

2.2 VLAN和端口隔離技術

校園網中的網絡通信分為網內通信、網外通信兩種，為滿足用戶的網絡通信需求同時降低ARP欺騙攻擊風險，可在網絡交換設備中部署VLAN技術。該技術可以將校園網內的用戶主機分成多個小的局域網段，網段內用戶可以進行自由通信，網段間用戶不能直接通信，這樣ARP攻擊風險就被限制在可控范圍，某一網段的ARP欺騙攻擊不會影響到其他網段用戶。

進一步的，在網段間通信時可以使用端口隔離技術，該技術既可以保證用戶通過VLAN端口與外網通信，還能夠將用戶主機端口的廣播限制在其所在的VLAN內，避免不同VLAN之間的相互探測，進而阻止ARP欺騙攻擊行為的出現。

2.3 DHCPSnooping技術

為便于使用，某些學校或某些環(huán)境下的網絡用戶IP地址是由DHCP服務器動態(tài)分配的，這種情況下就無法使用IP-MAC雙向靜態(tài)映射的方式來防御ARP欺騙攻擊。此時可以使用DHCPSnooping技術來增強校園網的網絡安全性能，避免ARP攻擊造成的大范圍網絡故障出現。

該技術會在DHCP服務器中建立一個DHCPSnooping綁定表，表中將用戶相關信息分為可信區(qū)域和不可信區(qū)域。其中可信區(qū)域包含了DHCP服務器為信任主機分配的IP地址及其MAC地址。在網絡內用戶發(fā)送ARP報文時，交換機等設備會對報文中的IP地址和MAC地址進行匹配檢查，只有通過檢查的主機信息才能夠被發(fā)送出去。未通過檢查的用戶相關信息會被記錄到不可信區(qū)域進行記錄和管理。

3 校園網用戶防ARP欺騙攻擊

為提升校園網的安全性能，避免ARP欺騙攻擊對用戶帶來安全威脅，在用戶端也應該采取必要的安全防護措施。具體來說，用戶應該對系統(tǒng)和應用程序等進行定期檢測與漏洞修復，提升操作系統(tǒng)本身的安全性能。同時用戶還可以安裝ARP防火墻、病毒防護等軟件。

4 總結

ARP欺騙攻擊是校園網內最為常見的攻擊方式之一。鑒于ARP協(xié)議本身存在缺陷，故針對ARP的欺騙攻擊是無法避免的。但是必要的安全防護策略可有效提升校園網的安全性能，降低ARP欺騙攻擊所帶來的損失。

[參考文獻]

[1]馬麗君.基于校園網ARP欺騙分析及防御技術[J].數字技術與應用，2012（02）.

[2]姚圣軍.淺析ARP欺騙的原理及校園網ARP欺騙的防御方法[J].教育觀察，2012（7）.

[3]方禹潤.淺談高校校園網中ARP欺騙的檢測和防范[J].黑龍江科技信息，2011（12）.

[4]秦豐林，段海新，郭汝廷.ARP欺騙的監(jiān)測與防范技術綜述[J].計算機應用研究，2009，26（1）：30-33.