1、由 ARP欺騙攻擊探討當前網絡的安全缺陷各種各樣的網絡應用得以普及和頻繁使用。而與此同時，網絡安全技術卻明顯滯后， 發展和響應的速度緩慢，各種網絡安全措施都顯得“道高一尺、魔高一丈 ”。本文將以 arp 病毒攻擊為代表，從分析 arp 協議入手，詳細闡述 arp 的工作過程以及欺騙技術的基本原理， 通過分析大多數現有校園網絡安全措施，即防火墻設備，入侵檢測系統，入侵防御系統在針對內部網絡攻擊行為管理上的缺陷，從而證明現有網絡安全措施上的巨大漏洞。在詳細陳述現有的一些處理 arp 病毒的手段后，總體分析這些防范措施的共同缺陷，進一步討論彌補這些缺陷的必要性及其所帶來的現實意義，指明今后校園網絡管

2、理所面臨的重要問題和主要發展方向。關鍵詞： arp 協議； arp 欺騙；防火墻；入侵檢測系統；入侵防御系統；網絡監控平臺；中圖分類號： tp393 文獻標識碼： a0 引言隨著網絡技術的高速發展 ,網絡上的信息迅速膨脹、豐富，各種各樣的網絡應用得以普及和頻繁使用。而同時期，網絡安全技術卻明顯停滯后，各種網絡安全措施都顯得“道高一尺、魔高一丈 ”，絕大多數網絡管理人員在日常的網絡管理工作中都疲于應付，力不從心。事實上，資源共享和信息安全歷來就是一對矛盾。一個系統的使用權限規劃越細，使用規定越多，那么相對來說，這個網絡系統就比較安全一些；但同時使用起來就不方便。計算機網絡的開放性是網絡應用所導致

3、的，這就決定了網絡安全問題是先天存在的。網絡安全一直是限制網絡發展的一個主要因素。現今的網絡架構中采用交換機互聯，使用網關地址轉發網絡數據包，這種交換式連接的局域網一直是很成熟的技術，但近年來它在一種新型網絡攻擊面前卻毫無辦法進行防范，這種攻擊就是arp 欺騙。1arp 協 議 的 工 作 流 程 1.1arp 協 議 地 址 轉 換 協 議addressresolutionprotocol(簡稱：arp)是數據鏈路層協議， 它負責把網絡層的 ip 地址轉換成為數據鏈路層的 mac 地址，從而建立 ip 地址和 mac 設備物理地址的對應關系， 以便實現 ip 地址訪問網絡設備的通訊目的。1.

4、2arp 工作流程在以太網中， 兩個不同網絡設備進行直接通信， 需要知道目標設備的網絡層邏輯（ ip）地址和網絡設備的物理（ mac）地址。arp 協議的基本功能就是通過目標設備的 ip 地址，查詢目標設備的 mac 地址，以保障網絡通信的順利進行。當網絡中某臺計算機 a 要與同網段中計算機 b 通信時，a 機首先要在緩存中查找是否有 b 機的 ip 地址和 mac地址的對應關系；如果沒有，則 a 機在本網段中廣播，將自己的 ip 地址和 mac 地址發出，并要求 ip 地址是 b 機的計算機作應答。網段中所有計算機都會收到a 機的廣播包，并檢查自己的ip 地址是否 b 機 ip，ip 地址是

5、 b 機的計算機會作出應答，并按照a 機的 ip 地址和 mac 地址發出應答包。a 機接收到 b 機的應答包后，將b 機的 ip 地址和 mac 地址加入到自己的緩存中，隨后再開始與b 機的通信。如果計算機a 要與網段以外的計算機通信，則由網關將a 計算機的廣播包加以轉發來完成上面的工作。在整個 arp 工作期間 ,不但主機 a 得到了主機 b 的 ip 地址和 mac 地址的映射關系，而且主機b 也得到了主機 a 的 ip 地址和 mac 地址的映射關系。如果主機 b 的應用程序需要立即返回數據給主機a 的應用程序，那么，主機 b 就不必再次執行上面的arp 請求過程了。1.3arp 欺騙

6、的原理所謂arp 欺騙，又被稱為arp 重定向，由于 arp協議是建立在信任局域網內所有計算機的基礎上的，因此會出現中間人攻擊的現象，某臺非目標的計算機利用arp 協議的缺陷向目標主機頻繁發送偽造 arp 應答報文，使目標主機接收該偽造的ip 地址和 mac 地址報文并更新本地系統的arp 高速緩存，從而使攻擊者插入到被攻擊主機和其他主機之間，便可以監聽被攻擊的主機。由此可見，入侵者利用ip 機制的安全漏洞，比較容易實現arp 欺騙，造成計算機網絡無法正常通訊，以達到冒用網關或目的計算機合法 ip 來攔截、竊取信息以及破壞數據的目的。雖然 arp 欺騙發生在局域網內，只有內部的計算機可以互相監

7、聽，但是對于本來就存在安全漏洞的網絡來說，如果外部攻擊者能夠入侵到局域網內的某臺計算機， 然后再進行 arp 欺騙，一旦成功，將給網絡造成很大的破壞。2 現有網絡防御手段2.1 防火墻在 ipv4 網絡中，普遍采用防火墻來阻止外部未經授權的網絡用戶進入內部網絡。以此保護內部網絡的安全。根據所采用的技術不同，防火墻可以分為三大類：地址轉換 nat 型、代理監測型和包過濾型；其中使用最多、最廣泛的就是地址轉換nat 型。雖然目前防火但明顯存在著不足： 對內部網絡發起的攻擊無法阻止； 可以阻斷外部攻擊而無法消滅攻擊來源； 做 nat 轉換后，由于防火墻本身性能和并發連接數的限制，容易導致出口成為網絡

8、瓶頸，形成網絡擁塞； 對于網絡中新生的攻擊行為，如果未做出相應策略的設置，則無法防范； 對于利用系統后門、蠕蟲病毒以及獲得用戶授權等一切擁有合法開放端口掩護的攻擊行為將無法防范。為了彌補防火墻存在的不足，許多網絡管理者應用入侵檢測來提高網絡的安全性和抵御攻擊的能力。2.2 入侵檢測系統 （intrusiondetectionsystem）（1）入侵檢測就是對入侵的網絡行為進行檢測，通過收集和分析計算機網絡中的信息，檢查網絡中是否存在違反安全策略規定的行為或者是被攻擊的痕跡。如果發現有入侵行為的跡象，檢測系統可以自動進行記錄或生成報告，甚至能夠根據所制定策略自動采取應對措施，斷開入侵來源并向網絡

9、管理者報警。入侵檢測系統（ ids）按照收集數據來源的不同一般可以分為三大類： 由多個部件組成，分布于內部網絡的各個部分的分布式入侵檢測系統。 依靠網絡上的數據包作為分析、監控數據源的基于網絡型入侵檢測系統。 安裝在網段內的某臺計算機上，以系統的應用程序日志和審計日志為數據源主機型入侵檢測系統。（2）雖然入侵檢測系統以不同的形式安裝于內部網絡的各個不同的位置，但由于采集數據源的限制， 對 arp 病毒形式的攻擊行為卻反應遲鈍。入侵檢測系統一般部署在主干網絡或者明確要監控的網段之中，而一個內部網絡往往有很多個獨立的網段；由于財力的限制，網絡管理者一般都不能在每個網絡中部署用于數據采集的監控計算機

10、。一旦未部署的網段中 arp 欺騙阻塞了本網段與外界的正常通訊， 入侵檢測系統無法采集到完整的數據信息而不能迅速準確的作出反應。除此以外，現有的各種入侵檢測系統還存在著一些共同的缺陷，如；較高的誤報率，無關緊要的報警過于頻繁；系統產品對不同的網絡或網絡中的變化反應遲鈍，適應能力較低；系統產品報告的專業性太強，需要管理者、使用者有比較高深的網絡專業知識；對用于處理信息的設備在硬件上有較高的要求，在大型局域網絡中檢測系統受自身處理速度的限制，容易發生故障無法對網絡進行實時監測。2.3 入侵防御系統（intrusionpreventsystem（）1）入侵防御系統（ips）是針對入侵檢測系統（ id

11、s）所存在的不足，借用網絡防火墻的部分原理而建立的。入侵防御系統有效的結合了入侵檢測技術和防火墻原理；不但能檢測入侵的發生，而且通過一些有效的響應方式來終止入侵行為；從而形成了一種新型的、混合的、具有一定深度的入侵防范技術。入侵防御系統（ ips）按照應用方式的不同一般可以分為三大類： 基于主機的入侵防御系統 hips：是一種駐留在服務器、工作站等獨立系統中的安全管理程序。這些程序可以對流入和流出特定系統的數據包進行檢查，監控應用程序和操作系統的行為，保護系統不會被惡意修改和攻擊。 基于網絡的入侵防御系統 nips：是一種以嵌入模式部署與受保護網段中的系統。受保護網段中的所有網絡數據都必須通過

12、 nips 設備，如果被檢測出存在攻擊行為， nips 將會進行實時攔截。 應用服務入侵防御系統（ aips）：是將 hips 擴展成位于應用服務器之間的網絡設備。利用與 hips 相似的原理保護應用服務器。相對與 ids 而言， ips 是以在線方式安裝在被保護網絡的入口處，從而監控所有流經的網絡數據。ips 結合了 ids 和防火墻的技術，通過對流經的數據報文進行深層檢查，發現攻擊行為，阻斷攻擊行為，從而達到防御的目的。（2）但同時，我們也認識到：由于ips 是基于 ids 同樣的策略特征庫，導致它無法完全克服ids 所存在的缺陷， 依然會出現很多的誤報和漏報的情況，而主動防御應建立在精確

13、、可靠的檢測結果之上，大量的誤報所激發的主動防御反而會造成巨大的負面影響；另一方面，數據包的深入檢測和保障可用網絡的高性能之間是存在矛盾的，隨著網絡帶寬的擴大、單位時間傳輸數據包的增加、ips 攻擊特征庫的不斷膨脹，串連在出口位置的ips 對網絡性能的影響會越來越嚴重，最終必將成為網絡傳輸的瓶頸。3 新的網絡安全發展方向3.1 當前網絡的安全缺陷綜合分析以上網絡安全技術的特點以后，我們不難發現：現有的網絡安全設備大多部署在局域網的出口位置，現有的安全技術又無法保證100%發現和阻斷外來的網絡攻擊行為；同時，內網中的計算機以及其它網絡通訊設備中存在的系統安全漏洞基本上沒有得到任何監控，僅僅依靠用

14、戶自己進行維護；由于受到用戶安全防范水平和認識的限制，內網中必然存在著大量的網絡安全漏洞，一旦這些存在漏洞的計算機或網絡設備被外部侵入行為所控制， 再利用這些設備發動arp 或類似原理的攻擊， 將迅速導致整個網絡系統的崩潰。對于這些內部網絡中發起的攻擊行為，普通的網絡安全措施是無法及時發現和有效阻止的。3.2 網絡安全新的發展方向基于以上分析，我們認為應該將網絡安全的防御重點轉到內部網絡上來，應該將網絡監控的觸角延伸到內部網絡的每一個網段中；而最容易成為這些觸角的工具就是構建起內部網絡的網絡交換機。在一個大規模的局域網內，聯入的網絡通信設備分布廣泛，覆蓋地理位置較遠；接入的計算機用戶數量多，通

15、信的數據量大；設置的通信網段和通信路由復雜。一旦發生網絡故障，網絡管理員無法迅速定位引起故障的來源，更不用說在故障發生之前就主動的發現攻擊苗頭，通過遠程管理來消除故障隱患。這大大的影響網絡用戶的使用效率，降低了服務質量。而網絡交換機是構建內部網絡的基礎，是用于轉發網絡數據包的工具。那么，無論是外網發起的網絡連接， 還是內網中類似于 arp 攻擊所發出的廣播包，網絡交換機都可以收集到數據信息。如果網絡中的交換機可以定時將收集到的數據樣本發往一個處理平臺，由處理平臺根據既定策略進行分析，再將分析結果傳給網絡管理員，由網絡管理員根據分析結果通過遠程控制將網絡故障或即將引起網絡故障的設備進行隔離，將大

16、大的提高網絡管理的響應速度，保障大多數網絡用戶的使用效率。3.3 優化網絡管理的幾點要素要建立起上述的網絡故障自動監控平臺，在建網時就要盡量做到以下幾個方面的工作： 設計大規模的局域網時，網內的交換機應該聯入一個或多個獨立的網段中，這樣既可以讓交換機之間形成一個獨立的管理網絡，又可以避免遠程操作交換機時受到用戶網段通信的影響。 應盡量多的在網絡中部署管理型網絡交換機，這樣既可以縮小故障源的范圍便于定位，又便于網絡管理員進行遠程操作以迅速處理網絡故障。 應在核心交換機上部署一個基于全網拓撲圖的網絡監控軟件，形成一個對網絡信息進行收集、分析和反饋的平臺，達到動態監控的目的。如下圖 1： 應在核心交換機上配置一臺網絡監控計算機，這臺計算機可以與交換機管理網段進行通信。同時在網絡監控計算機上部署一個網絡交換機的圖形化管理軟件。以便加強交換機的可操控性， 擺脫交換機的 “命令行式 ”管理，利于普通的網絡值班人員（非核心技術人員）進行故障分析和排除。如下圖 2： 努力開發收集交換機數據的軟件，開發分析網絡行為的策略庫，不斷提高網絡監控平臺的故障反應速度和故障源定位的準確性。4 結論當然，僅僅做到以上幾點還是不夠的，保障大型網絡的正常通信，維持網絡信道的高效傳輸