一、ARP攻击的防范
说到ARP攻击,那肯定要说一下如何对ARP攻击进行防范。对ARP攻击完全的防范是比较困难的,如果要通过修改ARP协议的方式也不大可能。但可以对本机进行一些设置,将被ARP病毒入侵的几率降到最小。这里简单介绍两种方法。
1)安装ARP防火墙
目前比较流行的就是360ARP防火墙,360ARP防火墙解决ARP攻击问题采用的方案是:主要是通过在系统内核层拦截ARP攻击数据包,采取措施保证网关的MAC地址不被修改,保证数据正确流向,通讯数据不被第三者控制。
2)也就是最原始的办法,即“双向绑定”+“ARP广播”
在路由器上绑定客户机的IP和MAC地址,在客户机上绑定路由器的IP和MAC地址,同时开启路由上的ARP广播,不停地广播正确网关的ARP信息。步骤如下:在客户机上绑定路由的IP和MAC地址,可以通过DOS命令,如arp-s172.31.24.2390013-026F-CF06来实现绑定;在路由上绑定客户机的IP和MAC地址:进入路由的Web控制→“防火墙”→“访问控制(ACL)”→“MAC与IP绑定”,开启MAC与IP绑定,并将内网所有主机的IP和对应MAC地址加入到绑定列表中即可。我们学校目前使用的即是双向绑定,特别是针对学生网,为每个合法的学生用户都分配了一个IP地址,并在核心交换上进行IP-MAC的绑定。这种方法固然能对ARP攻击进行一定防范,但对一些通过非法软件扫描他人网络资源,进而盗用的“非法用户”,就无法进行防范。下面我来介绍一些校园网中常见的IP地址的盗用。
二、网络资源的盗用
网络管理员解决网络资源被盗用问题,是保证网络安全的众多工作中的一项非常重要而又棘手的工作。ARP协议是将网际互连中的IP地址与网络接口卡的物理地址(MAC)相关联起来的协议。前几年IP地址绑定MAC地址即可解决IP地址被盗用的问题,然而随着计算机网络技术的不断进步,全球唯一的MAC地址,同样可以随意进行修改,这样通过IP地址与MAC地址绑定已无法凑效。目前在校园网中,特别是学生公寓,盗用IP地址的现象非常的多,很多学生用户通过盗用别人地址的方法来隐藏自己的身份。IP地址的盗用行为严重扰乱了校园网络的正常运行,侵害了网络用户的利益,给网络管理人员带了很大的麻烦,因此解决IP地址盗用问题成为校园网络安全建设的一个重要课题。
1.两种常见的盗取IP地址的方法
第一种方法:人为修改机器的IP地址。用户电脑终端配置IP地址时不是自动获取,也没有设置网络管理人员制定的IP地址,而是人为修改本机的IP地址,产生IP地址盗用。第二种方法:同时修改IP地址和MAC地址的方法。针对第一种方法可以通过IP+MAC绑定技术进行解决。然而现在一些兼容型网卡的MAC地址可以通过配置程序和第三方软件进行修改,非法用户通过将自己的电脑终端的IP和MAC地址同时修改成另一台合法终端对应的IP和MAC地址,则IP+MAC捆绑失效。我们学校学生公寓网发生的数起盗用网络资源事件,就是通过这种方法进行盗用的。
2.防范IP地址盗用的方法
2.1定期扫描及防范机制
定期扫描网络中路由器的ARP表,将扫描到的IP-MAC的对照关系与合法的IP-MAC表进行比对,如果发现有的信息不一样,则说明IP地址有可能被盗用。也可以通过用户投诉的故障现象来判断是否出现IP地址盗用的行为。常用的几种防范机制有:服务器技术、IP+MAC绑定技术,IP-MAC-USER认证授权技术以及透明网关技术等等。但这几种防范技术都存在一定的局限性。例如IP-MAC绑定技术,很难对用户进行管理;透明网关技术需要专用的机器转发数据,所有数据都通过此节点,造成这个专用机器的性能很大程度上可能成为网络运行的瓶颈。最重要的局限在于,这些防范技术只是阻止了盗用IP地址的终端直接访问外部的网络资源,没有从本质上规避和解决盗用IP地址而产生危害的风险。盗用了IP地址的终端仍然可以在此IP所在的子网中进行网络访问,干扰了其他正常用户的使用,同时也可能造成子网中的其他终端和网络设备被IP地址盗用者攻击,带来危害。
2.2利用端口定位技术及时终止IP地址盗用
很多情况下需要利用端口技术来阻止IP地址盗用行为,此技术是根据交换机的工作原理而采取的策略。一般的二层交换机都是通过MAC地址来过滤和转发数据包,在数据链路层上工作。根据交换机的设计,工作中的交换机需要自动创建一个与端口对应的MAC地址表,此表存储的信息就是与其有信息交换的并处于同一个子网中的所有主机MAC地址。交换机通过SNMP协议与其他交换机进行信息交换,获取其他交换机存储MAC地址信息,生成一个实时的Switch-Port-MAC对应表,将此表与原来合法的完整表进行比对,可以找出与之连接的不合法MAC地址,通过深入一步工作后,即可判定是否存在IP地址盗用的情况发生。如果在不同的交换机非级联端口上都有一个相同的MAC地址,则存在IP-MAC的成对盗用。通过以上的工作确定了网络中有人盗用IP地址,可以直接锁定到交换机的端口,再检索Switch-Port-MAC对应表,就可以确定发生盗用行为的物理地点。确定IP地址盗用后,应立即采取预案响应,将此行为的影响和损失降到最低。从技术层面上,可以通过SNMP管理站向交换机发送SNMP消息,切断有IP地址盗用情况的端口,从而使得盗用IP地址的终端不能与网络中其他设备产生信息的互通,保证整个网络正常运行。
三、结束语
以上介绍了校园网中常见的两种比较严重的问题。其中对ARP攻击的防范,使用目前比较流行的IP-MAC双向绑定较为普遍,当然安装ARP防火墙更是必不可少。网络资源的盗用可以通过IP-MAC绑定+交换机端口管理进行防治,效果是非常显著的。校园网的稳定与和谐要靠大家共同来维护,了解掌握一些网络安全的知识,会给大家在使用网络资源工作的过程中减少一些不必要的麻烦,更大地提高工作效率。
作者:解明慧 单位:合肥铁路工程学校