校园网ＡＲＰ攻击原理及防御解决方案

校园网是CERNET/Internet的基本组成单位，是为学校师生员工的教学、科研、管理、服务、文化娱乐等提供服务的信息支撑平台，是学校必不可少的基础设施。校园网有用户数量大、用户类型复杂、管理策略复杂、流量大、网络安全威胁性大等特点。如何保证校园网安全顺畅地运行是迫切需要解决的问题。
　　在校园网的管理中，ARP攻击几乎成为每个网络管理人员必须面对的难题。校园网中的ARP欺骗病毒传播迅速，容易泛滥；某些局域网工具软件也具备扰乱ARP表的功能；ARP网关欺骗往往会造成整个网段用户的无法正常上网，故障的面积大，给学校网络管理员造成的压力也很大，同时故障的定位较难，需要到用户端排查故障，管理员要耗费大量精力，等等。在校园网的管理中，如何阻止ARP攻击的发生，成为保障校园安全一项刻不容缓的重要课题。

ARP攻击的源头——ARP本身的缺陷
　　ARP本身的天然缺陷和不完善是ARP攻击的源头。ARP是通过发送ARP请求包获取目的主机的MAC地址，这种请求机制缺陷在于它假设计算机发送的或响应的ARP数据包都是正确的，而攻击者利用这一特点发送或响应虚假的ARP数据包实行ARP攻击。
　　ARP的漏洞和缺陷可归纳为两个方面：首先，ARP没有认证机制，当主机收到其它计算机响应的ARP包，便会直接更新自己的ARP表，而不管发送方是谁，发送的ARP包正确与否，这样攻击者就可轻易地将虚假的ARP包传播出去。其次，ARP并未将正确的IP地址与MAC地址的映射关系静态绑定，而是定时动态更新，即使攻击者不主动发送虚假的ARP包也可以待缓存表项生存周期结束后响应虚假的ARP包。在默认情况下，Windows操作系统如Windows Server 2003和Windows XP，ARP缓存中的表项仅存储2分钟。如果一个ARP缓存表项在2分钟内被用到，那么其期限再延长2分钟，直到最大生命期限10分钟为止。超过10分钟的最大期限后，ARP缓存表项将被移出，然后通过ARP请求与ARP回应将IP地址与MAC地址的映射关系重新添加上去。也就是说一条IP地址与MAC地址的映射关系最多10分钟，最少2分钟就会更新一次，那么攻击者就可利用主机发送ARP请求包更新ARP缓存表时将响应虚假的ARP包实行欺骗。

ARP攻击原理
　　ARP攻击就是通过伪造IP地址和MAC地址的映射关系实现ARP欺骗，攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP地址与MAC地址的映射关系，根据攻击者对所截获的数据包的处理情形而异造成网络中断或中间人攻击，这些地址可以是普通的主机，也可以是网关，因此，攻击者既可以冒充网关欺骗主机，又可以冒充主机欺骗网关，或者冒充主机欺骗其它主机实现中间人攻击，或者填写根本不存在的地址造成拒绝服务攻击，等等。
　　ARP攻击的实质通过各种手段使主机修改ARP缓存表中IP地址与MAC地址映射表项。下面本文就以同一个网段内的ARP攻击来分析其原理

下载 (51.49 KB)

2010-9-1 20:52

如图1所示，在同一个网段内有三台计算机，其中进行ARP攻击的计算机A、源主机S及目的主机D，它们的IP地址与MAC地址分别如下所示：
　　攻击者A：IP为IP_A，MAC地址为MAC_A;
　　源主机S：IP为IP_S，MAC地址为MAC_S;
　　目的主机D：IP为IP_D，MAC地址为MAC_D;
　　源主机S向目的主机D发送数据包之前必须要知道目的主机D的MAC地址，因此，源主机S发送一个包含本机IP_S、MAC_S及IP_D的ARP请求广播包，希望得到目的主机的MAC地址，当目的主机D发现查询的正是本机的MAC地址，就回复一个包含IP_D—MAC_D对应关系的正确的响应包，因为整个网段都将收到该ARP请求包，攻击者A就可以伪造包含IP_D—MAC_A对应关系的虚假响应包不停回复S。因此源主机S就会收到来自A和D的响应包，因为没有验证机制，并且攻击者A不停地发送虚假包，源主机S将会动态更新本机的ARP缓存项，即错误地将IP_D—MAC_A形成映射关系。这样源主机S本来发给目的主机D数据包发送给攻击者A，攻击者A在窃取到数据包之后再转发或进行其它处理。

校园网中ARP攻击防御解决方案
　　ARP攻击防御解决方案可以通过对客户端、接入交换机和网关三个控制点实施自上而下的“全面防御”，并且能够根据不同的网络环境和需求进行“模块定制”，提供多样、灵活的ARP攻击防御解决方案。

下载 (69.13 KB)

2010-9-1 20:52

在此提供两类ARP攻击防御解决方案：监控方式和认证方式。监控方式主要适用于动态接入用户居多的网络环境，认证方式主要适用于认证方式接入的网络环境。在实际部署时，我们建议分析网络的实际场景，选择合适的攻击防御解决方案。另外，结合相应的IMC智能管理中心，我们可以非常方便、直观地配置网关绑定信息，查看网络用户和设备的安全状况，不仅有效地保障网络的整体安全，更能快速发现网络中不安全的主机和ARP攻击源，并迅速作出反应

监控方式
　　监控方式也即DHCP Snooping方式，适合大部分主机为动态分配IP地址的网络场景，接入交换机需要采用支持DHCP Snooping的产品。实现原理：接入层交换机监控用户动态申请IP地址的全过程，记录用户的IP、MAC和端口信息，并且在接入交换机上做多元素绑定，从而在根本上阻断非法ARP报文的传播。
　　另外，ARP泛洪攻击会产生大量的ARP报文，消耗网络带宽资源和交换机CPU资源，造成网络速度急剧降低。因此，我们可以在接入交换机部署ARP报文限速，对每个端口单位时间内接收到的ARP报文数量进行限制，避免ARP泛洪攻击，保护网络资源。

下载 (86.02 KB)

2010-9-1 20:52

认证方式
　　认证方式适合网络中采用认证登陆的场景，通过CAMS服务器、INode智能客户端与接入交换机和网关的联动，全方面地防御ARP攻击。实现原理：认证方式是客户端通过认证协议登陆网络，认证服务器识别客户端，并且将事先配置好的用户和网关IP/MAC绑定信息下发给客户端、接入交换机或者网关，实现了ARP报文在客户端、接入交换机和网关的绑定，使得虚假的ARP报文在网络里无立足之地，从根本上防止ARP病毒泛滥。认证方式包括IEEE802.1x和Portal两种方案，充分考虑了新建和旧网络的不同网络场景，方案全面有效。

IEEE802.1x方案
　　IEEE802.1x方案通过客户端发起认证，CAMS把事先配置好的网关的IP和MAC绑定信息下发给客户端做绑定，防止客户端遭遇网关仿冒类型的攻击。
　　客户端发起认证的报文需要经过接入交换机，接入交换机记录客户端的IP和MAC信息，并且做绑定，可以防止网关仿冒、网关欺骗、欺骗终端用户和ARP泛洪攻击；客户端发起认证的信息同样会经过网关，网关通过CAMS做相应的绑定，防止欺骗网关。
　　客户端、接入交换机和网关绑定可以选择实现，方案可裁剪。

Portal方案
　　Portal方案是通过客户端发起Portal认证，CAMS把事先配置好的网关IP和MAC绑定信息下发给客户端做绑定，网关记录用户的IP和MAC做绑定，防止网关欺骗。
　　认证方式适合网络中采用认证登陆的场景，通过CAMS服务器、INode智能客户端（Portal方案无需客户端，采用PC自带的浏览器即可）与接入交换机和网关的联动（Portal方案和接入交换机无关），全方面地防御ARP攻击。



ARP攻击主要是存在于局域网网络中，局域网中若有一个系统感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，因此在网络中产生大量的ARP通信量使网络阻塞，造成网内其它计算机的通信故障。本文针对校园网中的ARP攻击提供的解决方案具有如下几个特点：
　　1 灵活多样
　　提供了监控模式和认证模式两大方案，认证方案支持IEEE 802.1x和Portal两种认证模式，组网方式灵活多样。
　　2 更彻底
　　多种方式组合能够全面防御新建网络ARP攻击，切实保障网络稳定和安全。
　　3 保护投资
　　对接入交换机的依赖较小，可以较好地支持现有网络的利旧，兼容大部分现有网络场景，有效保护投资。
　　4 适用性强
　　解决方案适应动态和静态两种地址分配方式，通过终端、接入交换机、网关多种模块的组合，适用于各种复杂的组网环境。
　　
　　参考文献：
　　硅谷动力ARP攻击的防范专题［OL］
　　赵晓锋，汪精明，王平水.园区网ARP欺骗攻击防御模式设计与实现［J］.计算机技术与发展，2007，(7):152-155.
　　李海鹰，程灏，吕志强，庄镇泉.针对ARP攻击的网络防御模式设计与实现［J］.计算机工程，VOL.31，(5):170-172.