校园网中ARP攻击的防范措施研究

王晓妮 韩建刚

摘要：介绍了ARP协议和PPPOE技术及其工作原理，ARP攻击特点及原理，结合高校局域网的实际情况和网管的实战经验，提出了校园网ARP攻击的防范措施，确保校园网安全。

关键词：ARP；PPPOE；ARP攻击；MAC/IP

中图分类号：TP393.18 文献标识码：A 文章编号：1009-5039（2018）17-0068-02

Abstract：This paper introduces the ARP protocol and PPPOE technology and its working principle， and the characteristics and principles of ARP attack. Based on the actual situation of University LAN and the practical experience of network management， it puts forward the preventive measures for ARP attack in campus network to ensure the safety of campus network.

Key words：ARP； PPPOE； ARP attack； MAC / IP

伴随高校信息化的飞速发展，互联网早已全面覆盖校园的各个角落，提高了师生员工的生活质量，但也存在安全隐患。由于用户缺乏较好的安全意识和上网习惯，故木马蠕虫病毒随处可见，最为常见的就是ARP病毒攻击。2006年ARP病毒第一次出现以来，使感染区的电脑网速很慢，时断时续，频繁死机等现象时有发生，严重影响了用户的正常生活、学习和工作。ARP病毒攻击至今一直没有彻底解决，让技术研究人员和用户深受其困扰。防御ARP病毒是目前校园网管理中的一个重点和难题，急需尽快解决才能确保网络的正常运行和便于用户使用，也能减轻网络管理员的工作压力。

1 ARP协议和ARP攻击

ARP（Address Resolution Protocol）协议是数据链路层的地址解析协议，进行网络设备的逻辑IP地址和物理MAC地址相互转换工作[1]。现以主机A 和B间通信来说明ARP协议的工作原理。如图1所示。ARP协议在设计时网络环境相对比较安全，故没有缺乏完全性考虑，故难免存在无状态、动态性、无认证和广播式这四个设计漏洞[2]。

校园网中一旦出现ARP攻击用户信息就会被盗、频繁发生IP地址冲突、网络稳定性差、电脑死机和整个网络瘫痪，设备重启后正常[3]。ARP攻击造成网络极易堵塞、不易发现和很难根除。ARP攻击原理黑客利用ARP协议的设计漏洞，伪造的大量的非法IP/MAC地址冒充正常IP/MAC，不断向攻击的目标发送大量伪造ARP 数据包，迫使其更新ARP缓存表，直接截获或篡改的数据，造成泄露信息、电脑死机和网络中断。ARP攻击按攻击对象可分为攻击网关、攻击主机、双向攻击和洪泛攻击。

2 PPPOE技术

PPPOE（Point to Point Protocol over Etherne）是一种点对点的链路控制协议，能够单独控制每个接入点的用户[4]。PPPOE 协议通过在多点的以太网上来建立虚拟的点对点 PPPOE 连接，可以完成用户身份验证、接入和数据通信。它以太网承载的PPP协议，区别与普通的以太网协议的是所有IP协议数据必须先要经过PPP和 PPPOE 帧封装后才能被送到底层。PPP 协议处在IP 的下层，而 PPP 采用点对点通信。PPPOE协议为网关和主机间在以太网上建立了一个点对点的通道，而在第二层处使此通道与别的主机处于不同的广播域中是互相隔离的故就避免了 ARP 欺骗， 这就是PPPOE协议防御ARP病毒攻击原理。

3 ARP攻击的防范措施

校园网用户不但水平高低有别，安全意识薄弱，数目庞大，有着不同的网络需求，缺乏基本的网络知识和良好的上网习惯；而且校园网用途广泛，使用频率高。校园网的这些突出特点不仅使ARP攻击有机可乘，又使其防御难度加大，导致利用某个单一的防御措施很难彻底解决它。故根据校园网的现实情况，结合不同区域和用户的网络需求不同，结合这四种措施来对ARP攻击进行防御。

（1）培养用户上网习惯和增强网络安全意识。通过网站、网络媒体、微信和QQ等各种渠道向用户普及网络安全知识和个人隐私保护的重要性。使所有校园网用户能够做到这几点：1）尽量使用复杂的上网账号和登录密码，经常定期修改密码。2）杜绝利用共享方式传递文件。3）避免接受或打开来历不明的网络文件、电子邮件和地址链接。4）尽可能地使用正版软件或在合法的网站下载上软件，禁止下载和使用可能携带木马或病毒的盗版软件5）定期更换不同的是毒软件，及时升级病毒库和电脑系统补丁，经常按时查杀病毒。6）定期进行重要数据的异地备份。

（2） 在图书馆电子阅览室、各系部的多媒体教室和网络实验室采用静态绑定IP/MAC地址和安装ARP专杀工具相结合的措施。具体操作方法分两步：首先对该区域中所有设备的网关和主机的IP/MAC利用ARP命令双向静态绑定，命令格式为：arp -s 网关/主机IP+其对应的MAC。编写一个arp.bat批处理文件（格式为三行：1）@echo off；2）arp –d；3）arp –s ip address mac address，将其放在设备系统启动项中。让其在开机时自动运行来避免由于设备重启后这种绑定就是失效，再每次重复手动绑定，可以减轻工作量。其次在这些区域的电脑中时常更换安装360 ARP、瑞星和彩影ARP等防火墙和电脑管家和金山卫士等杀毒软件，并及时更新病毒库。

（3） 隔离交换机端口和划分VLAN。首先在办公楼和教学楼的二层接入交换机和网关上使用端口隔离技术。避免ARP非法报文通过交换机，该区域在接入层全部使用具有DAI动态ARP检测和DHCP嗅探[5]功能的锐捷S2126G交换机，直接启用这两个功能，并在网关上使用ARP代理技术。这些用户访问Internet采用拨号方式，而访问校园网时无须拨号，这样就能的防御ARP攻击。其次根据上网用户数目把教学区、办公区、实验楼和家属区等不同的区域划分在不同的VLAN中。例如教学楼划分在91段；附中、幼儿园和校医院在92段；办公楼在93段；体育馆、圖书馆和实验楼在94段；东区单身楼和商住楼在95段；西区家属楼96段。

这就使庞大的校园网变成了许多便于管理的小型局域网，而ARP数据包一般不能跨网段传播，只能在本网段内活动，故此法能缩小ARP的活动范围。假如此区域感染了ARP病毒，只需断开网段的交换机端口逐个排查，方便了网络管理和故障的排查，也能保障大面积的校园网用户网络上网不受影响

（4）采用PPPOE拨号上网方式。因为PPPOE协议采用不依赖于ARP协议，能单独控制每个用户的点对点通信方式，所以从根本上让ARP攻击无机可乘。由于12栋学生公寓、11号新高层和科技大厦每栋楼上的上网用户数量过大，一个IP段的网络地址有限，无法满足这次庞大的用户数。但是如果划分在几个不同的IP段内，无疑增大了日常的网络管理难度。伴随着校园网用户数与日俱增，有限的IP地址供不应求，鉴于这种实际情况就让这些区域的用户采用PPPOE拨号上网的方式。这种措施不但节省了许多IP地址，缓解了学校IP地址短缺的压力，而且也很好的防范ARP攻击。采用PPPOE拨号上网方式无须改变在这些区域中原有校园网的网络拓扑结构，通过Dr.com计费软件就可快速实现。城市热点的Dr.com计费系统通过绑定用户的用户登录信息、IP和MAC地址等相关信息来验证用户身份认证，它能够支持PPPOE、Web、客户端等多种认证方式。在该区域采取PPPOE计费方式的具体实现过程：1）在校园网的核心交换机上保留网关对应的VLAN标识后把VLAN的网关地址去掉。2）在防火墙上配置新接口的路由和访问策略。3）把计费软件安装在Dr.com服务器上，将内网地址设置成其端口地址，设置好拨号上网的地址池。4）根据VLAN为校园网用户分配动态的IP地址，PPPOE服务器先设置好计费策略，然后再导入用户信息。

4结束

ARP攻击是由ARP协议自身的安全漏洞引起的，单一的防御办法根本无法彻底清除，仅能从某种程度上减弱其破坏性。本文结合校园网的具体现状和多年网管实战经验，通过结合使用增强用户安全意识、静态绑定、安装ARP专杀工具、交换机端口隔离、VIAN划分和PPPOE计费这几种办法，扬长避短，能够很好地预防ARP攻击。

参考文獻：

[1] 王晓妮.高校局域网中ARP攻击防御策略的分析与实施[J].航空计算技术，2017，47（3）：125-129.

[2] 郭征，吴向前，刘胜全.针对校园网ARP攻击的主动防护方案[J].计算机工程，2011，37（5）：181-183.

[3] 李延香，袁辉，刘淑英. 校园局域网ARP欺骗攻击的防御方法和实施[J].自动化与仪器仪表，2015（9）：215-217

[4] 纪春坡. 使用PPPOE拨号方式解决校园网ARP病毒[J].运城学院学报，2010，28（5）：78-79.

[5] [美]Eric Vyncke Christopher paggen，CCIE#2659.局域网交换机安全[M].孙余强，孙剑，译.北京：人民邮电出版社，2010：100-105.