淺析高校校園網的ARP攻擊防御策略

李 巖

（安陽工學院，河南 安陽 455000）

0 引言

隨著計算機網絡的普及與發展，高校校園網已然成為學生學習、生活和教師工作的重要平臺。但隨之而來的針對校園網的各式各樣的攻擊也層出不窮，其中，基于病毒的ARP攻擊最為普遍，令網絡管理人員最為頭疼。目前，各高校針對ARP病毒的防范手段比較單一，防范效果有限。針對高校校園網的特點，應結合多種措施和手段對ARP攻擊進行防范。本文分析了ARP攻擊的原理，從接入交換機、匯聚交換機和防火墻等多個層面提出了相應的ARP防范手段。

1 ARP攻擊原理

ARP(Address Resolution Protocol)地址轉換協議工作在OSI參考模型的數據鏈路層，為上層網絡提供服務的同時，與物理層之間通過硬件接口進行聯系。ARP攻擊可以簡單分為兩類：ARP欺騙攻擊和ARP泛洪攻擊。這兩類攻擊程序都是通過構造非法的ARP報文，修改報文中的源IP地址或源MAC地址，不同之處在于前者用自己的MAC地址進行欺騙，后者則發送大量的虛假ARP報文，造成網絡擁塞。

ARP攻擊的典型癥狀主要有以下三種：

（1）大量虛假信息存在于網關設備ARP表項，上網出現間歇性中斷；網頁打開速度過慢。

（2）上網時會頻繁彈出窗口廣告。下載的軟件不適原本想要下載的，而是其它非法程序。

（3）終端不斷彈出“本機的硬件地址與網絡中的設備地址沖突”。ARP攻擊原理相對簡單和易于分析，但是對于網絡攻擊來說，原理越是簡單，越易于擴散，對網絡的危害也就越大。欺騙攻擊會普遍存在于沒有驗證機制的網絡中，更容易被非法利用。

2 ARP攻擊防御解決方案

ARP攻擊的防御可以從接入交換機、匯聚交換機到網關設備，部署不同的ARP防御措施，開啟防護功能，高校可以根據不同的網絡特點，選擇不同的部署和解決方案。

2.1 基于接入交換機

接入交換機在網絡設備中最接近用戶一端，相對來說，也比較最容易采取相關的網絡防護措施。通過對接入交換機適當的配置，在交換機的個個端口內隔離網絡威脅，從而避免對整個網絡造成危害。

（1）通過AM（訪問管理）功能實現。當在地址池（AM Pool）中能夠找到收到數據報的源IP地址或者源IP和源MAC時，則轉發，否則丟棄。

（2）通過ARP Guard功能實現。提前預設置交換機過濾表項，檢測從端口輸入的所有ARP報文，如果遇到受保護的源IP地址，則直接丟棄報文。它的配置相對簡單，適用于ARP仿冒網關攻擊防護快速部署，但是需要占用芯片表項資源，且交換機每端口配置數量有限。

（3）通過DHCP Snooping功能實現。當用戶動態申請IP地址，接入交換機會全程監控，記錄下用戶的端口信息、IP地址和MAC地址，在交換機上做多元素綁定，阻斷非法報文的傳播。此方式適用于IP地址動態分配的環境，被動偵聽，自動綁定，對信息點數沒限制，但在靜態分配地址的環境中，配置量較大，需手工添加綁定關系。

（4）通過端口限速功能實現。網段內如果出現具有或疑似ARP掃描特征的端口或主機時，攻擊源頭將會被直接切斷，保障網絡的順暢。偵測ARP掃描的方法分為基于端口的和基于IP的兩種。前者通過計算一段時間內，某一端口接收到的ARP報文數量，后者則通過計算一段時間內某一IP從網段內收到的ARP報文數量，通過查看報文的數量是否超過預設閾值，來判斷是否為ARP攻擊。此方式無須在端口模式下進行配置，但是只適用于對ARP掃描或者Flood攻擊防御。

2.2 基于匯聚交換機

在很多高校，校園網規模龐大，部署接入的交換機品牌各異，導致很多交換機不可網管、不支持ACL，針對這種環境，可以采取配置匯聚交換機來實現對ARP攻擊的防護。

基于匯聚交換機的解決方案需要用到端口隔離功能和本地ARP代理功能。端口隔離作用于各個端口之間，隔離端口之間的流量，通過此功能可以實現Vlan內部的端口隔離，節省Vlan資源，保障網絡的安全性。本地ARP代理（Local ARP proxy）是指在一個Vlan內，通過一臺匯聚交換機，作為指定的設備對另一臺設備作出ARP請求的應答，實現限制ARP報文在同一Vlan內的轉發，引導數據流量通過交換機進行三層轉發。

具體實現原理如圖1所示。

圖1

此方式的前提條件是接入交換機必須具有并啟用端口隔離功能，匯聚交換機必須具有并啟用ARP Local Proxy功能和端口ARP限速功能。動態IP配置環境下，匯聚交換機可通過DHCP Snooping檢測ARP；靜態IP配置環境下，可以使用專有工具，對匯聚交換機ARP表項進行初始化。圖1中，主機A沒有主機B的MAC地址，所以主機A發送ARP請求并廣播出去。交換機向主機A發送ARP回復報文。主機A在收到ARP回復后，創建ARP表項，發送IP報文，交換機的MAC就是封裝的以太網幀頭的目的MAC。當交換機收到該IP報文后，交換機查詢路由表，下發硬件表項。當交換機有主機B的ARP表項的情況下，直接封裝以太網頭部并發送報文；否則請求主機B的ARP，然后發送IP報文。

此方式在動態IP配置環境下，對接入交換機要求不高，只需有端口隔離功能，且便于管理和實現。在靜態IP配置環境下則需要手工添加ARP表項，不夠靈活。

2.3 基于防火墻

防火墻可以自動偵測是否安裝了ARP Tool客戶端，上網請求會被重定向到防火墻強制安裝。在安裝客戶端后，可以實現自動阻止客戶端非法ARP發包請求，可以從網關獲取ARP可信信息，與防火墻聯動，實現對內網的ARP及DDos的攻擊防護。此方式適用于信息點不多的分校區，防火墻作為網關，配置簡單，易于部署。

3 結束語

目前，國內各個網絡廠商相繼推出新型的交換機及安全設備，功能不斷完善，針對校園網絡的各類攻擊，防護設備和策略趨于一體化。總之，針對ARP攻擊的防護，多種措施相結合的手段是最為行之有效的。

［1］謝希仁.計算機網絡[M].5 版.北京：電子工業出版社,2008.

［2］張潔,武裝,陸倜.一種改進的ARP協議欺騙檢測方法[J].計算機科學,2008(03).

［3］徐華中,閆樹.基于ARP的攻擊分析及對策研究[J].中國水運(理論版),2007(03).

［4］王燕,張新剛.基于ARP協議的攻擊及其防御方法分析[J].微計算機信息,2007(36).

［5］李海鷹.針對ARP攻擊的網絡防御模式設計與實現[J].計算機工程,2005(5)：170-171.