《DHCPsnooping 攻击防范.doc》由会员分享,可在线阅读,更多相关《DHCPsnooping 攻击防范.doc(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、如有侵权,请联系网站删除,仅供学习与交流DHCP snooping 攻击防范【精品文档】第 5 页DHCP和网络安全应用方案1. 概述本文所提到的攻击和欺骗行为主要针对链路层和网络层。在网络实际环境中,其来源可概括为两个途径:人为实施、病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探,获取管理账户和相关密码,在网络上中安插木马,从而进行进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安静,但对于信息安全要求高的企业危害是极大的。而来自木马或者病毒及蠕虫的攻击和往往会偏离攻击和欺骗本身的目的,现象有时非常直接,会带来网络流量加大、设备CPU利用率过高、二层生成树环路直至网络瘫痪
2、。目前这类攻击和欺骗工具已经非常成熟和易用,而目前这方面的防范还存在很多不足,有很多工作要做。瑞斯康达针对这类攻击已有较为有效的解决方案,主要基于下面的几个关键的技术: DHCP Snooping Dynamic ARP Inspection IP Source Guard目前这类攻击和欺骗中有如下几种类型,下面分别介绍。 1.1 网关仿冒ARP病毒通过发送错误的网关MAC对应关系给其他受害者,导致其他终端用户不能正常访问网关。这种攻击形式在校园网中非常常见。见下图:图1-1 网关仿冒攻击示意图如上图所示,攻击者发送伪造的网关ARP报文,欺骗同网段内的其它主机。从而网络中主机访问网关的流量,被
3、重定向到一个错误的MAC地址,导致该用户无法正常访问外网。通过DHCP Snooping 和Dynamic ARP Inspection的结合使用,接入交换机丢弃攻击者B发出的仿冒网关的ARP欺骗报文,从而使正常用户不会收到欺骗报文,即可以防御这种ARP欺骗。1.2 欺骗网关攻击者发送错误的终端用户的IPMAC的对应关系给网关,导致网关无法和合法终端用户正常通信。这种攻击在校园网中也有发生,但概率和“网关仿冒”攻击类型相比,相对较少。见下图:图1-2 欺骗网关攻击示意图如上图,攻击者伪造虚假的ARP报文,欺骗网关相同网段内的某一合法用户的MAC地址已经更新。网关发给该用户的所有数据全部重定向到
4、一个错误的MAC地址,导致该用户无法正常访问外网。通过DHCP Snooping 和Dynamic ARP Inspection的结合使用,接入交换机丢弃攻击者B发出的仿冒用户A的ARP欺骗报文,从而使网关不会收到欺骗报文,即可以防御这种ARP欺骗。1.3 欺骗终端用户这种攻击类型,攻击者发送错误的终端用户/服务器的IPMAC的对应关系给受害的终端用户,导致同网段内两个终端用户之间无法正常通信。这种攻击在校园网中也有发生,但概率和“网关仿冒”攻击类型相比,相对较少。见下图:图1-3 欺骗终端攻击示意图如上图,攻击者伪造虚假的ARP报文,欺骗相同网段内的其他主机该网段内某一合法用户的MAC地址已
5、经更新。导致该网段内其他主机发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。通过DHCP Snooping 和Dynamic ARP Inspection的结合使用,接入交换机丢弃攻击者B发出的仿冒用户A的ARP欺骗报文,从而使用户C不会收到欺骗报文,即可以防御这种ARP欺骗。1.4 ARP泛洪攻击这种攻击类型,攻击者伪造大量不同ARP报文在同网段内进行广播,导致网关ARP表项被占满,合法用户的ARP表项无法正常学习,导致合法用户无法正常访问外网。主要是一种对局域网资源消耗的攻击手段。这种攻击在校园网中也有发生,但概率和上述三类欺骗性ARP攻击类型相比,相对较
6、少。如下图:图1-4 ARP泛洪攻击示意图通过DHCP Snooping 和Dynamic ARP Inspection的结合使用,接入交换机丢弃攻击者B发出的仿冒用户A的ARP欺骗报文,从而使用户C不会收到欺骗报文,即可以防御这种ARP欺骗。1.5 IP/MAC欺骗除了ARP欺骗外,黑客经常使用的另一手法是IP地址欺骗。常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗,其目的一般为伪造身份或者获取针对IP/MAC的特权。此方法也被广泛用作DOS攻击,目前较多的攻击是:Ping Of Death、Sync Flood、ICMP Unreachable Storm。如黑客冒用A地址对B地址
7、发出大量的ping包,所有ping应答都会返回到B地址,通过这种方式来实施拒绝服务(DoS)攻击,这样可以掩盖攻击系统的真实身份。富有侵略性的TCP SYN洪泛攻击来源于一个欺骗性的IP地址,它是利用TCP三次握手会话对进行颠覆的又一种攻击方式。一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。另外病毒和木马的攻击也会使用欺骗的源IP地址。互联网上的蠕虫病毒也往往利用欺骗技术来掩盖它们真实的源头主机。通过DHCP Snooping 和IP Source Guard的结合使用,接入交换机丢弃不符合绑定规则的IP报文(DHCP报文除外),即可以防御IP/M
8、AC欺骗。2. 解决方案介绍2.1 总体思路由于以太网本身的开放性、共享性和弱管理性,采用以太网接入宽带网络时,为了安全和运营需要,交换机应用于接入环境,在应用DHCP Snooping建立动态绑定库的同时,也需要建立静态的绑定库(静态端口绑定)。在这两个绑定库的基础上,进行网络安全的部署,即IP Source Guard及ARP Inspection,以实现对IP和ARP报文的过滤。图2-1 DHCP与网络安全解决方案示意图2.2 相关技术2.2.1 DHCP Snooping当用户为动态IP地址分配环境时。接入交换机可以通过监控用户的IP地址申请过程,从而自动学习到合法用户的IP-MAC对
9、应关系。并将该动态表项通知给IP Source Guard及ARP Inspection模块,以达到对IP报文和ARP报文进行检测的目的。那么这些动态表项是如何形成的呢?当开启DHCP Snooping功能后,接入交换机采取监听DHCP服务器回应的DHCP-ACK报文的方法,来记录用户获取的IP地址等信息。接入交换机的DHCP Snooping表项主要记录的信息包括:分配给客户端的IP地址、客户端的MAC地址、VLAN信息、端口信息以及租约剩余时间。另外,DHCP Snooping还通过监听DHCP客户端的DHCP-RELEASE报文来实现对绑定表项的删除。2.2.2 Dynamic ARP
10、Inspection交换机上可以开启静态绑定ARP检测和动态绑定ARP检测两个功能,用以建立一个ARP检测绑定表。开启静态绑定ARP检测功能后,用户配置静态的ARP检测绑定表项生效。开启动态绑定ARP检测功能后,将DHCP Snooping的绑定表内容学习过来写入ARP检测绑定表,并保持与DHCP Snooping绑定表的同步更新。在实际组网中,交换机的上行口会接收其他设备的请求和应答的ARP报文,这些ARP报文的源IP地址和源MAC地址并没有在DHCP Snooping绑定表项或者静态绑定表中。为了解决上行端口接收的ARP请求和应答报文能够通过ARP检测问题,交换机支持通过配置ARP信任端口
11、,灵活控制ARP报文检测功能。对于来自信任端口的所有ARP报文不进行检测,对其它端口的ARP报文通过查看ARP检测绑定表进行检测。在不信任端口收到用户发送的ARP报文时,检查报文中的源IP地址、源MAC地址和VLAN的绑定关系,看是否和ARP检测绑定表中的绑定规则匹配,以此来判断该报文是否为合法的ARP报文。如果不匹配,则视为非法ARP报文。交换机通过过滤掉所有非法ARP报文的方式来实现防止ARP欺骗攻击。2.2.3 IP Source Guard交换机上可以开启静态绑定IP源检测功能和动态绑定IP源检测功能,用以建立一个IP源检测绑定表。开启静态绑定IP源检测功能后,用户配置静态的IP源检测
12、绑定表项生效。开启动态绑定IP源检测功能后,将DHCP Snooping的绑定表内容学习过来写入IP源检测绑定表,并保持与DHCP Snooping绑定表的同步更新。交换机上可以配置IP源信任端口,用以使上联端口通过IP源检测。配置为IP源信任的端口不对接收到的IP报文进行检测,配置为IP源不信任的端口通过IP源检测绑定表进行。在不信任端口上收到用户发送的IP报文(除了DHCP报文)时,可以检查报文中的源IP地址、源MAC地址和VLAN的绑定关系,看是否和源IP检测绑定表中绑定规则匹配,以此来判断该报文是否为合法的IP报文。如果不匹配,则视为非法的P报文。交换机通过过滤掉所有非法IP报文的方式
13、来实现IP源检测。3. 典型组网部署组网要求:1. 接入交换机下联用户,上联DHCP服务器。用户通过DHCP申请IP地址。2. 接入交换机对下联端口上收到的ARP和IP报文进行过滤,只允许符合DHCP申请成功的IP-MAC绑定关系ARP和IP报文通过。 下图是DHCP和网络安全典型应用示意图:图3-1 DHCP和网络安全典型应用组网图3.1 配置思路1. 在接入交换机上开启DHCP Snooping功能,并配置上联端口为DHCP Snooping信任端口。2. 在接入交换机上将上联端口配置为ARP信任和IP源信任端口。3. 在接入交换机上开启动态绑定ARP检测和动态绑定IP源检测功能。3.2
14、配置步骤1. 在接入交换机上启动DHCP SnoopingRaisecom(config)#ip dhcp snooping2. 设置接入交换机上联端口为DHCP Snooping信任端口Raisecom(config-port)#ip dhcp snooping trust3. 设置接入交换机上联端口为ARP信任和源IP信任端口Raisecom(config-port)#ip arp-inspection trustRaisecom(config-port)#ip verify source trust4. 开启接入交换上动态绑定ARP检测和动态绑定IP检测Raisecom(config)#ip arp-inspection dhcp-snoopingRaisecom(config)#ip verify source dhcp-snooping