针对校园网中ARP欺骗的防御技术手段研究

来源 :无线互联科技 | 被引量 : 0次 | 上传用户:blademan_0617
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  摘 要:ARP欺骗攻击是校园网中最为常见的攻击方式之一。本文首先对ARP欺骗攻击实现原理、攻击方式、造成的影响等内容进行了介绍,然后重点对几种有效的、可防止ARP欺骗攻击的安全防护技术进行了研究和分析。
  关键词:ARP欺骗;校园网
  校园网网络环境复杂,用户数据交换频繁,用户安全防范意识参差不齐,这些因素极易导致校园局域网中出现网络故障。ARP欺骗是一种常见的校园网网络攻击方式,其利用ARP协议本身缓存更新这一协议缺陷来向网络用户发送大量的报文信息,阻碍其他正常用户的网络通信。
  1 ARP欺骗攻击手段极其对校园网的影响分析
  校园网内的用户进行通信时首先需要将用户的IP地址对应的转换为MAC地址才能够在两者之间建立通信链路进行数据通信,这一过程需要使用ARP协议来完成。ARP欺骗即利用该协议缺陷不断向网络内其他用户发送伪造的ARP應答包来扰乱其他用户的缓存表,进而达到对用户监听或攻击的目的。
  校园网的网络环境开放性高,管理相对宽松,学生用户数大,但是安全意识参差不齐,一旦出现ARP欺骗攻击,会对校园网带来非常大的安全隐患。目前校园网常见的ARP欺骗攻击方式主要体现在以下几个方面。
  ⑴对其他主机用户进行通信监听和数据包篡改。ARP协议是校园网所使用的通信协议之一,其不是病毒,因而安全防护软件不会对其进行查杀。利用这一特点,感染ARP欺骗程序的用户主机会不断的向校园网内其他用户主机发送相应的ARP协议,通过该协议其可以监听到其他用户的通信数据,更为严重的是,ARP欺骗病毒还有可能对所监听到的数据包进行非法篡改,在其中添加恶意网址等信息。
  ⑵冒充主机,阻碍其他用户的网络访问。ARP欺骗攻击病毒会在局域网内伪造一台虚假的主机,同时频繁在局域网内对其IP地址与MAC地址进行广播。
  ⑶数据截取。ARP欺骗攻击还有可能将被感染主机插入两台正常主机的通信链路之间,正常主机之间的通信需要通过被感染主机的转发才能实现。当目标主机是DHCP服务器时,被感染主机就有可能将正常用户引导到钓鱼网站,从而窃取用户的重要账号资料。
  2 ARP欺骗防御技术
  综合考虑校园网的网络特点,可以通过配置路由交换设备等从根本上消除ARP欺骗攻击对网络用户的影响。
  2.1 双向静态映射
  校园网通常是由多个层次构成的,在可控的层级内为路由设备建立静态MAC地址映射并对其进行手动维护可以有效防止ARP欺骗攻击所带来的ARP缓存表动态更新状况的发生。鉴于ARP攻击的目标分为路由和目标主机两种,故静态IP-MAC地址映射也分为两种。但是实际执行过程中静态映射的设置需要同时修改目标主机、网关以及路由器管理页面的IP-MAC等三部分内容。需要注意的是,双向静态映射建立完毕后,网络管理相关人员需要按照校园网使用情况对ARP缓存进行定期检查和更新。
  2.2 VLAN和端口隔离技术
  校园网中的网络通信分为网内通信、网外通信两种,为满足用户的网络通信需求同时降低ARP欺骗攻击风险,可在网络交换设备中部署VLAN技术。该技术可以将校园网内的用户主机分成多个小的局域网段,网段内用户可以进行自由通信,网段间用户不能直接通信,这样ARP攻击风险就被限制在可控范围,某一网段的ARP欺骗攻击不会影响到其他网段用户。
  进一步的,在网段间通信时可以使用端口隔离技术,该技术既可以保证用户通过VLAN端口与外网通信,还能够将用户主机端口的广播限制在其所在的VLAN内,避免不同VLAN之间的相互探测,进而阻止ARP欺骗攻击行为的出现。
  2.3 DHCPSnooping技术
  为便于使用,某些学校或某些环境下的网络用户IP地址是由DHCP服务器动态分配的,这种情况下就无法使用IP-MAC双向静态映射的方式来防御ARP欺骗攻击。此时可以使用DHCPSnooping技术来增强校园网的网络安全性能,避免ARP攻击造成的大范围网络故障出现。
  该技术会在DHCP服务器中建立一个DHCPSnooping绑定表,表中将用户相关信息分为可信区域和不可信区域。其中可信区域包含了DHCP服务器为信任主机分配的IP地址及其MAC地址。在网络内用户发送ARP报文时,交换机等设备会对报文中的IP地址和MAC地址进行匹配检查,只有通过检查的主机信息才能够被发送出去。未通过检查的用户相关信息会被记录到不可信区域进行记录和管理。
  3 校园网用户防ARP欺骗攻击
  为提升校园网的安全性能,避免ARP欺骗攻击对用户带来安全威胁,在用户端也应该采取必要的安全防护措施。具体来说,用户应该对系统和应用程序等进行定期检测与漏洞修复,提升操作系统本身的安全性能。同时用户还可以安装ARP防火墙、病毒防护等软件。
  4 总结
  ARP欺骗攻击是校园网内最为常见的攻击方式之一。鉴于ARP协议本身存在缺陷,故针对ARP的欺骗攻击是无法避免的。但是必要的安全防护策略可有效提升校园网的安全性能,降低ARP欺骗攻击所带来的损失。
  [参考文献]
  [1]马丽君.基于校园网ARP欺骗分析及防御技术[J].数字技术与应用,2012(02).
  [2]姚圣军.浅析ARP欺骗的原理及校园网ARP欺骗的防御方法[J].教育观察,2012(7).
  [3]方禹润.浅谈高校校园网中ARP欺骗的检测和防范[J].黑龙江科技信息,2011(12).
  [4]秦丰林,段海新,郭汝廷.ARP欺骗的监测与防范技术综述[J].计算机应用研究,2009,26(1):30-33.
其他文献
<正>《敬呈管见折》是贵州候补道罗应旒在1879年7月23日所上的一件有影响的奏折.当时清廷不仅诏令直隶总督兼北洋通商大臣李鸿章、两江总督兼南洋通商大臣沈葆桢对于罗折“妥筹具奏”,而且时隔不久,8月5日便有谕旨“罗应旒发往直隶交李鸿章差委”.
我国的有线电视从90年代开始发展,在用户规模和网络技术及多能业务上都已经在世界上占有一定的地位。本文首先介绍了有线电视的基本概念和有线电视系统技术的阶段性发展,最后
纵观中国近现代画坛.黄宾虹可谓一座丰碑,特别在山水画的传承和创新中形成“浑厚华滋,气势磅礴”之面目.理解其独创的形式美.解构笔墨的组织样式.我们可从三个方面去认识。
据报导,一种强度可与花岗岩相当的超高强度混凝土,日前由韩国三星物产公司研发成功。据悉,这种超高强度混凝土的强度可达150MPa,每平方厘米可承重1.5吨,相当于一枚硬币大小的面积上
合唱作为声乐艺术的最高表现形式,具有丰富的美学内涵和审美价值。童声合唱因其纯净的音色、率真的表达成为合唱艺术中引人注目的形式之一。通过对德国奥格斯堡大教堂童声合
西藏地区的民歌是由藏族和多个少数民族(族群)共同创造的一种多元的音乐文化。目前对于西藏民歌的研究主要集中于藏族,甚至把藏族民歌等同于西藏民歌,对门巴族、珞巴族、夏尔巴
现代社会计算机技术快速发展,大学生对于计算机技术的掌握越来越有必要,针对各大高校非计算机专业学生开设计算机基础课程,主要是为了提高学生的计算机应用能力。文章主要分
<正>近年来,伴随我国学术界对直觉问题的探讨,笔者对直觉的本质进行了反复的思索,现将思索的结果整理成文,以求教于专家、读者。 1直觉的本质与人的认知定势紧紧相联,是人的认知定势的一种外部表现形式。所谓定势是指影响或决定同类后继心理活动的趋势、或形成心理活动的准备状态。苏联定势心理学学派的代表人物,著名心理学家乌兹纳捷认为定势是一种整合。人的心理是一个自我调节、自我控制的系统。人的心理之所以能够成为这样一种动力系统,是因为存在一种自我组织功能。这种自我组织功能是一种对内部的各种反应模式、对内
<正>地方自治是国民党统治时期规模宏大的社会政治运动,它起自1929年国民党三大,止于1946年“制宪国大”,前后历时18年,耗费了巨大的人力和物力,但其结果却是“成功之处甚少,失败之处太多”搞得“县政一塌糊涂”。它的实行加重了当时农村的经济凋零和人民的怨恨情绪,加速了国民党政治、经济的崩溃,成为国民党统治在大陆迅速覆灭的重要因素之一。
自1994年税制改革以来,我国一直实行生产型增值税.随着经济体制改革的不断深入和全球经济的一体化,特别是中国加入WTO以后,生产型增值税已越来越不适应经济发展的需要.文章对