針對校園網(wǎng)ARP攻擊的主動防護方案

1、第37卷第5期郭 征，吳向前，劉勝全：針對校鴻網(wǎng)ARP攻擊的主動防護方案183第37卷第5期Vol.37 No.5安全技術(shù)計算機工程Computer Engineering文章編號：I(>003428(2011 )050181 ()3文緘標(biāo)識碼：A2011年3月March 2011中圖分類號：TP309.2第37卷第5期郭 征，吳向前，劉勝全：針對校鴻網(wǎng)ARP攻擊的主動防護方案183針對校園網(wǎng)ARP攻擊的主動防護方案郭征，吳向前，劉勝全(新娠人學(xué)現(xiàn)代教育技術(shù)中心，鳥傑木齊830046)摘 ®：針對校園網(wǎng)中頻第發(fā)作的ARP協(xié)議欺騙攻血 提岀一種上動防護方案。通過對ARP攻擊的凍理

2、和方法進行分析.實現(xiàn)與校園網(wǎng) 身份認(rèn)idi系統(tǒng)聯(lián)動實時定位主機攻擊、強制対接入用戶隔離的主動防護。實踐結(jié)果表明，該方案通用恥強，可右效抵御多數(shù)ARP攻擊， 降低網(wǎng)絡(luò)筲理難甌提島網(wǎng)絡(luò)運行水平。關(guān)健詞：地址解析協(xié)議；簡單網(wǎng)絡(luò)管理協(xié)議；Telnei協(xié)議；Radius服務(wù)Active Protection Scheme Against ARP Attack in Campus NetworkGUO Zheng, WU Xiang«qian9 LIU Sheng-quan(Modem Education Technology Center. Xinjiang University, l/rum

3、qi 830046. China)Abstract Aiming a( (he deceive attack of ARP pro«x:ol in campus network, (his paper proposes an active protection scheme It analyses method and principle of ARP attack and realizes lhe location of attack with ID aulhcntication system and active pn)lection force to isolate users

4、. Application result shows that the scheme can be against most ARP attack, reduce the difficulty of network management and decrease the level of network running.(Key words Address Resolution ProlwoJ(ARJ>); Simple Network Management Pn)tocol(SNMP); Telnet proiocol： Radius serviceDOI: 103969/j.issn

5、.l(K)(K3428.2011.05.061第37卷第5期郭 征，吳向前，劉勝全：針對校鴻網(wǎng)ARP攻擊的主動防護方案183第37卷第5期郭 征，吳向前，劉勝全：針對校鴻網(wǎng)ARP攻擊的主動防護方案1831概述冃前校園網(wǎng)悴遍采用星型結(jié)構(gòu)(核心交換機+匯聚交換 機+接入交換機)構(gòu)建，通過VLAN將整網(wǎng)劃分若十子網(wǎng)，使 用802.lx協(xié)議實現(xiàn)接入認(rèn)證，配迓Radius計費認(rèn)證系統(tǒng)進行 錢理校園網(wǎng)用戶。這樣的優(yōu)點是簡放、易于實現(xiàn)、易于管理， 但在安全方而存在很入缺陷，其中，每個VLAN中的地址解 析協(xié)議(Address Resolution Protocol, ARP)ARP攻擊問題遅最 大的安全威脅

6、,利用ARP欺編，攻擊者可實施拒絕服務(wù)攻擊(DOS)或中 間人攻擊山，中間人攻擊可導(dǎo)致網(wǎng)絡(luò)中的數(shù)據(jù)被截取成篡改。 隨若校園網(wǎng)應(yīng)川觀模的擴人及用戶網(wǎng)絡(luò)技術(shù)水平的提高，利 用ARP欺騙技術(shù)的木馬程序在網(wǎng)絡(luò)中廣泛傳播，ARP攻擊 越來越頻繁的危害校園網(wǎng)的安全，其表現(xiàn)為校園網(wǎng)頻頻出現(xiàn) 財部烤塞、用戶經(jīng)常攤線零現(xiàn)象，嚴(yán)匝影響了校網(wǎng)網(wǎng)用戶的 止常使用，給網(wǎng)絡(luò)的安全正常運行帶來巨人挑戰(zhàn)，因此，如 何有效解決ARP攻擊是網(wǎng)絡(luò)管理面臨的棘手問題。雖然ARP攻擊發(fā)現(xiàn)了很長時間，其問題機理也比較消 楚，且新網(wǎng)絡(luò)設(shè)備也M有效進行防護，但ARP協(xié)議的安全缺 陷仍使多數(shù)院校的老設(shè)備防護不住，且ARP攻擊的變種日益 猖獗，

7、極大地彫響到M絡(luò)的平穩(wěn)運行。因此，對ARP攻擊的 防治仍然是一個熱點問題。2 ARP攻擊原理ARP攻擊的基本原理是攻擊者利用ARP協(xié)議上的安全 漏洞，通過向口標(biāo)需戶發(fā)送偽造的ARP協(xié)議報文欺編I標(biāo)客 戶，便目標(biāo)8戶誤以為是與期墊上機通信，而實際上是與攻 擊者進行通信，其實施細(xì)節(jié)可參考文獻3。2.1 ARP協(xié)議漏洞在VLAN內(nèi)，源主機是以廣播方式發(fā)送ARP諸求，而 應(yīng)答包為單播包，協(xié)議出于傳輸效來上的考慮，任何主機都 右權(quán)發(fā)送ARP應(yīng)答包，而口沒有對接收到的ARP應(yīng)答包進 行安全驗證，即尤條件接收ARP應(yīng)答包，隨后將其插入到巾 己的ARP地址轉(zhuǎn)換喪中。該協(xié)議是建立在主機間的通信是相 互信任的基礎(chǔ)

8、之上的，這個問題導(dǎo)致的后果是攻擊者可以偽 裝ARP應(yīng)答，與請求主機進行競爭，還可以判斷同VLAN 中MAC地址緩存刷新時間，以確保故犬時間限度地進行 攻擊。2.2 ARP攻擊的主要方式ARP攻擊方式一般分為欺嗚主機和欺塢網(wǎng)關(guān)2類，都屬 于中間人攻擊。(J)欺頤主機是發(fā)起ARP攻擊的主機假R網(wǎng)關(guān).致使被 嵋主機對外發(fā)送的數(shù)據(jù)包必須通過發(fā)起攻擊主機，從而實現(xiàn) 特有目的。(2)欺騙網(wǎng)關(guān)圧發(fā)起ARP攻擊的主機假刊名戶端條取阿 關(guān)信任，使網(wǎng)關(guān)將發(fā)向疋確竅戶主機的數(shù)據(jù)包發(fā)向發(fā)起攻舟 主機，從而達到軒殊U的欺鴉方式。2.2.1欺嵋主機方式通過上而對ARP協(xié)議漏洞分析可知，對1臺主機而呂， 即使收到的ARP應(yīng)

9、答并非因白己請求而得到的，它也會將其 插入到自己的ARP地址轉(zhuǎn)換表中，ARP攻擊正是利用這一 漏洞來實現(xiàn)的。以圖】為例說明ARP攻擊主機的過程：件先攻擊主機向 源主機發(fā)送ARP應(yīng)答包，假右網(wǎng)關(guān)的IP地址，從而使源主 機的ARP地址轉(zhuǎn)換表被修改。忖標(biāo)主機的請求可以止簾到達 源主機，但足山于源主機的ARP地址轉(zhuǎn)換表被污染，源主機基金項目：新啟大學(xué)自然科學(xué)基金資助項HCXY080I57)作者筒介：郭 征一人弘 工程師，主研方向:倍息系統(tǒng)工程， 網(wǎng)絡(luò)與信息安全；吳向茴.教授級髙級匸程師；劉勝全，教授 收稿日期:2010-07-10 E-mail: gz818ycah.nct的應(yīng)答會經(jīng)過攻擊主機，可以被

10、插入或特?fù)Q。圖1以勞主機示例2.2.2欺騙網(wǎng)關(guān)方式同樣從圖2可知ARP如何攻擊網(wǎng)關(guān)：首先攻擊主機向網(wǎng) 關(guān)發(fā)送ARP應(yīng)答包，從而假冒源主機的IP地址。用戶的請 求可以止常到広源！£機，返冋的響應(yīng)被網(wǎng)關(guān)i5J發(fā)給了攻擊主 機，攻擊主機可以偵聽或者篡改響應(yīng)。特別是在校園網(wǎng)中頻 發(fā)針對網(wǎng)關(guān)的ARP攻擊，這足攻擊的上憂方式。5192.16*1.4 <kbddddddddJd192.168.).3<X YC-CC <C-C-CC攻由主機 I92J&M.2 bb-bb-bb-bb-bbbbARP地址轉(zhuǎn)検機 I92.I6K.I.2 hb bb-bb bh-bb bb I92

11、.I6Hbb htHbb bb bb bb192.12 1.4 dd dd dd dd-dd-dd圖2關(guān)示例在VLAN內(nèi)-旦檔ARP攻擊存在，攻擊者就會試圖攻 擊同VI“AN內(nèi)所仔主機和網(wǎng)關(guān)，一旦攻擊成功，那么主機間 正常通信或卞札與網(wǎng)關(guān)之間的通佰就會通過攻擊者修改或轉(zhuǎn) 發(fā)后進行，而ARP攻擊時，終端用戶是察覺不到的，況咔 部分ARP攻擊是隨機的。正是這種隱蔽性導(dǎo)致發(fā)現(xiàn)與定位 ARP攻擊者比較閑難。曲于實施攻擊的主機牲能和程序性能 的彫響，這種轅發(fā)并不會非常流暢，因此就會導(dǎo)致用戸上網(wǎng) 的速度變慢甚至頻繁斷線?？傊?，ARP攻擊的就圧為了實現(xiàn)全交換環(huán)境1的數(shù)據(jù)劫 持，多數(shù)的木馬或病稱使用ARP欺頤

12、攻擊也足為了達到上述 目的。3主動防護方案在接入或匯聚層交換機直接防范ARP攻擊，原理上是最 佳解決方棠，但多數(shù)校園網(wǎng)中使用的大竝老式交換機不具有 防范ARP攻擊的功能。針對ARP攻擊的常用防護技術(shù)包括 802.1X、Private VLAN/Super VLAN PPPoE 隔離、網(wǎng)絡(luò)雙向 綁定等。這兒種技術(shù)于段各育優(yōu)缺點，但柿存枉部店與管理 成本島，且不能發(fā)現(xiàn)VLAN中ARP攻擊的缺點。以新期大 學(xué)為例，在I0Q00多個值息點的校園網(wǎng)中.有多種不同廠家 的網(wǎng)絡(luò)設(shè)備，雖熱采用802.lx進行多元索綁定（即1P與MAC、 交換機PORT等綁定），后臺Radius認(rèn)證,但標(biāo)準(zhǔn)的802.lx 協(xié)議

13、中并不支攤上述綁定，而是各個廠家針對其設(shè)備所作的 擴展，幾這些綁定功能由廠家特定客戶端實現(xiàn)。但各種破解 版客戶端的泛濫使綁定功能形如虛設(shè)，造成盜號和ARP攻擊 現(xiàn)象，給網(wǎng)管造成了很大的壓力。翌解決校園網(wǎng)ARP攻擊，就要解決如何快速發(fā)現(xiàn)上述攻 擊行為的主機并主動隔離其攻擊源，并對受害上機的ARP地 址轉(zhuǎn)換表進行及時更新修正而無需客戶端干預(yù)。本文扳岀ARP主動防護的厲臺服務(wù)，利用簡單網(wǎng)絡(luò)管理 協(xié)議（Simple Network Management Protocol, SNMP）協(xié)議結(jié)合 Telnet命令，實時檢測網(wǎng)絡(luò)設(shè)備中ARP表,與Radius認(rèn)證服 務(wù)聯(lián)動可主動發(fā)現(xiàn).主動陥離ARP攻擊者，并

14、清除接入交換 設(shè)備中的慮假攻擊地址，實現(xiàn)用戶透明的主動防護技術(shù)，從 而解決校園網(wǎng)ARP攻擊問題。31主動訪護方案設(shè)計使用SNMP協(xié)議，可獲取接入交換機的ARP表，并口J 配晝交換機的相關(guān)參數(shù)。標(biāo)準(zhǔn)的M1B庫中定義了與ARP信 息相關(guān)的變覽，通過這些變城可以獲取與ARP攻由相關(guān)的信 息，利用MIB庫定義的英他MIB變魚設(shè)置交換機用戶接口 參數(shù)，將實施ARP攻擊者從交換機接入端1斷開，主動肌斷 ARP攻擊對校園網(wǎng)的破壞。主動防護服務(wù)的基本步驟如下：（1）連接Radius認(rèn)證服 務(wù)；飲取網(wǎng)絡(luò)設(shè)備IP地址；讀取用八主機1P地址.MAC 地址與英上連交換機端口對應(yīng)關(guān)系；（4）定期采集網(wǎng)絡(luò)設(shè)備 ARP映射

15、表及接入交換機端II自學(xué)習(xí)MAC地址；（5）檢測網(wǎng) 絡(luò)設(shè)備ARP映射表與Radius認(rèn)證庫中及交換機接入端H 口 學(xué)習(xí)地址比較足否一致。不一致有2種可能：1）IP地址盜用； 2）正在進行ARP攻擊，此時關(guān)閉對應(yīng)的交換機接入端（1并通 知Radius認(rèn)證強制該用戶下線，隔離ARP攻擊者的冃的是 避免其繼續(xù)危害校園網(wǎng)運行。主動防護服務(wù)的流程描述如圖3所示。圖3主動防護方案的荃本淹程3.2技術(shù)實現(xiàn)ARP主動防護后臺利用Python 2.5開發(fā)，網(wǎng)絡(luò)設(shè)備交互 采用SNMP結(jié)合Telnet命令方式.其原因是校內(nèi)網(wǎng)絡(luò)設(shè)備種 類繁雜，有的私有MIB不易獲得，如老式實達2024M交換 機在802.lx環(huán)境下，

16、FDB地址農(nóng)無法釆集對應(yīng)端口，無法主 動發(fā)布ARP請求等，此條件F采用Telnet命令輔助，能方便 操控交換機。(1) ARP攻擊行為的認(rèn)定通過多線程并發(fā)處理，系統(tǒng)可在規(guī)定時間內(nèi)采集各個網(wǎng) 絡(luò)設(shè)備的ARP映射表，再與從Radius認(rèn)證服務(wù)獲得的用戶 配愛表進行比對，為加快檢索過程采用哈希映射方式；若比 對不一致(取復(fù)MAC地址也造成比對不一致)，可認(rèn)定是非法 攻擊行為。此時，主動關(guān)閉其接入期I，隔離攻擊者，清除 交換機中假胃作法地址。向Radius認(rèn)證服務(wù)發(fā)送用戶強制下 線請求，通il Radius認(rèn)證服務(wù)產(chǎn)生日志記錄。(2) 交換機ARP衣的檢測及操作網(wǎng)絡(luò)設(shè)備的管理信息岸(MIB)中存有網(wǎng)絡(luò)

17、設(shè)備的所有管 理信息.包括設(shè)備的狀態(tài)和流駅信息等。通過SNMP可讀取 MJB庫中的數(shù)據(jù)【J利用SNMP協(xié)議逋過ipNetToMediaTable (OID=.1.3.6J.2.L2.4.22)ARP表節(jié)點遍歷獲得M!B庫中此 0ID所對應(yīng)的衣項值(MAC-1P地址對)。(3) ARP表及時更新修正主動防護后臺服務(wù)在檢測到冇ARP非法攻擊行為的用 戶時，通過SNMP協(xié)議(Sci RcquZ)給交換機發(fā)送關(guān)閉指定 的接入端口。由于清除交換機ARP映射衣指定條冃楚廠家私 冇MIB對象，不易獲得，為通用性和便捷性，此處采用Telnet 支持，由網(wǎng)絡(luò)設(shè)備直新發(fā)起被假同主機的ARP請求.用于刷 新該VLA

18、N內(nèi)ARP映射喪，即可清除交換機中非法地址. 也同時更新修正了用八主機中的ARP地址轉(zhuǎn)換表。4方案實施部署環(huán)境：FrecRadius認(rèn)證服務(wù)器、XinSYNCARP主動 防護服務(wù)器各I臺，1臺北電8610核心交換機，數(shù)臺 H3C35OO、Cisco 3524、實達2024M竽匯聚交換機，40多臺 銳捷2024接入交換機3臺HW3026V按入交換機。這些設(shè) 備均處于實際的工作狀態(tài)中。部署實例如圖4所示。實踐結(jié)果表明，本文開發(fā)的ARP主動防護后臺服務(wù)監(jiān)控 新朝犬學(xué)北校區(qū)近百伶網(wǎng)絡(luò)設(shè)備(4 00()多個網(wǎng)絡(luò)用戶)，該服 務(wù)能實時發(fā)現(xiàn)并處理用戶非法ARP攻擊，只要具認(rèn)證地址與 交換機ARP映射表甲不符

19、，后臺服務(wù)立刻檢測出非法行為并 主動關(guān)閉用戶接入端口實現(xiàn)強制下線隔離，同時更新該 VLAN內(nèi)用戶主機被污染的ARP條冃(主機端無需運行防護 軟件)，向Radius認(rèn)證服務(wù)發(fā)出用戶非法下線請求。通過 Radius服務(wù)記錄用戶行為?？梢?，本文提出的方案可有效防護VLAN內(nèi)ARP攻擊 行為，達到了預(yù)期的口的。(上接第80頁)使其在電子投票等安全性要求奇的應(yīng)用中發(fā)揮很好的效果。參考文獻1 Mambo M. Usuda K, Okamoto E. Proxy Signatures: Delegation of the Power to Sign Messages)J). IEICE Trans, on

20、Fundamentals* 1996. E79-A(9): 1338-1354.(2 Mambo VI. Usuda K, Okamoto E. Proxy Signatures for Delegating Signing ()pcration(CJ/Proc of ACM Conference on Computer and Comrnunicaiions Security. fS. I.J: ACM Press. 1996.|3| van Hcyst E. Pedersen T P. How to Make EHicicnt Fail-stop Signa(ure6(CJ/Proc. o

21、f EUROCRYPTTZ. Baiatonfiired, Hungary: |s. n.t 1992802.IX認(rèn)證 宿舍區(qū)圖4部署賓債5 結(jié)束語ARP攻擊處種典型的協(xié)議缺陷欺騙攻擊類型，它利用 tarp協(xié)議存在的安全隱患，并使用i些專門的攻擊工具. 使這種攻擊變得普及并有較舟的成功率。本文提出的方案具 有以下特點：(I)該方案兵有創(chuàng)新和現(xiàn)實意義，可進一步完髀 校園網(wǎng)的管理、節(jié)約帶寬，增強校園網(wǎng)絡(luò)的町管理性、安全 性和穩(wěn)定性。(2)該方案具有對用戶透明、與網(wǎng)絡(luò)結(jié)構(gòu)和上機 數(shù)燉無關(guān)、后臺服務(wù)器相對獨立，體現(xiàn)了主動骨理的優(yōu)勢 (3)該方案雖然是針対高校校園阿需求設(shè)計，但部署成本低、 效率島，適用于較大規(guī)模的網(wǎng)絡(luò)部署。參考文獻111齒天福.段講協(xié)議機制的MiARP欺頼方法卩I.計算機工粘 2(X)8. 34(14): 168-170.王佳.李志附埜于ARP協(xié)議的攻擊原理分析J微電子學(xué) 與計算機,2004,21(4): )0-12.13)唐 濤.ARP欺呎攻擊分析及一種新防御算法卩中國髙新技 術(shù)企業(yè),2008,(12): 129-134.141岑賢道.常安訝.網(wǎng)