PPPOE技術在校園網ARP攻擊防御方案中的應用研究

王曉妮 韓建剛

摘要：為了解決校園網中的ARP攻擊問題，文章研究了ARP協議和ARP攻擊，結合校園網的具體情況和多年網管經驗，按用戶數目把校園網劃分成不同區域并采取不同防御策略。針對ARP攻擊的重災區家屬樓和學生公寓采用PPPOE技術方案，能夠有效預防ARP攻擊。

關鍵詞：校園網；ARP攻擊；PPPOE；防御策略

隨著高校信息化的迅速發展，校園網早已覆蓋整個校園，這為師生的生活、工作和學習提供了便利。從網上購物、在線學習、資料查閱等都離不開網路，但是由于校園網用戶數量龐大，水平差別很大，上網需求各不相同，難免會訪問被黑客植入了木馬病毒的網站，下載包含蠕蟲和Trojan的軟件，地址解析協議（Address Resolution Protocol，ARP）欺騙攻擊就在其中[1]。ARP欺騙攻擊會篡改盜取用戶隱私，使網絡癱瘓，直接威脅校園網用戶的財產信息安全。采用PPPOE技術能夠很好地防御ARP欺騙攻擊，確保校園網的安全穩定運行。

1 相關技術

1.1 ARP協議

ARP工作在數據鏈路層，主要作用是把以太網中所有網絡設備的32位邏輯上的IP地址轉換成48位物理MAC地址[2]。因為ARP協議在當初設計時默認網絡環境是絕對安全的，忽視了安全性的考慮，但隨著網絡技術的不斷發展，網絡攻擊日益猖獗，導致網絡環境也危機四伏，不存在絕對安全的情況。故ARP協議就存在缺乏認證、無狀態、廣播式和動態性等安全漏洞。

1.2 ARP攻擊

因為ARP協議的設計漏洞為其帶來安全隱患，使ARP攻擊在校園網中很常見。ARP攻擊原理是黑客利用ARP協議漏洞，偽造IP/MAC地址冒充合法地址，連續向攻擊目標發送大量偽造的ARP請求或響應報文，誤導其不斷更新ARP緩存表，使目標主機根本無法保存正確的緩存信息，讓本該發往目標主機的數據被黑客直接截獲或篡改，使網絡通信中斷，電腦死機、信息泄露和整個網絡癱瘓。ARP攻擊具有隱蔽性強、難以根除和極易堵塞等特點[3]，可分為攻擊主機、攻擊網關、雙向攻擊和洪泛攻擊4種常見類型。

1.3 PPPOE技術

PPPOE是一種能夠把點對點協議封裝在以太網框架中的鏈路控制協議，其全稱為Point to Point Protocol OverEthernet。它通過遠端接入設備與互聯網相連，并對每個接入主機或用戶實現單獨控制[4]。PPPOE協議的工作流程包括發現和會話這兩個階段，無狀態的發現階段是為了獲得終端設備的MAC地址和建立唯一的PPPOESESSION-ID，主機和其所選接入集中器就在以太網中建立起了對應的PPP連接的信息并進入會話階段，然后PPP數據就能實現以任何別的PPP封裝形式發送。PPPOE協議能夠在以太網中為主機和網關設備建立了一個點對點的通道，使此通道和別的主機相互隔離，處在不同的廣播域就能避免ARP攻擊。

2 方案設計

因為校園網用戶的特點是數目龐大、網絡需求不同、網絡安全知識和操作水平差別大、安全意識淡薄；校園網用途廣泛、使用頻率很高等特點讓ARP攻擊乘虛而入，采取單一措施很難防范。傳統的這些防御措施各有利弊，例如不管怎么劃分VLAN，但因其沒有針對網關的保護措施，很難防御攻擊網關的ARP；雙向綁定只要變換上網地點就會導致綁定失效；ARP防火墻存在著對所綁網關的正確性無法識別的安全隱患；ARP服務器的前提是要保證服務器的安全，一旦服務器被攻擊仍會全網癱瘓；綁定交換機端口必須采用價格昂貴的具有學習功能的交換機，使成本加大；PPPOE技術使網絡傳輸率降低，內網間無法訪問和共享網絡資源。通過校園網和傳統ARP防御措施的實際情況的分析，必須對校園網不同區域采取不同的防御措施。在綜合辦公樓和各教學樓采用VLAN劃分、綁定交換機端口和ARP服務器；網絡實驗室、多媒體教室、電子閱覽室和會議室等地方采用雙向綁定和ARP防火墻；學生公寓樓和家屬樓采用PPPOE技術。

3 PPPOE技術在ARP攻擊方案中的應用

因為12棟家屬樓和18棟學生公寓樓的上網用戶比較集中，每棟樓上的用戶數目多，根本無法將其劃分在一個網段內，但是如果將他們劃分在不同的網段，無疑就會增加管理的難度。隨著校園網用戶數量的逐漸增加，IP地址越來越緊張，所以在這些區域采用PPPOE技術。讓該區域用戶通過PPPOE撥號方式上網，既能有效防御ARP攻擊，又能緩解IP地址緊張的矛盾。因為PPPOE協議采用點對點的通信方式，不依賴于ARP協議，能夠單獨控制所有用戶，從根本上杜絕了ARP攻擊的實現，這就使ARP攻擊重災區的家屬樓和學生公寓得到很好的解決。通過城市熱點Dr.com計費軟件便能實現在這些區域使用PPPOE撥號上網，不必改變以前已經部署好的校園網拓撲機構圖，PPPOE方式網絡拓撲圖如圖1所示。Dr.com計費系統利用綁定用戶注冊信息（帳號、密碼等）、IP地址和MAC地址等相關信息來進行用戶身份認證的，可以支持PPPOE、Web和客戶端等多種方式認證。PPPOE技術方案在校園網中通過以下4步來部署：首先去掉核心交換機上的VLAN的網關地址并把其對應的VLAN標識保留好；然后在防火墻上重新配置新的路由和借口訪問策略；接著把計費軟件安裝在Dr.com服務器上，并將端口地址設置為校園網的內網地址，配置好PPPOE撥號上網的地址池參數；最后，PPPOE服務器就會以VLAN為用戶動態分配的臨時IP地址為根據來進行相應的計費策略設置，并把所有用戶信息導入服務器中。

4 結語

因為ARP攻擊是由ARP協議的設計漏洞造成的，加之校園網用戶的復雜性和傳統防御措施的局限性，使得單一的策略僅能從某種程度上減弱ARP攻擊引起的危害，無法徹底解決。本文結合網管實戰經驗，把龐大的校園網用戶劃分成不同區域，然后根據該區域的特點采用不用的防御措施，揚長避短，有效防御了校園網中的ARP攻擊。

[參考文獻]

[1]吳森森.基于ARP欺騙的數據截獲與高速轉發技術研究[D].成都：四川師范大學，2015.

[2]郭征，吳向前，劉勝全.針對校園網ARP攻擊的主動防護方案[J].計算機工程，2011（5）：181-183.

[3]李延香，袁輝，劉淑英.校園局域網ARP欺騙攻擊的防御方法和實施[J].自動化與儀器儀表，2015（9）：215-217.

[4]紀春坡.使用PPPoE撥號方式解決校園網ARP病毒[J].運城學院學報，2010（5）：78-79.