使用绑定技术实现校园网ARP病毒防治.docVIP

使用绑定技术实现校园网ARP病毒防治 　　摘要 随着网络应用的日渐广泛，网络病毒和攻击形式也日趋多样，校园网的安全问题日益突出，近几年，ARP病毒的防治一直是网络管理人员研究和探讨的问题。高校校园网由于规模大，主机多，用户群活跃，局域网内部通信多，极易产生ARP病毒，其造成的危害很大。本文分析了ARP病毒的攻击原理以及绑定技术的原理，从而提出了通过对IP地址、MAC地址和交换机端口三者进行绑定来实现对ARP病毒的防治，并以华三和思科的设备为例具体介绍了绑定的配置过程。 　　关键词 ARP；绑定；监听；检测 　　中图分类号TP39 文献标识码A 文章编号 1674-6708（2011）34-0174-02 　　0 引言 　　校园网是学校数字化校园建设的主体，随着校园网规模的不断扩大，资源的不断增多，网上应用的日益丰富，广大师生对网络的依赖程度越来越高，因此，校园网的安全建设非常重要。由于网络的开放性及高校校园网自身的一些特点，使得网络的管理较为复杂，校园网面临着许多安全隐患,经常会遭到一些恶意攻击。其中，利用ARP协议的漏洞对校园网进行攻击是近几年最常见的一种方式，其造成的影响和危害都比较严重，病毒爆发时，会导致网速变慢，局域网内PC大面积掉线，网络通信瘫痪。ARP病毒不同于其他病毒，它的攻击是基于基础网络协议的天然缺陷，所以其防治也比较困难，单靠传统的杀毒软件和防火墙是不能根治的。这就需要网络管理人员采取积极有效的措施做到预防为主，防治结合。 　　1 ARP协议及ARP病毒 　　1.1 什么是ARP[1] 　　ARP是“Address Resolution Protocol”（地址解析协议）的缩写，ARP是处于数据链路层的网络通信协议，在本层和硬件接口联系，并对上层提供服务。ARP协议的基本功能就是将目标设备的IP地址转换为MAC地址，以保证通信的顺利进行。 　　1.2 什么是ARP欺骗 　　通过伪造IP地址和MAC地址实现ARP欺骗，导致数据包不能发到正确的MAC地址上去，会在网络中产生大量的ARP通信量使网络阻塞，从而导致网络无法进行正常的通信。从影响网络连通的方式来看，ARP欺骗分为两种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息；第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发送数据，而不是通过正常的路由器途径上网。在PC看来，就是网络频繁掉线。 　　1.3 ARP病毒 　　ARP地址欺骗类病毒（简称ARP病毒）是一类特殊的病毒，其使用ARP欺骗的原理，取得受害主机的信任后，再将病毒或木马传播给受害主机，由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一般的蠕虫病毒还要严重得多。 　　2 绑定技术介绍 　　2.1 IP地址、MAC地址和交换机端口的绑定[2] 　　为了防止IP地址被盗用，通过简单的交换机端口绑定（端口的MAC表使用静态表项），可以在每个交换机端口连接指定的主机的情况下防止修改MAC地址的盗用。如果是可网管交换机还可以提供：IP地址、MAC地址和交换机端口三者的绑定。在交换机上配置了三者的绑定功能以后，交换机会检查每个数据包的源IP地址和MAC地址，对于没有在交换机内记录的IP和MAC地址的计算机所发出的数据包都会被交换机所阻止，这样可以有效的防止ARP病毒的攻击,也有效地防止了内部网络某些人出于某些目的擅自修改自己计算机IP、MAC地址或者交换机端口号的行为。绑定分静态和动态两种：静态绑定是手工用命令在交换机端口上输入IP与MAC的对应关系表配置绑定，动态绑定是指通过配置命令在计算机上网的过程中绑定，断网后自动解除。 　　2.2 DHCP监听和ARP检测技术[3] 　　DHCP监听（DHCP Snooping）技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。当在交换机上开启DHCP Snooping以后，交换机会对DHCP报文进行侦听，并从接收到的请求或回应报文中提取记录并生成IP和MAC的绑定表。另外，DHCP Snooping允许将某个物理端口设置为信任端口或不信任端口。受信任的端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这就确保了客户端从合法的DHCP Server获取IP地址，起到防止非法DHCP服务器的作用。DHC