论文部分内容阅读
摘要:高校是ARP问题的一个高发区域,而且有着与其他企业非常不同的特点,尤其体现在用户的数量和活跃程度上,该文根据不同的安全区域,将高校分成学生宿舍区域、电子机房区域、应用服务器区域,并分别分析了不同区域的ARP问题发生特点。
关键词:ARP欺骗;ARP广播;中间人攻击
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)20-4594-02
高校的一个突出特点是网络规模大,学生思维活跃,而且相对于企业而言,其网络形式多样,包括教室区域,学生宿舍区域,应用服务器区域,各个区域之间都是不同的安全级别,尤其是学生宿舍区域和教室区域,管理不可能过于严格,给信息安全带来很大的压力,其中一个突出的问题就是ARP相关问题。
提起ARP问题,最引人注目的就是ARP欺骗问题,包括ARP病毒问题、由ARP欺骗引起的中间人攻击问题;但是另外一个不是那么引人注意的问题,其实也给网络带来了非常严重的后果,那就是ARP广播风暴问题,下面一一的论述。
1 学生宿舍区域现状分析
1)学生宿舍区域由于ARP欺骗而引起的中间人攻击问题。学生思维活跃,而且对网络更加熟悉和依赖,在上网娱乐和学习过程当中,部分学生由于行为不慎,很容易感染ARP病毒,从而导致在宿舍区域大范围的影响,比如曾经很有名的传奇盗号木马,就是通过ARP欺骗的方式,以某个中毒的机器为节点,获取整个网段内的传奇游戏的上网账号,带来很严重的后果,也颠覆了大家对盗号行为发生的看法:不是一定要自己中毒才会导致账号丢失。其发作特点是:断两次网,然后就恢复正常,其中第一次断网是ARP病毒发作,伪装成成网关,断网之后学生就会再次登录,此时就可以顺势获取上网账号和密码;第二次断网是当病毒退出时,此时账号和密码已经获得,病毒功成身退,将网络再次切换到真实网关,期间导致第二次断网。
2)学生宿舍区域由于ARP欺骗引起的大范围断网问题,由于ARP协议的天生缺陷,它本身不对ARP回应包进行认证,无法确认是否是真实机器发出的ARP回应包,而且不像其他的网络协议是首先发出询问包才会接受回应包,ARP协议不论是否是主动发出的询问包,都会直接接受回应包,从而导致很容易受到ARP欺骗的影响。其发作特点是网络会一直处于很缓慢拥塞的状态,不论是打开网页还是运行任何网络程序都很缓慢,直至彻底断网,这时候如果通过技术手段对网络设备进行排查会发现大量的ARP欺骗包的存在,完全淹没了所有的正常应答数据。
3)学生在宿舍区域的主动攻击。在调查当中发现,喜欢炫耀技术的学生,在感到他人使用PPS等P2P软件大量占用带宽,引起网络缓慢时,很有可能网络执法官等软件控制其他同学的上网,抢占他人网速,而这种情形将导致其他同学网速变慢,而受到攻击的同学也可能使用相同类型的软件进行攻击,而这种软件的实现原理就是ARP欺骗,当同一个网段中有多人同时使用这种手段时,网络就可能瘫痪,比如在湖南省某重点高校就发生过这种情况。另一种可能是对学校心怀不满的学生,尤其是接近毕业的学生,由于毕业时工作、感情等不满情绪积累到一定的程度,容易对学校进行各种网络攻击,其中就包括故意的通过ARP攻击的方式,有意的堵塞网络,比如在海南省某高校就发生过这种事件。由于这种情形的攻击是有意主动进行的,所以通常带来更严重的后果,如果不及时对攻击者进行处置,可能反复出现。
4)学生区域的ARP广播问题。这种攻击的情形跟上面的任何一种都不相同,其网络拥塞的原因不在于受到了ARP欺骗,而是由于大量的ARP 广播包堵塞了网络,而且核心交换机本身设置的ARP应答数有限,大量的ARP广播包会导致核心交换机应答是失效,从而导致全校性的断网,比如海南省某高校就连续三次出现过这种情况,而且都集中出现在假期结束后,影响非常恶劣。后来通过排查发现,原来其发生原因在于学生宿舍区域每个房间只提供了两个网线接口,而每个房间里学生人数有4—6人,学生只能通过自行购买小型交换机和路由器来完成网络接入,而海南省天气非常潮湿,假期回来之后很多小型路由器由于潮湿而损坏,接入网络之后引起严重的ARP广播,数据显示,一个小型路由器出现故障的时候,其发出ARP广播包的速率可能高达10000PPS,而通常核心交换机的应答速率一般低于500pps,所以任何一个损坏的路由器都足以瘫痪整个网络,比如上面介绍的海南省某高校案例,就因为对学生设备使用不严格,导致三次出现相同的情形。这种ARP问题的突出特点是充塞网络的是ARP的广播包,而不是通常意义上的ARP欺骗包。
2 电子机房区域现状分析
有一句笑话说:世界上有两个著名的病毒库,一个是文印室,另一个就是高校的电子机房。高校由于学生对网络应用的能力很强,大量的课程通过网络的方式进行,校园的建设越来越多的依赖于信息化。学生和教室都频繁在机房使用各种上网账号,而机房本身作为一个安全性很弱的场所,出于成本和易用性考虑,大多数的机房都很少配备相应的安全软件,所以在机房当中非常容易实施ARP的中间人攻击。研究表明,大量的网站登录时候并不使用SSL加密,所以恶意的用户非常容易通过Cain之类的软件,利用ARP欺骗的原理,以中间人攻击的方式,获取上网的各种账号和密码,带来非常严重的信息泄露,甚至像网易邮箱这种著名的互联网邮箱提供商,虽然采取了SSL加密的方式,依然可以被轻松的截获其邮箱和密码。
这种ARP问题的特点是学生有意为之,形式隐秘,通常不导致断网。
3 应用服务器区域
高校作为一个信息化建设的先行区,各种应用服务器存在数量多,型号杂,来源复杂的特点。各种服务器的建设来自不同的时间、不同的供应商、不同的软件开发者。由于开发者水平不一,所以各个安全水平也参差不齐,尤其是一些早期建设的服务器,其开发者可能只是一些SOHU用户,缺少安全开发的意识,而且可能早已经过了维护期,导致其缺少基本的安全性,极其容易被攻击,而由于所有的服务器都处于一个区域,这些安全性弱的服务器被攻击之后,很容易变成一个跳板,从而完成内网的渗透,而在一个交换式网络当中,要完成内网的潜伏,最合适的方式就是ARP欺骗。
这种ARP问题最突出的特点就是攻击者技术高超,而且潜伏期长,通常伴随有其他攻击行为。
4 总结
从上述分析可以看出,相比普通企业,高校的ARP问题形势更加严峻,而且存在攻击来源复杂,排查不易的特点,需要从顶层设计上进行更多的安全设计才可以解决。
参考文献:
[1] 王明.浅谈局域网中ARP欺骗攻击及安全防范[J].硅谷,2009(8).
[2] 周军.ARP欺骗原理及防治[J].镇江高专学报,2007(6).
[3] 张道军,吴银芳.校园网络中ARP病毒的综合治理[J].网络安全技术与应用,2007(9).
[4] 林鹏飞.论如何防范ARP的攻击[J].才智,2010(11).
关键词:ARP欺骗;ARP广播;中间人攻击
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)20-4594-02
高校的一个突出特点是网络规模大,学生思维活跃,而且相对于企业而言,其网络形式多样,包括教室区域,学生宿舍区域,应用服务器区域,各个区域之间都是不同的安全级别,尤其是学生宿舍区域和教室区域,管理不可能过于严格,给信息安全带来很大的压力,其中一个突出的问题就是ARP相关问题。
提起ARP问题,最引人注目的就是ARP欺骗问题,包括ARP病毒问题、由ARP欺骗引起的中间人攻击问题;但是另外一个不是那么引人注意的问题,其实也给网络带来了非常严重的后果,那就是ARP广播风暴问题,下面一一的论述。
1 学生宿舍区域现状分析
1)学生宿舍区域由于ARP欺骗而引起的中间人攻击问题。学生思维活跃,而且对网络更加熟悉和依赖,在上网娱乐和学习过程当中,部分学生由于行为不慎,很容易感染ARP病毒,从而导致在宿舍区域大范围的影响,比如曾经很有名的传奇盗号木马,就是通过ARP欺骗的方式,以某个中毒的机器为节点,获取整个网段内的传奇游戏的上网账号,带来很严重的后果,也颠覆了大家对盗号行为发生的看法:不是一定要自己中毒才会导致账号丢失。其发作特点是:断两次网,然后就恢复正常,其中第一次断网是ARP病毒发作,伪装成成网关,断网之后学生就会再次登录,此时就可以顺势获取上网账号和密码;第二次断网是当病毒退出时,此时账号和密码已经获得,病毒功成身退,将网络再次切换到真实网关,期间导致第二次断网。
2)学生宿舍区域由于ARP欺骗引起的大范围断网问题,由于ARP协议的天生缺陷,它本身不对ARP回应包进行认证,无法确认是否是真实机器发出的ARP回应包,而且不像其他的网络协议是首先发出询问包才会接受回应包,ARP协议不论是否是主动发出的询问包,都会直接接受回应包,从而导致很容易受到ARP欺骗的影响。其发作特点是网络会一直处于很缓慢拥塞的状态,不论是打开网页还是运行任何网络程序都很缓慢,直至彻底断网,这时候如果通过技术手段对网络设备进行排查会发现大量的ARP欺骗包的存在,完全淹没了所有的正常应答数据。
3)学生在宿舍区域的主动攻击。在调查当中发现,喜欢炫耀技术的学生,在感到他人使用PPS等P2P软件大量占用带宽,引起网络缓慢时,很有可能网络执法官等软件控制其他同学的上网,抢占他人网速,而这种情形将导致其他同学网速变慢,而受到攻击的同学也可能使用相同类型的软件进行攻击,而这种软件的实现原理就是ARP欺骗,当同一个网段中有多人同时使用这种手段时,网络就可能瘫痪,比如在湖南省某重点高校就发生过这种情况。另一种可能是对学校心怀不满的学生,尤其是接近毕业的学生,由于毕业时工作、感情等不满情绪积累到一定的程度,容易对学校进行各种网络攻击,其中就包括故意的通过ARP攻击的方式,有意的堵塞网络,比如在海南省某高校就发生过这种事件。由于这种情形的攻击是有意主动进行的,所以通常带来更严重的后果,如果不及时对攻击者进行处置,可能反复出现。
4)学生区域的ARP广播问题。这种攻击的情形跟上面的任何一种都不相同,其网络拥塞的原因不在于受到了ARP欺骗,而是由于大量的ARP 广播包堵塞了网络,而且核心交换机本身设置的ARP应答数有限,大量的ARP广播包会导致核心交换机应答是失效,从而导致全校性的断网,比如海南省某高校就连续三次出现过这种情况,而且都集中出现在假期结束后,影响非常恶劣。后来通过排查发现,原来其发生原因在于学生宿舍区域每个房间只提供了两个网线接口,而每个房间里学生人数有4—6人,学生只能通过自行购买小型交换机和路由器来完成网络接入,而海南省天气非常潮湿,假期回来之后很多小型路由器由于潮湿而损坏,接入网络之后引起严重的ARP广播,数据显示,一个小型路由器出现故障的时候,其发出ARP广播包的速率可能高达10000PPS,而通常核心交换机的应答速率一般低于500pps,所以任何一个损坏的路由器都足以瘫痪整个网络,比如上面介绍的海南省某高校案例,就因为对学生设备使用不严格,导致三次出现相同的情形。这种ARP问题的突出特点是充塞网络的是ARP的广播包,而不是通常意义上的ARP欺骗包。
2 电子机房区域现状分析
有一句笑话说:世界上有两个著名的病毒库,一个是文印室,另一个就是高校的电子机房。高校由于学生对网络应用的能力很强,大量的课程通过网络的方式进行,校园的建设越来越多的依赖于信息化。学生和教室都频繁在机房使用各种上网账号,而机房本身作为一个安全性很弱的场所,出于成本和易用性考虑,大多数的机房都很少配备相应的安全软件,所以在机房当中非常容易实施ARP的中间人攻击。研究表明,大量的网站登录时候并不使用SSL加密,所以恶意的用户非常容易通过Cain之类的软件,利用ARP欺骗的原理,以中间人攻击的方式,获取上网的各种账号和密码,带来非常严重的信息泄露,甚至像网易邮箱这种著名的互联网邮箱提供商,虽然采取了SSL加密的方式,依然可以被轻松的截获其邮箱和密码。
这种ARP问题的特点是学生有意为之,形式隐秘,通常不导致断网。
3 应用服务器区域
高校作为一个信息化建设的先行区,各种应用服务器存在数量多,型号杂,来源复杂的特点。各种服务器的建设来自不同的时间、不同的供应商、不同的软件开发者。由于开发者水平不一,所以各个安全水平也参差不齐,尤其是一些早期建设的服务器,其开发者可能只是一些SOHU用户,缺少安全开发的意识,而且可能早已经过了维护期,导致其缺少基本的安全性,极其容易被攻击,而由于所有的服务器都处于一个区域,这些安全性弱的服务器被攻击之后,很容易变成一个跳板,从而完成内网的渗透,而在一个交换式网络当中,要完成内网的潜伏,最合适的方式就是ARP欺骗。
这种ARP问题最突出的特点就是攻击者技术高超,而且潜伏期长,通常伴随有其他攻击行为。
4 总结
从上述分析可以看出,相比普通企业,高校的ARP问题形势更加严峻,而且存在攻击来源复杂,排查不易的特点,需要从顶层设计上进行更多的安全设计才可以解决。
参考文献:
[1] 王明.浅谈局域网中ARP欺骗攻击及安全防范[J].硅谷,2009(8).
[2] 周军.ARP欺骗原理及防治[J].镇江高专学报,2007(6).
[3] 张道军,吴银芳.校园网络中ARP病毒的综合治理[J].网络安全技术与应用,2007(9).
[4] 林鹏飞.论如何防范ARP的攻击[J].才智,2010(11).