校园网ARP攻击原理及防御解决方案
时间:2010-09-16 来源:dgh00
校园网是CERNET/Internet的基本组成单位,是为学校师生员工的教学、科研、管理、服务、文化娱乐等提供服务的信息支撑平台,是学校必不可少的基础设施。校园网有用户数量大、用户类型复杂、管理策略复杂、流量大、网络安全威胁性大等特点。如何保证校园网安全顺畅地运行是迫切需要解决的问题。
在校园网的管理中,ARP攻击几乎成为每个网络管理人员必须面对的难题。校园网中的ARP欺骗病毒传播迅速,容易泛滥;某些局域网工具软件也具备扰乱ARP表的功能;ARP网关欺骗往往会造成整个网段用户的无法正常上网,故障的面积大,给学校网络管理员造成的压力也很大,同时故障的定位较难,需要到用户端排查故障,管理员要耗费大量精力,等等。在校园网的管理中,如何阻止ARP攻击的发生,成为保障校园安全一项刻不容缓的重要课题。
ARP攻击的源头——ARP本身的缺陷
ARP本身的天然缺陷和不完善是ARP攻击的源头。ARP是通过发送ARP请求包获取目的主机的MAC地址,这种请求机制缺陷在于它假设计算机发送的或响应的ARP数据包都是正确的,而攻击者利用这一特点发送或响应虚假的ARP数据包实行ARP攻击。
ARP的漏洞和缺陷可归纳为两个方面:首先,ARP没有认证机制,当主机收到其它计算机响应的ARP包,便会直接更新自己的ARP表,而不管发送方是谁,发送的ARP包正确与否,这样攻击者就可轻易地将虚假的ARP包传播出去。其次,ARP并未将正确的IP地址与MAC地址的映射关系静态绑定,而是定时动态更新,即使攻击者不主动发送虚假的ARP包也可以待缓存表项生存周期结束后响应虚假的ARP包。在默认情况下,Windows操作系统如Windows Server 2003和Windows XP,ARP缓存中的表项仅存储2分钟。如果一个ARP缓存表项在2分钟内被用到,那么其期限再延长2分钟,直到最大生命期限10分钟为止。超过10分钟的最大期限后,ARP缓存表项将被移出,然后通过ARP请求与ARP回应将IP地址与MAC地址的映射关系重新添加上去。也就是说一条IP地址与MAC地址的映射关系最多10分钟,最少2分钟就会更新一次,那么攻击者就可利用主机发送ARP请求包更新ARP缓存表时将响应虚假的ARP包实行欺骗。
ARP攻击原理
ARP攻击就是通过伪造IP地址和MAC地址的映射关系实现ARP欺骗,攻击者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP地址与MAC地址的映射关系,根据攻击者对所截获的数据包的处理情形而异造成网络中断或中间人攻击,这些地址可以是普通的主机,也可以是网关,因此,攻击者既可以冒充网关欺骗主机,又可以冒充主机欺骗网关,或者冒充主机欺骗其它主机实现中间人攻击,或者填写根本不存在的地址造成拒绝服务攻击,等等。
ARP攻击的实质通过各种手段使主机修改ARP缓存表中IP地址与MAC地址映射表项。下面本文就以同一个网段内的ARP攻击来分析其原理
