Adsl寬帶上網常見的網絡攻擊與防范知識打賞

電信級IP技術的發展成熟使得話音、數據、視頻和移動等應用的融合成為必然,統一通訊已成為發展的趨勢。以IP技術為核心進行網絡改造并承載多種新型業務以提升競爭力,是固網運營商的發展方向。而以太網技術由于標準化程度高、應用廣泛、帶寬提供能力強、擴展性良好、技術成熟,設備性價比高,對IP的良好支持,成為城域網和接入網的發展趨勢。但是,由于以太網技術的開放性和其應用廣泛,也帶來了一些安全上的問題。特別是當網絡由原有的單業務承載轉為多業務承載時,安全問題帶來的影響愈發明顯,已經逐步影響到業務的開展和部署。

目前接入網常見的攻擊包括ARP“中間人“攻擊、IP/MAC欺騙攻擊、DHCP/ARP報文泛洪攻擊等。

網絡攻擊

ARP“中間人”攻擊

按照ARP協議的設計,一個主機即使收到的ARP應答并非自身請求得到的,也會將其IP地址和MAC地址的對應關系添加到自身的ARP映射表中。這樣可以減少網絡上過多的ARP數據通信,但也為“ARP欺騙”創造了條件。

如下圖示,Host A和Host C通過Switch進行通信。此時,如果有黑客(Host B)想探聽Host A和Host C之間的通信,它可以分別給這兩臺主機發送偽造的ARP應答報文,使Host A和Host C用MAC_B更新自身ARP映射表中與對方IP地址相應的表項。此后,Host A 和Host C之間看似“直接”的通信,實際上都是通過黑客所在的主機間接進行的,即Host B擔當了“中間人”的角色,可以對信息進行了竊取和篡改。這種攻擊方式就稱作“中間人(Man-In-The-Middle)攻擊”。

常見的欺騙種類有MAC欺騙、IP欺騙、IP/MAC欺騙,黑客可以偽造報文的源地址進行攻擊,其目的一般為偽造身份或者獲取針對IP/MAC的特權,另外此方法也被應用于DoS( Deny of Service,拒絕服務)攻擊,嚴重的危害了網絡安全。

ARP入侵檢測功能

ARP入侵檢測功能工作機制

為了防止IP/MAC欺騙攻擊,H3C低端以太網交換機提供了IP過濾特性,開啟該功能后,交換機可以強制經過某一端口流量的源地址符合動態獲取的DHCP Snooping表項或靜態配置的IP與MAC綁定表項的記錄,防止攻擊者通過偽造源地址來實施攻擊。此外,該功能也可以防止用戶隨便指定IP地址,造成的網絡地址沖突等現象。

DHCP報文泛洪攻擊

DHCP報文泛洪攻擊是指:惡意用戶利用工具偽造大量DHCP報文發送到服務器,一方面惡意耗盡了IP資源,使得合法用戶無法獲得IP資源;另一方面,如果交換機上開啟了DHCP Snooping功能,會將接收到的DHCP報文上送到CPU。因此大量的DHCP報文攻擊設備會使DHCP服務器高負荷運行,甚至會導致設備癱瘓。

ARP報文泛洪攻擊

ARP報文泛洪類似DHCP泛洪,同樣是惡意用戶發出大量的ARP報文,造成L3設備的ARP表項溢出,影響正常用戶的轉發。

安全防范

對于上述的幾種攻擊手段,H3C接入網解決方案在用戶接入側利用DHCP SNOOPING,提供相應的防范手段。

DHCP Snooping表項的建立

開啟DHCP Snooping功能后,H3C接入交換機根據設備的不同特點可以分別采取監聽DHCP-REQUEST廣播報文和DHCP-ACK單播報文的方法來記錄用戶獲取的IP地址等信息。目前,交換機的DHCP Snooping表項主要記錄的信息包括:分配給客戶端的IP地址、客戶端的MAC地址、VLAN信息、端口信息、租約信息。

為了防止ARP中間人攻擊,接入交換機支持將收到的ARP(請求與回應)報文重定向到CPU,結合DHCP Snooping安全特性來判斷ARP報文的合法性并進行處理,具體如下。

當ARP報文中的源IP地址及源MAC地址的綁定關系與DHCP Snooping表項或者手工配置的IP靜態綁定表項匹配,且ARP報文的入端口及其所屬VLAN與DHCP Snooping表項或者手工配置的IP靜態綁定表項一致,則為合法ARP報文,進行轉發處理。

當ARP報文中的源IP地址及源MAC地址的綁定關系與DHCP Snooping表項或者手工配置的IP靜態綁定表項不匹配,或ARP報文的入端口,入端口所屬VLAN與DHCP Snooping表項或者手工配置的IP靜態綁定表項不一致,則為非法ARP報文,直接丟棄,并通過Debug打印出丟棄信息提示用戶。

手工配置IP靜態綁定表項

DHCP Snooping表只記錄了通過DHCP方式動態獲取IP地址的客戶端信息,如果用戶手工配置了固定IP地址,其IP地址、MAC地址等信息將不會被DHCP Snooping表記錄,因此不能通過基于DHCP Snooping表項的ARP入侵檢測,導致用戶無法正常訪問外部網絡。

為了能夠讓這些擁有合法固定IP地址的用戶訪問網絡,交換機支持手工配置IP靜態綁定表的表項,即:用戶的IP地址、MAC地址及連接該用戶的端口之間的綁定關系。以便正常處理該用戶的報文。

ARP信任端口設置

由于實際組網中,交換機的上行口會接收其他設備的請求和應答的ARP報文,這些ARP報文的源IP地址和源MAC地址并沒有在DHCP Snooping表項或者靜態綁定表中。為了解決上行端口接收的ARP請求和應答報文能夠通過ARP入侵檢測問題,交換機支持通過配置ARP信任端口,靈活控制ARP報文檢測功能。對于來自信任端口的所有ARP報文不進行檢測,對其它端口的ARP報文通過查看DHCP Snooping表或手工配置的IP靜態綁定表進行檢測。

Adsl寬帶上網常見的網絡攻擊與防范知識
文章《Adsl寬帶上網常見的網絡攻擊與防范知識》二維碼
  • 微信打賞
  • 支付寶打賞

暫無評論

(必填)

(必填)

(可選)

黑龙江22选5开奖