当前位置:文档之家 › 高校校园网防ARP欺骗的研究

高校校园网防ARP欺骗的研究

  • 格式:pdf
  • 大小:1.03 MB
  • 文档页数:5

下载文档原格式

  / 5

合集下载

校园网ARP欺骗防范浅谈

校园网ARP欺骗防范浅谈

A P A des eo tnPo c1是 地址 解 析 协议 , R ( drs R sl i rt o) uo o
是一种将I地址转化成物理地址 的协议。 P
计算机之间的通信是通过I地址进行 的 , P 在每 台装
有T PI协议的电脑里都有一个 A P C/ P R 缓存表 , 表里 的I P
1 . 划分V A , L N 做端 口隔离 , 这样可 以将A P R 欺骗 的
影响范围缩小 , 及时找到源头 , 这种方法 防范不彻底 。 2 把 网络安全信任 关系搭 建在I+ A 的基础上 , . PM C 绑定I和M C P A 地址 。 主机的I和M C P A 地址对应表手动维
速度 。
中有A P 骗 , R欺 设备或者软件 就会报警 , 从而查 找出病
毒 源。 四、 P 骗 的 防范 AR 欺
对于局 域 网而言 , R 协议是 网络正 常通 信 的基 AP 础 ,但是A P R 协议缺乏必要的身份认证和鉴别机制 , 导
致安全性能脆弱 。
二、 ARP欺骗 原 理
(8 . 3)
a —命令 , r a p 即可显示与该主机相连 设备的M C 会发现 A ,
网关所对应的MA 地址是否被修改 ,如果 ̄ M C C L A 地址 对应的主机既不是网关也 不是 服务器 ,但和其他 主机 都有通信活动, 说明这台主机一般就是病毒源。
【 2 】杜 致 远 .RP ̄- 的 发 现 与 定 位 A st -
关键 词 : 园 网 ; 校 ARP 欺骗 ; 范 防


A P 议 简 介 R 协
方法 四:使用t cr r e 命令在任意一台受影响的主机 a l 上 , O 命令 窗 口下运行如下命令 :aet X. X X. 在D S t crXX X. X r X X xx ̄ 网I地址 )假设缺省网关为 1. 1 , x( l P - 。 01 . 在跟踪一个 .1

浅析无线校园网络的ARP欺骗防范

浅析无线校园网络的ARP欺骗防范
计算 机 光盘 软件 与 应用
21 0 2年第 5期
C m u e DS fw r n p l c t o s o p t rC o t a ea dA p i a i n 工 程 技 术
浅析无线校园网络的 A P欺骗防范 R
罗毅 ,郭志敏 ,李君 ( 装备 学院 昌平士官 学校 ,北 京 12 4 02 9) 摘要 :A RP欺骗 攻击在 有线校 园网时期 曾对各 高校造成 了很 大的影响 ,而随着数 字化校 园建设 项 目的进一步展 开 ,无线 网络 的优 势使得 各 高校在 日常教 学、科研 、管理等方 面享受到 了前所未有的便捷 ,因而对无线校 园网的依 赖程度正逐步加深 。这期 间 ,A RP欺骗 攻击同样 也对无线校 园网造成 了一 定程度 的危 害。本 文在 分析 了 A RP欺骗 原理的基础上 ,针对无 线校 园网的 ARP欺骗 防范措 施提 出了一些建议 。
人 员应采 用如下几种方法 : ( ) 一 网关的A P R 绑定 。根据A P R 欺骗攻击 的原理 我们 可知 道其 攻击 的对 象有两类— — 网络网关和用 户端计算 机, 因此 AP R 绑定也分为 网关A P R 表的绑定和用户端 本地A P 的绑 定, R表 这称 为A P 向绑定 。 R双 如果只单一 的将路 由器 的A P R 表绑定 了而 没有将用 户端 的A P R 表绑 定,无线校 园网内用户端被恶意修改 AP R 表后就不会把数据包发送 到网关上 ,而是发送到一个错误 的M C A 地址上,这样就会造成 网关无法访 问或网络堵塞 。这里 先说 明网关 的A P R 绑定 。在无线校 园网中,无线A 端一般有两 P 种连接方式 : 一是 以有线 介质 与有 线校 园网连接;二是 以客户 端模式 (P C in )与其他A 连接 。因此 ,我们应主要在与 A 1et P 无线A 相连 的有线 网关 处进行绑 定, P 即在 网关处绑定各用户终 端的 “ P M C I — 地址 映射 ”或绑 定 “ 换机端 H-A 地址映射 ” A 交 MC ( 的网关设备还 能提供 I 地址、M C 有 P A 地址和交 换机 端 口的同 时绑定 ) 。 ( ) 二 运用V A  ̄ 分技术 。L N LN U V A 技术增加 了广播域 的数量 , 减少 了广播域 的范 围, 使得广播信 息只在本V A 中传 播,无线 LN 网络在校 园的有效带 宽得到增加 ,网络 性能得到提高。即使出 现A P R 欺骗攻击 ,也可将影响控制在较小 的范 围内,便于检测 处理 。同时 ,维护人员也可借助V A 技 术,简化 网络 管理 ,有 LN 效抑制广播风暴 的出现 ,以便提 高无线 网络 的安全 性。 ( ) 三 使用带有动态A P R 监测功能的交换机 。 动态A P R 监测 技术D I( y a i R n p c i n A D n m c PI s e t o )能动态绑定I 地址和M C A P A 地址 的对 应关系 ,它需要和D C 监听 ( H P S o p n )软件 HP DC noig 配合使用 。在 交换机上启用D C 监 听功能 ,根据 其建立D C HP HP 绑定表, 动态A P R 监测程序 即可在相 关端 口自动检测A P R 数据包 是否来 自于正确 的端 口, 并且未被攻击 者所 更改或者欺骗。此 外, 动态A P R 监测交换机还 能通过控  ̄A P OR 在某个端 口的请 求报 文数量来防止A P R 欺骗攻击。 经过上述几项防范措施 ,可在很大程度上 避免A P R 欺骗攻 击 的出现 , 但如遇到 网络不稳定等现象 , 也可利用无线 网络监 测工 具 ( N n f e 等 )快速 检测出A P  ̄ s i fr R 攻击源 ,并显示该终端 的网络名 、I 地址和M C 址,切断其与无线 网的连接 ;随后 P A 地 通过 预先 登记的信息找到使用该终端 的用户信 息, 通知该用户 进行 必要 的操 作 ,如重新安装操 作系统或 彻底杀毒修 复系统 等;经确 定该终端安全后 ,才可再次恢复其与无线 网的连接 。 虽然包括 工具检测、人工通知、终端维护 以及手动断连 网等一 系列 步骤 使得整个维护过程耗时较长 , 但如果预防措施严谨 的 话 ,应该 能很 好地控制A P R 欺骗 攻击 所影响的范 围,而且也能 减轻 网管 人员的工作负担,提高处理效率 。 三 、基 于用户端的防范策略 对终 端用户进行必要的培训 , 以提高其使用计算机 的安全 意识 是很有必要的 。 另外 , 在允许无线接入 的终端应采取 如下 措施 防范 A P欺骗攻击 : R ( )用户端 A P绑定 一 R 根据 前面所述 A P双 向绑定 , R 用户终端也需进行绑 定。 正 常情况下 ,终端用户可通过 a p— r a命令获取 正确的网关 I P 和 网关接 口的 M C地址 ,并在终端上绑定 网关 的 “ P M C地 A I— A ( 下转第 6 页 ) 3

论校园网管理中ARP欺骗及攻击和安全防范措施

论校园网管理中ARP欺骗及攻击和安全防范措施

P的 P就 是 不 需 要 别 人 问 , 上 一 在局域 网中 , 网络 中实 际传输 的是 “ 据 帧” 数据 帧如 果要 费 AR ” 机 制 。所 谓 免 费 AR 数 , 我 P地 址 是 多 少 , 的 MAC地 址 是 多 我 到 达 目的 地 , 必 须 知 道 对 方 的 MAC 地 址 , 不 认 I 的 。 来 就 先 告 诉 别 人 , 的 I 就 它 P 少 , 的 主 机 无 需 广 播 , 已经 知 道 了该 主机 的 I 别 就 P和 MAC, 但 这 个 目标 M A 地 址 是 如 何 获 得 的 呢 ? 它 就 是 通 过 A C RP 下次需要 发到这个 I P的 时 候 , 接 发 就 行 了 。既 然 是 主 动 直 协 议 获 得 的 。所 谓 “ 址 解 析 ” 是 主 机 在 发 送 帧 前 将 目标 地 就 就 用 P地 I 址 转 换 成 目标 MAC地 址 的 过 程 。 AR P地 P协 议 的基 本 功 发 起 的 , 可 以 被 别 有 用 心 的 人 利 用 了 , 一 个 假 冒 的 I 可 加 能 就 是 通 过 目 标 设 备 的 I 地 址 , 询 目标 设 备 的 MAC地 址 ( 能 是 网 关 的 或 者 重 要 服 务 器 的 地 址 ) 上 自 己 的 P 查 MAC 出去 骗 别 人 , 把 重 要 的 信 息 都 骗 到 这 里 来 了 。 下 面 就 址 , 保 证 通 信 的顺 利 进 行 。 以
P欺 骗 的 具 体 操 作 过 程 。 每 台 安 装 有 T P I 议 的 电脑 里 都 有 一 个 AR C /P协 P缓 存 我 们 来 看 看 AR
表, 里的I 表 P地 址 与 MAC地 址 是 一 一 对 应 的 。

论校园网管理中ARP欺骗及攻击和安全防范措施

论校园网管理中ARP欺骗及攻击和安全防范措施

论校园网管理中ARP欺骗及攻击和安全防范措施通过介绍ARP协议的概念和工作原理,分析了当前ARP攻击的主要类型和特点,提出了一些具体的防范措施,来解决网络管理中出现的ARP的欺骗和攻击。

标签:APR;病毒攻击;防范措施1 ARP协议及欺骗原理1.1 ARP协议ARP欺骗,一个让我们耳熟能详的网络安全事件,普遍的存在于校园网、企业网等网络环境中,给我们的工作、学习和生活带来了很大的不变,轻则网络变慢、时断时续,重则直接无法上网、重要信息被窃取,可以说,ARP欺骗是网络的一块顽疾。

分析ARP欺骗,就不得不研究一下ARP协议,因为这种攻击行为正是利用了ARP协议本身的漏洞来实现的。

ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写,它的作用,就是将IP地址转换为MAC地址。

在局域网中,网络中实际传输的是“数据帧”,数据帧如果要到达目的地,就必须知道对方的MAC地址,它不认IP的。

但这个目标MAC地址是如何获得的呢?它就是通过ARP协议获得的。

所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。

ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC地址是一一对应的。

我们以主机A向主机B发送数据为例。

当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。

如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问。

网络上其他主机并不响应ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应。

这样,主机A就知道了主机B的MAC地址,它就可以向主机B发送信息了。

校园网ARP欺骗及攻击和安全防范措施

校园网ARP欺骗及攻击和安全防范措施

校园网ARP欺骗及攻击和安全防范措施【摘要】本文首先介绍了ARP协议的概念和工作原理,接着分析了当前ARP病毒的主要类型和特点,最后提出了一些具体的防范措施,来应对ARP的欺骗和攻击。

本文笔者结合自己的一些网络管理经验,对ARP病毒进行了分析和总结,并提出了相应的防范措施。

【关键词】APR 病毒攻击防范措施一、ARP协议及工作原理1. ARP协议简介ARP协议是Address Resolution Protocol地址解析协议的缩写,在局域网中以帧的方式进行传输数据,并且根据帧中目标主机的MAC地址来进行寻址。

在以太网中,一台主机要和另一台主机进行直接通信,就必须要知道目的主机的MAC地址,这个目的MAC地址就是通过ARP 协议获取的,地址解析就是主机在发送帧前将目的主机的IP地址转换成目的主机MAC地址的过程,这样才能保证局域网内各主机间可靠快速的通信。

2.ARP协议的工作原理a.在同一个网段内假设主机A和B在同一个网段,主机A要向主机B发送信息。

具体的地址解析过程如下。

(1)主机A首先查看自己的ARP缓存表,确定其中是否包含有主机B 对应的ARP表项。

如果找到了主机B对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。

(2)如果主机A在ARP缓存表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文。

由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机B会对该请求进行处理。

(3)主机B比较自己的IP地址和ARP请求报文中的目标IP地址,如果相同则将ARP请求报文中的发送端主机A的IP地址和MAC地址存入自己的ARP表中。

之后以单播方式发送ARP响应报文给主机A。

(4)主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP缓存表中以用于后续报文的转发,同时将IP数据包进行封装后发送出去。

浅析高校校园网的ARP攻击防御策略

浅析高校校园网的ARP攻击防御策略

0引言随着计算机网络的普及与发展,高校校园网已然成为学生学习、生活和教师工作的重要平台。

但随之而来的针对校园网的各式各样的攻击也层出不穷,其中,基于病毒的ARP 攻击最为普遍,令网络管理人员最为头疼。

目前,各高校针对ARP 病毒的防范手段比较单一,防范效果有限。

针对高校校园网的特点,应结合多种措施和手段对ARP 攻击进行防范。

本文分析了ARP 攻击的原理,从接入交换机、汇聚交换机和防火墙等多个层面提出了相应的ARP 防范手段。

1ARP 攻击原理ARP(Address Resolution Protocol)地址转换协议工作在OSI 参考模型的数据链路层,为上层网络提供服务的同时,与物理层之间通过硬件接口进行联系。

ARP 攻击可以简单分为两类:ARP 欺骗攻击和ARP 泛洪攻击。

这两类攻击程序都是通过构造非法的ARP 报文,修改报文中的源IP 地址或源MAC 地址,不同之处在于前者用自己的MAC 地址进行欺骗,后者则发送大量的虚假ARP 报文,造成网络拥塞。

ARP 攻击的典型症状主要有以下三种:(1)大量虚假信息存在于网关设备ARP 表项,上网出现间歇性中断;网页打开速度过慢。

(2)上网时会频繁弹出窗口广告。

下载的软件不适原本想要下载的,而是其它非法程序。

(3)终端不断弹出“本机的硬件地址与网络中的设备地址冲突”。

ARP 攻击原理相对简单和易于分析,但是对于网络攻击来说,原理越是简单,越易于扩散,对网络的危害也就越大。

欺骗攻击会普遍存在于没有验证机制的网络中,更容易被非法利用。

2ARP 攻击防御解决方案ARP 攻击的防御可以从接入交换机、汇聚交换机到网关设备,部署不同的ARP 防御措施,开启防护功能,高校可以根据不同的网络特点,选择不同的部署和解决方案。

2.1基于接入交换机接入交换机在网络设备中最接近用户一端,相对来说,也比较最容易采取相关的网络防护措施。

通过对接入交换机适当的配置,在交换机的个个端口内隔离网络威胁,从而避免对整个网络造成危害。

浅谈高校校园网中ARP欺骗的检测和防范

决 A P欺骗 的 目的。 R
关键 词 : R ; R A P A P欺骗 ; 口绑 定 ; 口隔 离 端 端
主机 B误认为主机 A的物理地址为是非法主机的物理地址,这样非法 近些年来 , 随着我国高校信息化建设的快速发展 , 校园内的工作 、 主机就在主机 A和主机 B之间充当中间人的角色 ,监听主机 A和主机 学习、 生活越来越离不开网络 , 校园网用户对互联网上进行各种文件的 B之间的通信。所有 A与 B之间传输的数据都将经过非法主机 , 再由非 下载与应用, 难免有包含一些不安全 的文件 , 使得高校校园网存在较多 法主机分别转发给主机 A和主机 B 。特别是当 目标主机是一台 D P HC 的安全隐患。其中 A P R 欺骗是最常见的一种病毒攻击方法 , 其传播速 服务器时 , 非法主机便可以冒充合法的 D C 服务器 , H P 然后为 D C H P客 度快 , 影响面积大, 往往造成校园网击大面积用户网络不稳定 、 上网速 户端分配—个经过修改的 D S N 服务器地址 ,在用户毫无察觉的情况下 度慢或网络中断。因此如何 防范 A P R 欺骗攻击 , 已成为网络管理员与 被引导至预先配置好的钓鱼网站, 进而骗取用户的账号和密码日 。 用户高度关注的问题。 4高校校园网状况 2A RP和 AR P欺 骗 的工作原 理 目前 , 所有国内几乎所有高校都或多或少的出现过 A P欺骗类病 R 2 R 协议工作原理 。A P是地址解析 ̄¥ A des eo — 毒爆发的现象 ,这种现象与高校校园网的管理混乱和复杂的网络用户 .A P 1 R X( drsR sl u t n rt o) i Po c1的缩写 , o o 它是一个数据链路层协议 , 工作在 O I S 七层模型的 群体是密不可分的, 具体来说高校校园网有如下几个特点: 第二层 ,它将网络层的逻辑地址 ( )映射到数据链路层 的物理地址 I P 4 网络基础环境良好。二十世纪九十年代 , . 1 国内各高校相继开始 ( C, MA )以便将 I P报文封装成以太帧发送, 达到通过 I 地址访问以太 组建校园网络, 、 P 百兆 千兆校园网络普遍存在 , 万兆校园网络屡见不鲜 , 网的 目的 。 校园网的用户群体一般也比较大 , 少则千人多则万人 , 高校学生住宿一 在网络中, 主机与主机之间的通信 , 必须进行 MA C地址和 I P地址 般 比较集中, 由于校 园网带宽高用户量大的特点 , 网络安全问题尤其是 之间的转换来完成。A P协议的工作原理就是通过广播式的请求和单 病毒传播 比 决, R 较 对网络的影响比 较严重。 播应答将 目标主机的 I 地址转换为 MA P C地址 , 目标 主机的 I 通过 P地 4 校园网管理的混乱。随着校园网诞生的同时 , . 2 高校也相继成立 址, 查询并翻译 目标主机的 MA C地址 , 也就是将网络层的 I 地址解析 了校一级别的网络管理部门 , P 负责学校的网络环境的建设和规划 , 但校 为数据链路层的 M C地址。 A 同时将转换关系分别存放在源主机和 目标 园网中的计算机的购置和管理情况却异常复杂 ,学生公寓中的电脑一 主机中的 A P缓存表中 , R 以便查询。 般是学生 自己购买、 自己维护, 教师办公用机和学校教学用机都是由各 2 R 欺骗工作原理。 R .A P 2 A P欺骗攻击是利用 A P R 协议本身的运 个部门统一采购。在这种情况下不可能做到所有的上网主机实施统一 行机制,可以对局域网上的机器进行攻击 ,攻击主机通过发送伪造的 的安全 政策 。 A P应答包来更新 目标主机的 A P缓存 ,从而赢得 目 R R 标主机的信任 , 4 用户群体的安全意识差 。在上网用户群体中, . 3 高学学生通常是 然后再实施有效攻击或非法监听网络数据包 , 造成 目标主机被破坏或 最活跃的网络用户, 网络新技术充满好奇 , 对 勇于尝试 , 但在求知的同 机密信 息 泄漏等一系列灾难 陛后果 , 甚至使整个局域网陷于瘫痪。 因此 时却往往忽视了安全意识 , 有些学生在无意中成为网络病毒的传播者 , 通过分析 A P R 协议的运行机制和 A P攻击手段 ,研究一种准确侦测 更有甚者少数学生会尝试使用网上学到的、甚至 自己研究的各种攻击 R 和安全防御 A P欺骗攻击的方案变得十分必要口 R 。 技术 , 同样对网络造成一定的影响和破坏。 3 A P欺骗 的攻击 手段 R 4 4网络环境的开放性。 在高校由于教学和科研的牛J 寺 决定了校园 随着网络技术的不断发展, 校园网给学校 的管理 、 、 工作 学习 、 生活 网络环境应该是开放的, 建设了许多多媒体教室和机房 , 相对而言这些 带来了方便 , 同时也给信 息安全提出了更大的挑战。 通过近几年对校园 教室和机房的管理也是较为宽松的。企业网可以限制允许 We 浏览和 b 网内不同程度爆发的几种典型 A P欺骗深入分析, R 欺骗的攻击方 电子邮件的流量 , R AP 甚至限制网络访问的端 口, 但是校园网一般不能实施 式也不断变化 , 除了众多的 A P攻击工具 , R 许多病毒也采用了 A P欺 过多的限制 , R 否则一些新的应用 、 新的技术很难在校园网内部实施。有 骗技术 ,其攻击方式更多样化和复杂化,破坏力也比以前更大。利用 时却必须为一些特殊的服务开启特别的端 口,这也为黑客和病毒的攻

校园网ARP欺骗原理与防御方法研究

校园网ARP欺骗原理与防御方法研究随着计算机网络的不断发展和普及,校园网络已经成为众多学生日常生活与学习中不可或缺的一部分。

然而,校园网络安全问题也越来越受到重视。

在校园网络中,ARP欺骗攻击是一种常见的攻击方式。

本文将对ARP欺骗的原理和防御方法进行探讨。

ARP协议的作用是将一个IP地址映射到一个MAC地址。

当主机在发送数据包时,需要根据目的IP地址查询对应的MAC地址,这时会向子网内广播一个ARP请求,请求MAC地址。

如果只有一个主机拥有该IP地址,那么该主机会响应ARP请求并返回自己的MAC地址。

攻击者可以利用这个过程,将伪造的MAC地址发给主机,主机就会误认为攻击者的MAC地址是目标地址的MAC地址,然后将数据包发送给攻击者。

这样攻击者就可以在网络上进行监听或篡改数据包。

在校园网络中,常常会出现学生通过ARP欺骗攻击获得其他学生的账户密码,获得对方的控制权。

为了保障学生的网络安全,防范ARP欺骗攻击变得尤为重要。

以下是一些防范措施:1. DHCP服务器限制IP地址在网络中,通过配置局域网中专用IP地址范围和分配规则,限制网络中每个设备可以使用的IP地址。

一旦出现非法IP地址,在网络管理员的监控下,可以快速有效地发现和处理非法连接。

2. 静态ARP表管理员可以配置所有网络连接设备的IP和MAC地址的静态ARP表,限制只有设备处于白名单中才能连入网络,从而避免网络被非法连接污染。

查询静态ARP表可以通过网络拓扑工具、arp搜索等方式实现。

3. 开启端口安全可以根据设备的MAC地址开启端口安全,每个端口只允许一个MAC地址,这样可以防止ARP欺骗,确保设备之间的通信安全和正常,同时不会因为MAC地址冲突导致网络故障。

4. ARP防火墙ARP防火墙可以对所有有攻击者MAC地址的ARP请求进行阻止,只有管理员配置进入ARP缓存表的设备MAC地址的ARP请求才能被放行。

这样可以防止ARP欺骗攻击的产生。

针对校园网中ARP欺骗的防御技术手段研究

息, 阻碍其他正常用户的网络通信。
成多个小的局域网段 , 网段 内用户可以进行 自由通信 , 网段间用
户不能直接通信, 这样A R P 攻击风险就被 限制在可控范围, 某 一
1 A RP 欺骗 攻 击手段 极 其对 校 园 网的影 响分 析
R P 欺骗攻击不会 影响到其他 网段用户。 校 园网内的用户进行通信 时首先 需要将用户的I P 地址对应 网段的A 进一 步的, 在 网段 间通信 时可 以使 用端 口隔离技术 , 该技 的转换为M A C 地 址才能够在两者之间建立通信链路进行数据通
网络地带 ・
针对校 园 网中ARP 欺骗 的防御技术手段研究
蒋 婷 ( 江苏省 宿迁卫生 中 等专业学 校, 江 苏 宿迁 2 2 3 8 0 0 )
摘 要 : A R P 欺骗 攻击是校 园网中最 为常见的攻击 方式之一。 本文首先对A R P , B  ̄ 骗 攻击实现 原理 、 攻击 方式 、 造 成 的影响等 内容 进行 了 介 绍 然后重点 对几种有 效的 、 可 防. t L A R P 欺骗 攻击 的安全 防护技 术 进行 了 研 究和分 析。

3 校园网用户防A R P 欺骗攻击
为提升校 园网的安全 性能 , 避 免A R P 欺骗攻击对用户带来
在用户端也应 该采 取必要 的安全 防护 措施。 具体来 台正常主机 的通信链路之 间, 正常主机 之间的通信 需要通 过被 安全威胁 , 感染主机 的转发 才能 实现 。 当 目标主机是D H C P  ̄务器时, 被感 说 , 用户应 该对系统和应用程序 等进行定期检测与漏洞修复 , 染主机 就有 可能将正常用户引导到钓鱼 网站 , 从而窃取用户 的 提 升操作系统本 身的安 全性 能。 同时用户还 可 以安装A R P 防火 重要账号资料。 墙、 病毒防护等软件。

校园网ARP欺骗攻击分析及解决办法(0)

校园网ARP欺骗攻击分析及解决办法ARP攻击是当前校园网遇到的一个非常典型的安全威胁,受到ARP攻击后轻者会出现大面积间歇性掉线,重者还会窃取各类用户密码,如QQ密码、网络游戏密码、网上银行账号等。

作为一名学校的网管员,笔者在与多起ARP欺骗攻击的的斗争过程中,对如何在校园网内及时发现、防范查杀攻击源的具体处理上积累了一定的心得,现作一整理,供兄弟学校的各网管员们参考借鉴。

1、与APR病毒有关的几个概念1.1:IP地址在网络中,为了区别每台计算机,我们给每一台计算机都配置一个号码,这个号码我们就将它叫做IP地址,有了这个IP地址我们在利用网络进行上网、传递文件,进行局域网聊天时才不会将发送给A计算机的信息错发到其它的计算机上。

IP地址采用十进制数字表示,如192.168.0.25。

1.2、MAC地址:MAC地址也叫物理地址,它相当于我们身份证,是全球唯一的。

当计算机的IP地址发生变化时,MAC地址也能帮助我们在庞大的计算机网络中找到自己需要的计算机。

MAC地址通常表示为12个16进制数,每2个16进制数之间用冒号隔开,如:00:0F:E2:70:70:BC。

在XP系统环境下本机的IP与MAC地址信息我们可以执行IPCONFIG /ALL命令进行查询(如图1)。

1.3、ARP地址解析协议从上面可知,在计算机网络中,如果仅依靠IP地址去传递信息是要发生错误的,因为IP地址会发生变化的。

为保证网络中信息传递的准确性,在某些时候我们就需要将IP地址与MAC地址进行捆定,完成这个功能的就是ARP地址解析协议。

网络中的每台电脑,它都会收集网络上的各台计算机的IP地址与MAC地址信息,将它储存在一个叫“ARP缓存表”的地方,当机器A要向机器B发送信息,它会查询本地的ARP缓存表,找到与B的IP地址对应的MAC地址后,接着使用这个MAC地址发送数据。

2、ARP欺骗的原理分析在这假设有一个有三台计算机甲、乙、丙组成的局域网,其中甲感染了ARP木马病毒。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Vol.40 No.3Jun. 2019大连大学学报JOURNAL OF DALIAN UNIVERSITY 第40卷 第3期2019年06月高校校园网防ARP 欺骗的研究张 峰,于秀敏,包 娟(哈尔滨学院,黑龙江 哈尔滨 150086)摘 要:随着校园网用户规模不断扩大,校园网内的各种病毒、木马等网络攻击现象逐渐增多。

校园网内开展的重要科研工作等网络信息的安全越来越受到格外重视。

高校校园网通常是一个规模较大的局域网,有用户多、结构复杂、设备陈旧、软硬件防护和维护不及时等特点。

校园网是ARP 欺骗等攻击的高发区,造成的影响和损失也是巨大的。

本文首先对ARP 协议进行了分析,在分析中找到问题的出处和突破点,其次基于ARP 欺骗的典型攻击手段进行分析,在此基础上最后提出防范防御的可行性系统解决方案,以提高和促进校园网络安全环境的优化。

关键词:校园网;计算机网络安全;ARP 欺骗中图分类号:TP393.08;TP393.18 文献标识码:A 文章编号:1008-2395(2019)03-0010-05收稿日期:2019-06-02基金项目:黑龙江省教育厅科学技术研究项目(12533041)。

作者简介:张峰(1975-),男,讲师,研究方向:计算机软件和网络、建筑电气与智能化。

0 引言ARP 欺骗攻击在2005年开始出现,主要的危害是网络变慢或不稳定、用户关键信息被窃取、严重的可造成网络完全瘫痪,给高校、企事业单位造成重大损失。

校园网是网络安全事件的高发区,网络安全对学生教师和学校影响也是巨大的,如何防范ARP 欺骗对于校园网是一个重要的问题。

现在ARP 攻击已经排在网络攻击的第五位[1]。

2018年3月美国300多所大学被怀疑遭到黑客攻击,嫌疑人还渗透了144所美国大学,并涉及21各国家的大学,窃取了31 TB 的数据价值30亿美元的技术信息。

2017年5月12日国内多所大学校园网电脑遭到病毒攻击,这就是著名的WannaCry 勒索病毒。

2019年勒索病毒有所减缓但其他形式的网络攻击成增长趋势。

网络攻击在网络各个层面出现,数据链路层有网络窃听攻击,主要就是利用ARP 欺骗,几乎可以窃听一切非加密信息。

还有地址欺骗攻击、信息扫描攻击、拒绝服务攻击、服务系统攻击等。

ARP 欺骗处在网络底层,具有难以网御、危害性大、难以全面杜绝的特点。

1 ARP 协议分析ARP (Address Resolution Protocol )协议又称地址解析协议。

ARP 处在OSI 七层模型的数据链路层[2],向下连接物理层,向上连接网络层。

物理层以电气信号为主要处理对象,网络层传输的就是人类比较容易理解的IP 地址等信息。

在物理层和网络层之间负责将网卡的MAC 地址和IP 地址间做转换翻译的就是ARP 协议。

ARP 协议中存在一个高速缓存表,记录了局域网内配置了TCP/IP 协议的计算机或网络设备的MAC 地址和IP 地址之间映射关系。

ARP 协议的主要功能就是负责建立维护这个映射关系表,并且在网络通信中需要查找某个IP 地址节点的时候提供最快的响应。

采取的方式就是收发报文包的形式,当需要知道某IP 对应的MAC 地址时就可以发请求报文(也称有偿报文),被请求主机ARP 报文不能穿过路由器,不能跨广播域。

跨越不同子网的请求是通过路由器代理中转的而非同一报文包,这就是ARP 代理。

得到请求信息后的主机不加分辨加入本机的映射表中,在之后的网络通信中使用这个表处理连接关系。

在这里有一个关键节点就是11第3期张 峰 等:高校校园网防ARP欺骗的研究网关它是受攻击后危害最大的地方也是防御的重点,这个点上既能看到子网内报文包也能看到出入子网内外的报文包。

2 ARP欺骗的基本原理2.1 ARP协议的不安全性ARP协议在建立映射表的时候采取发包-应答的简单方式。

在网络通信中当查找映射表发现没有相关信息时ARP协议以广播的形式发请求包,理想情况下特定一台节点响应请求,得到响应的主机记录响应信息。

这是个动态学习的过程,关键问题是学习内容的真实性在协议设计中没有考虑验证,ARP协议是无状态的。

为避免IP地址冲突ARP协议中有免费ARP[3](Gratuitous ARP 或称无偿ARP)的设计,这是个主动告诉别人自己IP和MAC的报文,不需要别人请求所以称为Gratuitous。

免费ARP通常在更换IP或设备重启时可能发送。

ARP协议不记得自己请求过,收到响应报文也不去识别,这是建立在信任网络的基础上。

可以说TCP/IP的设计年代没有也不可能考虑到现在这么复杂的网络环境。

IPV6已经取消了ARP协议取而代之的是一个邻居发现协议,但校园网大多还是采用IPv4,所以我们只能在分析一些恶意行为的基础上,在关键节点做防御性安全措施,这种安全措施必须在网络的全局考虑问题,形成协同、联动、系统性的解决方案。

2.2 ARP欺骗原理因为ARP的设计缺陷,对网络信息安全性过于理想化,导致攻击者有机可乘。

当映射表最初建立时本地主机向所在子网内广播请求信息,所有子网内主机都收到广播信息,但只有目标主机响应。

这里目标主机可能是真实主机,也可能是欺骗主机。

真实主机和欺骗主机都回复消息说自己是真的,当欺骗者信息量大过真实主机时,发起请求的主机记录下目标主机IP和对应的虚假的MAC。

映射表通常有两分钟左右的时限,但在时限内欺骗者可以接受到本不属于自己的信息,发送出虚假信息以达到欺骗的目的。

2.3 主要ARP攻击手段和现象从ARP协议内部看有以下几种方式:(1)虚假的ARP reply包,向其他主机散布假身份消息,有单播式和广播式。

(2)虚假的ARP request 包,这种方式表面是询问,实则为告诉别人假身份。

这样既探测别人的身份又告诉别人假身份。

(3)虚假中间人,也叫中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”),如SMB 会话劫持、DNS欺骗等攻击都是典型的MITM攻击。

基本原理就是在中间拦下信息以达到窃听、篡改的目的。

如B是处在A、C之间的欺骗者,B 告诉A自己是C,B又告诉C自己是A。

这种方式样危害性大隐蔽性强,A和C的信息B都能得到而A、C都不知道自己信息泄露。

随着交换机代替集线器和全交换网络被多层级汇聚型网络替代,简单的通过嗅探明文传输协议等方式的攻击变得难以实施。

现在多数是先进行ARP欺骗之后进行嗅探攻击,所以日常中应多采用加密传输协议如:SSL、HTTPS、FTPS等才可能避免损失。

从伪造身份角度看有:伪造主机,就是在其他主机ARP表中IP对应假MAC地址;伪造网关,这种方式影响最大。

网关被攻击后影响所有子网主机,所有传向网关的数据都被截获。

3 防ARP欺骗的策略分析3.1 手动方式手动方式常见的两种:(1)静态绑定:ARP 映射表条目分静态和动态两种,动态条目是ARP 报文自动生成,可老化可更新。

静态条目需手动配置不存在老化问题。

因为静态条目比动态的优先级要高所以不能被动态条目覆盖,从而保证了不被欺骗。

动态条目一般是两分钟无访问删除,而静态条目不同操作系统策略不同,有的操作系统会在重启后删除。

(2)安装防护软硬件:硬件上现在具有防护功能的网络连接设备已经很多。

如果有条件当然是升级硬件最简单,但是需要一定费用和调试周期。

市面上有很多防火墙软件可大连大学学报12第40卷以用,只能起到对单机一定保护作用。

用户自身也需养成维护电脑安全习惯,如系统补丁和病毒木马库升级,定期扫描等。

这需要用户懂得一些基本的网络知识和防护技巧。

3.2 全透明式防御全透明即用户无感知,用户不需要做任何改变,网络内部自身解决欺骗攻击等问题。

常见的方式有:(1)网络采用SuperVLAN或PVLAN 等。

SuperVLAN的思路简单讲就是隔离子网内的广播。

每个端口都只和网关单独联系,这是一种比较极端的做法,这样做只要保证网关安全就没法欺骗其他主机了。

PVLAN即私有VLAN(Private VLAN)基本思路也是隔离每个端口。

PVLAN可以节省VLAN,SuperVLAN可以节省IP地址。

(2)局域网内的主机IP地址和MAC地址绑定,网络设备是IP地址、MAC地址、端口都绑定。

这种方式设置量大,并且部分操作系统因为有漏洞而无效。

校园网内拨号软件(如)的IP绑定是为计费和溯源用。

3.3 半透明式防御这是一种比较折中的方案,用户需要做的是安装相应的防护软件,并在使用主机期间防护软件始终处于运行状态。

远程设置防护软件客户端的服务器,由客户端和服务器配合完成全部子网的巡查、发现、防护、处理等一系列措施。

其实这种方式理论上不需要每个子网每台主机都安装防护软件,一个子网内有一台即可发挥一定防护功能。

即使一个子网内没有任何机器安装客户端也可以采取代理网关防护的方式发挥防御欺骗的作用。

这种方式比较灵活,适应性较强,思路是对原校园网的改造只增不减改或尽可能少改。

虽不能保证达到100%的防护也是在现有硬件条件下防护性较强的方式。

4 校园内网防ARP欺骗可行性方案这里采用半透明式防御,遵循只增不减改原网络内容的半透明式方案有几个显而易见的好处:(1)原网络和新网络问题界定清晰;(2)新网络软硬件部署和升级灵活;(3)投资和部署可以分步分批逐渐加强;(4)可以在防ARP欺骗的基础上追加其他防范能力。

这个思想来源于软件业的开放封闭原则,对于扩展开放对于修改关闭。

4.1 主要防护软硬件4.1.1防御服务器服务器部署在校园网的核心层,能访问到所有客户端程序。

服务器记录维护着所有主机和网络设备的IP地址、MAC地址以及端口号等关键信息,并可以标记绝对安全(可信)记录。

服务器收集所有客户端反馈的ARP收发包信息,以此根据规则判断是否被欺骗或有欺骗行为,并根据判断发出警报采取反欺骗措施。

服务器还可包括静默升级客户端、广播式操控客户端、以MQ (Message Queue,消息队列)方式收发消息、设置防御等级等基础能力。

MQ的消息中间件产品RabbitMq是较好的选择[4]。

4.1.2客户端软件客户端部署在最终用户主机上,主要功能是监听ARP消息并发给服务器,可周期性间歇式监听。

客户端可接受服务器指令连接、停止与其他主机的信息交流。

客户端可反馈子网内其他用户主机的信息给服务器。

客户端可接受服务端发来可信IP-MAC映射关系并做静态绑定。

如果子网内有欺骗者和被欺骗者(未做防护),客户端可接受服务端发来的指令阻断欺骗行为。

客户端可手动向服务器登记、变更IP-MAC映射信息,服务器审核登记并标记可信。

4.1.3代理网关取代原路由器端口为子网网关。

可以是一台双网卡计算机,也可以是一个运行JVM的双网口设备。

软件和客户端软件是相同的,通过设置配置属性可以以后台线程方式运行于微型操作系统上。