论文部分内容阅读
摘 要:ARP欺骗攻击是校园网中最为常见的攻击方式之一。本文首先对ARP欺骗攻击实现原理、攻击方式、造成的影响等内容进行了介绍,然后重点对几种有效的、可防止ARP欺骗攻击的安全防护技术进行了研究和分析。
关键词:ARP欺骗;校园网
校园网网络环境复杂,用户数据交换频繁,用户安全防范意识参差不齐,这些因素极易导致校园局域网中出现网络故障。ARP欺骗是一种常见的校园网网络攻击方式,其利用ARP协议本身缓存更新这一协议缺陷来向网络用户发送大量的报文信息,阻碍其他正常用户的网络通信。
1 ARP欺骗攻击手段极其对校园网的影响分析
校园网内的用户进行通信时首先需要将用户的IP地址对应的转换为MAC地址才能够在两者之间建立通信链路进行数据通信,这一过程需要使用ARP协议来完成。ARP欺骗即利用该协议缺陷不断向网络内其他用户发送伪造的ARP應答包来扰乱其他用户的缓存表,进而达到对用户监听或攻击的目的。
校园网的网络环境开放性高,管理相对宽松,学生用户数大,但是安全意识参差不齐,一旦出现ARP欺骗攻击,会对校园网带来非常大的安全隐患。目前校园网常见的ARP欺骗攻击方式主要体现在以下几个方面。
⑴对其他主机用户进行通信监听和数据包篡改。ARP协议是校园网所使用的通信协议之一,其不是病毒,因而安全防护软件不会对其进行查杀。利用这一特点,感染ARP欺骗程序的用户主机会不断的向校园网内其他用户主机发送相应的ARP协议,通过该协议其可以监听到其他用户的通信数据,更为严重的是,ARP欺骗病毒还有可能对所监听到的数据包进行非法篡改,在其中添加恶意网址等信息。
⑵冒充主机,阻碍其他用户的网络访问。ARP欺骗攻击病毒会在局域网内伪造一台虚假的主机,同时频繁在局域网内对其IP地址与MAC地址进行广播。
⑶数据截取。ARP欺骗攻击还有可能将被感染主机插入两台正常主机的通信链路之间,正常主机之间的通信需要通过被感染主机的转发才能实现。当目标主机是DHCP服务器时,被感染主机就有可能将正常用户引导到钓鱼网站,从而窃取用户的重要账号资料。
2 ARP欺骗防御技术
综合考虑校园网的网络特点,可以通过配置路由交换设备等从根本上消除ARP欺骗攻击对网络用户的影响。
2.1 双向静态映射
校园网通常是由多个层次构成的,在可控的层级内为路由设备建立静态MAC地址映射并对其进行手动维护可以有效防止ARP欺骗攻击所带来的ARP缓存表动态更新状况的发生。鉴于ARP攻击的目标分为路由和目标主机两种,故静态IP-MAC地址映射也分为两种。但是实际执行过程中静态映射的设置需要同时修改目标主机、网关以及路由器管理页面的IP-MAC等三部分内容。需要注意的是,双向静态映射建立完毕后,网络管理相关人员需要按照校园网使用情况对ARP缓存进行定期检查和更新。
2.2 VLAN和端口隔离技术
校园网中的网络通信分为网内通信、网外通信两种,为满足用户的网络通信需求同时降低ARP欺骗攻击风险,可在网络交换设备中部署VLAN技术。该技术可以将校园网内的用户主机分成多个小的局域网段,网段内用户可以进行自由通信,网段间用户不能直接通信,这样ARP攻击风险就被限制在可控范围,某一网段的ARP欺骗攻击不会影响到其他网段用户。
进一步的,在网段间通信时可以使用端口隔离技术,该技术既可以保证用户通过VLAN端口与外网通信,还能够将用户主机端口的广播限制在其所在的VLAN内,避免不同VLAN之间的相互探测,进而阻止ARP欺骗攻击行为的出现。
2.3 DHCPSnooping技术
为便于使用,某些学校或某些环境下的网络用户IP地址是由DHCP服务器动态分配的,这种情况下就无法使用IP-MAC双向静态映射的方式来防御ARP欺骗攻击。此时可以使用DHCPSnooping技术来增强校园网的网络安全性能,避免ARP攻击造成的大范围网络故障出现。
该技术会在DHCP服务器中建立一个DHCPSnooping绑定表,表中将用户相关信息分为可信区域和不可信区域。其中可信区域包含了DHCP服务器为信任主机分配的IP地址及其MAC地址。在网络内用户发送ARP报文时,交换机等设备会对报文中的IP地址和MAC地址进行匹配检查,只有通过检查的主机信息才能够被发送出去。未通过检查的用户相关信息会被记录到不可信区域进行记录和管理。
3 校园网用户防ARP欺骗攻击
为提升校园网的安全性能,避免ARP欺骗攻击对用户带来安全威胁,在用户端也应该采取必要的安全防护措施。具体来说,用户应该对系统和应用程序等进行定期检测与漏洞修复,提升操作系统本身的安全性能。同时用户还可以安装ARP防火墙、病毒防护等软件。
4 总结
ARP欺骗攻击是校园网内最为常见的攻击方式之一。鉴于ARP协议本身存在缺陷,故针对ARP的欺骗攻击是无法避免的。但是必要的安全防护策略可有效提升校园网的安全性能,降低ARP欺骗攻击所带来的损失。
[参考文献]
[1]马丽君.基于校园网ARP欺骗分析及防御技术[J].数字技术与应用,2012(02).
[2]姚圣军.浅析ARP欺骗的原理及校园网ARP欺骗的防御方法[J].教育观察,2012(7).
[3]方禹润.浅谈高校校园网中ARP欺骗的检测和防范[J].黑龙江科技信息,2011(12).
[4]秦丰林,段海新,郭汝廷.ARP欺骗的监测与防范技术综述[J].计算机应用研究,2009,26(1):30-33.
关键词:ARP欺骗;校园网
校园网网络环境复杂,用户数据交换频繁,用户安全防范意识参差不齐,这些因素极易导致校园局域网中出现网络故障。ARP欺骗是一种常见的校园网网络攻击方式,其利用ARP协议本身缓存更新这一协议缺陷来向网络用户发送大量的报文信息,阻碍其他正常用户的网络通信。
1 ARP欺骗攻击手段极其对校园网的影响分析
校园网内的用户进行通信时首先需要将用户的IP地址对应的转换为MAC地址才能够在两者之间建立通信链路进行数据通信,这一过程需要使用ARP协议来完成。ARP欺骗即利用该协议缺陷不断向网络内其他用户发送伪造的ARP應答包来扰乱其他用户的缓存表,进而达到对用户监听或攻击的目的。
校园网的网络环境开放性高,管理相对宽松,学生用户数大,但是安全意识参差不齐,一旦出现ARP欺骗攻击,会对校园网带来非常大的安全隐患。目前校园网常见的ARP欺骗攻击方式主要体现在以下几个方面。
⑴对其他主机用户进行通信监听和数据包篡改。ARP协议是校园网所使用的通信协议之一,其不是病毒,因而安全防护软件不会对其进行查杀。利用这一特点,感染ARP欺骗程序的用户主机会不断的向校园网内其他用户主机发送相应的ARP协议,通过该协议其可以监听到其他用户的通信数据,更为严重的是,ARP欺骗病毒还有可能对所监听到的数据包进行非法篡改,在其中添加恶意网址等信息。
⑵冒充主机,阻碍其他用户的网络访问。ARP欺骗攻击病毒会在局域网内伪造一台虚假的主机,同时频繁在局域网内对其IP地址与MAC地址进行广播。
⑶数据截取。ARP欺骗攻击还有可能将被感染主机插入两台正常主机的通信链路之间,正常主机之间的通信需要通过被感染主机的转发才能实现。当目标主机是DHCP服务器时,被感染主机就有可能将正常用户引导到钓鱼网站,从而窃取用户的重要账号资料。
2 ARP欺骗防御技术
综合考虑校园网的网络特点,可以通过配置路由交换设备等从根本上消除ARP欺骗攻击对网络用户的影响。
2.1 双向静态映射
校园网通常是由多个层次构成的,在可控的层级内为路由设备建立静态MAC地址映射并对其进行手动维护可以有效防止ARP欺骗攻击所带来的ARP缓存表动态更新状况的发生。鉴于ARP攻击的目标分为路由和目标主机两种,故静态IP-MAC地址映射也分为两种。但是实际执行过程中静态映射的设置需要同时修改目标主机、网关以及路由器管理页面的IP-MAC等三部分内容。需要注意的是,双向静态映射建立完毕后,网络管理相关人员需要按照校园网使用情况对ARP缓存进行定期检查和更新。
2.2 VLAN和端口隔离技术
校园网中的网络通信分为网内通信、网外通信两种,为满足用户的网络通信需求同时降低ARP欺骗攻击风险,可在网络交换设备中部署VLAN技术。该技术可以将校园网内的用户主机分成多个小的局域网段,网段内用户可以进行自由通信,网段间用户不能直接通信,这样ARP攻击风险就被限制在可控范围,某一网段的ARP欺骗攻击不会影响到其他网段用户。
进一步的,在网段间通信时可以使用端口隔离技术,该技术既可以保证用户通过VLAN端口与外网通信,还能够将用户主机端口的广播限制在其所在的VLAN内,避免不同VLAN之间的相互探测,进而阻止ARP欺骗攻击行为的出现。
2.3 DHCPSnooping技术
为便于使用,某些学校或某些环境下的网络用户IP地址是由DHCP服务器动态分配的,这种情况下就无法使用IP-MAC双向静态映射的方式来防御ARP欺骗攻击。此时可以使用DHCPSnooping技术来增强校园网的网络安全性能,避免ARP攻击造成的大范围网络故障出现。
该技术会在DHCP服务器中建立一个DHCPSnooping绑定表,表中将用户相关信息分为可信区域和不可信区域。其中可信区域包含了DHCP服务器为信任主机分配的IP地址及其MAC地址。在网络内用户发送ARP报文时,交换机等设备会对报文中的IP地址和MAC地址进行匹配检查,只有通过检查的主机信息才能够被发送出去。未通过检查的用户相关信息会被记录到不可信区域进行记录和管理。
3 校园网用户防ARP欺骗攻击
为提升校园网的安全性能,避免ARP欺骗攻击对用户带来安全威胁,在用户端也应该采取必要的安全防护措施。具体来说,用户应该对系统和应用程序等进行定期检测与漏洞修复,提升操作系统本身的安全性能。同时用户还可以安装ARP防火墙、病毒防护等软件。
4 总结
ARP欺骗攻击是校园网内最为常见的攻击方式之一。鉴于ARP协议本身存在缺陷,故针对ARP的欺骗攻击是无法避免的。但是必要的安全防护策略可有效提升校园网的安全性能,降低ARP欺骗攻击所带来的损失。
[参考文献]
[1]马丽君.基于校园网ARP欺骗分析及防御技术[J].数字技术与应用,2012(02).
[2]姚圣军.浅析ARP欺骗的原理及校园网ARP欺骗的防御方法[J].教育观察,2012(7).
[3]方禹润.浅谈高校校园网中ARP欺骗的检测和防范[J].黑龙江科技信息,2011(12).
[4]秦丰林,段海新,郭汝廷.ARP欺骗的监测与防范技术综述[J].计算机应用研究,2009,26(1):30-33.