APP下载

网络欺骗攻击的预防策略

2017-03-08

网络安全和信息化 2017年5期
关键词:IP地址交换机端口

在网络管理中,如何防御各种网络攻击,保护网络的安全运行,是网管员必须重视的问题。这就要求网管员熟悉各种网络攻击的特点,才能有针对性的采取保护措施。例如利用交换机等网络设备自带的安全功能,就可以轻松化解各种潜在的安全威胁。众所周知,在思科交换机上不仅可以提供基于端口的安全控制,还提供了DHCP侦听(DHCP Snooping),动 态 ARP检 测(Dynamic ARP Inspection)和 IP源 防 护(IP Source Guard)等基于主机和端口的安全控制手段。

在实际的网络管理中,会使用DHCP服务器为客户机分配IP地址和核心的网络配置参数。对于DHCP的欺骗攻击来说,攻击者会将自身的主机伪装成DHCP服务器或者客户端,分别以不同的方式来攻击DHCP服务器。对于黑客来说,当其连接到交换网络后,将自己伪装成DHCP服务器,当同一个VLAN中的其他主机向外产生广播数据帧,来请求DHCP的IP地址时,黑客的主机就会抢先向其分配IP,当然,这肯定是虚假的IP。例如,本地VLAN使用三层交换机的网关为192.168.1.254,而黑客会为其提供伪造的网关IP(例如是黑客主机的地址192.168.1.253),造成该客户端到达外网的流量会先经过黑客的主机,再经过转发后到达外部网络。

这样,攻击者将毫不费力的侦听到该客户机的所有对外的访问信息。攻击者也可能将自身伪装成DHCP客户端,不停的对外发送DHSP请求包,当然,其会不断的伪装不同的MAC地址。这就会给DHCP服务器造成一个错觉,认为网络中很多主机向其申请IP,造成其不断的向下分发IP,直到DHCP地址池耗尽为止。

针对DHCP欺骗攻击,思科交换机提供了DHCP侦听功能。该功能可以跟踪和记录所有的DHCP请求(Discover)和回应(Offer)消息,来检测DHCP信息在传递过程中是否存在异常情况(例如检测当一台主机产生大量的Discover消息等)。前者由客户端产生,后者由DHCP服务器产生。DHCP Snooping会记录Offer消息中的IP地址分配信息,籍此交换机会知晓在本地交换网络中哪些主机(即MAC地址)分配了什么样的IP地址。

DHCP Snooping会 对Request消息进行流量的限制,即限制在一个接口上每分钟产生的Request消息的流量。如果该流量到达预设的阀值,交换机就会认为有用户伪装成DHCP客户端,不停的发送Request消息对DHCP服务器进行拒绝服务攻击,交换机就会对该端口进行管控。针对DHCP的Offer消息,交换机可以将其限定在某些接口上,例如将只将某个接口连接到DHCP服务器,只允许在该接口上出现DHCP的Offer消息,如果其他的接口上出现了Offer消息,交换机就会认为其连接的主机是伪装的DHCP服务器。DHCP Snooping将 交换网络中的端口分为信任(Trust)和非信任(Untrust)端口。

对于前者来说,允许连接到DHCP服务器,可以接收DHCP服务器发出的消息(例如Offer和Replay消息等)。对于后者来说,是不允许接收DHCP服务器发送来的数据,即其不允许连接DHCP服务器。如果该类型的接口上出现了DHCP的Offer包,就会被交换机丢弃。这样,当黑客主机连接到了Untrust接口,其产生的所有offer包是无法进行交换网络中的。一般来说,会将接入层交换机的所有连接到主机的接口都配置成Untrust接口,同时将所有的上行链路都配置成Trust接口,因为上行链路通常是安全的骨干网络,DHCP服务器往往出现在上行链路中。

进入交换机额全局配置模式,执行“ip dhcp snooping”命令,开启DHCP侦听功能。执行“ip dhcp snooping information option”命令,将一些扩展信息也提交到监控内容中。执行“ip dhcp snooping valn 10,20”命令,在指定的VALN上看起DHCP Snooping功能。默认情况下,所有的接口都是Untrust状态。可以针对特定的端口,将其配置为Untrust状态。

例如执行“interface fastethernet 1/0/9” 命令,进入指定的端口。执行“description Uplink”,“switchport mode trunk”,“switchport trunk allowed vlan 10,20”,“ip dhcp snooping trust” 命 令,为该端口设置描述信息,将其设置为Trust状态,在该接口上可以连接合法的DHCP服务器。对于Untrust接口,可以设置其阀值。例如执行“int ran fa 1/0/10,fa1/0/20”命令,进入指定的端口。

之后执行“description Access Port”,“ip dhcp limit rate 10”的命令,为其设置好描述信息,并允许其在一分钟内最多能够出现10个DHCP数据包。这样就可以防止黑客连接到该接口来伪装成DHCP客户端,对DHCP服务器发起拒绝服务攻击了。

当黑客发送的DHCP请求包达到预设的阀值后,该端口就会自动关闭。执行“show ip dhcp snooping binding”命令,可以监听哪个MAC地址获得了哪个IP地址信息,以及对应的租期,监听类型,所属的VLAN,连接的端口等内容。

在网络环境中经常会遇到ARP毒化攻击,其本质就是ARP欺骗攻击。例如,当A主机想连接某个路由器,为了获取其MAC地址,该主机会首先向外部发送ARP请求,该请求实际上是广播数据帧,主要用来寻找路由器的MAC地址。因为是广播数据帧,所以可能会到达黑客主机,当其收到该ARP请求后,就会自身伪装成目标路由器的IP地址,并将自身的IP地址通告给上述主机。这样,就会让A主机误以为黑客主机就是目标路由器。这样,A主机发送的数据机会传送给黑客主机。而黑客主机会通过设置一些路由信息,将A主机发送的数据转发给目标路由器。

可以看出,ARP毒化攻击就是黑客主机用自己的MAC地址,来回应其他主机对于其他节点的ARP请求。在思科交换机上,提供了DAI(动态ARP检测)功能来抗击ARP毒化攻击,这样可以有效防止恶意ARP响应出现在网络环境中,并且可以检测数据库来对比找出哪些是恶意的ARP,以及哪些是正确的ARP请求。

例如,当网关主机需要寻找A主机时,会产生一个ARP请求,来获取A主机的MAC地址。当黑客主机获得该请求后,会使用其自身的MAC地址进行回应。当该ARP回应包到达交换机后,交换机上的DAI功能对其进行侦听和监控,并提取其中的信息,并将其和本地的数据库进行比对,如果信息符合规范,说明其是一个正确的ARP回应包,否则说明其非法的ARP信息。

交换机是如何知晓每台主机的IP和MAC地址的对应关系呢?这其实和DHCP Snooping功能相关。DHCP Snooping会侦听每一个DHCP Offer消息,来获取每一个MAC地址和IP的正确对应关系。这样,就可以建立所需的数据库。

由此可以看出,当黑客主机冒充A主机的MAC地址的ARP回应包到达交换机后,就会被交换机识破并被丢弃。要想在交换机上开启DAI功能,首先需要正确的开启和配置DHCP Snooping功能。和DHCP Snooping一样,DAI也会将端口分为Trust和Untrust两种。对于前者来说,其连接的主机不可能出现ARP欺骗的现象,即无需检测直接转发ARP数据包。对于后者来说,必须对所有的ARP消息进行检测,判断其合法性。不仅需要对ARP回应包中的IP和MAC的对应关系进行检测,还可以限制允许发送的ARP数据包的数量。

这样,可以防止黑客使用ARP扫描来探测网络中的主机信息。在交换机全局配置模式下按照上述方法开启DHCP Snooping功能,并针对对应的VLAN开启DHCP侦听,并配置对应端口的阀值。执 行“ip arp inspection vlan 10,20”命令,来针对目标VLAN开启DAI保护功能。当然,还需要按照上述方法,开启针对特定端口将其配置为Trust状态。执行“ip arp inspection trust”命令,针对特定的Trust端口开启DAI信任。

注意,在默认情况下,针对ARP检测来说,如果没有具体配置的话,所有的端口都将会自动处于Untrust状态,即其发送的ARP信息都会被跟踪和监视。对于连接企业主干网络的上行链路或者连接合法服务器的接口来说,可以将其设置为Trust状态。

猜你喜欢

IP地址交换机端口
一种端口故障的解决方案
硬件解耦三端口变换器的软开关分析与仿真
铁路远动系统几种组网方式IP地址的申请和设置
基于地铁交换机电源设计思考
交换机生成树安全
修复损坏的交换机NOS
IP地址切换器(IPCFG)
基于SNMP的IP地址管理系统开发与应用
缔造工业级的强悍——评测三旺通信IPS7110-2GC-8PoE工业交换机
公安网络中IP地址智能管理的研究与思考