一级片免费播放,最近2023年手机中文字幕

您當(dāng)前所在位置：首頁(yè) → 網(wǎng)絡(luò)安全 → 安全防護(hù) → 有效的阻擋ARP“中間人“攻擊

有效的阻擋ARP“中間人“攻擊 時(shí)間：2015-06-28 00:00:00 來(lái)源：IT貓撲網(wǎng) 作者：網(wǎng)管聯(lián)盟 我要評(píng)論(0)

??? 電信級(jí)IP技術(shù)的發(fā)展成熟使得話音、數(shù)據(jù)、視頻和移動(dòng)等應(yīng)用的融合成為必然，統(tǒng)一通訊已成為發(fā)展的趨勢(shì)。以IP技術(shù)為核心進(jìn)行網(wǎng)絡(luò)改造并承載多種新型業(yè)務(wù)以提升競(jìng)爭(zhēng)力，是固網(wǎng)運(yùn)營(yíng)商的發(fā)展方向。而以太網(wǎng)技術(shù)由于標(biāo)準(zhǔn)化程度高、應(yīng)用廣泛、帶寬提供能力強(qiáng)、擴(kuò)展性良好、技術(shù)成熟，設(shè)備性?xún)r(jià)比高，對(duì)IP的良好支持，成為城域網(wǎng)和接入網(wǎng)的發(fā)展趨勢(shì)。但是，由于以太網(wǎng)技術(shù)的開(kāi)放性和其應(yīng)用廣泛，也帶來(lái)了一些安全上的問(wèn)題。特別是當(dāng)網(wǎng)絡(luò)由原有的單業(yè)務(wù)承載轉(zhuǎn)為多業(yè)務(wù)承載時(shí)，安全問(wèn)題帶來(lái)的影響愈發(fā)明顯，已經(jīng)逐步影響到業(yè)務(wù)的開(kāi)展和部署。

??? 目前接入網(wǎng)常見(jiàn)的攻擊包括ARP"中間人"攻擊、IP/MAC欺騙攻擊、DHCP/ARP報(bào)文泛洪攻擊等。

??? 網(wǎng)絡(luò)攻擊

??? ARP"中間人"攻擊

??? 按照ARP協(xié)議的設(shè)計(jì)，一個(gè)主機(jī)即使收到的ARP應(yīng)答并非自身請(qǐng)求得到的，也會(huì)將其IP地址和MAC地址的對(duì)應(yīng)關(guān)系添加到自身的ARP映射表中。這樣可以減少網(wǎng)絡(luò)上過(guò)多的ARP數(shù)據(jù)通信，但也為"ARP欺騙"創(chuàng)造了條件。

??? 如下圖示，Host A和Host C通過(guò)Switch進(jìn)行通信。此時(shí)，如果有黑客(Host B)想探聽(tīng)Host A和Host C之間的通信，它可以分別給這兩臺(tái)主機(jī)發(fā)送偽造的ARP應(yīng)答報(bào)文，使Host A和Host C用MAC_B更新自身ARP映射表中與對(duì)方IP地址相應(yīng)的表項(xiàng)。此后，Host A 和Host C之間看似"直接"的通信，實(shí)際上都是通過(guò)黑客所在的主機(jī)間接進(jìn)行的，即Host B擔(dān)當(dāng)了"中間人"的角色，可以對(duì)信息進(jìn)行了竊取和篡改。這種攻擊方式就稱(chēng)作"中間人(Man-In-The-Middle)攻擊"。

IP/MAC欺騙攻擊

????
??? 常見(jiàn)的欺騙種類(lèi)有MAC欺騙、IP欺騙、IP/MAC欺騙，黑客可以偽造報(bào)文的源地址進(jìn)行攻擊，其目的一般為偽造身份或者獲取針對(duì)IP/MAC的特權(quán)，另外此方法也被應(yīng)用于DoS( Deny of Service，拒絕服務(wù))攻擊，嚴(yán)重的危害了網(wǎng)絡(luò)安全。

??? 為了防止IP/MAC欺騙攻擊，H3C低端以太網(wǎng)交換機(jī)提供了IP過(guò)濾特性，開(kāi)啟該功能后，交換機(jī)可以強(qiáng)制經(jīng)過(guò)某一端口流量的源地址符合動(dòng)態(tài)獲取的DHCP Snooping表項(xiàng)或靜態(tài)配置的IP與MAC綁定表項(xiàng)的記錄，防止攻擊者通過(guò)偽造源地址來(lái)實(shí)施攻擊。此外，該功能也可以防止用戶隨便指定IP地址，造成的網(wǎng)絡(luò)地址沖突等現(xiàn)象。

??? DHCP報(bào)文泛洪攻擊

??? DHCP報(bào)文泛洪攻擊是指：惡意用戶利用工具偽造大量DHCP報(bào)文發(fā)送到服務(wù)器，一方面惡意耗盡了IP資源，使得合法用戶無(wú)法獲得IP資源;另一方面,如果交換機(jī)上開(kāi)啟了DHCP Snooping功能，會(huì)將接收到的DHCP報(bào)文上送到CPU。因此大量的DHCP報(bào)文攻擊設(shè)備會(huì)使DHCP服務(wù)器高負(fù)荷運(yùn)行，甚至?xí)?dǎo)致設(shè)備癱瘓。

??? ARP報(bào)文泛洪攻擊

??? ARP報(bào)文泛洪類(lèi)似DHCP泛洪，同樣是惡意用戶發(fā)出大量的ARP報(bào)文，造成L3設(shè)備的ARP表項(xiàng)溢出，影響正常用戶的轉(zhuǎn)發(fā)。

??? 安全防范

??? 對(duì)于上述的幾種攻擊手段，H3C接入網(wǎng)解決方案在用戶接入側(cè)利用DHCP SNOOPING，提供相應(yīng)的防范手段。

??? DHCP Snooping表項(xiàng)的建立

??? 開(kāi)啟DHCP Snooping功能后，H3C接入交換機(jī)根據(jù)設(shè)備的不同特點(diǎn)可以分別采取監(jiān)聽(tīng)DHCP-REQUEST廣播報(bào)文和DHCP-ACK單播報(bào)文的方法來(lái)記錄用戶獲取的IP地址等信息。目前，交換機(jī)的DHCP Snooping表項(xiàng)主要記錄的信息包括：分配給客戶端的IP地址、客戶端的MAC地址、VLAN信息、端口信息、租約信息。

??? ARP入侵檢測(cè)功能

??? ARP入侵檢測(cè)功能工作機(jī)制

??? 為了防止ARP中間人攻擊，接入交換機(jī)支持將收到的ARP(請(qǐng)求與回應(yīng))報(bào)文重定向到CPU，結(jié)合DHCP Snooping安全特性來(lái)判斷ARP報(bào)文的合法性并進(jìn)行處理，具體如下。

??? 當(dāng)ARP報(bào)文中的源IP地址及源MAC地址的綁定關(guān)系與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)匹配，且ARP報(bào)文的入端口及其所屬VLAN與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)一致，則為合法ARP報(bào)文，進(jìn)行轉(zhuǎn)發(fā)處理。

??? 當(dāng)ARP報(bào)文中的源IP地址及源MAC地址的綁定關(guān)系與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)不匹配，或ARP報(bào)文的入端口，入端口所屬VLAN與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)不一致，則為非法ARP報(bào)文，直接丟棄，并通過(guò)Debug打印出丟棄信息提示用戶。

ARP入侵檢測(cè)功能示意圖

????
??? 手工配置IP靜態(tài)綁定表項(xiàng)

??? DHCP Snooping表只記錄了通過(guò)DHCP方式動(dòng)態(tài)獲取IP地址的客戶端信息，如果用戶手工配置了固定IP地址，其IP地址、MAC地址等信息將不會(huì)被DHCP Snooping表記錄，因此不能通過(guò)基于DHCP Snooping表項(xiàng)的ARP入侵檢測(cè)，導(dǎo)致用戶無(wú)法正常訪問(wèn)外部網(wǎng)絡(luò)。

??? 為了能夠讓這些擁有合法固定IP地址的用戶訪問(wèn)網(wǎng)絡(luò)，交換機(jī)支持手工配置IP靜態(tài)綁定表的表項(xiàng)，即：用戶的IP地址、MAC地址及連接該用戶的端口之間的綁定關(guān)系。以便正常處理該用戶的報(bào)文。

??? ARP信任端口設(shè)置

??? 由于實(shí)際組網(wǎng)中，交換機(jī)的上行口會(huì)接收其他設(shè)備的請(qǐng)求和應(yīng)答的ARP報(bào)文，這些ARP報(bào)文的源IP地址和源MAC地址并沒(méi)有在DHCP Snooping表項(xiàng)或者靜態(tài)綁定表中。為了解決上行端口接收的ARP請(qǐng)求和應(yīng)答報(bào)文能夠通過(guò)ARP入侵檢測(cè)問(wèn)題，交換機(jī)支持通過(guò)配置ARP信任端口，靈活控制ARP報(bào)文檢測(cè)功能。對(duì)于來(lái)自信任端口的所有ARP報(bào)文不進(jìn)行檢測(cè)，對(duì)其它端口的ARP報(bào)文通過(guò)查看DHCP Snooping表或手工配置的IP靜態(tài)綁定表進(jìn)行檢測(cè)。

??? IP過(guò)濾功能

??? IP過(guò)濾功能是指交換機(jī)可以通過(guò)DHCP Snooping表項(xiàng)和手工配置的IP靜態(tài)綁定表，對(duì)非法IP報(bào)文進(jìn)行過(guò)濾的功能。

??? 在端口上開(kāi)啟該功能后，交換機(jī)首先下發(fā)ACL規(guī)則，丟棄除DHCP報(bào)文以外的所有IP報(bào)文。(同時(shí)，需要考慮DHCP Snooping信任端口功能是否啟動(dòng)。如果沒(méi)有啟動(dòng)，則丟棄DHCP應(yīng)答報(bào)文，否則，允許DHCP應(yīng)答報(bào)文通過(guò)。)接著，下發(fā)ACL規(guī)則，允許源IP地址為DHCP Snooping表項(xiàng)或已經(jīng)配置的IP靜態(tài)綁定表項(xiàng)中的IP地址的報(bào)文通過(guò)。

??? 交換機(jī)對(duì)IP報(bào)文有兩種過(guò)濾方式：

??? 根據(jù)報(bào)文中的源IP地址進(jìn)行過(guò)濾。如果報(bào)文的源IP地址、接收?qǐng)?bào)文的交換機(jī)端口號(hào)與DHCP Snooping動(dòng)態(tài)表項(xiàng)或手工配置的IP靜態(tài)綁定表項(xiàng)一致，則認(rèn)為該報(bào)文是合法的報(bào)文，允許其通過(guò);否則認(rèn)為是非法報(bào)文，直接丟棄。

??? 根據(jù)報(bào)文中的源IP地址和源MAC地址進(jìn)行過(guò)濾。如果報(bào)文的源IP地址、源MAC地址、接收?qǐng)?bào)文的交換機(jī)端口號(hào)，與DHCP Snooping動(dòng)態(tài)表項(xiàng)或手工配置的IP靜態(tài)綁定表項(xiàng)一致，則認(rèn)為該報(bào)文是合法的報(bào)文，允許其通過(guò);否則認(rèn)為是非法報(bào)文，直接丟棄。

??? DHCP/ARP報(bào)文限速功能

??? 為了防止DHCP報(bào)文泛洪攻擊，接入交換機(jī)支持配置端口上對(duì)DHCP/ARP報(bào)文的限速功能。開(kāi)啟該功能后，交換機(jī)對(duì)每秒內(nèi)該端口接收的DHCP/ARP報(bào)文數(shù)量進(jìn)行統(tǒng)計(jì)，如果每秒收到的報(bào)文數(shù)量超過(guò)設(shè)定值，則認(rèn)為該端口處于超速狀態(tài)(即受到攻擊)。此時(shí)，交換機(jī)將關(guān)閉該端口，使其不再接收任何報(bào)文，從而避免設(shè)備受到大量報(bào)文攻擊而癱瘓。

??? 同時(shí)，設(shè)備支持配置端口狀態(tài)自動(dòng)恢復(fù)功能，對(duì)于配置了報(bào)文限速功能的端口，在其因超速而被交換機(jī)關(guān)閉后，經(jīng)過(guò)一段時(shí)間可以自動(dòng)恢復(fù)為開(kāi)啟狀態(tài)。

??? 用戶隔離

??? 運(yùn)營(yíng)商網(wǎng)絡(luò)中，通過(guò)用戶隔離技術(shù)可以有效的防范用戶間的相互影響，同樣也可以避免ARP"中間人"攻擊、偽DHCP服務(wù)器攻擊等。

??? 通過(guò)上述幾種技術(shù)的配套使用，可以有效的降低在接入網(wǎng)中常見(jiàn)的安全隱患，保障運(yùn)營(yíng)商業(yè)務(wù)的正常運(yùn)行。

關(guān)鍵詞標(biāo)簽：ARP攻擊

相關(guān)閱讀

文章評(píng)論

查看所有0條評(píng)論>>