針對(duì)校園網(wǎng)ARP攻擊的主動(dòng)防護(hù)方案

1、第37卷第5期郭 征，吳向前，劉勝全：針對(duì)校鴻網(wǎng)ARP攻擊的主動(dòng)防護(hù)方案183第37卷第5期Vol.37 No.5安全技術(shù)計(jì)算機(jī)工程Computer Engineering文章編號(hào)：I(>003428(2011 )050181 ()3文緘標(biāo)識(shí)碼：A2011年3月March 2011中圖分類(lèi)號(hào)：TP309.2第37卷第5期郭 征，吳向前，劉勝全：針對(duì)校鴻網(wǎng)ARP攻擊的主動(dòng)防護(hù)方案183針對(duì)校園網(wǎng)ARP攻擊的主動(dòng)防護(hù)方案郭征，吳向前，劉勝全(新娠人學(xué)現(xiàn)代教育技術(shù)中心，鳥(niǎo)傑木齊830046)摘 ®：針對(duì)校園網(wǎng)中頻第發(fā)作的ARP協(xié)議欺騙攻血 提岀一種上動(dòng)防護(hù)方案。通過(guò)對(duì)ARP攻擊的凍理

2、和方法進(jìn)行分析.實(shí)現(xiàn)與校園網(wǎng) 身份認(rèn)idi系統(tǒng)聯(lián)動(dòng)實(shí)時(shí)定位主機(jī)攻擊、強(qiáng)制対接入用戶隔離的主動(dòng)防護(hù)。實(shí)踐結(jié)果表明，該方案通用恥強(qiáng)，可右效抵御多數(shù)ARP攻擊， 降低網(wǎng)絡(luò)筲理難甌提島網(wǎng)絡(luò)運(yùn)行水平。關(guān)健詞：地址解析協(xié)議；簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議；Telnei協(xié)議；Radius服務(wù)Active Protection Scheme Against ARP Attack in Campus NetworkGUO Zheng, WU Xiang«qian9 LIU Sheng-quan(Modem Education Technology Center. Xinjiang University, l/rum

3、qi 830046. China)Abstract Aiming a( (he deceive attack of ARP pro«x:ol in campus network, (his paper proposes an active protection scheme It analyses method and principle of ARP attack and realizes lhe location of attack with ID aulhcntication system and active pn)lection force to isolate users

4、. Application result shows that the scheme can be against most ARP attack, reduce the difficulty of network management and decrease the level of network running.(Key words Address Resolution ProlwoJ(ARJ>); Simple Network Management Pn)tocol(SNMP); Telnet proiocol： Radius serviceDOI: 103969/j.issn

5、.l(K)(K3428.2011.05.061第37卷第5期郭 征，吳向前，劉勝全：針對(duì)校鴻網(wǎng)ARP攻擊的主動(dòng)防護(hù)方案183第37卷第5期郭 征，吳向前，劉勝全：針對(duì)校鴻網(wǎng)ARP攻擊的主動(dòng)防護(hù)方案1831概述冃前校園網(wǎng)悴遍采用星型結(jié)構(gòu)(核心交換機(jī)+匯聚交換 機(jī)+接入交換機(jī))構(gòu)建，通過(guò)VLAN將整網(wǎng)劃分若十子網(wǎng)，使 用802.lx協(xié)議實(shí)現(xiàn)接入認(rèn)證，配迓Radius計(jì)費(fèi)認(rèn)證系統(tǒng)進(jìn)行 錢(qián)理校園網(wǎng)用戶。這樣的優(yōu)點(diǎn)是簡(jiǎn)放、易于實(shí)現(xiàn)、易于管理， 但在安全方而存在很入缺陷，其中，每個(gè)VLAN中的地址解 析協(xié)議(Address Resolution Protocol, ARP)ARP攻擊問(wèn)題遅最 大的安全威脅

6、,利用ARP欺編，攻擊者可實(shí)施拒絕服務(wù)攻擊(DOS)或中 間人攻擊山，中間人攻擊可導(dǎo)致網(wǎng)絡(luò)中的數(shù)據(jù)被截取成篡改。 隨若校園網(wǎng)應(yīng)川觀模的擴(kuò)人及用戶網(wǎng)絡(luò)技術(shù)水平的提高，利 用ARP欺騙技術(shù)的木馬程序在網(wǎng)絡(luò)中廣泛傳播，ARP攻擊 越來(lái)越頻繁的危害校園網(wǎng)的安全，其表現(xiàn)為校園網(wǎng)頻頻出現(xiàn) 財(cái)部烤塞、用戶經(jīng)常攤線零現(xiàn)象，嚴(yán)匝影響了校網(wǎng)網(wǎng)用戶的 止常使用，給網(wǎng)絡(luò)的安全正常運(yùn)行帶來(lái)巨人挑戰(zhàn)，因此，如 何有效解決ARP攻擊是網(wǎng)絡(luò)管理面臨的棘手問(wèn)題。雖然ARP攻擊發(fā)現(xiàn)了很長(zhǎng)時(shí)間，其問(wèn)題機(jī)理也比較消 楚，且新網(wǎng)絡(luò)設(shè)備也M有效進(jìn)行防護(hù)，但ARP協(xié)議的安全缺 陷仍使多數(shù)院校的老設(shè)備防護(hù)不住，且ARP攻擊的變種日益 猖獗，

7、極大地彫響到M絡(luò)的平穩(wěn)運(yùn)行。因此，對(duì)ARP攻擊的 防治仍然是一個(gè)熱點(diǎn)問(wèn)題。2 ARP攻擊原理ARP攻擊的基本原理是攻擊者利用ARP協(xié)議上的安全 漏洞，通過(guò)向口標(biāo)需戶發(fā)送偽造的ARP協(xié)議報(bào)文欺編I標(biāo)客 戶，便目標(biāo)8戶誤以為是與期墊上機(jī)通信，而實(shí)際上是與攻 擊者進(jìn)行通信，其實(shí)施細(xì)節(jié)可參考文獻(xiàn)3。2.1 ARP協(xié)議漏洞在VLAN內(nèi)，源主機(jī)是以廣播方式發(fā)送ARP諸求，而 應(yīng)答包為單播包，協(xié)議出于傳輸效來(lái)上的考慮，任何主機(jī)都 右權(quán)發(fā)送ARP應(yīng)答包，而口沒(méi)有對(duì)接收到的ARP應(yīng)答包進(jìn) 行安全驗(yàn)證，即尤條件接收ARP應(yīng)答包，隨后將其插入到巾 己的ARP地址轉(zhuǎn)換喪中。該協(xié)議是建立在主機(jī)間的通信是相 互信任的基礎(chǔ)

8、之上的，這個(gè)問(wèn)題導(dǎo)致的后果是攻擊者可以偽 裝ARP應(yīng)答，與請(qǐng)求主機(jī)進(jìn)行競(jìng)爭(zhēng)，還可以判斷同VLAN 中MAC地址緩存刷新時(shí)間，以確保故犬時(shí)間限度地進(jìn)行 攻擊。2.2 ARP攻擊的主要方式ARP攻擊方式一般分為欺嗚主機(jī)和欺塢網(wǎng)關(guān)2類(lèi)，都屬 于中間人攻擊。(J)欺頤主機(jī)是發(fā)起ARP攻擊的主機(jī)假R網(wǎng)關(guān).致使被 嵋主機(jī)對(duì)外發(fā)送的數(shù)據(jù)包必須通過(guò)發(fā)起攻擊主機(jī)，從而實(shí)現(xiàn) 特有目的。(2)欺騙網(wǎng)關(guān)圧發(fā)起ARP攻擊的主機(jī)假刊名戶端條取阿 關(guān)信任，使網(wǎng)關(guān)將發(fā)向疋確竅戶主機(jī)的數(shù)據(jù)包發(fā)向發(fā)起攻舟 主機(jī)，從而達(dá)到軒殊U的欺鴉方式。2.2.1欺嵋主機(jī)方式通過(guò)上而對(duì)ARP協(xié)議漏洞分析可知，對(duì)1臺(tái)主機(jī)而呂， 即使收到的ARP應(yīng)

9、答并非因白己請(qǐng)求而得到的，它也會(huì)將其 插入到自己的ARP地址轉(zhuǎn)換表中，ARP攻擊正是利用這一 漏洞來(lái)實(shí)現(xiàn)的。以圖】為例說(shuō)明ARP攻擊主機(jī)的過(guò)程：件先攻擊主機(jī)向 源主機(jī)發(fā)送ARP應(yīng)答包，假右網(wǎng)關(guān)的IP地址，從而使源主 機(jī)的ARP地址轉(zhuǎn)換表被修改。忖標(biāo)主機(jī)的請(qǐng)求可以止簾到達(dá) 源主機(jī)，但足山于源主機(jī)的ARP地址轉(zhuǎn)換表被污染，源主機(jī)基金項(xiàng)目：新啟大學(xué)自然科學(xué)基金資助項(xiàng)HCXY080I57)作者筒介：郭 征一人弘 工程師，主研方向:倍息系統(tǒng)工程， 網(wǎng)絡(luò)與信息安全；吳向茴.教授級(jí)髙級(jí)匸程師；劉勝全，教授 收稿日期:2010-07-10 E-mail: gz818ycah.nct的應(yīng)答會(huì)經(jīng)過(guò)攻擊主機(jī)，可以被

10、插入或特?fù)Q。圖1以勞主機(jī)示例2.2.2欺騙網(wǎng)關(guān)方式同樣從圖2可知ARP如何攻擊網(wǎng)關(guān)：首先攻擊主機(jī)向網(wǎng) 關(guān)發(fā)送ARP應(yīng)答包，從而假冒源主機(jī)的IP地址。用戶的請(qǐng) 求可以止常到広源！£機(jī)，返冋的響應(yīng)被網(wǎng)關(guān)i5J發(fā)給了攻擊主 機(jī)，攻擊主機(jī)可以偵聽(tīng)或者篡改響應(yīng)。特別是在校園網(wǎng)中頻 發(fā)針對(duì)網(wǎng)關(guān)的ARP攻擊，這足攻擊的上憂方式。5192.16*1.4 <kbddddddddJd192.168.).3<X YC-CC <C-C-CC攻由主機(jī) I92J&M.2 bb-bb-bb-bb-bbbbARP地址轉(zhuǎn)検機(jī) I92.I6K.I.2 hb bb-bb bh-bb bb I92

11、.I6Hbb htHbb bb bb bb192.12 1.4 dd dd dd dd-dd-dd圖2關(guān)示例在VLAN內(nèi)-旦檔ARP攻擊存在，攻擊者就會(huì)試圖攻 擊同VI“AN內(nèi)所仔主機(jī)和網(wǎng)關(guān)，一旦攻擊成功，那么主機(jī)間 正常通信或卞札與網(wǎng)關(guān)之間的通佰就會(huì)通過(guò)攻擊者修改或轉(zhuǎn) 發(fā)后進(jìn)行，而ARP攻擊時(shí)，終端用戶是察覺(jué)不到的，況咔 部分ARP攻擊是隨機(jī)的。正是這種隱蔽性導(dǎo)致發(fā)現(xiàn)與定位 ARP攻擊者比較閑難。曲于實(shí)施攻擊的主機(jī)牲能和程序性能 的彫響，這種轅發(fā)并不會(huì)非常流暢，因此就會(huì)導(dǎo)致用戸上網(wǎng) 的速度變慢甚至頻繁斷線?？傊?，ARP攻擊的就圧為了實(shí)現(xiàn)全交換環(huán)境1的數(shù)據(jù)劫 持，多數(shù)的木馬或病稱(chēng)使用ARP欺頤

12、攻擊也足為了達(dá)到上述 目的。3主動(dòng)防護(hù)方案在接入或匯聚層交換機(jī)直接防范ARP攻擊，原理上是最 佳解決方棠，但多數(shù)校園網(wǎng)中使用的大竝老式交換機(jī)不具有 防范ARP攻擊的功能。針對(duì)ARP攻擊的常用防護(hù)技術(shù)包括 802.1X、Private VLAN/Super VLAN PPPoE 隔離、網(wǎng)絡(luò)雙向 綁定等。這兒種技術(shù)于段各育優(yōu)缺點(diǎn)，但柿存枉部店與管理 成本島，且不能發(fā)現(xiàn)VLAN中ARP攻擊的缺點(diǎn)。以新期大 學(xué)為例，在I0Q00多個(gè)值息點(diǎn)的校園網(wǎng)中.有多種不同廠家 的網(wǎng)絡(luò)設(shè)備，雖熱采用802.lx進(jìn)行多元索綁定（即1P與MAC、 交換機(jī)PORT等綁定），后臺(tái)Radius認(rèn)證,但標(biāo)準(zhǔn)的802.lx 協(xié)議

13、中并不支攤上述綁定，而是各個(gè)廠家針對(duì)其設(shè)備所作的 擴(kuò)展，幾這些綁定功能由廠家特定客戶端實(shí)現(xiàn)。但各種破解 版客戶端的泛濫使綁定功能形如虛設(shè)，造成盜號(hào)和ARP攻擊 現(xiàn)象，給網(wǎng)管造成了很大的壓力。翌解決校園網(wǎng)ARP攻擊，就要解決如何快速發(fā)現(xiàn)上述攻 擊行為的主機(jī)并主動(dòng)隔離其攻擊源，并對(duì)受害上機(jī)的ARP地 址轉(zhuǎn)換表進(jìn)行及時(shí)更新修正而無(wú)需客戶端干預(yù)。本文扳岀ARP主動(dòng)防護(hù)的厲臺(tái)服務(wù)，利用簡(jiǎn)單網(wǎng)絡(luò)管理 協(xié)議（Simple Network Management Protocol, SNMP）協(xié)議結(jié)合 Telnet命令，實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)設(shè)備中ARP表,與Radius認(rèn)證服 務(wù)聯(lián)動(dòng)可主動(dòng)發(fā)現(xiàn).主動(dòng)陥離ARP攻擊者，并

14、清除接入交換 設(shè)備中的慮假攻擊地址，實(shí)現(xiàn)用戶透明的主動(dòng)防護(hù)技術(shù)，從 而解決校園網(wǎng)ARP攻擊問(wèn)題。31主動(dòng)訪護(hù)方案設(shè)計(jì)使用SNMP協(xié)議，可獲取接入交換機(jī)的ARP表，并口J 配晝交換機(jī)的相關(guān)參數(shù)。標(biāo)準(zhǔn)的M1B庫(kù)中定義了與ARP信 息相關(guān)的變覽，通過(guò)這些變城可以獲取與ARP攻由相關(guān)的信 息，利用MIB庫(kù)定義的英他MIB變魚(yú)設(shè)置交換機(jī)用戶接口 參數(shù)，將實(shí)施ARP攻擊者從交換機(jī)接入端1斷開(kāi)，主動(dòng)肌斷 ARP攻擊對(duì)校園網(wǎng)的破壞。主動(dòng)防護(hù)服務(wù)的基本步驟如下：（1）連接Radius認(rèn)證服 務(wù)；飲取網(wǎng)絡(luò)設(shè)備IP地址；讀取用八主機(jī)1P地址.MAC 地址與英上連交換機(jī)端口對(duì)應(yīng)關(guān)系；（4）定期采集網(wǎng)絡(luò)設(shè)備 ARP映射

15、表及接入交換機(jī)端II自學(xué)習(xí)MAC地址；（5）檢測(cè)網(wǎng) 絡(luò)設(shè)備ARP映射表與Radius認(rèn)證庫(kù)中及交換機(jī)接入端H 口 學(xué)習(xí)地址比較足否一致。不一致有2種可能：1）IP地址盜用； 2）正在進(jìn)行ARP攻擊，此時(shí)關(guān)閉對(duì)應(yīng)的交換機(jī)接入端（1并通 知Radius認(rèn)證強(qiáng)制該用戶下線，隔離ARP攻擊者的冃的是 避免其繼續(xù)危害校園網(wǎng)運(yùn)行。主動(dòng)防護(hù)服務(wù)的流程描述如圖3所示。圖3主動(dòng)防護(hù)方案的荃本淹程3.2技術(shù)實(shí)現(xiàn)ARP主動(dòng)防護(hù)后臺(tái)利用Python 2.5開(kāi)發(fā)，網(wǎng)絡(luò)設(shè)備交互 采用SNMP結(jié)合Telnet命令方式.其原因是校內(nèi)網(wǎng)絡(luò)設(shè)備種 類(lèi)繁雜，有的私有MIB不易獲得，如老式實(shí)達(dá)2024M交換 機(jī)在802.lx環(huán)境下，

16、FDB地址農(nóng)無(wú)法釆集對(duì)應(yīng)端口，無(wú)法主 動(dòng)發(fā)布ARP請(qǐng)求等，此條件F采用Telnet命令輔助，能方便 操控交換機(jī)。(1) ARP攻擊行為的認(rèn)定通過(guò)多線程并發(fā)處理，系統(tǒng)可在規(guī)定時(shí)間內(nèi)采集各個(gè)網(wǎng) 絡(luò)設(shè)備的ARP映射表，再與從Radius認(rèn)證服務(wù)獲得的用戶 配愛(ài)表進(jìn)行比對(duì)，為加快檢索過(guò)程采用哈希映射方式；若比 對(duì)不一致(取復(fù)MAC地址也造成比對(duì)不一致)，可認(rèn)定是非法 攻擊行為。此時(shí)，主動(dòng)關(guān)閉其接入期I，隔離攻擊者，清除 交換機(jī)中假胃作法地址。向Radius認(rèn)證服務(wù)發(fā)送用戶強(qiáng)制下 線請(qǐng)求，通il Radius認(rèn)證服務(wù)產(chǎn)生日志記錄。(2) 交換機(jī)ARP衣的檢測(cè)及操作網(wǎng)絡(luò)設(shè)備的管理信息岸(MIB)中存有網(wǎng)絡(luò)

17、設(shè)備的所有管 理信息.包括設(shè)備的狀態(tài)和流駅信息等。通過(guò)SNMP可讀取 MJB庫(kù)中的數(shù)據(jù)【J利用SNMP協(xié)議逋過(guò)ipNetToMediaTable (OID=.1.3.6J.2.L2.4.22)ARP表節(jié)點(diǎn)遍歷獲得M!B庫(kù)中此 0ID所對(duì)應(yīng)的衣項(xiàng)值(MAC-1P地址對(duì))。(3) ARP表及時(shí)更新修正主動(dòng)防護(hù)后臺(tái)服務(wù)在檢測(cè)到冇ARP非法攻擊行為的用 戶時(shí)，通過(guò)SNMP協(xié)議(Sci RcquZ)給交換機(jī)發(fā)送關(guān)閉指定 的接入端口。由于清除交換機(jī)ARP映射衣指定條冃楚廠家私 冇MIB對(duì)象，不易獲得，為通用性和便捷性，此處采用Telnet 支持，由網(wǎng)絡(luò)設(shè)備直新發(fā)起被假同主機(jī)的ARP請(qǐng)求.用于刷 新該VLA

18、N內(nèi)ARP映射喪，即可清除交換機(jī)中非法地址. 也同時(shí)更新修正了用八主機(jī)中的ARP地址轉(zhuǎn)換表。4方案實(shí)施部署環(huán)境：FrecRadius認(rèn)證服務(wù)器、XinSYNCARP主動(dòng) 防護(hù)服務(wù)器各I臺(tái)，1臺(tái)北電8610核心交換機(jī)，數(shù)臺(tái) H3C35OO、Cisco 3524、實(shí)達(dá)2024M竽匯聚交換機(jī)，40多臺(tái) 銳捷2024接入交換機(jī)3臺(tái)HW3026V按入交換機(jī)。這些設(shè) 備均處于實(shí)際的工作狀態(tài)中。部署實(shí)例如圖4所示。實(shí)踐結(jié)果表明，本文開(kāi)發(fā)的ARP主動(dòng)防護(hù)后臺(tái)服務(wù)監(jiān)控 新朝犬學(xué)北校區(qū)近百伶網(wǎng)絡(luò)設(shè)備(4 00()多個(gè)網(wǎng)絡(luò)用戶)，該服 務(wù)能實(shí)時(shí)發(fā)現(xiàn)并處理用戶非法ARP攻擊，只要具認(rèn)證地址與 交換機(jī)ARP映射表甲不符

19、，后臺(tái)服務(wù)立刻檢測(cè)出非法行為并 主動(dòng)關(guān)閉用戶接入端口實(shí)現(xiàn)強(qiáng)制下線隔離，同時(shí)更新該 VLAN內(nèi)用戶主機(jī)被污染的ARP條冃(主機(jī)端無(wú)需運(yùn)行防護(hù) 軟件)，向Radius認(rèn)證服務(wù)發(fā)出用戶非法下線請(qǐng)求。通過(guò) Radius服務(wù)記錄用戶行為?？梢?jiàn)，本文提出的方案可有效防護(hù)VLAN內(nèi)ARP攻擊 行為，達(dá)到了預(yù)期的口的。(上接第80頁(yè))使其在電子投票等安全性要求奇的應(yīng)用中發(fā)揮很好的效果。參考文獻(xiàn)1 Mambo M. Usuda K, Okamoto E. Proxy Signatures: Delegation of the Power to Sign Messages)J). IEICE Trans, on

20、Fundamentals* 1996. E79-A(9): 1338-1354.(2 Mambo VI. Usuda K, Okamoto E. Proxy Signatures for Delegating Signing ()pcration(CJ/Proc of ACM Conference on Computer and Comrnunicaiions Security. fS. I.J: ACM Press. 1996.|3| van Hcyst E. Pedersen T P. How to Make EHicicnt Fail-stop Signa(ure6(CJ/Proc. o

21、f EUROCRYPTTZ. Baiatonfiired, Hungary: |s. n.t 1992802.IX認(rèn)證 宿舍區(qū)圖4部署賓債5 結(jié)束語(yǔ)ARP攻擊處種典型的協(xié)議缺陷欺騙攻擊類(lèi)型，它利用 tarp協(xié)議存在的安全隱患，并使用i些專(zhuān)門(mén)的攻擊工具. 使這種攻擊變得普及并有較舟的成功率。本文提出的方案具 有以下特點(diǎn)：(I)該方案兵有創(chuàng)新和現(xiàn)實(shí)意義，可進(jìn)一步完髀 校園網(wǎng)的管理、節(jié)約帶寬，增強(qiáng)校園網(wǎng)絡(luò)的町管理性、安全 性和穩(wěn)定性。(2)該方案具有對(duì)用戶透明、與網(wǎng)絡(luò)結(jié)構(gòu)和上機(jī) 數(shù)燉無(wú)關(guān)、后臺(tái)服務(wù)器相對(duì)獨(dú)立，體現(xiàn)了主動(dòng)骨理的優(yōu)勢(shì) (3)該方案雖然是針対高校校園阿需求設(shè)計(jì)，但部署成本低、 效率島，適用于較大規(guī)模的網(wǎng)絡(luò)部署。參考文獻(xiàn)111齒天福.段講協(xié)議機(jī)制的MiARP欺頼方法卩I.計(jì)算機(jī)工粘 2(X)8. 34(14): 168-170.王佳.李志附埜于ARP協(xié)議的攻擊原理分析J微電子學(xué) 與計(jì)算機(jī),2004,21(4): )0-12.13)唐 濤.ARP欺呎攻擊分析及一種新防御算法卩中國(guó)髙新技 術(shù)企業(yè),2008,(12): 129-134.141岑賢道.常安訝.網(wǎng)