针对校园网ARP欺骗攻击的应对安全策略分析

理论探索　文章编号：１６７４—９１４６（２０１７）０２—００６７—０２　马　煜　（陕西中医药大学信息化建设管理处，陕西成阳７１２（；４６）　摘　要：为了防范ＡＲＰ欺骗攻击，保障校园网网络信息安全，笔者阐述了ＡＲＰ工作原理，分析了ＡＲＰ欺骗内网主　机、欺骗局域网网关等利用漏洞进行攻击的方式。提出了ＶＬＡＮ隔离端口、ＩＰ与ＭＡＣ地址静态绑定、采用抵御　ＡＲＰ攻击的以太网交换机、用户端主动防御等应对ＡＲＰ攻击的安全策略与实现方案。并根据校园网目前的实际情况　予以实施．在实际管理工作中验证了安全策略的可行性与有效性　关键词：ＡＲＰ欺骗攻击；校园网；信息安全；安全策略　中图分类号：ＴＰ３０９．２　文献标志码：Ａ　ＤＯｌ：１０．３９６９￣．ｉｓｓｎ．１６７４—９１４６．２０１７．０２．０６７　随着高校信息化建设的发展，校园网拓扑建设　已经逐步完善，网内信息高速传输为科研、教学、　办公提供了极大便利。然而随着网络技术的发展，　不断恶化的网络环境威胁着用户的网络安全。部分　接人设备技术简单、安全策略设置不全，缺少对内　部网络用户安全的管理机制，这些安全隐患为网络　际参与Ｔ作的网卡只能识别硬件ＭＡＣ地址，闪此　需要ＡＲＰ完成ＩＰ地址与ＭＡＣ地址的动态映射，使　两台主机的通信数据可以在数据链路层有效传输　２）ＡＲＰ丁作原理　为了准确记录通信主机的　ＭＡＣ地址。局域网内所有主机都拥有ＡＲＰ缓存表．　网内所有主机的网络ＩＰ地址与物理ＭＡＣ地址的映　胴户非法行为及网络攻击提供了“绿色”通道。　基于地址解析协议（Ａｄｄｒｅｓｓ　Ｒｅｓｏｌｕｔｉｏｎ　Ｐｒｏｔｏ—　射关系都存储在缓存表中、当主机Ａ向主机Ｂ发送　数据时．先在ｒ｛己的ＡＲＰ缓存表中查找Ｂ的ｌＰ地　ｃｏｌ，ＡＲＰ）漏洞的欺骗攻击在校园网中较为常见，　攻击主机会利用ＡＲＰ漏洞窃听与修改网内主机通　址，若有则直接将对　的ＭＡＣ地址写入数据帧中　并发送，若没有则会在网内，　播ＡＲＰ请求报文询　问该ＩＰ地址对应的ＭＡＣ地址，只有ｌ｛收到该数据　信信息，导致用户频繁掉线，甚至大面积网络瘫　痪，严重影响了校园网的稳定运行，给高校正常教　学、办公造成　大影响。因此防范ＡＲＰ欺骗攻击　帧时会做出回应反馈自己的ＭＡＣ地址。当Ａ收到　时会更新自己的ＡＲＰ缓存表以供下次通信查找　、　２　ＡＲＰ欺骗攻击原理及方式　以保障网络信息安全是管理部门的Ｔ作重点，校园　网络管理部ｒＪ应针对ＡＲＰ漏洞的攻击过程。设置　并实施相应的应对安全策略，　．１　ＡＲＰ简介与工作原理　ＡＲＰ欺骗利用的是协议上的信任漏洞，局域网　内所有主机都有权发送ＡＲＰ应答包．且没有进行　安全验证就会接收ＡＲＰ应答包．随后更新自己的　１）ＡＲＰ简介　ＡＲＰ作用于本地主机向日标主　ＡＲＰ缓存表　。基于通信相互信任．攻击者可以伪　装ＡＲＰ应答并与正常请求主机进行竞争，从而进　行ＡＲＰ欺骗攻击　机发送数据时将目标主机网络ＩＰ地址转换为物理　ＭＡＣ地址的过程【】Ｉ。在网络通信中，一台主机与另　一台直接通信时．只能知道其网络ＩＰ地址．而实　１）欺骗内网主机方式　攻击主机通常会冒充　收稿日期：２０ｌ６一Ｊ２一ｌ５；修回日期：２０１７－０ｌ一１５　作者简介：马　煜（１９８９一），男，陕西成阳人，硕士，工程师，主要从事算法设计与分析、校园网管理与应用研究，　Ｅ—ｍａｉｌ：１１１ａｒｌｏｌｌｍａｙｕ＠ｓｉｎａ．ＣＯｎｌ　科接翻葡与生产力　２ｏ１７＃－２月总第２７７期　一０６７—　论探索　局域网网关的ＩＰ地址，向主机Ａ发送ＡＲＰ应答　包，使得Ａ在缓存表中更新网关ＩＰ地址与攻击者　ＭＡＣ地址映射。当Ａ向网关发送数据请求时，由　于Ａ的缓存表已经被修改，这些请求会直接发向攻　击者，因此Ａ无法通过网关进行正常的对外网络通　信，导致Ａ认为网络掉线。此外，攻击主机ｘ也　可以分别向主机Ａ和主机Ｂ发送ＡＲＰ应答包，使　得Ａ的ＡＲＰ缓存表中更新为ＩＰ—Ｂ与ＭＡＣ—Ｘ映　射，Ｂ中的ＡＲＰ缓存表中更新为ＩＰ—Ａ与ＭＡＣ—Ｘ　映射，这样一来．Ａ与Ｂ的所有通信都会经过攻击　程，并记录ＩＰ，ＭＡＣ与端口信息，从根本上阻断　非法ＡＲＰ应答包的广播。此外，防止ＡＲＰ泛洪攻　击而设置的ＡＲＰ　Ｒａｔｅ—ｌｉｍｉｔ可以控制每个端口单位　时间内收到的ＡＲＰ应答包数量，如果在单位时间　内收到的应答包数量大于交换机设定值则进行丢　弃，从而有效地降低了因为泛洪攻击造成占用网络　带宽资源和交换机ＣＰＵ资源的可能。　通过连接在汇聚层设备上的登录认证服务器．　联合接人交换机、网关在用户主机上认证登录以防　止ＡＲＰ欺骗攻击，认证服务器将配置好的网关ＩＰ　主机Ｘ，ｘ可以直接对信息进行窃听与篡改。　２）欺骗局域网网关方式。攻击主机冒充网内　某主机Ａ的ＩＰ地址向网关发送ＡＲＰ应答包，欺骗　网关主机Ａ的ＭＡＣ地址已经更换，当主机Ａ向网　关发送外网通信请求时，网关会将所有数据依照新　的映射定向到攻击主机的ＭＡＣ地址，导致主机Ａ　无法访问外网　对于攻击同网段内多数用户的情　况，攻击主机会伪造大量不同的ＡＲＰ应答包进行　广播，使得网关的ＡＲＰ缓存表被占满，直接导致　了多数用户主机无法访问外网『３ｊ。　３应对ＡＲＰ攻击的安全策略与实现方案　１）ＶＬＡＮ隔离端口。在校园网的实际运行中，　通常会对不同区域实现基于端口划分ＶＬＡＮ的管理　方式，当察觉某ＶＬＡＮ中有网络用户恶意进行ＡＲＰ　欺骗攻击或某一正常用户受ＡＲＰ病毒感染而影响　校园网络时，可以先定位该用户所处的交换机端　口，随后将该端口独立划分出一个ＶＬＡＮ进行隔　离，避免对校园网内其他用户的影响。　２）ＩＰ与ＭＡＣ地址静态绑定。由于ＡＲＰ欺骗　是通过ＡＲＰ缓存表动态刷新进行的，因此在用户　主机上设置静态ＡＲＰ缓存表，将网段内所有主机　（包括网关）的ＩＰ地址与其各自的ＭＡＣ地址进行　指定映射，从而避免了攻击主机对其他主机缓存表　进行的恶意修改。不仅如此．还可以根据实际情　况，在接人层交换机端口上绑定用户主机的ＩＰ地　址与ＭＡＣ地址，从根本上杜绝了非法用户随意接　入网络的可能，一旦正常用户ＩＰ或ＭＡＣ地址有所　改动，该设备的所有网络访问将被拒绝，在很大程　度上降低了ＡＲＰ欺骗攻击或冒充正常用户ＩＰ地址　窃取数据信息的可能　３）采用抵御ＡＲＰ攻击的以太网交换机。笔者　所在高校目前使用Ｈ３Ｃ以太网交换机投人在核心　层、汇聚层、接人层工作，针对ＡＲＰ攻击都部署　了相应的监控、认证等安全策略。在接人层交换机　上开启了ＤＨＣＰ　Ｓｎｏｏｐｉｎｇ和ＡＲＰ　Ｒａｔｅ—ｌｉｍｉｔ。通过　ＤＨＣＰ　Ｓｎｏｏｐｉｎｇ监控了用户动态申请ＩＰ地址的全过　Ｉ１．　ＳＣＩ－　－ｕ－—－　－－・－　・—－ＴＥＣＨ　　—　～——　ＮＯＶＡＴＩＯＮ＆ＰＲＯＤＵＣＴＭＴＹ　一０６８一Ｌ—Ｎｏ～２一Ｆｅｂ　２０　Ｔ０ｔａｌＮｏ．２７７　与ＭＡＣ地址绑定信息传输给认证客户端进行记录　保存，可以防止攻击主机冒充网关类型的攻击方　式。在接人交换机上绑定用户主机ＩＰ与ＭＡＣ地　址，当用户主机登录认证上网时，认证报文会经过　接入交换机，这样可以有效防止攻击主机冒充正常　用户的攻击方式。　４）用户端的主动防御。网络管理部门在校园　网服务器端为用户提供常用的杀毒、ＡＲＰ防火墙等　防护软件供其使用，并且定期在网站上通知所有网　络用户检查并更新所装的防护软件及操作系统的升　级补丁＿４１。对于已受感染的机器，可以重装操作系　统或使用正版杀毒软件对全盘进行扫描查杀．在主　机上安装监测木马的安全软件．随时观察网络工作　情况。另外针对使用局域网共享功能的主机，需要　关闭一些不必要的共享项目。将共享文件夹的权限　设置为只能读取而不能写入，也不要轻易点击不安　全的网络链接地址。　４结束语　经过网络管理部门着力实施应对防范ＡＲＰ欺　骗攻击的安全策略。在实际的安全维护工作中发现　校园网内ＡＲＰ欺骗攻击现象逐渐减少．安全策略　的实现有效地制止了网络攻击者利用ＡＲＰ缺陷进　行的网络攻击。然而，随着网络技术的发展，新型　的ＡＲＰ欺骗攻击形式趋于多样化，网络管理部门　仍旧需要探索并建立新的多层次、多架构的安全防　护策略，以保障高校网络的稳定运行。　参考文献：　【１］　郭征，吴向前，刘胜全．针对校园网ＡＲＰ攻击的主动防护　方案Ｕ１．计算机工程，２０１１，３７（５）：１８１—１８３．　［２］　李红．如何防御校园网内的ＡＩ：ｋＰ攻击Ⅱ】＿赤峰学院学报　（科学教育版），２０１１（５）：１０６—１０７．　ｆ３】　苏宁．校园网中ＡＲＰ攻击分析与防御探讨Ｕ１．电脑知识与　技术，２０１２，８（２０）：４８５５—４８５６．　［４１邢金阁，刘扬．ＡＲＰ欺骗攻击的检测及防御技术研究卟东　北农业大学学报，２０１２，４３（８）：７４—７７．　。　（责任编辑邸开宇）　（英文部分下转第７３页）　理论探Ｉ墓１　率等关键词居于网络的中间位置，是网络中心和边　缘连接的桥梁，主要是数据包络分析的主要模型及　应用。服务业、指标体系、综合评价等位于网络图　谱的边缘位置，与其他关键词的联系较少。　４结论与展望　由于数据包络分析是一种非参数统计方法。可　以减少人为误差，并且研究多投入产出的问题，在　经济管理学中应用广泛。本文以“数据包络分析”　或“ＤＥＡ”为主题词和关键词，以知网、万方、维　普期刊论文总库近１０年的关于经济管理学中的核　参考文献：　【１】崔鸥晔．数据包络分析（ＤＥＡ）模型及其在绩效评价中的　应用综述（英文）　科学技术与工程，２００８（７）：１７３５—　１７４０．　［２］侯翔，马占新，赵春英．数据包络分析模型评述与分类卟内　蒙古大学学报（自然科学版），２０１０（５）：５８３—５９３．　［３】毕功兵，梁操，杨锋．两阶段生产系统的ＤＥＡ效率评价模　型Ｕ１．中国管理科学，２００７（２）：９２—９６．　［４］王雪萍，张成虎．我国银行卡产业效率实证研究Ｕ１．西安交　通大学学报（社会科学版），２００７（４）：１７—２３．　［５】庞瑞芝，李鹏．中国＿Ｔ－，＿ｌｋ４４新：过程、效率与模式——基于　２００１－－２００８年大中型工业企业的数据Ⅲ．产业经济研究，　２０１１（２）：１—７．　心期刊、ＳＣＩ期刊、ＣＳＳＣＩ期刊为对象。对论文的　核心作者及作者单位进行网络合作分析和对关键词　共现网络进行分析。结果表明合作团体之间的联系　［６】郑选芳，许佳贤，孙小霞，等．福建三大林种农户经营规模效　率比较分析卟林业经济，２０１１（１２）：５３—５５．　［７］　周立群，夏良科．天津滨海新区的技术进步、效率提升与　全要素生产率增长——基于Ｍａｌｍｑｕｉｓｔ指数的测度【ｌ１．科　较少，合作局限于团体内部。合作团体的研究主题　相对比较集中，有利于促进数据包络分析应用的进　步发展。科研机构之间联系较广，但联系程度较　浅。随着科技的发展，科研合作交流会在更大范围　进行，数据包络分析的研究和应用将会更加深入和　广泛　一学学与科学技术管理，２０１０（１１）：１０１—１０９．　【８　伊茹，８】马占新．内蒙古城市土地利用经济效率评价的实证　研究Ⅲ，统计与决策，２００９（ｉ）：９９—１０１．　（责任编辑尚晓春）　Ｂｉｂｌｉｏｍｅｔｒｉｃ　Ａｎａｌｙｓｉｓ　ｏｎ　ｔｈｅ　Ａｐｐｌｉｃａｔｉｏｎ　ｏｆ　Ｄａｔａ　Ｅｎｖｅｌｏｐｍｅｎｔ　Ａｎａｌｙｓｉｓ　Ｍｅｔｈｏｄ　ｉｎ　ｔｈｅ　Ｆｉｅｌｄ　ｏｆ　Ｍａｎａｇｅｍｅｎｔ　Ｌｉｕ　Ｗｅｉ　，Ｔａｉ　Ｙａｎｇ－ｆａｎｇｚ　（１．Ｔｈｅ　３３ｒｄ　Ｒｅｓｅａｒｃｈ　Ｉｎｓｔｉｔｕｔｅ　ｏｆ　Ｃｈｉｎａ　Ｅｌｅｃｔｒｏｎｉｃｓ　Ｔｅｃｈｎｏｌｏｇｙ　Ｇｒｏｕｐ　Ｃｏｒｐｏｒａｔｉｏｎ，Ｔ￣ｙｕａｎ　０３００３２　Ｃｈｉｎａ；　２．Ｓｃｈｏｏｌ　ｏｆ　Ｍａｎａｇｅｍｅｎｔ，Ｓｈａｎｘｉ　Ｍｅｄｉｃａｌ　Ｕｎｉｖｅｒｓｉｔｙ，Ｔａｌｙｕａｎ　０３０００１　Ｃｈｉｎａ）　Ａｂｓｔｒａｃｔ：Ｂａｓｅｄ　ｏｎ　ｔｈｅ　ｊｏｕｒｎａｌ　ａｒｔｉｃｌｅｓ　ｏｎ　ＤＥＡ　ｐｕｂｌｉｓｈｅｄ　ｉｎ　ｔｈｅ　ｃｏｒｅ　ｊｏｕｍａｌｓ／ＳＣｌ／ＣＳＳＣＩ　ｂｅｔｗｅｅｎ　２００６　ａｎｄ　２０１５　ｉｎ　ＣＮＫＩ，　Ｖ　ａｎｄ　Ｗａｎｆａｎｇ　ｄａｔａｂａｓｅ，ｔｈｅ　ｐａｐｅｒ　ｍａｋｅｓ　ｔｈｅ　ｓｔａｔｉｓｔｉｃａｌ　ｄｅｓｃｒｉｐｔｉｏｎ　ｆｒｏｍ　ｐｕｂｌｉｃａｔｉｏｎ　ｙｅａｒ，ｐｅｒｉｏｄｉｃａｌ—ｔｙｐｅ，ａｕｔｈｏｒｓ　ａｎｄ　ａｕ—　ｔｈｏｒｓ’ｕｎｉｔｓ．Ｔｈｒｏｕｇｈ　ｔｈｅ　ａｎａｌｙｓｉｓ　ｏｎ　ｔｈｅ　ａｕｔｈｏｒ　ｃｏｏｐｅｒａｔｉｏｎ　ｎｅｔｗｏｒｋ　ａｎｄ　ｔｈｅ　ｃｌｕｓｔｅｒ　ａｎａｌｙｓｉｓ　ｏｎ　ｋｅｙｗｏｒｄｓ，ｉｔ　ｉｓ　ｃｏｎｃｌｕｄｅｄ　ｔｈａｔ　ＤＥＡ　ｉｓ　ｗｉｄｅｌｙ　ｕｓｅｄ　ａｎｄ　ｈａｓ　ｔｈｅ　ｔｒｅｎｄ　ｏｆ　ｆｕｒｔｈｅｒ　ｄｅｖｅｌｏｐｍｅｎｔ．Ｔｈｅ　ａｐｐｌｉｃａｔｉｏｎ　ｏｆ　ＤＥＡ　ｍａｉｎｌｙ　ｆｏｃｕｓ　ｏｎ　ｔｅｃｈｎｉｃａｌ　ｉｎｎｏｖａｔｉｏｎ，　ｓｕｓｔａｉｎａｂｌｅ　ｄｅｖｅｌｏｐｍｅｎｔ，ｒｅｓｏｕｒｃｅ　ｃｏｎｆｉｇｕｒａｔｉｏｎ，ａｇｒｉｃｕｌｔｕｒａｌ　ｐｒｏｄｕｃｔｉｏｎ，ｅｎｅｒｇｙ　ｅｆｉｃｉｆｅｎｃｙ，ｒｅｇｉｏｎａｌ　ｅｃｏｎｏｍｉｃ　ｉｎｖｅｓｔｍｅｎｔ，ｂａｎｋ　ｅｆｉｃｉｅｎｃｙ　ａｎｄ　ｆｏｒｅｉｇｎ　ｉｎｖｅｓｔｆｍｅｎｔ．　Ｋｅｙ　ｗｏｒｄｓ：ＤＥＡ；ｄａｔａ　ｅｎｖｅｌｏｐｍｅｎｔ　ａｎａｌｙｓｉｓ；ｂｉｂｌｉｏｍｅｔｒｉｃｓ　ａｎａｌｙｓｉｓ；ｂｉｂｌｉｏｍｅｔｒｉｃｓ　（上接第６８页）　Ａｎａｌｙｓｉｓ　ｏｎ　ｔｈｅ　Ｓｔｒａｔｅｇｙ　ｆｏｒ　ＡＲＰ　Ｄｅｃｅｐｔｉｏｎ　Ａｔｔａｃｋ　ｉｎ　Ｃａｍｐｕｓ　Ｎｅｔｗｏｒｋ　Ｍａ　Ｙｕ　（Ｉｎｆｏｒｍａｔｉｚａｔｉｏｎ　Ｏｆｉｃｅ　ｏｆｆ　Ｓｈａａｎｘｉ　Ｕｎｉｖｅｒｓｉｔｙ　ｏｆ　Ｃｈｉｎｅｓｅ　Ｍｅｄｉｃｉｎｅ，Ｘｉａｎｙａｎｇ　７１２０４６　Ｃｈｉｎａ）　Ａｂｓｔｒａｃｔ：Ｉｎ　ｏｒｄｅｒ　ｔｏ　ｐｒｅｖｅｎｔ　ＡＲＰ　ｄｅｃｅｐｔｉｏｎ　ａｔｔａｃｋ　ａｎｄ　ｓａｆｅｇｕａｒｄ　ｃａｍｐｕｓ　ｎｅｔｗｏｒｋ，ｔｈｅ　ｐａｐｅｒ　ｅｘｐｏｕｎｄｓ　ｔｈｅ　ｗｏｒｋｉｎｇ　ｐｒｉｎｃｉｐｌｅ　Ｏｆ　ＡＲＰ，ａｎａｌｙｚｅｓ　ｔｈｅ　ｗａｙｓ　ｆｕｒ　ｎｅｔｗｏｒｋ　ａＲａｃｋ　ｕｓｉｎｇ　ｔｈｅ　ＡＲＰ　ａｇｒｅｅｍｅｎｔ　ｌｏｏｐｈｏｌｅ，ａｎｄ　ｐｒｏｐｏｓｅｓ　ｔｈｅ　ｒｅｌａｔｅｄ　ｓａｆｅ　ｓｔｒａｔｅｇｙ　ａｎｄ　ｕａｒｄ　ｍｅａｓｕｒｅ　ｆｏｒ　ＡＲＰ　ａｔｇｔａｃｋ，ｓｕｃｈ　ａｓ　ＶＬＡＮ　ｐｏｒｔ　ｉｓｏｌａｔｅ，ＩＰ　ａｎｄ　ＭＡＣ　ａｄｄｒｅｓｓ　ｓｔａｔｉｃ　ｂｉｎｄ　ｓｅｔｔｉｎｇ，ｕｓｉｎｇ　Ｅｔｈｅｍｅｔ　ｓｗｉｔｃｈ　ａｎｄ　ａｃｔｉｖｅ　ｄｅｆｅｎｓｅ　ｏｆ　ｃｌｉｅｎｔ　ｓｉｄｅ．Ａｃｃｏｒｄｉｎｇ　ｔｏ　ｔｈｅ　ａｃｔｕａｌ　ｓｉｕａｔｔｉｏｎ　ｏｆ　ｔｈｅ　ｃａｍｐｕｓ　ｎｅｔｗｏｒｋ，ｔｈｅ　ｆｅａｓｉｂｉｌｉｔｙ　ａｎｄ　ｅｆｆｅｃｔｉｖｅｎｅｓｓ　ｏｆ　ｔｈｅ　ｓｅｃｕｒｉｙ　ｓｔｔｒａｔｅｇｙ　ａｒｅ　ｖｅｒｉｆｉｅｄ．　Ｋｅｙ　ｗｏｒｄｓ：ＡＲＰ　ｄｅｃｅｐｔｉｏｎ　ａｔｔａｃｋ；ｃａｍｐｕｓ　ｎｅｔｗｏｒｋ；ｉｎｆｏｒｍａｔｉｏｎ　ｓｅｃｕｒｉｙ；ｓｅｃｕｒｉｔｙ　ｓｔｔｒａｔｅｇｙ　２０１７年２月