浅析ARP欺骗对校园网的危害及防范

摘要:ARP欺骗是利用地址解析协议的漏洞扰乱局域网正常运行,有较大危害的一种黑客行为.ARP欺骗在校园网中的传播,既影响了正常的教学工作,也给网络管理带来极大的不便。该文通过对ARP欺骗工作原理的分析,试图寻找较好的防范方法。

关键词:ARP欺骗;网络安全;防范

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)27-7655-02

Analyze and Guard the Damage of ARP Spoofing to Campus Network

CHEN Yi-kuang

(Dept. of Phys. and Elec. Tech. Hanshan Teachers College, Chaozhou 521041, China)

Abstract: ARP spoofing can bring the great damage to campus network because of the limitation of Address Resolution Protocol. It can cause inconvenience in study. And it is also the great disturbance of campus network management. This paper analyses the principle of ARP attacking. And try to find out the best defense to ARP spoofing.

Key words: ARP spoofing; network safety; guard

校园网是局域网的一种特例,它既有局域网通信速率高、共享资源方便等优点,也存在病毒易传播而难清除等缺点.负责将网络层IP地址转变成数据链路层MAC地址的地址解析协议(ARP)自身存在一些缺陷,从而在应用中存在一些安全隐患.ARP欺骗正是利用这些缺陷发动攻击,给网络管理带来严峻的考验。由于ARP攻击发生在局域网内部,很容易被系统管理人员或用户误判为网络主干设备工作不稳定。因此准确判断和有效防范ARP欺骗的方法在校园网管理中显得非常的重要。

本文首先简要介绍ARP协议并浅析ARP欺骗的工作原理,以及ARP欺骗的分类.在此基础上,对防御ARP攻击提出一些建议。

1 ARP协议的工作原理

以太网上的每台主机都有两个地址,一个是48位的物理地址,也叫MAC地址,它储存在网卡中且不能更改;另一个是32位的IP地址,用于在网络中区别不同的主机,如图1所示.地址解析协议(ARP)负责将IP地址转换为MAC地址.每台主机上都有一张ARP缓存表,记录着IP地址与MAC地址的对应关系.当其中一台主机需要将一个数据包发送到另外一台主机时,因为只知道目的主机的IP地址,并不知道目的主机的MAC地址.所以发出数据包的主机会首先检查自己的ARP缓存表,看是否存在该IP地址对应的MAC地址.如果有,就直接将数据包发送到这个MAC地址;如果没有,就会向本地网络发出一个ARP请求的广播包.广播包中包含了发出广播包的主机的IP地址、MAC地址和目的主机的IP地址.本地网络中的主机在收到这个ARP广播包后会检查广播包中目的主机的IP地址,看是否跟自己的IP地址相同.如果不同,丢弃这个广播包;如果相同,回复一个包含自身MAC地址的ARP应答。

2 ARP欺骗的工作原理

ARP协议的基础是信任局域网内所有的人,而ARP欺骗恰恰是利用了这种信任.欺骗者的主机首先发出一个ARP回复,注意,这是一个并非对应ARP请求广播包的回复,而是欺骗者伪造的一个ARP回复.在以太网中,没办法对数据包进行真实性检查,因此没法发现这是一个伪造的ARP回复.而且在ARP协议中并没有规定要提出请求然后才能有回复,这是为了在某台主机的IP地址发生改变时可以第一时间通知其它主机.因此该回复会被该回复数据包中的目的主机所接受,这个目的主机又称为被欺骗的主机,它会根据数据包内的错误内容刷新自己的ARP缓存表.当被欺骗的主机要发送数据包给另一个主机的时候会先查询ARP缓存表中目的主机的IP地址所对应的MAC地址.如果这个MAC地址恰好根据之前欺骗者伪造的ARP回复而做了错误的修改,那么被欺骗主机所发出的数据包就没办法到达目的主机。

3 ARP欺骗的分类

ARP欺骗可以大致分成两类,一类是对网关的欺骗,即篡改网关的ARP缓存表.首先伪造IP地址及其对应的MAC地址,通知网关做修改,其中IP地址是正确的但其对应的MAC地址是错误的.然后按照一定频率不断刷新网关的ARP缓存表,使得真实的MAC地址无法保存在网关的ARP缓存表中.结果通过网关的所有数据都被送到错误的地址,该网段的网络瘫痪。

大多数学校机房的计算机都安装有还原精灵,每次开机就将硬盘还原成初始状态,用于保证病毒不会存留在计算机硬盘上.但是这样的设置却使得防毒软件的病毒库没法及时更新,因此无法阻拦新的病毒.一些同学将携带ARP病毒的U盘连接到机房的计算机上,在使用计算机的过程中,这些ARP病毒会攻击所在机房的网关,从而造成该网段所有用户都上不了网.网关欺骗的危害是巨大的,会严重影响教学的正常进行,也为网络管理带来很大的麻烦。

另一类ARP欺骗专门针对局域网内的主机.欺骗者首先将自己的主机伪造成网关,然后刷新其他主机的ARP缓存表.这样该网段内所有主机发出的数据都会通过欺骗者的主机,欺骗者可以通过一些嗅探软件窃取被欺骗者的密码和访问信息.欺骗者在接收被欺骗者发出的数据后将其转发给真正的网关,得到的反馈数据则通过网关先传给欺骗者的主机,然后再由欺骗者的主机转发给被欺骗者的主机.如果欺骗者选择不转发被欺骗者的数据,则被欺骗者无法上网,从而欺骗者的主机独享了整条线路的带宽。

4 防范ARP攻击的一些建议

基于校园网的特点,对ARP攻击的防范提出如下建议:

第一,要及时更新计算机的病毒库以及升级操作系统。对于在宿舍或办公室上网的用户,建议启动操作系统和杀毒软件的自动更新,或者定期下载学校FTP服务器上最新的病毒库以及操作系统的升级包来更新杀毒软件和操作系统;对于机房中的计算机,由于安装了还原精灵,每次开机,病毒库和操作系统将还原至初始状态,解决的方法可以在开机设置中添加相应的提示文本并让用户一进入操作系统就自动登录FTP服务器下载病毒库和升级包来更新杀毒软件和操作系统.对于安装后需要重新启动计算机的升级包,则由系统管理员负责更新.在局域网内下载病毒库和升级包这种小容量的文件并进行安装不会花费用户太多的时间,一旦用户养成习惯,不仅可以保证机房的计算机抵御ARP攻击,还可以查杀其它的病毒,可以说是一举两得。

第二,使用ARP防火墙。国内目前比较流行的有AntiARP防火墙、金山ARP防火墙、奇虎360ARP防火墙等。其中AntiARP因其功能强大且安装简单而深受好评,以单机个人版V5.01在Windows2000/XP/2003上安装为例。双击安装程序,然后一直点击下一步,安装完成之后在操作系统的任务栏中将添加一个红色的盾牌。对于普通用户,无需对软件做进一步设置。

第三,将IP地址和MAC地址进行静态绑定。从前面ARP欺骗的工作原理可以得知欺骗者通过修改ARP缓存表中IP地址所对应的MAC地址来达到欺骗的目的。如果将IP地址与MAC地址进行静态绑定,使之不能修改,则欺骗者的伎俩无法得逞.但是这样做的缺点是一旦网络硬件发生改变,比如对调了两台计算机的位置从而改变了各自连接的网络端口,就必须对所有计算机的ARP缓存表进行更新,因此该方法比较适合于网络环境较少发生变化的机房。

第四,利用各种监测网络的软件,比如Sniffer这款软件,可以检测局域网中每台计算机发出的ARP数据包,能够发现是否存在ARP欺骗,以及哪台计算机正在进行ARP欺骗。不过采用这个方法比较被动,同时也会加大网络管理员的工作量。

参考文献:

[1] 吕晓阳.计算机网络应用[M].广州:广东科技出版社, 2001:19-24.

[2] 张鸿波,任志刚,肖静.MAC地址与交换机端口绑定方法的实践[J].中国数字医学,2007,(7):53-55.

[3] 王奇.以太网中ARP欺骗原理与解决方法[J].网络安全技术与应用,2007,(2):42-44.

[4] 崔北亮,杨小健.针对校园网中ARP攻击的防御[J].南京工业大学学报,2007,(5):78-81.