校园网是CERNET/Internet的基本组成单位,是为学校师生员工的教学、科研、管理、服务、文化娱乐等提供服务的信息支撑平台,是学校必不可少的基础设施。校园网有用户数量大、用户类型复杂、管理策略复杂、流量大、网络安全威胁性大等特点。如何保证校园网安全顺畅地运行是迫切需要解决的问题。
在校园网的管理中,ARP***几乎成为每个网络管理人员必须面对的难题。校园网中的ARP欺骗病毒传播迅速,容易泛滥;某些局域网工具软件也具备扰乱ARP表的功能;ARP网关欺骗往往会造成整个网段用户的无法正常上网,故障的面积大,给学校网络管理员造成的压力也很大,同时故障的定位较难,需要到用户端排查故障,管理员要耗费大量精力,等等。在校园网的管理中,如何阻止ARP***的发生,成为保障校园安全一项刻不容缓的重要课题。
ARP***的源头——ARP本身的缺陷
ARP本身的天然缺陷和不完善是ARP***的源头。ARP是通过发送ARP请求包获取目的主机的MAC地址,这种请求机制缺陷在于它假设计算机发送的或响应的ARP数据包都是正确的,而***者利用这一特点发送或响应虚假的ARP数据包实行ARP***。
ARP的漏洞和缺陷可归纳为两个方面:首先,ARP没有认证机制,当主机收到其它计算机响应的ARP包,便会直接更新自己的ARP表,而不管发送方是谁,发送的ARP包正确与否,这样***者就可轻易地将虚假的ARP包传播出去。其次,ARP并未将正确的IP地址与MAC地址的映射关系静态绑定,而是定时动态更新,即使***者不主动发送虚假的ARP包也可以待缓存表项生存周期结束后响应虚假的ARP包。在默认情况下,Windows操作系统如Windows Server 2003和Windows XP,ARP缓存中的表项仅存储2分钟。如果一个ARP缓存表项在2分钟内被用到,那么其期限再延长2分钟,直到最大生命期限10分钟为止。超过10分钟的最大期限后,ARP缓存表项将被移出,然后通过ARP请求与ARP回应将IP地址与MAC地址的映射关系重新添加上去。也就是说一条IP地址与MAC地址的映射关系最多10分钟,最少2分钟就会更新一次,那么***者就可利用主机发送ARP请求包更新ARP缓存表时将响应虚假的ARP包实行欺骗。
ARP***原理
ARP***就是通过伪造IP地址和MAC地址的映射关系实现ARP欺骗,***者只要持续不断地发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP地址与MAC地址的映射关系,根据***者对所截获的数据包的处理情形而异造成网络中断或中间人***,这些地址可以是普通的主机,也可以是网关,因此,***者既可以冒充网关欺骗主机,又可以冒充主机欺骗网关,或者冒充主机欺骗其它主机实现中间人***,或者填写根本不存在的地址造成拒绝服务***,等等。
ARP***的实质通过各种手段使主机修改ARP缓存表中IP地址与MAC地址映射表项。下面本文就以同一个网段内的ARP***来分析其原理
如图1所示,在同一个网段内有三台计算机,其中进行ARP***的计算机A、源主机S及目的主机D,它们的IP地址与MAC地址分别如下所示:
***者A:IP为IP_A,MAC地址为MAC_A;
源主机S:IP为IP_S,MAC地址为MAC_S;
目的主机D:IP为IP_D,MAC地址为MAC_D;
源主机S向目的主机D发送数据包之前必须要知道目的主机D的MAC地址,因此,源主机S发送一个包含本机IP_S、MAC_S及IP_D的ARP请求广播包,希望得到目的主机的MAC地址,当目的主机D发现查询的正是本机的MAC地址,就回复一个包含IP_D—MAC_D对应关系的正确的响应包,因为整个网段都将收到该ARP请求包,***者A就可以伪造包含IP_D—MAC_A对应关系的虚假响应包不停回复S。因此源主机S就会收到来自A和D的响应包,因为没有验证机制,并且***者A不停地发送虚假包,源主机S将会动态更新本机的ARP缓存项,即错误地将IP_D—MAC_A形成映射关系。这样源主机S本来发给目的主机D数据包发送给***者A,***者A在窃取到数据包之后再转发或进行其它处理。
校园网中ARP***防御解决方案
ARP***防御解决方案可以通过对客户端、接入交换机和网关三个控制点实施自上而下的“全面防御”,并且能够根据不同的网络环境和需求进行“模块定制”,提供多样、灵活的ARP***防御解决方案。 
在此提供两类ARP***防御解决方案:监控方式和认证方式。监控方式主要适用于动态接入用户居多的网络环境,认证方式主要适用于认证方式接入的网络环境。在实际部署时,我们建议分析网络的实际场景,选择合适的***防御解决方案。另外,结合相应的IMC智能管理中心,我们可以非常方便、直观地配置网关绑定信息,查看网络用户和设备的安全状况,不仅有效地保障网络的整体安全,更能快速发现网络中不安全的主机和ARP***源,并迅速作出反应
监控方式
监控方式也即DHCP Snooping方式,适合大部分主机为动态分配IP地址的网络场景,接入交换机需要采用支持DHCP Snooping的产品。实现原理:接入层交换机监控用户动态申请IP地址的全过程,记录用户的IP、MAC和端口信息,并且在接入交换机上做多元素绑定,从而在根本上阻断非法ARP报文的传播。
另外,ARP泛洪***会产生大量的ARP报文,消耗网络带宽资源和交换机CPU资源,造成网络速度急剧降低。因此,我们可以在接入交换机部署ARP报文限速,对每个端口单位时间内接收到的ARP报文数量进行限制,避免ARP泛洪***,保护网络资源。 
认证方式
认证方式适合网络中采用认证登陆的场景,通过CAMS服务器、INode智能客户端与接入交换机和网关的联动,全方面地防御ARP***。实现原理:认证方式是客户端通过认证协议登陆网络,认证服务器识别客户端,并且将事先配置好的用户和网关IP/MAC绑定信息下发给客户端、接入交换机或者网关,实现了ARP报文在客户端、接入交换机和网关的绑定,使得虚假的ARP报文在网络里无立足之地,从根本上防止ARP病毒泛滥。认证方式包括IEEE802.1x和Portal两种方案,充分考虑了新建和旧网络的不同网络场景,方案全面有效。
IEEE802.1x方案
IEEE802.1x方案通过客户端发起认证,CAMS把事先配置好的网关的IP和MAC绑定信息下发给客户端做绑定,防止客户端遭遇网关仿冒类型的***。
客户端发起认证的报文需要经过接入交换机,接入交换机记录客户端的IP和MAC信息,并且做绑定,可以防止网关仿冒、网关欺骗、欺骗终端用户和ARP泛洪***;客户端发起认证的信息同样会经过网关,网关通过CAMS做相应的绑定,防止欺骗网关。
客户端、接入交换机和网关绑定可以选择实现,方案可裁剪。
Portal方案
Portal方案是通过客户端发起Portal认证,CAMS把事先配置好的网关IP和MAC绑定信息下发给客户端做绑定,网关记录用户的IP和MAC做绑定,防止网关欺骗。
认证方式适合网络中采用认证登陆的场景,通过CAMS服务器、INode智能客户端(Portal方案无需客户端,采用PC自带的浏览器即可)与接入交换机和网关的联动(Portal方案和接入交换机无关),全方面地防御ARP***。
ARP***主要是存在于局域网网络中,局域网中若有一个系统感染ARP***,则感染该ARP***的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,因此在网络中产生大量的ARP通信量使网络阻塞,造成网内其它计算机的通信故障。本文针对校园网中的ARP***提供的解决方案具有如下几个特点:
1 灵活多样
提供了监控模式和认证模式两大方案,认证方案支持IEEE 802.1x和Portal两种认证模式,组网方式灵活多样。
2 更彻底
多种方式组合能够全面防御新建网络ARP***,切实保障网络稳定和安全。
3 保护投资
对接入交换机的依赖较小,可以较好地支持现有网络的利旧,兼容大部分现有网络场景,有效保护投资。
4 适用性强
解决方案适应动态和静态两种地址分配方式,通过终端、接入交换机、网关多种模块的组合,适用于各种复杂的组网环境。
参考文献:
硅谷动力ARP***的防范专题[OL]
赵晓锋,汪精明,王平水.园区网ARP欺骗***防御模式设计与实现[J].计算机技术与发展,2007,(7):152-155.
李海鹰,程灏,吕志强,庄镇泉.针对ARP***的网络防御模式设计与实现[J].计算机工程,VOL.31,(5):170-172.
转载于:https://blog.51cto.com/dgh00/392432
扫一扫
551
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
