浅析无线校园网络的ARP欺骗防范

摘要：ARP欺骗攻击在有线校园网时期曾对各高校造成了很大的影响，而随着数字化校园建设项目的进一步展开，无线网络的优势使得各高校在日常教学、科研、管理等方面享受到了前所未有的便捷，因而对无线校园网的依赖程度正逐步加深。这期间，ARP欺骗攻击同样也对无线校园网造成了一定程度的危害。本文在分析了ARP欺骗原理的基础上，针对无线校园网的ARP欺骗防范措施提出了一些建议。

关键词：无线；校园网；ARP欺骗

中图分类号：TP393.18 文献标识码：A文章编号：1007-9599(2012)05-0000-02

在有线校园网大面积普及时期，ARP欺骗攻击一度成为影响校园网稳定运行的主要风险之一，可谓是谈及色变――轻则影响正常的工作秩序，重则导致整个网络陷入瘫痪，给日常教学、训练和管理带来了巨大的损失。随着我国教育行业信息化工作的逐步深入以及数字化校园建设项目的进一步展开，无线校园网以其独有的特点和优势正逐步被各高校所接受。依托无线通信网络,学校的教学、科研、管理和服务等各项业务变得越来越便捷,教学模式变得越来越人性化，各级人员对无线网络的倚赖程度也变得越来越高。虽然无线网络的安全性在某些方面要高于有线网络，但还是面临着不少的安全威胁，这其中ARP欺骗攻击仍旧是危害性较大的威胁之一，也是网管人员在管理无线校园网过程中比较头疼的问题。

一、无线校园网的优势及面临的安全问题

相对于有线校园网络，无线技术“自由”、“灵活”的特点在校园网应用中体现的淋漓尽致。无线校园网一方面为师生们带来了更人性化、更灵活高效的工作、教学和学习体验；另一方面也迎合了教育信息化的发展趋势，持续推动了校园文化迈向更深一步的变革。目前，无线校园网已成为提升教学环境质量、提高教育信息资源利用率、增加教学方法灵活性的重要方式，其优势如下：

（一）信号覆盖全面

有线校园网目前存在许多“网络盲点”，如会议室、图书馆、操场、体育馆等一些不宜布线的场所。通过合理布置无线网络接入点，可使无线网络信号覆盖整个校园，且由于不再受到有线介质的限制，学校方面也能更方便地配置各类教学场地，真正实现数字化校园的功能。

（二）扩展灵活，成本较低

对于有线校园网来说，位置变更或拓扑结构改变通常意味着重新布线建网，这是一项耗时耗力耗资金的工程。使用无线接入技术，可在临时性位置和一些物理布线困难的地方从容扩展网络，使用户不再受到线路的限制。同时，由于WLAN技术本身就是面向数据通信领域的IP传输技术，因此能够直接与已建成的有线校园网高度集成，从体系结构上节省了协议转换器等相关设备，而且还能使学校已有投资和信息资源不被浪费。

（三）维护方便，管理高效

有线校园网的检测维护是非常繁琐的，当遇到某条线路出现物理断路，维护人员很难快速地查到断裂点，通常只有整条线路更换，维护成本较高。而采用无线接入方式，则容易许多，维护人员只需检测出现故障的无线接入点设备即可。另外，无线校园网的管理维护与有线校园网并无太大不同，完全可根据已有规则稍作修改来进行管理。

当然，无线校园网的便利也给其带来了不少的安全隐患，具体问题包括：WEP破解（易于侵入）、 物理地址欺骗（ARP欺骗攻击）、非法AP、流量分析与侦听、信号干扰（使用同频率的干扰信号扰乱无线网络的正常运行）、未经授权使用服务（占带宽）等等，本文重点分析无线校园网对ARP欺骗攻击的防范措施。

二、基于网络管理端的防范策略

对于无线校园网中的ARP欺骗攻击，应以预防为主，网管人员应采用如下几种方法：

（一）网关的ARP绑定。根据ARP欺骗攻击的原理我们可知道其攻击的对象有两类――网络网关和用户端计算机，因此ARP绑定也分为网关ARP表的绑定和用户端本地ARP表的绑定，这称为ARP双向绑定。如果只单一的将路由器的ARP表绑定了而没有将用户端的ARP表绑定，无线校园网内用户端被恶意修改ARP表后就不会把数据包发送到网关上，而是发送到一个错误的MAC地址上，这样就会造成网关无法访问或网络堵塞。这里先说明网关的ARP绑定。在无线校园网中，无线AP端一般有两种连接方式：一是以有线介质与有线校园网连接；二是以客户端模式（AP Client）与其他AP连接。因此，我们应主要在与无线AP相连的有线网关处进行绑定，即在网关处绑定各用户终端的“IP-MAC地址映射”或绑定“交换机端口-MAC地址映射”（有的网关设备还能提供IP地址、MAC地址和交换机端口的同时绑定）。

（二）运用VLAN划分技术。VLAN技术增加了广播域的数量，减少了广播域的范围，使得广播信息只在本VLAN中传播，无线网络在校园的有效带宽得到增加，网络性能得到提高。即使出现ARP欺骗攻击，也可将影响控制在较小的范围内，便于检测处理。同时，维护人员也可借助VLAN技术，简化网络管理，有效抑制广播风暴的出现，以便提高无线网络的安全性。

（三）使用带有动态ARP监测功能的交换机。动态ARP监测技术DAI（Dynamic ARP Inspection）能动态绑定IP地址和MAC地址的对应关系，它需要和DHCP监听（DHCP Snooping）软件配合使用。在交换机上启用DHCP监听功能，根据其建立DHCP绑定表，动态ARP监测程序即可在相关端口自动检测ARP数据包是否来自于正确的端口，并且未被攻击者所更改或者欺骗。此外，动态ARP监测交换机还能通过控制ARP在某个端口的请求报文数量来防止ARP欺骗攻击。

经过上述几项防范措施，可在很大程度上避免ARP欺骗攻击的出现，但如遇到网络不稳定等现象，也可利用无线网络监测工具（如sniffer等）快速检测出ARP攻击源，并显示该终端的网络名、IP地址和MAC地址，切断其与无线网的连接；随后通过预先登记的信息找到使用该终端的用户信息，通知该用户进行必要的操作，如重新安装操作系统或彻底杀毒修复系统等；经确定该终端安全后，才可再次恢复其与无线网的连接。虽然包括工具检测、人工通知、终端维护以及手动断连网等一系列步骤使得整个维护过程耗时较长，但如果预防措施严谨的话，应该能很好地控制ARP欺骗攻击所影响的范围，而且也能减轻网管人员的工作负担，提高处理效率。

三、基于用户端的防范策略

对终端用户进行必要的培训，以提高其使用计算机的安全意识是很有必要的。另外，在允许无线接入的终端应采取如下措施防范ARP欺骗攻击：

（一）用户端ARP绑定

根据前面所述ARP双向绑定，用户终端也需进行绑定。正常情况下，终端用户可通过arpa命令获取正确的网关IP和网关接口的MAC地址，并在终端上绑定网关的“IP-MAC地址映射”。另外，也可以编写一个批处理文件，内容如下：

@echo off

arp - d（清零ARP缓存地址表）

arp - s 10.10.10.1 11-22-33-aa-bb-cc（绑定正确的网关IP和MAC地址）

可在系统启动后双击加载此批处理文件，也可将此文件随系统启动运行。

（二）关闭不常用的共享服务

操作系统中的共享服务通常都是薄弱点，诸如打印机共享、文件共享等服务应在需要的时候再打开，且同时必须设置好权限，指定账号或特定主机才能访问，并设置不可写入。

（三）安装ARP防火墙

现在市面上用来防范ARP欺骗攻击的软件很多，如金山防火墙、彩影防火墙、360ARP防火墙等等，无论选择哪种防火墙，必须保证其包含以下几种主要功能：

一是能拦截对外ARP攻击――即将本机对外的ARP攻击数据包在系统内核层拦截，避免ARP病毒感染本机后成为攻击源；二是能拦截外部ARP攻击――即将接收到的虚假ARP数据包在系统内核层拦截，保障本机有一个正确的ARP缓存表；三是能拦截IP冲突――即把接收到的IP冲突数据包在系统内核层拦截，避免因IP冲突造成无线网络的断开；四是能主动防御――即主动将正确的MAC地址向网关通告本机，保障网关不受到ARP欺骗的影响。

此外，还应提醒用户加强对计算机系统的本身加固，如安装杀毒软件、及时安装补丁程序等，以便更好地维护系统。建议推荐用户端使用：网络版瑞星杀毒软件 + 360安全卫士（带防火墙）。

四、结束语

ARP协议自身的缺陷是ARP欺骗攻击的根源所在。无论是在有线校园网大面积普及时期还是在有线、无线校园网并存时期，这类攻击从未真正的消失过。本文对ARP攻击原理进行了分析，并针对性地提出了一些防范措施，多种方法配合使用，可在较大程度上避免ARP欺骗攻击的出现。此外，网管人员的细心维护和用户的安全意识也是必不可少的因素。如何采用更加快捷、有效的方法，在有线和无线校园网高度集成的基础上，第一时间检测并处理ARP欺骗攻击将是值得探索的方向。

参考文献：

[1]黎连业,郭春芳.无线网络及其应用技术[M].北京:清华大学出版社,2004,8

[2]任侠,吕述望.ARP协议欺骗原理分析与抵御方法[J].计算机工程,2003,9

[3]王隆娟,杜文才,姚孝明.浅谈无线网络安全问题[J].信息安全与技术,2010,06

[4]李吉平,郭凤宇.浅谈无线网络的安全隐患及应对措施[J].科技信息,2009,3

[5]李强.校园无线网安全策略研究[J].电脑知识与技术,2008,35