网站原创摘 要 :针对目前校园网及网吧频繁发作的ARP欺骗病毒攻击,从ARP协议的缺陷方面分析了欺骗攻击的形式和ARP欺骗的类型,提出了立体式防御ARP欺骗攻击的解决方案.
关 键 词 : ARP协议 ARP欺骗 防御 攻击 立体式
Build three-dimensional defense system ARP spoofing attack
LI Jun ya ,ZHANG Pei - peng
(Jiyuan Vocational and Technical College,Jiyuan 454650,Henan)
Abstract:View of the current campus work and Inter cafes often ARP cheating attack viruses, deficiencies from the ARP protocol analysis and ARP spoofing attacks in the form of the type of deception, proposed a three-dimensional defense ARP spoofing solutions.
Key words:ARP protocol, ARP deception, Defense, Attacks,Three-dimensional
1.引 言
自2006年以来,基于ARP协议的欺骗攻击愈演愈烈,ARP病毒在各大校园网内泛滥成灾,严重威胁了用户的信息安全,轻则网络变慢、时断时续,重则直接无法上网、重要信息被窃取,为此研究有效的防范ARP欺骗攻击的措施已成为确保网络畅通的必要条件.
2.ARP欺骗攻击
2.1 ARP协议缺陷
ARP(Address Resolution Protocol,地址解析协议)位于OSI参考模型中的数据链路层,负责将网络层IP地址解析为数据链路层的MAC地址.在局域网中,网络中实际传输的是“帧”,帧里面有源和目标主机的MAC地址,帧在网络中就是靠这个MAC地址进行目标识别和传输的.ARP协议通过发送请求广播包,查询目标设备的MAC地址,得到应答后将MAC地址插入帧中.就可以在网络中进行传输了.
ARP协议设计初衷是方便数据的传输,它是建立在局域网主机相互信任基础之上,所以ARP协议具有广播性、无状态性、无认证性、无关性和动态性等一系列的安全缺陷:
(1)ARP协议寻找MAC地址是广播方式的.攻击者可以应答错误的MAC地址.同时攻击者也可以不间断地广播ARP请求包.造成网络的缓慢甚至网络阻塞,
(2)ARP协议是无状态和动态的.任意主机都可以在没有请求的情况下进行应答.且任何主机只要收到网络内正确的ARP应答包.不管它本身是否有ARP请求,都会无条件的动态更新缓存表,
(3)ARP协议是无认证的.ARP协议默认情况下是信任网络内的所有节点,只要是存在ARP缓存表里的IP/MAC映射以及接收到的ARP应答中的IP/MAC映射关系.ARP都认为是可信任的,并没有对IP/MAC映射的真实性、有效性进行检验,也没有维护映射的一致性.
2.2 ARP欺骗攻击的形式
在网络中各种形式的ARP欺骗攻击,给网络带来的危害基本上可以表现为:网络异常、数据窃取、数据篡改、非法控制等,给网络的通信和网络结点的安全带来重大的危害,常见ARP欺骗病毒攻击的典型症状有:
(1)上网时经常会弹出一些广告,有弹出窗口形式的,也有嵌入网页形式的.下载的软件不是原本要下载的,而是其它非法程序,
(2)网关设备ARP表项存在大量虚检测信息,上网时断时续,网页打开速度让使用者无法接受,
(3)终端不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框,
(4)经常会有用户的网上银行、游戏及频繁丢失的现象.
这些问题的出现很大一部分要归因于ARP欺骗攻击,目前校园网内已发现的ARP欺骗攻击系列病毒已经有了几十个变种,这种病毒的程序如PwSteal.Lemir或其他变种,属于木马程序/蠕虫类病毒.据检测数据显示,APR欺骗攻击从未停止过.
3.立体式防御ARP欺骗攻击
从分析ARP欺骗的过程得出,如果要消除ARP欺骗就要将局域网中每一个主机的IP地址与MAC地址绑定在一起,这样就不会出现欺骗问题了.
结合我校校园网ARP防范经验,依托锐捷网络的GSN全局安全网络中的强大数据源和联动能力,通过三层网关设备、安全智能交换机、RG-SU用户接入认证的联动,在我们校园网实现了对ARP欺骗的三道防线立体防御.图1为GSN功能组件结构.
第一道防线:网关防御,其实现过程如下:
首先RG-P(安全管理平台)学习已通过认证的合法用户的IP-MAC对应关系,RG-P(安全管理平台)将用户的ARP信息通知相应网关,网关生成对应用户的可信任ARP表项.
第二道防线:客户端防御,其实现方法如下:
在RG-P(安全管理平台)上设置网关的正确IP-MAC对应信息,用户认证通过,RG-P(安全管理平台)将网关的ARP信息下传至RG-SU用户接入认证端,SU静态绑定网关的ARP.若攻击者冒充网关欺骗合法用户,用户已经静态绑定网关地址,欺骗攻击无效.
第三道防线:交换机防御
用户认证通过后,交换机会在接入端口上绑定用户的IP-MAC对应信息,交换机对报文的源地址进行检查,对非法的攻击报文一律丢弃处理,该操作不占用交换机CPU资源,直接由端口芯片处理.若攻击者伪造源IP和MAC地址发起攻击,则因报文不符合绑定规则,被交换机丢弃.
针对主机、接入交换机、三层网关等不同ARP攻击的问题,锐捷GSN三道防线立体防御提供了ARP欺骗最彻底的解决方案.对各种ARP欺骗攻击软件和病毒、木马能够进行有效的防御,确保网络通信的可靠,无需大量广播免费ARP报文,不会对网络造成额外负荷,只需要简单的配置,便可实现全网ARP攻击的立体防御
| 有关论文范文主题研究: | 计算机应用类论文范文 | 大学生适用: | 硕士毕业论文、硕士毕业论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 81 | 写作解决问题: | 写作参考 |
| 毕业论文开题报告: | 标准论文格式、论文选题 | 职称论文适用: | 职称评定、职称评副高 |
| 所属大学生专业类别: | 写作参考 | 论文题目推荐度: | 优质选题 |
4.结语
本文探讨了由于ARP协议缺乏合法性验证手段的缺陷漏洞导致欺骗攻击的实现过程,分析了ARP欺骗的原理和防御思想,最终形成了业界最为有效的“ARP三道立体防御体系”解决方案.该防御体系有效弥补了由于ARP协议本身的缺陷所带来的漏洞,解决了困扰广大网络管理员的ARP欺骗问题,给我校校园网乃至所有的园区网带来更加健康和谐的网络环境.