由ARP欺騙攻擊探討當(dāng)前網(wǎng)絡(luò)的安全缺陷

1、由 ARP欺騙攻擊探討當(dāng)前網(wǎng)絡(luò)的安全缺陷各種各樣的網(wǎng)絡(luò)應(yīng)用得以普及和頻繁使用。而與此同時(shí)，網(wǎng)絡(luò)安全技術(shù)卻明顯滯后， 發(fā)展和響應(yīng)的速度緩慢，各種網(wǎng)絡(luò)安全措施都顯得“道高一尺、魔高一丈 ”。本文將以 arp 病毒攻擊為代表，從分析 arp 協(xié)議入手，詳細(xì)闡述 arp 的工作過程以及欺騙技術(shù)的基本原理， 通過分析大多數(shù)現(xiàn)有校園網(wǎng)絡(luò)安全措施，即防火墻設(shè)備，入侵檢測系統(tǒng)，入侵防御系統(tǒng)在針對內(nèi)部網(wǎng)絡(luò)攻擊行為管理上的缺陷，從而證明現(xiàn)有網(wǎng)絡(luò)安全措施上的巨大漏洞。在詳細(xì)陳述現(xiàn)有的一些處理 arp 病毒的手段后，總體分析這些防范措施的共同缺陷，進(jìn)一步討論彌補(bǔ)這些缺陷的必要性及其所帶來的現(xiàn)實(shí)意義，指明今后校園網(wǎng)絡(luò)管

2、理所面臨的重要問題和主要發(fā)展方向。關(guān)鍵詞： arp 協(xié)議； arp 欺騙；防火墻；入侵檢測系統(tǒng)；入侵防御系統(tǒng)；網(wǎng)絡(luò)監(jiān)控平臺；中圖分類號： tp393 文獻(xiàn)標(biāo)識碼： a0 引言隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展 ,網(wǎng)絡(luò)上的信息迅速膨脹、豐富，各種各樣的網(wǎng)絡(luò)應(yīng)用得以普及和頻繁使用。而同時(shí)期，網(wǎng)絡(luò)安全技術(shù)卻明顯停滯后，各種網(wǎng)絡(luò)安全措施都顯得“道高一尺、魔高一丈 ”，絕大多數(shù)網(wǎng)絡(luò)管理人員在日常的網(wǎng)絡(luò)管理工作中都疲于應(yīng)付，力不從心。事實(shí)上，資源共享和信息安全歷來就是一對矛盾。一個(gè)系統(tǒng)的使用權(quán)限規(guī)劃越細(xì)，使用規(guī)定越多，那么相對來說，這個(gè)網(wǎng)絡(luò)系統(tǒng)就比較安全一些；但同時(shí)使用起來就不方便。計(jì)算機(jī)網(wǎng)絡(luò)的開放性是網(wǎng)絡(luò)應(yīng)用所導(dǎo)致

3、的，這就決定了網(wǎng)絡(luò)安全問題是先天存在的。網(wǎng)絡(luò)安全一直是限制網(wǎng)絡(luò)發(fā)展的一個(gè)主要因素?，F(xiàn)今的網(wǎng)絡(luò)架構(gòu)中采用交換機(jī)互聯(lián)，使用網(wǎng)關(guān)地址轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包，這種交換式連接的局域網(wǎng)一直是很成熟的技術(shù)，但近年來它在一種新型網(wǎng)絡(luò)攻擊面前卻毫無辦法進(jìn)行防范，這種攻擊就是arp 欺騙。1arp 協(xié) 議 的 工 作 流 程 1.1arp 協(xié) 議 地 址 轉(zhuǎn) 換 協(xié) 議addressresolutionprotocol(簡稱：arp)是數(shù)據(jù)鏈路層協(xié)議， 它負(fù)責(zé)把網(wǎng)絡(luò)層的 ip 地址轉(zhuǎn)換成為數(shù)據(jù)鏈路層的 mac 地址，從而建立 ip 地址和 mac 設(shè)備物理地址的對應(yīng)關(guān)系， 以便實(shí)現(xiàn) ip 地址訪問網(wǎng)絡(luò)設(shè)備的通訊目的。1.

4、2arp 工作流程在以太網(wǎng)中， 兩個(gè)不同網(wǎng)絡(luò)設(shè)備進(jìn)行直接通信， 需要知道目標(biāo)設(shè)備的網(wǎng)絡(luò)層邏輯（ ip）地址和網(wǎng)絡(luò)設(shè)備的物理（ mac）地址。arp 協(xié)議的基本功能就是通過目標(biāo)設(shè)備的 ip 地址，查詢目標(biāo)設(shè)備的 mac 地址，以保障網(wǎng)絡(luò)通信的順利進(jìn)行。當(dāng)網(wǎng)絡(luò)中某臺計(jì)算機(jī) a 要與同網(wǎng)段中計(jì)算機(jī) b 通信時(shí)，a 機(jī)首先要在緩存中查找是否有 b 機(jī)的 ip 地址和 mac地址的對應(yīng)關(guān)系；如果沒有，則 a 機(jī)在本網(wǎng)段中廣播，將自己的 ip 地址和 mac 地址發(fā)出，并要求 ip 地址是 b 機(jī)的計(jì)算機(jī)作應(yīng)答。網(wǎng)段中所有計(jì)算機(jī)都會收到a 機(jī)的廣播包，并檢查自己的ip 地址是否 b 機(jī) ip，ip 地址是

5、 b 機(jī)的計(jì)算機(jī)會作出應(yīng)答，并按照a 機(jī)的 ip 地址和 mac 地址發(fā)出應(yīng)答包。a 機(jī)接收到 b 機(jī)的應(yīng)答包后，將b 機(jī)的 ip 地址和 mac 地址加入到自己的緩存中，隨后再開始與b 機(jī)的通信。如果計(jì)算機(jī)a 要與網(wǎng)段以外的計(jì)算機(jī)通信，則由網(wǎng)關(guān)將a 計(jì)算機(jī)的廣播包加以轉(zhuǎn)發(fā)來完成上面的工作。在整個(gè) arp 工作期間 ,不但主機(jī) a 得到了主機(jī) b 的 ip 地址和 mac 地址的映射關(guān)系，而且主機(jī)b 也得到了主機(jī) a 的 ip 地址和 mac 地址的映射關(guān)系。如果主機(jī) b 的應(yīng)用程序需要立即返回?cái)?shù)據(jù)給主機(jī)a 的應(yīng)用程序，那么，主機(jī) b 就不必再次執(zhí)行上面的arp 請求過程了。1.3arp 欺騙

6、的原理所謂arp 欺騙，又被稱為arp 重定向，由于 arp協(xié)議是建立在信任局域網(wǎng)內(nèi)所有計(jì)算機(jī)的基礎(chǔ)上的，因此會出現(xiàn)中間人攻擊的現(xiàn)象，某臺非目標(biāo)的計(jì)算機(jī)利用arp 協(xié)議的缺陷向目標(biāo)主機(jī)頻繁發(fā)送偽造 arp 應(yīng)答報(bào)文，使目標(biāo)主機(jī)接收該偽造的ip 地址和 mac 地址報(bào)文并更新本地系統(tǒng)的arp 高速緩存，從而使攻擊者插入到被攻擊主機(jī)和其他主機(jī)之間，便可以監(jiān)聽被攻擊的主機(jī)。由此可見，入侵者利用ip 機(jī)制的安全漏洞，比較容易實(shí)現(xiàn)arp 欺騙，造成計(jì)算機(jī)網(wǎng)絡(luò)無法正常通訊，以達(dá)到冒用網(wǎng)關(guān)或目的計(jì)算機(jī)合法 ip 來攔截、竊取信息以及破壞數(shù)據(jù)的目的。雖然 arp 欺騙發(fā)生在局域網(wǎng)內(nèi)，只有內(nèi)部的計(jì)算機(jī)可以互相監(jiān)

7、聽，但是對于本來就存在安全漏洞的網(wǎng)絡(luò)來說，如果外部攻擊者能夠入侵到局域網(wǎng)內(nèi)的某臺計(jì)算機(jī)， 然后再進(jìn)行 arp 欺騙，一旦成功，將給網(wǎng)絡(luò)造成很大的破壞。2 現(xiàn)有網(wǎng)絡(luò)防御手段2.1 防火墻在 ipv4 網(wǎng)絡(luò)中，普遍采用防火墻來阻止外部未經(jīng)授權(quán)的網(wǎng)絡(luò)用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)。以此保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。根據(jù)所采用的技術(shù)不同，防火墻可以分為三大類：地址轉(zhuǎn)換 nat 型、代理監(jiān)測型和包過濾型；其中使用最多、最廣泛的就是地址轉(zhuǎn)換nat 型。雖然目前防火但明顯存在著不足： 對內(nèi)部網(wǎng)絡(luò)發(fā)起的攻擊無法阻止； 可以阻斷外部攻擊而無法消滅攻擊來源； 做 nat 轉(zhuǎn)換后，由于防火墻本身性能和并發(fā)連接數(shù)的限制，容易導(dǎo)致出口成為網(wǎng)絡(luò)

8、瓶頸，形成網(wǎng)絡(luò)擁塞； 對于網(wǎng)絡(luò)中新生的攻擊行為，如果未做出相應(yīng)策略的設(shè)置，則無法防范； 對于利用系統(tǒng)后門、蠕蟲病毒以及獲得用戶授權(quán)等一切擁有合法開放端口掩護(hù)的攻擊行為將無法防范。為了彌補(bǔ)防火墻存在的不足，許多網(wǎng)絡(luò)管理者應(yīng)用入侵檢測來提高網(wǎng)絡(luò)的安全性和抵御攻擊的能力。2.2 入侵檢測系統(tǒng) （intrusiondetectionsystem）（1）入侵檢測就是對入侵的網(wǎng)絡(luò)行為進(jìn)行檢測，通過收集和分析計(jì)算機(jī)網(wǎng)絡(luò)中的信息，檢查網(wǎng)絡(luò)中是否存在違反安全策略規(guī)定的行為或者是被攻擊的痕跡。如果發(fā)現(xiàn)有入侵行為的跡象，檢測系統(tǒng)可以自動進(jìn)行記錄或生成報(bào)告，甚至能夠根據(jù)所制定策略自動采取應(yīng)對措施，斷開入侵來源并向網(wǎng)絡(luò)

9、管理者報(bào)警。入侵檢測系統(tǒng)（ ids）按照收集數(shù)據(jù)來源的不同一般可以分為三大類： 由多個(gè)部件組成，分布于內(nèi)部網(wǎng)絡(luò)的各個(gè)部分的分布式入侵檢測系統(tǒng)。 依靠網(wǎng)絡(luò)上的數(shù)據(jù)包作為分析、監(jiān)控?cái)?shù)據(jù)源的基于網(wǎng)絡(luò)型入侵檢測系統(tǒng)。 安裝在網(wǎng)段內(nèi)的某臺計(jì)算機(jī)上，以系統(tǒng)的應(yīng)用程序日志和審計(jì)日志為數(shù)據(jù)源主機(jī)型入侵檢測系統(tǒng)。（2）雖然入侵檢測系統(tǒng)以不同的形式安裝于內(nèi)部網(wǎng)絡(luò)的各個(gè)不同的位置，但由于采集數(shù)據(jù)源的限制， 對 arp 病毒形式的攻擊行為卻反應(yīng)遲鈍。入侵檢測系統(tǒng)一般部署在主干網(wǎng)絡(luò)或者明確要監(jiān)控的網(wǎng)段之中，而一個(gè)內(nèi)部網(wǎng)絡(luò)往往有很多個(gè)獨(dú)立的網(wǎng)段；由于財(cái)力的限制，網(wǎng)絡(luò)管理者一般都不能在每個(gè)網(wǎng)絡(luò)中部署用于數(shù)據(jù)采集的監(jiān)控計(jì)算機(jī)

10、。一旦未部署的網(wǎng)段中 arp 欺騙阻塞了本網(wǎng)段與外界的正常通訊， 入侵檢測系統(tǒng)無法采集到完整的數(shù)據(jù)信息而不能迅速準(zhǔn)確的作出反應(yīng)。除此以外，現(xiàn)有的各種入侵檢測系統(tǒng)還存在著一些共同的缺陷，如；較高的誤報(bào)率，無關(guān)緊要的報(bào)警過于頻繁；系統(tǒng)產(chǎn)品對不同的網(wǎng)絡(luò)或網(wǎng)絡(luò)中的變化反應(yīng)遲鈍，適應(yīng)能力較低；系統(tǒng)產(chǎn)品報(bào)告的專業(yè)性太強(qiáng)，需要管理者、使用者有比較高深的網(wǎng)絡(luò)專業(yè)知識；對用于處理信息的設(shè)備在硬件上有較高的要求，在大型局域網(wǎng)絡(luò)中檢測系統(tǒng)受自身處理速度的限制，容易發(fā)生故障無法對網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)測。2.3 入侵防御系統(tǒng)（intrusionpreventsystem（）1）入侵防御系統(tǒng)（ips）是針對入侵檢測系統(tǒng)（ id

11、s）所存在的不足，借用網(wǎng)絡(luò)防火墻的部分原理而建立的。入侵防御系統(tǒng)有效的結(jié)合了入侵檢測技術(shù)和防火墻原理；不但能檢測入侵的發(fā)生，而且通過一些有效的響應(yīng)方式來終止入侵行為；從而形成了一種新型的、混合的、具有一定深度的入侵防范技術(shù)。入侵防御系統(tǒng)（ ips）按照應(yīng)用方式的不同一般可以分為三大類： 基于主機(jī)的入侵防御系統(tǒng) hips：是一種駐留在服務(wù)器、工作站等獨(dú)立系統(tǒng)中的安全管理程序。這些程序可以對流入和流出特定系統(tǒng)的數(shù)據(jù)包進(jìn)行檢查，監(jiān)控應(yīng)用程序和操作系統(tǒng)的行為，保護(hù)系統(tǒng)不會被惡意修改和攻擊。 基于網(wǎng)絡(luò)的入侵防御系統(tǒng) nips：是一種以嵌入模式部署與受保護(hù)網(wǎng)段中的系統(tǒng)。受保護(hù)網(wǎng)段中的所有網(wǎng)絡(luò)數(shù)據(jù)都必須通過

12、 nips 設(shè)備，如果被檢測出存在攻擊行為， nips 將會進(jìn)行實(shí)時(shí)攔截。 應(yīng)用服務(wù)入侵防御系統(tǒng)（ aips）：是將 hips 擴(kuò)展成位于應(yīng)用服務(wù)器之間的網(wǎng)絡(luò)設(shè)備。利用與 hips 相似的原理保護(hù)應(yīng)用服務(wù)器。相對與 ids 而言， ips 是以在線方式安裝在被保護(hù)網(wǎng)絡(luò)的入口處，從而監(jiān)控所有流經(jīng)的網(wǎng)絡(luò)數(shù)據(jù)。ips 結(jié)合了 ids 和防火墻的技術(shù)，通過對流經(jīng)的數(shù)據(jù)報(bào)文進(jìn)行深層檢查，發(fā)現(xiàn)攻擊行為，阻斷攻擊行為，從而達(dá)到防御的目的。（2）但同時(shí)，我們也認(rèn)識到：由于ips 是基于 ids 同樣的策略特征庫，導(dǎo)致它無法完全克服ids 所存在的缺陷， 依然會出現(xiàn)很多的誤報(bào)和漏報(bào)的情況，而主動防御應(yīng)建立在精確

13、、可靠的檢測結(jié)果之上，大量的誤報(bào)所激發(fā)的主動防御反而會造成巨大的負(fù)面影響；另一方面，數(shù)據(jù)包的深入檢測和保障可用網(wǎng)絡(luò)的高性能之間是存在矛盾的，隨著網(wǎng)絡(luò)帶寬的擴(kuò)大、單位時(shí)間傳輸數(shù)據(jù)包的增加、ips 攻擊特征庫的不斷膨脹，串連在出口位置的ips 對網(wǎng)絡(luò)性能的影響會越來越嚴(yán)重，最終必將成為網(wǎng)絡(luò)傳輸?shù)钠款i。3 新的網(wǎng)絡(luò)安全發(fā)展方向3.1 當(dāng)前網(wǎng)絡(luò)的安全缺陷綜合分析以上網(wǎng)絡(luò)安全技術(shù)的特點(diǎn)以后，我們不難發(fā)現(xiàn)：現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備大多部署在局域網(wǎng)的出口位置，現(xiàn)有的安全技術(shù)又無法保證100%發(fā)現(xiàn)和阻斷外來的網(wǎng)絡(luò)攻擊行為；同時(shí)，內(nèi)網(wǎng)中的計(jì)算機(jī)以及其它網(wǎng)絡(luò)通訊設(shè)備中存在的系統(tǒng)安全漏洞基本上沒有得到任何監(jiān)控，僅僅依靠用

14、戶自己進(jìn)行維護(hù)；由于受到用戶安全防范水平和認(rèn)識的限制，內(nèi)網(wǎng)中必然存在著大量的網(wǎng)絡(luò)安全漏洞，一旦這些存在漏洞的計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備被外部侵入行為所控制， 再利用這些設(shè)備發(fā)動arp 或類似原理的攻擊， 將迅速導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)的崩潰。對于這些內(nèi)部網(wǎng)絡(luò)中發(fā)起的攻擊行為，普通的網(wǎng)絡(luò)安全措施是無法及時(shí)發(fā)現(xiàn)和有效阻止的。3.2 網(wǎng)絡(luò)安全新的發(fā)展方向基于以上分析，我們認(rèn)為應(yīng)該將網(wǎng)絡(luò)安全的防御重點(diǎn)轉(zhuǎn)到內(nèi)部網(wǎng)絡(luò)上來，應(yīng)該將網(wǎng)絡(luò)監(jiān)控的觸角延伸到內(nèi)部網(wǎng)絡(luò)的每一個(gè)網(wǎng)段中；而最容易成為這些觸角的工具就是構(gòu)建起內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)交換機(jī)。在一個(gè)大規(guī)模的局域網(wǎng)內(nèi)，聯(lián)入的網(wǎng)絡(luò)通信設(shè)備分布廣泛，覆蓋地理位置較遠(yuǎn)；接入的計(jì)算機(jī)用戶數(shù)量多，通

15、信的數(shù)據(jù)量大；設(shè)置的通信網(wǎng)段和通信路由復(fù)雜。一旦發(fā)生網(wǎng)絡(luò)故障，網(wǎng)絡(luò)管理員無法迅速定位引起故障的來源，更不用說在故障發(fā)生之前就主動的發(fā)現(xiàn)攻擊苗頭，通過遠(yuǎn)程管理來消除故障隱患。這大大的影響網(wǎng)絡(luò)用戶的使用效率，降低了服務(wù)質(zhì)量。而網(wǎng)絡(luò)交換機(jī)是構(gòu)建內(nèi)部網(wǎng)絡(luò)的基礎(chǔ)，是用于轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包的工具。那么，無論是外網(wǎng)發(fā)起的網(wǎng)絡(luò)連接， 還是內(nèi)網(wǎng)中類似于 arp 攻擊所發(fā)出的廣播包，網(wǎng)絡(luò)交換機(jī)都可以收集到數(shù)據(jù)信息。如果網(wǎng)絡(luò)中的交換機(jī)可以定時(shí)將收集到的數(shù)據(jù)樣本發(fā)往一個(gè)處理平臺，由處理平臺根據(jù)既定策略進(jìn)行分析，再將分析結(jié)果傳給網(wǎng)絡(luò)管理員，由網(wǎng)絡(luò)管理員根據(jù)分析結(jié)果通過遠(yuǎn)程控制將網(wǎng)絡(luò)故障或即將引起網(wǎng)絡(luò)故障的設(shè)備進(jìn)行隔離，將大

16、大的提高網(wǎng)絡(luò)管理的響應(yīng)速度，保障大多數(shù)網(wǎng)絡(luò)用戶的使用效率。3.3 優(yōu)化網(wǎng)絡(luò)管理的幾點(diǎn)要素要建立起上述的網(wǎng)絡(luò)故障自動監(jiān)控平臺，在建網(wǎng)時(shí)就要盡量做到以下幾個(gè)方面的工作： 設(shè)計(jì)大規(guī)模的局域網(wǎng)時(shí)，網(wǎng)內(nèi)的交換機(jī)應(yīng)該聯(lián)入一個(gè)或多個(gè)獨(dú)立的網(wǎng)段中，這樣既可以讓交換機(jī)之間形成一個(gè)獨(dú)立的管理網(wǎng)絡(luò)，又可以避免遠(yuǎn)程操作交換機(jī)時(shí)受到用戶網(wǎng)段通信的影響。 應(yīng)盡量多的在網(wǎng)絡(luò)中部署管理型網(wǎng)絡(luò)交換機(jī)，這樣既可以縮小故障源的范圍便于定位，又便于網(wǎng)絡(luò)管理員進(jìn)行遠(yuǎn)程操作以迅速處理網(wǎng)絡(luò)故障。 應(yīng)在核心交換機(jī)上部署一個(gè)基于全網(wǎng)拓?fù)鋱D的網(wǎng)絡(luò)監(jiān)控軟件，形成一個(gè)對網(wǎng)絡(luò)信息進(jìn)行收集、分析和反饋的平臺，達(dá)到動態(tài)監(jiān)控的目的。如下圖 1： 應(yīng)在核心交換機(jī)上配置一臺網(wǎng)絡(luò)監(jiān)控計(jì)算機(jī)，這臺計(jì)算機(jī)可以與交換機(jī)管理網(wǎng)段進(jìn)行通信。同時(shí)在網(wǎng)絡(luò)監(jiān)控計(jì)算機(jī)上部署一個(gè)網(wǎng)絡(luò)交換機(jī)的圖形化管理軟件。以便加強(qiáng)交換機(jī)的可操控性， 擺脫交換機(jī)的 “命令行式 ”管理，利于普通的網(wǎng)絡(luò)值班人員（非核心技術(shù)人員）進(jìn)行故障分析和排除。如下圖 2： 努力開發(fā)收集交換機(jī)數(shù)據(jù)的軟件，開發(fā)分析網(wǎng)絡(luò)行為的策略庫，不斷提高網(wǎng)絡(luò)監(jiān)控平臺的故障反應(yīng)速度和故障源定位的準(zhǔn)確性。4 結(jié)論當(dāng)然，僅僅做到以上幾點(diǎn)還是不夠的，保障大型網(wǎng)絡(luò)的正常通信，維持網(wǎng)絡(luò)信道的高效傳輸