论文部分内容阅读
摘要:对校园网内存在ARP欺骗现象,利用DHCP Option 82应用与交换机防范技术相结合,实现用户IP与MAC地址自动绑定,有效控制了校园网内部ARP欺骗。
关键词:校园网;ARP欺骗;DHCP Option 82
中图分类号:TP309文献标识码:B文章编号:1009-3044(2008)21-30422-03
The Campus Network Protection ARP Cheats an Application
SHI Xiang-bing
(Xinghai Conservatory of Music,Guangzhou 510006,China)
Abstract: Cheat the phenomenon to the campus net memory in the ARP, make use of the DHCP Option 82 application and exchange the machine to guard against the technique to combine together, carry out the customer IP and address of MACs to bind to settle automatically, controled the internal ARP of the campus network to cheat effectively.
Key words: The campus network;ARP cheats;DHCP Option 82
1 引言
经过多年的建设,大部分院校大体完成了校园网基础环境建设,将建设重点逐步转移到信息资源、应用服务上,网络安全事件的频繁发生,校园网的安全问题就凸显重要,特别是出现网络经常频繁掉线现象,个别用户计算机感染了某种ARP病毒影响了部分用户、甚至全部用户的网络正常使用,伴有ARP病毒伪装为应用服务器盗取用户信
息的情况。作者认为校园网引入Option 82技术实现ARP欺骗防护是一项可行的选择。
2 ARP 欺骗原理分析
IP数据包通过以太网发送,以太网设备不能识别32位IP地址,它们以48位MAC地址传输以太网数据。因此,必须把IP目的地址转换成以太网目的地址。主机之间要求通信,得要知道目标主机的MAC地址,只有通过地址解析协议获得,通过ARP协议用于将网络中的IP地址解析为硬件地址(MAC地址),才能实现主机之间通信的正常。ARP协议是“Address Resolution Protocol”的英文缩写,实现把IP地址解析成LAN硬件使用的媒体访问控制地址。
ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia—物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当校园网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于校园网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。
ARP病毒造成网络瘫痪的原因可以分为对路由器ARP表的欺骗和对内网PC的网关欺骗两种。
第一种必须先截获网关数据。它使路由器就收到一系列错误的内网MAC地址,并按照一定频率不断更新学习进行,使真实的地址信息无法通过更新保存在路由器中,造成的PC主机无法正常收到回应信息。第二种是通过交换机的MAC地址学习机制,当校园网内某台主机已经感染ARP欺骗的木马程序时,就会欺骗网内所有主机和路由器,让所有上网的流量都必须经过病毒主机。这种病毒很容易造成大量的数据包导致网络通讯拥塞,使上网速度越来越来慢,整个网络的大面积瘫痪,ARP木马病毒主要的真正目的是伪造断线的假象,进行盗号。
3 ARP 欺骗检查方法
检查感染“ ARP 欺骗”木马染毒的计算机步骤如下:
首先 在“开始” — “程序”—“附件”菜单下调出“命令提示符”,输入并执行以下命令:ipconfig
记录网关 IP 地址,即“ Default Gateway ”对应的值,例如“ 192.168.0.1 ”。
其次 输入并执行以下命令:arp -a
在“ Internet Address ”下找到上步记录的网关 IP 地址,记录其对应的物理地址,即“Physical Address ”值,例如“00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。也可以扫描本子网内的全部 IP 地址,然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同,那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。
4 DHCP Option 82说明和关键点
所谓Option 82是DHCP报文中的一个选项,支持option 82的接入交换机在做DHCP Relay的时候会在DHCP请求报文中的Option 82字段写入信息,包括交换机的MAC地址(这是对交换机的定位),以及DHCP请求是从交换机的那个端口进入网络的。利用这一功能,DHCP不仅仅可以提供IP和MAC的关联,还可以成功的将IP地址和计算机的物理接入位置有机的结合在一起。
DHCP报文最后有一个312bytes的Option段,在RFC1533中定义了各选项的格式。在RFC 3046 中定义了 DHCP Relay Agent Information Option,也就是DHCP Option 82,该选项有两个子选项:Circuit ID和Remote ID,当DHCP Relay Agent将客户端的DHCP请求转发到DHCP服务器时,赋值给这两个选项,DHCP服务器据此能精确地得知PC客户端的信息,从而按事先定义好的策略分配IP地址。
5网络拓扑图(如图1)及实施
DHCP Relay Agent通常在接入交换机上工作,因此交换机必须支持RFC 3046。在图中交换机做DHCP中继时,设备管理VLAN与用户VLAN隔离的情况下,用户通过DHCP服务器自动获取地址,结合端口安全,ARP-check实现IP与MAC检查,端口可自动进行绑定,彻底防止ARP欺骗。
6 技术实现
以锐捷S21系列交换机在v1.68版本下为例,S21做DHCP中继,管理VLAN与用户VLAN分开的情况下,配合DHCP OPTION82功能,自动绑定用户IP与MAC、端口。
6.1 交换机S21详细配置:
sh running-config
System software version : 1.68 Build Apr 25 2007 Release
Building configuration...
Current configuration : 682 bytes
version 1.0
hostname Switch
vlan 1
vlan 7
vlan 100
port-security arp-check
port-security arp-check cpu// 启用arp-check,21会对送入CPU的arp进行检测,如果该ARP sender IP/MAC不是DHCP relay下发的IP/MAC地址,将会对其进行丢弃
service dhcp
service dhcp address-bind port
ip helper-address 218.192.144.60
ip dhcp relay information option82//如果用户端未开启802.1X,需要设置dhcp relay基于option82
interface fastEthernet 0/1
switchport access vlan 100
interface fastEthernet 0/5// 端口上必须开启端口安全,它是启用ARP-check的前提,如未开启,则ARP-check不生效
switchport access vlan 7
switchport port-security
interface fastEthernet 0/7
switchport access vlan 7
switchport port-security
interface fastEthernet 0/8
switchport access vlan 7
switchport port-security
interface fastEthernet 0/24
switchport mode trunk
interface vlan 1
no shutdown
ip address 192.168.0.2 255.255.255.0
ip default-gateway 192.168.0.1
end
6.2 DHCP服务端配置,采用linux操作系统
具体配置linux DHCP服务器不做描述,重点介绍服务器中的dhcpd.conf文件。
option domain-name "xhcom.edu.cn"; //定义DHCP域名
option domain-name-servers 218.192.144.8 ;//定义DNS服务器地址
authoritative;
default-lease-time 12800;//缺省租期
max-lease-time 86400;//最大租期限
ddns-update-style none;
log-facility local6;
class "vlan7"{ //定义VLAN7的16进制值,如vlan7的16进制为7.
match if substring (option agent.circuit-id,2,2) = 00:07;
//(option agent.circuit-id,2,2)中2,2为option82的偏移量值,所有VLAN均相同.
}//如有多个vlan需定义多个class
shared-network hfut{// 定义子网与地址池,hfut为名称可自定义
subnet 218.192.144.0 netmask 255.255.255.192{
option routers 218.192.144.1;
//此处为linux服务器网卡所在的网段,必须定义,否则DHCP服务无法启动
}
subnet 192.168.0.0 netmask 255.255.255.0 {
//此处为设备管理网段,只要设备与DHCP通信,均需要将设备管理子网定义.
}
subnet 218.192.148.0 netmask 255.255.255.0 { // 用户VLAN子网
pool{//定义用户地址池,并写相应的策略
range 218.192.148.2218.192.148.252;
option subnet-mask 255.255.255.0;
option routers 218.192.148.1;
allow members of "vlan7";
}//如果有多个VLAN,需要在后面增加pool
}
将DHCPd.conf配置完成后,
使用/sbin/service dhcp start 启动DHCP服务
6.3 测试效果
当VLAN7中部分用户获取到地址后:
在S21上使用show port-sec ad
Switch#sh port-security address
Vlan Mac Address IP Address Type Port Remaining Age(mins)
---- --------------- --------------- ---------- -------- -------------------
7 000e.a696.3320 218.192.148.253 DHCPLearn Fa0/5-
7 0015.f2dc.977a 218.192.148.254 DHCPLearn Fa0/7 -
通过使用ARP欺骗软件对用户与设备进行欺骗,均不会影响被攻击用户的正常上网。
7 结束语
目前许多学校校园网用户采用动态获取IP地址的方式上网,采用option82与交换机相结合的技术在一定程度上防范了ARP病毒的欺骗,减轻了网管员的工作量,但还存在着管理上的难度,特别是校园网随着用户的增加,桌面路由器的不断投入使用十分影响校园网内部合法IP的获取,时常出现非法代理和盗用IP的现象。在以下三方面可以作为探讨:1)通过本文案例的实现,并在交换机各端口上做网关地址的绑定和ACL列表,可以有效地防止非法代理和盗用IP现象的发生;2)实施option82并采用802.1X认证,在校园网内部署入侵检测系统(IDS),由IDS与接入交换机相互联动,一旦IDS发现到用户的安全事件就告之用户需进行处理,并通知接入交换机将该用户到隔离区或干脆断开,通过这种深层次的防护可以达到立体防范ARP欺骗的目的,特别是一些ARP病毒变种;3)在校园网内部署如“NetIRS入侵响应管理系统”等,整合全网的安全检测和控制设备,提供整体化的网络安全防范体系,通过网络设备安全联动,可有效防止ARP欺骗、防止DHCP欺骗及地址盗用等问题。ARP欺骗是校园网安全事件的一种,有更多的安全事件需要我们共同去探讨防范与处理。
参考文献:
[1] 陈晓晖.Option 82 在校园网的应用与实现[J].教育技术研究,2007,12(17).
[2] DHCP协议[EB/OL].http://www.cnpaf.net/class/dhcp/.
[3] 蔡昭权,黄陶明,吴莉娅.DHCP Option 82在校园网中的应用[J].工控与变频网,2005(1).
[4] ARP欺骗[EB/OL].http://baike.baidu.com/view/155386.htm.
[5] 技术支持[EB/OL].http://www.ruijie.com.cn/Support.aspx?id=3.
[6] 荣欣IT培训中心技术小组.信息安全[J].网管员世界,2008(2):125-126.
关键词:校园网;ARP欺骗;DHCP Option 82
中图分类号:TP309文献标识码:B文章编号:1009-3044(2008)21-30422-03
The Campus Network Protection ARP Cheats an Application
SHI Xiang-bing
(Xinghai Conservatory of Music,Guangzhou 510006,China)
Abstract: Cheat the phenomenon to the campus net memory in the ARP, make use of the DHCP Option 82 application and exchange the machine to guard against the technique to combine together, carry out the customer IP and address of MACs to bind to settle automatically, controled the internal ARP of the campus network to cheat effectively.
Key words: The campus network;ARP cheats;DHCP Option 82
1 引言
经过多年的建设,大部分院校大体完成了校园网基础环境建设,将建设重点逐步转移到信息资源、应用服务上,网络安全事件的频繁发生,校园网的安全问题就凸显重要,特别是出现网络经常频繁掉线现象,个别用户计算机感染了某种ARP病毒影响了部分用户、甚至全部用户的网络正常使用,伴有ARP病毒伪装为应用服务器盗取用户信
息的情况。作者认为校园网引入Option 82技术实现ARP欺骗防护是一项可行的选择。
2 ARP 欺骗原理分析
IP数据包通过以太网发送,以太网设备不能识别32位IP地址,它们以48位MAC地址传输以太网数据。因此,必须把IP目的地址转换成以太网目的地址。主机之间要求通信,得要知道目标主机的MAC地址,只有通过地址解析协议获得,通过ARP协议用于将网络中的IP地址解析为硬件地址(MAC地址),才能实现主机之间通信的正常。ARP协议是“Address Resolution Protocol”的英文缩写,实现把IP地址解析成LAN硬件使用的媒体访问控制地址。
ARP原理:某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia—物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。接着使用这个MAC地址发送数据(由网卡附加MAC地址)。因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。因此,当校园网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答是B冒充C伪造来的,即IP地址为C的IP,而MAC地址是伪造的,则当A接收到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来那个了。由于校园网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!这就是一个简单的ARP欺骗。
ARP病毒造成网络瘫痪的原因可以分为对路由器ARP表的欺骗和对内网PC的网关欺骗两种。
第一种必须先截获网关数据。它使路由器就收到一系列错误的内网MAC地址,并按照一定频率不断更新学习进行,使真实的地址信息无法通过更新保存在路由器中,造成的PC主机无法正常收到回应信息。第二种是通过交换机的MAC地址学习机制,当校园网内某台主机已经感染ARP欺骗的木马程序时,就会欺骗网内所有主机和路由器,让所有上网的流量都必须经过病毒主机。这种病毒很容易造成大量的数据包导致网络通讯拥塞,使上网速度越来越来慢,整个网络的大面积瘫痪,ARP木马病毒主要的真正目的是伪造断线的假象,进行盗号。
3 ARP 欺骗检查方法
检查感染“ ARP 欺骗”木马染毒的计算机步骤如下:
首先 在“开始” — “程序”—“附件”菜单下调出“命令提示符”,输入并执行以下命令:ipconfig
记录网关 IP 地址,即“ Default Gateway ”对应的值,例如“ 192.168.0.1 ”。
其次 输入并执行以下命令:arp -a
在“ Internet Address ”下找到上步记录的网关 IP 地址,记录其对应的物理地址,即“Physical Address ”值,例如“00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址,在网络受“ ARP 欺骗”木马影响而不正常时,它就是木马所在计算机的网卡物理地址。也可以扫描本子网内的全部 IP 地址,然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同,那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。
4 DHCP Option 82说明和关键点
所谓Option 82是DHCP报文中的一个选项,支持option 82的接入交换机在做DHCP Relay的时候会在DHCP请求报文中的Option 82字段写入信息,包括交换机的MAC地址(这是对交换机的定位),以及DHCP请求是从交换机的那个端口进入网络的。利用这一功能,DHCP不仅仅可以提供IP和MAC的关联,还可以成功的将IP地址和计算机的物理接入位置有机的结合在一起。
DHCP报文最后有一个312bytes的Option段,在RFC1533中定义了各选项的格式。在RFC 3046 中定义了 DHCP Relay Agent Information Option,也就是DHCP Option 82,该选项有两个子选项:Circuit ID和Remote ID,当DHCP Relay Agent将客户端的DHCP请求转发到DHCP服务器时,赋值给这两个选项,DHCP服务器据此能精确地得知PC客户端的信息,从而按事先定义好的策略分配IP地址。
5网络拓扑图(如图1)及实施
DHCP Relay Agent通常在接入交换机上工作,因此交换机必须支持RFC 3046。在图中交换机做DHCP中继时,设备管理VLAN与用户VLAN隔离的情况下,用户通过DHCP服务器自动获取地址,结合端口安全,ARP-check实现IP与MAC检查,端口可自动进行绑定,彻底防止ARP欺骗。
6 技术实现
以锐捷S21系列交换机在v1.68版本下为例,S21做DHCP中继,管理VLAN与用户VLAN分开的情况下,配合DHCP OPTION82功能,自动绑定用户IP与MAC、端口。
6.1 交换机S21详细配置:
sh running-config
System software version : 1.68 Build Apr 25 2007 Release
Building configuration...
Current configuration : 682 bytes
version 1.0
hostname Switch
vlan 1
vlan 7
vlan 100
port-security arp-check
port-security arp-check cpu// 启用arp-check,21会对送入CPU的arp进行检测,如果该ARP sender IP/MAC不是DHCP relay下发的IP/MAC地址,将会对其进行丢弃
service dhcp
service dhcp address-bind port
ip helper-address 218.192.144.60
ip dhcp relay information option82//如果用户端未开启802.1X,需要设置dhcp relay基于option82
interface fastEthernet 0/1
switchport access vlan 100
interface fastEthernet 0/5// 端口上必须开启端口安全,它是启用ARP-check的前提,如未开启,则ARP-check不生效
switchport access vlan 7
switchport port-security
interface fastEthernet 0/7
switchport access vlan 7
switchport port-security
interface fastEthernet 0/8
switchport access vlan 7
switchport port-security
interface fastEthernet 0/24
switchport mode trunk
interface vlan 1
no shutdown
ip address 192.168.0.2 255.255.255.0
ip default-gateway 192.168.0.1
end
6.2 DHCP服务端配置,采用linux操作系统
具体配置linux DHCP服务器不做描述,重点介绍服务器中的dhcpd.conf文件。
option domain-name "xhcom.edu.cn"; //定义DHCP域名
option domain-name-servers 218.192.144.8 ;//定义DNS服务器地址
authoritative;
default-lease-time 12800;//缺省租期
max-lease-time 86400;//最大租期限
ddns-update-style none;
log-facility local6;
class "vlan7"{ //定义VLAN7的16进制值,如vlan7的16进制为7.
match if substring (option agent.circuit-id,2,2) = 00:07;
//(option agent.circuit-id,2,2)中2,2为option82的偏移量值,所有VLAN均相同.
}//如有多个vlan需定义多个class
shared-network hfut{// 定义子网与地址池,hfut为名称可自定义
subnet 218.192.144.0 netmask 255.255.255.192{
option routers 218.192.144.1;
//此处为linux服务器网卡所在的网段,必须定义,否则DHCP服务无法启动
}
subnet 192.168.0.0 netmask 255.255.255.0 {
//此处为设备管理网段,只要设备与DHCP通信,均需要将设备管理子网定义.
}
subnet 218.192.148.0 netmask 255.255.255.0 { // 用户VLAN子网
pool{//定义用户地址池,并写相应的策略
range 218.192.148.2218.192.148.252;
option subnet-mask 255.255.255.0;
option routers 218.192.148.1;
allow members of "vlan7";
}//如果有多个VLAN,需要在后面增加pool
}
将DHCPd.conf配置完成后,
使用/sbin/service dhcp start 启动DHCP服务
6.3 测试效果
当VLAN7中部分用户获取到地址后:
在S21上使用show port-sec ad
Switch#sh port-security address
Vlan Mac Address IP Address Type Port Remaining Age(mins)
---- --------------- --------------- ---------- -------- -------------------
7 000e.a696.3320 218.192.148.253 DHCPLearn Fa0/5-
7 0015.f2dc.977a 218.192.148.254 DHCPLearn Fa0/7 -
通过使用ARP欺骗软件对用户与设备进行欺骗,均不会影响被攻击用户的正常上网。
7 结束语
目前许多学校校园网用户采用动态获取IP地址的方式上网,采用option82与交换机相结合的技术在一定程度上防范了ARP病毒的欺骗,减轻了网管员的工作量,但还存在着管理上的难度,特别是校园网随着用户的增加,桌面路由器的不断投入使用十分影响校园网内部合法IP的获取,时常出现非法代理和盗用IP的现象。在以下三方面可以作为探讨:1)通过本文案例的实现,并在交换机各端口上做网关地址的绑定和ACL列表,可以有效地防止非法代理和盗用IP现象的发生;2)实施option82并采用802.1X认证,在校园网内部署入侵检测系统(IDS),由IDS与接入交换机相互联动,一旦IDS发现到用户的安全事件就告之用户需进行处理,并通知接入交换机将该用户到隔离区或干脆断开,通过这种深层次的防护可以达到立体防范ARP欺骗的目的,特别是一些ARP病毒变种;3)在校园网内部署如“NetIRS入侵响应管理系统”等,整合全网的安全检测和控制设备,提供整体化的网络安全防范体系,通过网络设备安全联动,可有效防止ARP欺骗、防止DHCP欺骗及地址盗用等问题。ARP欺骗是校园网安全事件的一种,有更多的安全事件需要我们共同去探讨防范与处理。
参考文献:
[1] 陈晓晖.Option 82 在校园网的应用与实现[J].教育技术研究,2007,12(17).
[2] DHCP协议[EB/OL].http://www.cnpaf.net/class/dhcp/.
[3] 蔡昭权,黄陶明,吴莉娅.DHCP Option 82在校园网中的应用[J].工控与变频网,2005(1).
[4] ARP欺骗[EB/OL].http://baike.baidu.com/view/155386.htm.
[5] 技术支持[EB/OL].http://www.ruijie.com.cn/Support.aspx?id=3.
[6] 荣欣IT培训中心技术小组.信息安全[J].网管员世界,2008(2):125-126.