由ARP欺骗攻击探讨当前网络的安全缺陷

由ARP欺骗攻击探讨当前网络的安全缺陷
   摘要：随着网络技术的高速发展,网络上的信息迅速膨胀、丰富，各种各样的网络应用得以普及和频繁使用。而与此同时，网络安全技术却明显滞后，发展和响应的速度缓慢，各种网络安全措施都显得“道高一尺、魔高一丈”。本文将以ARP病毒攻击为代表，从分析ARP协议入手，详细阐述ARP的工作过程以及欺骗技术的基本原理，通过分析大多数现有校园网络安全措施，即防火墙设备，入侵检测系统，入侵防御系统在针对内部网络攻击行为管理上的缺陷，从而证明现有网络安全措施上的巨大漏洞。在详细陈述现有的一些处理ARP病毒的手段后，总体分析这些防范措施的共同缺陷，进一步讨论弥补这些缺陷的必要性及其所带来的现实意义，指明今后校园网络管理所面临的重要问题和主要发展方向。

关键词：ARP协议；ARP欺骗；防火墙；入侵检测系统；入侵防御系统；网络监控平台；

中图分类号：TP393             文献标识码：A

0 引言

随着网络技术的高速发展,网络上的信息迅速膨胀、丰富，各种各样的网络应用得以普及和频繁使用。而同时期，网络安全技术却明显停滞后，各种网络安全措施都显得“道高一尺、魔高一丈”，绝大多数网络管理人员在日常的网络管理工作中都疲于应付，力不从心。事实上，资源共享和信息安全历来就是一对矛盾。一个系统的使用权限规划越细，使用规定越多，那么相对来说，这个网络系统就比较安全一些；但同时使用起来就不方便。计算机网络的开放性是网络应用所导致的，这就决定了网络安全问题是先天存在的。网络安全一直是限制网络发展的一个主要因素。现今的网络架构中采用交换机互联，使用网关地址转发网络数据包，这种交换式连接的局域网一直是很成熟的技术，但近年来它在一种新型网络攻击面前却毫无办法进行防范，这种攻击就是ARP欺骗。

1       ARP协议的工作流程

1.1 ARP协议

地址转换协议Address Resolution Protocol(简称：ARP)是数据链路层协议，它负责把网络层的IP地址转换成为数据链路层的MAC地址，从而建立IP地址和MAC设备物理地址的对应关系，以便实现IP地址访问网络设备的通讯目的。

1.2   ARP工作流程

在以太网中，两个不同网络设备进行直接通信，需要知道目标设备的网络层逻辑（IP）地址和网络设备的物理（MAC）地址。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保障网络通信的顺利进行。当网络中某台计算机A要与同网段中计算机B通信时，A机首先要在缓存中查找是否有B机的IP地址和MAC地址的对应关系；如果没有，则A机在本网段中广播，将自己的IP地址和MAC地址发出，并要求IP地址是B机的计算机作应答。网段中所有计算机都会收到A机的广播包，并检查自己的IP地址是否B机IP，IP地址是B机的计算机会作出应答，并按照A机的IP地址和MAC地址发出应答包。A机接收到B机的应答包后，将B机的IP地址和MAC地址加入到自己的缓存中，随后再开始与B机的通信。如果计算机A要与网段以外的计算机通信，则由网关将A计算机的广播包加以转发来完成上面的工作。

在整个ARP工作期间,不但主机A得到了主机B的IP地址和MAC地址的映射关系，而且主机B也得到了主机A的IP地址和MAC地址的映射关系。如果主机B的应用程序需要立即返回数据给主机A的应用程序，那么，主机B就不必再次执行上面的ARP请求过程了。

1.3 ARP欺骗的原理

所谓ARP欺骗，又被称为ARP重定向，由于ARP协议是建立在信任局域网内所有计算机的基础上的，因此会出现中间人攻击的现象，某台非目标的计算机利用ARP协议的缺陷向目标主机频繁发送伪造ARP应答报文，使目标主机接收该伪造的IP地址和MAC地址报文并更新本地系统的ARP高速缓存，从而使攻击者插入到被攻击主机和其他主机之间，便可以监听被攻击的主机。由此可见，入侵者利用IP机制的安全漏洞，比较容易实现ARP欺骗，造成计算机网络无法正常通讯，以达到冒用网关或目的计算机合法IP来拦截、窃取信息以及破坏数据的目的。虽然ARP欺骗发生在局域网内，只有内部的计算机可以互相监听，但是对于本来就存在安全漏洞的网络来说，如果外部攻击者能够入侵到局域网内的某台计算机，然后再进行ARP欺骗，一旦成功，将给网络造成很大的破坏。

2       现有网络防御手段

2.1 防火墙

在IPv4网络中，普遍采用防火墙来阻止外部未经授权的网络用户进入内部网络。以此保护内部网络的安全。根据所采用的技术不同，防火墙可以分为三大类：地址转换NAT型、代理监测型和包过滤型；其中使用最多、最广泛的就是地址转换NAT型。虽然目前防火墙是保护网络免遭黑客攻击的有效手段，但明显存在着不足：① 对内部网络发起的攻击无法阻止；②可以阻断外部攻击而无法消灭攻击来源；③做NAT转换后，由于防火墙本身性能和并发连接数的限制，容易导致出口成为网络瓶颈，形成网络拥塞；④对于网络中新生的攻击行为，如果未做出相应策略的设置，则无法防范；⑤对于利用系统后门、蠕虫病毒以及获得用户授权等一切拥有合法开放端口掩护的攻击行为将无法防范。

为了弥补防火墙存在的不足，许多网络管理者应用入侵检测来提高网络的安全性和抵御攻击的能力。

2.2 入侵检测系统（Intrusion Detection system）

（1）入侵检测就是对入侵的网络行为进行检测，通过收集和分析计算机网络中的信息，检查网络中是否存在违反安全策略规定的行为或者是被攻击的痕迹。如果发现有入侵行为的迹象，检测系统可以自动进行记录或生成报告，甚至能够根据所制定策略自动采取应对措施，断开入侵来源并向网络管理者报警。

入侵检测系统（IDS）按照收集数据来源的不同一般可以分为三大类：

①由多个部件组成，分布于内部网络的各个部分的分布式入侵检测系统。

②依靠网络上的数据包作为分析、监控数据源的基于网络型入侵检测系统。

③安装在网段内的某台计算机上，以系统的应用程序日志和审计日志为数据源主机型入侵检测系统。

（2）虽然入侵检测系统以不同的形式安装于内部网络的各个不同的位置，但由于采集数据源的限制，对ARP病毒形式的攻击行为却反应迟钝。入侵检测系统一般部署在主干网络或者明确要监控的网段之中，而一个内部网络往往有很多个独立的网段；由于财力的限制，网络管理者一般都不能在每个网络中部署用于数据采集的监控计算机。一旦未部署的网段中ARP欺骗阻塞了本网段与外界的正常通讯，入侵检测系统无法采集到完整的数据信息而不能迅速准确的作出反应。

除此以外，现有的各种入侵检测系统还存在着一些共同的缺陷，如；较高的误报率，无关紧要的报警过于频繁；系统产品对不同的网络或网络中的变化反应迟钝，适应能力较低；系统产品报告的专业性太强，需要管理者、使用者有比较高深的网络专业知识；对用于处理信息的设备在硬件上有较高的要求，在大型局域网络中检测系统受自身处理速度的限制，容易发生故障无法对网络进行实时监测。

2.3 入侵防御系统（Intrusion Prevent system）

（1）入侵防御系统（IPS）是针对入侵检测系统（IDS）所存在的不足，借用网络防火墙的部分原理而建立的。入侵防御系统有效的结合了入侵检测技术和防火墙原理；不但能检测入侵的发生，而且通过一些有效的响应方式来终止入侵行为；从而形成了一种新型的、混合的、具有一定深度的入侵防范技术。

入侵防御系统（IPS）按照应用方式的不同一般可以分为三大类：

①基于主机的入侵防御系统HIPS：是一种驻留在服务器、工作站等独立系统中的安全管理程序。这些程序可以对流入和流出特定系统的数据包进行检查，监控应用程序和操作系统的行为，保护系统不会被恶意修改和攻击。

②基于网络的入侵防御系统NIPS：是一种以嵌入模式部署与受保护网段中的系统。受保护网段中的所有网络数据都必须通过NIPS设备，如果被检测出存在攻击行为，NIPS将会进行实时拦截。

③应用服务入侵防御系统（AIPS）：是将HIPS扩展成位于应用服务器之间的网络设备。利用与HIPS相似的原理保护应用服务器。

相对与IDS而言，IPS是以在线方式安装在被保护网络的入口处，从而监控所有流经的网络数据。IPS结合了IDS和防火墙的技术，通过对流经的数据报文进行深层检查，发现攻击行为，阻断攻击行为，从而达到防御的目的。

（2）但同时，我们也认识到：由于IPS是基于IDS同样的策略特征库，导致它无法完全克服IDS所存在的缺陷，依然会出现很多的误报和漏报的情况，而主动防御应建立在精确、可靠的检测结果之上，大量的误报所激发的主动防御反而会造成巨大的负面影响；另一方面，数据包的深入检测和保障可用网络的高性能之间是存在矛盾的，随着网络带宽的扩大、单位时间传输数据包的增加、IPS攻击特征库的不断膨胀，串连在出口位置的IPS对网络性能的影响会越来越严重，最终必将成为网络传输的瓶颈。

3       新的网络安全发展方向

3.1 当前网络的安全缺陷

综合分析以上网络安全技术的特点以后，我们不难发现：现有的网络安全设备大多部署在局域网的出口位置，现有的安全技术又无法保证100%发现和阻断外来的网络攻击行为；同时，内网中的计算机以及其它网络通讯设备中存在的系统安全漏洞基本上没有得到任何监控，仅仅依靠用户自己进行维护；由于受到用户安全防范水平和认识的限制，内网中必然存在着大量的网络安全漏洞，一旦这些存在漏洞的计算机或网络设备被外部侵入行为所控制，再利用这些设备发动ARP或类似原理的攻击，将迅速导致整个网络系统的崩溃。对于这些内部网络中发起的攻击行为，普通的网络安全措施是无法及时发现和有效阻止的。

3.2 网络安全新的发展方向

基于以上分析，我们认为应该将网络安全的防御重点转到内部网络上来，应该将网络监控的触角延伸到内部网络的每一个网段中；而最容易成为这些触角的工具就是构建起内部网络的网络交换机。

在一个大规模的局域网内，联入的网络通信设备分布广泛，覆盖地理位置较远；接入的计算机用户数量多，通信的数据量大；设置的通信网段和通信路由复杂。一旦发生网络故障，网络管理员无法迅速定位引起故障的来源，更不用说在故障发生之前就主动的发现攻击苗头，通过远程管理来消除故障隐患。这大大的影响网络用户的使用效率，降低了服务质量。而网络交换机是构建内部网络的基础，是用于转发网络数据包的工具。那么，无论是外网发起的网络连接，还是内网中类似于ARP攻击所发出的广播包，网络交换机都可以收集到数据信息。如果网络中的交换机可以定时将收集到的数据样本发往一个处理平台，由处理平台根据既定策略进行分析，再将分析结果传给网络管理员，由网络管理员根据分析结果通过远程控制将网络故障或即将引起网络故障的设备进行隔离，将大大的提高网络管理的响应速度，保障大多数网络用户的使用效率。

3.3 优化网络管理的几点要素

要建立起上述的网络故障自动监控平台，在建网时就要尽量做到以下几个方面的工作：

①设计大规模的局域网时，网内的交换机应该联入一个或多个独立的网段中，这样既可以让交换机之间形成一个独立的管理网络，又可以避免远程操作交换机时受到用户网段通信的影响。

②应尽量多的在网络中部署管理型网络交换机，这样既可以缩小故障源的范围便于定位，又便于网络管理员进行远程操作以迅速处理网络故障。

③应在核心交换机上部署一个基于全网拓扑图的网络监控软件，形成一个对网络信息进行收集、分析和反馈的平台，达到动态监控的目的。如下图1：

④应在核心交换机上配置一台网络监控计算机，这台计算机可以与交换机管理网段进行通信。同时在网络监控计算机上部署一个网络交换机的图形化管理软件。以便加强交换机的可操控性，摆脱交换机的“命令行式”管理，利于普通的网络值班人员（非核心技术人员）进行故障分析和排除。如下图2：

⑤努力开发收集交换机数据的软件，开发分析网络行为的策略库，不断提高网络监控平台的故障反应速度和故障源定位的准确性。

4       结论

   当然，仅仅做到以上几点还是不够的，保障大型网络的正常通信，维持网络信道的高效传输，其任重而道远。要构建综合的动态网络监控平台来优化安全防护效果，就应该整合各种网络安全资源、网络安全产品，组成内外兼备，高效智能的立体防护体系，从而满足各种领域对网络安全的需求。大力提高内网的网络安全管理能力，必将为达成上述目标起到重要而深远的影响。

参考文献：

[1]      张仕斌，易勇。网络安全技术[M] 清华大学出版社

[2]      任侠，吕述望。ARP协议欺骗原理分析与抵御方法[J] 计算机工程2004

[3]      张海燕。ARP漏洞及其防范技术。网络与信息安全2006

楮建立，马雪松，局域网ARP欺骗防范技术探讨。网络安全技术与应用 2007．