摘要:区域网络虽然发展已有相当历史,但是局域网的ARP欺骗/攻击问题却也普遍存在于各级单位之中,就现有的ARP解决方案里,硬件解决方案需要考虑投入的成本因素,而软件式的ARP防护方案却又存在功能限制,这都使得ARP欺骗/攻击手法,成为现今各单位网络在信息安全上的一大漏洞。因此我们开发一个以Windows操作系统为主的ARP防护软件,改进现行ARP软件的缺点,并可普遍应用于现今各Windows版本的个人计算机上,有效防护各单位局域网内ARP欺骗/攻击等安全事件,进而提升局域网的ARP安全防护效果。
关键词:ARP欺骗;安全威胁;ARP防护软件
中图分类号:TP393.09 文献标识码:A 文章编号:1007-9599 (2012) 21-0000-02
1 前言
以太网络发展至今已成为区域网络传输媒体的主流,然而伴随以太网络的ARP协议却存在难以避免的安全弱点ARP欺骗问题,进而产生各种ARP病毒、中间人攻击、网络执法官等软件攻击事件,至今仍是网络的一大安全威胁。
ARP协议自1982年发布以来,过去并没有发生大规模的相关攻击或受害事件,然而随着黑客窃取网络资料与木马程序的普及,ARP协议的弱点已开始大量的受到黑客使用。一般而言,黑客通常通过入侵相同网段的计算机,通过ARP漏洞以中间人攻击手法窃取目标服务器的机密信息,这类的窃取手法对于各级机关单位极难防范和检测。
虽然ARP攻击和防护的方法已演进多年,但极少有可供执行的方案对策,可以预期在未来会有更多ARP攻击的手法,这是我们绝对不能忽视的网络层弱点。
2 问题分析
为了解决ARP协议造成的问题,交换机厂商提供部分解决方案,例如思科公司(Cisco)发展的Dynamic ARP inspection (DAI)[1]技术、与Identity-Based Networking Services (IBNS)以802.1x 验证基础的网络服务[2]等,然而硬件解决方案需要企业内所有的交换机重新采购升级,对于大多数的企业或机关来说,一旦排除企业可以支付庞大的硬件采购成本的可能性之后,往往只能寻求防护软件的解决方案。
目前较著名的ARP防护软件有Anti-ARP防火墙,Wow! ARP Protector 等等,主要以绑定网关IP-MAC对映为主,然而此类ARP防护软件的共通问题是仅着眼于解决ARP 攻击时可以让自己的计算机使用网络不被中断而已。而且虽然命名为ARP防护软件,但是却还能身中木马程序而疯狂发送ARP欺骗封包。这样就像是装了防毒软件的计算机却仍然可以携带和发送病毒去攻击别人一样。
目前在学术文献上提供对抗ARP漏洞的文章。其中包括Puangpronpitag & Masusai,于2009年提出DAPS(Dynamic ARP spoof Protection System)方法[3],设计一个中际网关以监控局域网ARP封包方式去避免ARP Spoofing 的机制。Pansa & Chomsiri于2008年则提出根本防御解决之道,期望由网络卡制造厂生产出对网卡MAC地址进行加解密验证的机制。
3 软件架构
我们的ARP防护软件的架构在应用程序与网络卡硬件之间,以中介软件(middleware)方式建构一道防火墙(Firewall)。通过底层驱动程序设计来告诉使用者自己计算机的哪个程序正发出有问题的ARP封包并且同时丢弃所发出的ARP欺骗封包。从这样的角度思考,如果企业网管人员在组织全面部署防护软件,组织内部的ARP木马/攻击程序就会全面失效,区域网络上就不会存在任何有ARP欺骗/攻击的封包。我们的软件架构如下图所示: