毕业论文网
本论文主要论述了校园网论文范文相关的参考文献,对您的论文写作有参考作用。
针对校园网ARP欺骗攻击的应对安全策略分析
马 煜
(陕西中医药大学信息化建设管理处,陕西 咸阳 712046)
摘 要:为了防范ARP欺骗攻击,保障校园网网络信息安全,笔者阐述了ARP工作原理,分析了ARP欺骗内网主机、欺骗局域网网关等利用漏洞进行攻击的方式,提出了VLAN隔离端口、IP与MAC地址静态绑定、采用抵御ARP攻击的以太网交换机、用户端主动防御等应对ARP攻击的安全策略与实现方案,并根据校园网目前的实际情况予以实施,在实际管理工作中验证了安全策略的可行性与有效性.
关键词:ARP欺骗攻击;校园网;信息安全;安全策略
中图分类号:TP309.2 文献标志码:A DOI:10.3969/j.issn.1674-9146.2017.02.067
随着高校信息化建设的发展,校园网拓扑建设已经逐步完善,网内信息高速传输为科研、教学、办公提供了极大便利.然而随着网络技术的发展,不断恶化的网络环境威胁着用户的网络安全.部分接入设备技术简单、安全策略设置不全,缺少对内部网络用户安全的管理机制,这些安全隐患为网络用户非法行为及网络攻击提供了“绿色”通道.
基于地址解析协议(Address Resolution Protocol,ARP)漏洞的欺骗攻击在校园网中较为常见,攻击主机会利用ARP漏洞窃听与修改网内主机通信信息,导致用户频繁掉线,甚至大面积网络瘫痪,严重影响了校园网的稳定运行,给高校正常教学、办公造成巨大影响.因此防范ARP欺骗攻击以保障网络信息安全是管理部门的工作重点,校园网络管理部门应针对ARP漏洞的攻击过程,设置并实施相应的应对安全策略.
1 ARP简介与工作原理
1)ARP简介.ARP作用于本地主机向目标主机发送数据时将目标主机网络IP地址转换为物理MAC地址的过程[1].在网络通信中,一台主机与另一台直接通信时,只能知道其网络IP地址,而实际参与工作的网卡只能识别硬件MAC地址,因此需要ARP完成IP地址与MAC地址的动态映射,使两台主机的通信数据可以在数据链路层有效传输.
2)ARP工作原理.为了准确记录通信主机的MAC地址,局域网内所有主机都拥有ARP缓存表,网内所有主机的网络IP地址与物理MAC地址的映射关系都存储在缓存表中.当主机A向主机B发送数据时,先在自己的ARP缓存表中查找B的IP地址,若有则直接将对应的MAC地址写入数据帧中并发送,若没有则会在网内广播ARP请求报文询问该IP地址对应的MAC地址,只有B收到该数据帧时会做出回应反馈自己的MAC地址,当A收到时会更新自己的ARP缓存表以供下次通信查找.
2 ARP欺骗攻击原理及方式
ARP欺骗利用的是协议上的信任漏洞,局域网内所有主机都有权发送ARP应答包,且没有进行安全验证就会接收ARP应答包,随后更新自己的ARP缓存表[2].基于通信相互信任,攻击者可以伪装ARP应答并与正常请求主机进行竞争,从而进行ARP欺骗攻击.
1)欺骗内网主机方式.攻击主机通常会冒充局域网网关的IP地址,向主机A发送ARP应答包,使得A在缓存表中更新网关IP地址与攻击者MAC地址映射.当A向网关发送数据请求时,由于A的缓存表已经被修改,这些请求会直接发向攻击者,因此A无法通过网关进行正常的对外网络通信,导致A认为网络掉线.此外,攻击主机X也可以分别向主机A和主机B发送ARP应答包,使得A的ARP缓存表中更新为IP-B与MAC-X映射,B中的ARP缓存表中更新为IP-A与MAC-X映射,这样一来,A与B的所有通信都会经过攻击主机X,X可以直接对信息进行窃听与篡改.
2)欺骗局域网网关方式.攻击主机冒充网内某主机A的IP地址向网关发送ARP应答包,欺骗网关主机A的MAC地址已经更换,当主机A向网关发送外网通信请求时,网关会将所有数据依照新的映射定向到攻击主机的MAC地址,导致主机A无法访问外网.对于攻击同网段内多数用户的情况,攻击主机会伪造大量不同的ARP应答包进行广播,使得网关的ARP缓存表被占满,直接导致了多数用户主机无法访问外网[3].
3 应对ARP攻击的安全策略与实现方案
1)VLAN隔离端口.在校园网的实际运行中,通常会对不同区域实现基于端口划分VLAN的管理方式,当察觉某VLAN中有网络用户恶意进行ARP欺骗攻击或某一正常用户受ARP病毒感染而影响校园网络时,可以先定位该用户所处的交换机端口,随后将该端口独立划分出一个VLAN进行隔离,避免对校园网内其他用户的影响.
2)IP与MAC地址静态绑定.由于ARP欺骗是通过ARP缓存表动态刷新进行的,因此在用户主机上设置静态ARP缓存表,将网段内所有主机(包括网关)的IP地址与其各自的MAC地址进行指定映射,从而避免了攻击主机对其他主机缓存表进行的恶意修改.不仅如此,还可以根据实际情况,在接入层交换机端口上绑定用户主机的IP地址与MAC地址,从根本上杜绝了非法用户随意接入网络的可能,一旦正常用户IP或MAC地址有所改动,该设备的所有网络访问将被拒绝,在很大程度上降低了ARP欺骗攻击或冒充正常用户IP地址窃取数据信息的可能.
3)采用抵御ARP攻击的以太网交换机.笔者所在高校目前使用H3C以太网交换机投入在核心层、汇聚层、接入层工作,针对ARP攻击都部署了相应的监控、认证等安全策略.在接入层交换机上开启了DHCP Snooping和ARP Rate-limit,通过DHCP Snooping监控了用户动态申请IP地址的全过程,并记录IP,MAC与端口信息,从根本上阻断非法ARP应答包的广播.此外,防止ARP泛洪攻击而设置的ARP Rate-limit可以控制每个端口单位时间内收到的ARP应答包数量,如果在单位时间内收到的应答包数量大于交换机设定值则进行丢弃,从而有效地降低了因为泛洪攻击造成占用网络带宽资源和交换机CPU资源的可能.
通过连接在汇聚层设备上的登录认证服务器,联合接入交换机、网关在用户主机上认证登录以防止ARP欺骗攻击,认证服务器将配置好的网关IP与MAC地址绑定信息传输给认证客户端进行记录保存,可以防止攻击主机冒充网关类型的攻击方式.在接入交换机上绑定用户主机IP与MAC地址,当用户主机登录认证上网时,认证报文会经过接入交换机,这样可以有效防止攻击主机冒充正常用户的攻击方式.
4)用户端的主动防御.网络管理部门在校园网服务器端为用户提供常用的杀毒、ARP防火墙等防护软件供其使用,并且定期在网站上通知所有网络用户检查并更新所装的防护软件及操作系统的升级补丁[4].对于已受感染的机器,可以重装操作系统或使用正版杀毒软件对全盘进行扫描查杀,在主机上安装监测木马的安全软件,随时观察网络工作情况.另外针对使用局域网共享功能的主机,需要关闭一些不必要的共享项目,将共享文件夹的权限设置为只能读取而不能写入,也不要轻易点击不安全的网络链接地址.
4 结束语
经过网络管理部门着力实施应对防范ARP欺骗攻击的安全策略,在实际的安全维护工作中发现校园网内ARP欺骗攻击现象逐渐减少,安全策略的实现有效地制止了网络攻击者利用ARP缺陷进行的网络攻击.然而,随着网络技术的发展,新型的ARP欺骗攻击形式趋于多样化,网络管理部门仍旧需要探索并建立新的多层次、多架构的安全防护策略,以保障高校网络的稳定运行.
参考文献:
[1] 郭征,吴向前,刘胜全.针对校园网ARP攻击的主动防护
方案[J].计算机工程,2011,37(5):181-183.
[2] 李红.如何防御校园网内的ARP攻击[J].赤峰学院学报
(科学教育版),2011(5):106-107.
[3] 苏宁.校园网中ARP攻击分析与防御探讨[J].电脑知识与
技术,2012,8(20):4855-4856.
[4] 邢金阁,刘扬.ARP欺骗攻击的检测及防御技术研究[J].东
北农业大学学报,2012,43(8):74-77.
(责任编辑 邸开宇)
校园网论文范文结:
适合不知如何写校园网方面的相关专业大学硕士和本科毕业论文以及关于校园网论文开题报告范文和相关职称论文写作参考文献资料下载。
1、校园网毕业论文