接入网常见的arp攻击及防范pc软件 文章资讯 手机软件

您当前的位置→图文中心ARP文章ARP防范接入网常见的arp攻击及防范

接入网常见的arp攻击及防范


2009/2/6  编辑:佚名 来源:本站整理  关键词:

接入网常见的攻击及防范

 

电信级IP技术的发展成熟使得话音、数据信息、视频和移动等应用的融合成为必然, 统一通讯已成为发展的趋势。 以IP技术为核心来进行网络net改造并承载多种新型业务以提高水平竞争力, 是固网运营商的发展方向。 而以太网技术由于标准化程度高、应用广泛、带宽提供能力强、扩展性良好、技术成熟, 设备性价比高, 对IP的良好支持, 成为城域网和接入网的发展趋势。 但是, 由于以太网技术的开放性和其应用广泛, 也带来了一些安全上的问题。 特别是当网络net由原有的单业务承载转为多业务承载时, 安全问题带来的反应影响愈发明显, 已经逐步反应影响到业务的开展和部署。

  就在目前接入网常见的攻击包括ARP“中间人“攻击、IP/MAC欺骗攻击、DHCP/ARP报文泛洪攻击等。

  网络net攻击

  ARP“中间人”攻击

  按照ARP协议的设计design, 一个主机即便收到的ARP应答并非自身请求得到的, 也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。 这样可以能够减少网络net上过多的ARP数据信息通信, 但也为“ARP欺骗”创造了条件。

  如下图示, Host A和Host C可以通过Switch来进行通信。 此时, 如果有黑客(Host B)想探听Host A和Host C之间的通信, 它可以能够分别给这两台主机发送send伪造的ARP应答报文, 使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。 此后, Host A 和Host C之间看似“直接”的通信, 实际上都是可以通过黑客所就在的主机间接来进行的, 即Host B担当了“中间人”的角色, 可以能够对信息来进行了窃取和篡改。 这种攻击方式就称作“中间人(Man-In-The-Middle)攻击”。

  

接入网


  

IP/MAC欺骗攻击



  常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗, 黑客可以能够伪造报文的源地址来进行攻击, 其目的一般为伪造身份或者获取针对IP/MAC的特权, 另外此方法也被应用于DoS( Deny of Service, 拒绝服务)攻击, 严重的危害了网络net安全。

  为了防止IP/MAC欺骗攻击, H3C低端以太网交换机提供了IP过滤特性, 启动该功能后, 交换机可以能够强制经过某一端口流量的源地址符合动态获取的DHCP Snooping表项或静态配置的IP与MAC绑定表项的记录, 防止攻击者可以通过伪造源地址来实施攻击。 此外, 该功能也可以能够防止用户随便指定IP地址, 造成的网络net地址冲突等现象。

  DHCP报文泛洪攻击

  DHCP报文泛洪攻击是指:恶意用户利用必备工具伪造大量DHCP报文发送send到服务器, 一方面恶意耗尽了IP资源, 使得合法用户再也不能够获得IP资源;另一方面,如果交换机上启动了DHCP Snooping功能, 会将接收到的DHCP报文上送到CPU。 因此大量的DHCP报文攻击设备会使DHCP服务器高负荷运行, 甚至会导致设备瘫痪。

  ARP报文泛洪攻击

  ARP报文泛洪类似DHCP泛洪, 同样是恶意用户发出大量的ARP报文, 造成L3设备的ARP表项溢出, 反应影响正常用户的转发。

  安全防范

  对于上述的几种攻击手段, H3C接入网解决处理方案就在用户接入侧利用DHCP SNOOPING, 提供相应的防范手段。

  DHCP Snooping表项的建立

  启动DHCP Snooping功能后, H3C接入交换机根据记录设备的不同特点可以能够分别采取监听DHCP-REQUEST广播报文和DHCP-ACK单播报文的方法来记录用户获取的IP地址等信息。 就在目前, 交换机的DHCP Snooping表项主要记录的信息包括:分配配置给客户端的IP地址、客户端的MAC地址、VLAN信息、端口信息、租约信息。 ARP入侵检测功能

  ARP入侵检测功能工作机制

  为了防止ARP中间人攻击, 接入交换机支持将收到的ARP(请求与回应)报文重定向到CPU, 结合DHCP Snooping安全特性来判断ARP报文的合法性并来进行处理, 具体如下。

  l 当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项匹配, 且ARP报文的入端口及其所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项一致, 则为合法ARP报文, 来进行转发处理。

  l 当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项不匹配, 或ARP报文的入端口, 入端口所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项不一致, 则为非法ARP报文, 直接丢弃, 并可以通过Debug打印出丢弃信息提示用户。

  

接入网


  

ARP入侵检测功能示意图



  手工配置IP静态绑定表项

  DHCP Snooping表只记录了可以通过DHCP方式动态获取IP地址的客户端信息, 如果用户手工配置了固定IP地址, 其IP地址、MAC地址等信息将将不会被DHCP Snooping表记录, 因此不能够可以通过基于DHCP Snooping表项的ARP入侵检测, 导致用户再也不能够正常访问外部网络net。

  为了能够让这些拥有合法固定IP地址的用户访问网络net, 交换机支持手工配置IP静态绑定表的表项, 即:用户的IP地址、MAC地址及连载该用户的端口之间的绑定关系。 以便正常处理该用户的报文。

  ARP信任端口布置设置

  由于实际组网中, 交换机的上行口会接收其他设备的请求和应答的ARP报文, 这些ARP报文的源IP地址和源MAC地址并没有就在DHCP Snooping表项或者静态绑定表中。 为了解决处理上行端口接收的ARP请求和应答报文能够可以通过ARP入侵检测问题, 交换机支持可以通过配置ARP信任端口, 灵活控制ARP报文检测功能。 对于来自信任端口的所有ARP报文不来进行检测, 对其它端口的ARP报文可以通过查看DHCP Snooping表或手工配置的IP静态绑定表来进行检测。 IP过滤功能

  IP过滤功能是指交换机可以能够可以通过DHCP Snooping表项和手工配置的IP静态绑定表, 对非法IP报文来进行过滤的功能。

  就在端口上启动该功能后, 交换机最先是下发ACL规则, 丢弃除DHCP报文以外的所有IP报文。 (同一个时间, 有请求需要考虑DHCP Snooping信任端口功能是否启动。 如果没有启动, 则丢弃DHCP应答报文, 否则, 允许DHCP应答报文可以通过。 )接着, 下发ACL规则, 允许源IP地址为DHCP Snooping表项或已经配置的IP静态绑定表项中的IP地址的报文可以通过。

  交换机对IP报文有两种过滤方式:

  根据记录报文中的源IP地址来进行过滤。 如果报文的源IP地址、接收报文的交换机端口号与DHCP Snooping动态表项或手工配置的IP静态绑定表项一致, 则认为该报文是合法的报文, 允许其可以通过;否则认为是非法报文, 直接丢弃。

  根据记录报文中的源IP地址和源MAC地址来进行过滤。 如果报文的源IP地址、源MAC地址、接收报文的交换机端口号, 与DHCP Snooping动态表项或手工配置的IP静态绑定表项一致, 则认为该报文是合法的报文, 允许其可以通过;否则认为是非法报文, 直接丢弃。

  DHCP/ARP报文限速功能

  为了防止DHCP报文泛洪攻击, 接入交换机支持配置端口上对DHCP/ARP报文的限速功能。 启动该功能后, 交换机对每秒内该端口接收的DHCP/ARP报文数量来进行统计, 如果每秒收到的报文数量超过设定值, 则认为该端口处于超速状态(即受到攻击)。 此时, 交换机将关闭该端口, 使其不会再接收任意一个报文, 从而避免设备受到大量报文攻击而瘫痪。

  同一个时间, 设备支持配置端口状态全自动恢复功能, 对于配置了报文限速功能的端口, 就在其因超速而被交换机关闭后, 经过一段时间可以能够全自动恢复为启动状态。

  用户隔离

  运营商网络net中, 可以通过用户隔离技术可以能够有效的防范用户间的互相一起反应影响, 同样也可以能够避免ARP“中间人”攻击、伪DHCP服务器攻击等。

  可以通过上述几种技术的配套使用, 可以能够有效的降低就在接入网中常见的安全隐患, 保障运营商业务的正常运行。

相关文章
  • 微信摇一摇周边是什么 微信摇一摇周边接入如何申请
  • 微信公众平台商户接入(微信支付)功能然后申请
  • 安卓手机上网接入点如何选择
  • 腾讯QQ在线客服转人工服务接入最新方法
  • Win10如何创建宽带连接以便接入Internet
  • 婚恋网站2.0时代:向后接入婚庆O2O才是出路
  • IPv6网站认证启动 8亿网民可免费接入v6网络
  • 接入网常见的arp攻击及防范
  • 发表评论
    阅读排行
    相关热门
    网站帮助 - 广告合作 - 下载声明 - 网站地图