【文章內(nèi)容簡(jiǎn)介】 危害是極大的。木馬 、 蠕蟲(chóng) 病毒 的攻擊 不僅僅是 攻擊和欺騙， 同時(shí)還會(huì)帶來(lái) 網(wǎng)絡(luò)流量加大、設(shè)備 CPU 利用率過(guò)高、二層生成樹(shù)環(huán)路 、 網(wǎng)絡(luò)癱瘓 等現(xiàn)象 。 網(wǎng)絡(luò) 第二層 的攻擊 是 網(wǎng)絡(luò)安全 攻擊者 最容易實(shí)施， 也是最不容易 被 發(fā)現(xiàn)的安全威脅，它的目標(biāo)是讓網(wǎng)絡(luò)失效或者通過(guò)獲取諸如密碼這樣的敏感信息而危及網(wǎng)絡(luò)用戶的安全。 因 為任何一個(gè) 合法 用戶都能獲取一個(gè)以太網(wǎng)端口的訪問(wèn)權(quán)限，這些用戶都 有 可能 成為 黑客， 同時(shí)由于設(shè)計(jì) OSI 模型的時(shí)候，允許不同通信層在相互不了解情況下也 能進(jìn)行工作，所以第二層的安全就變得至關(guān)重要。如果這一層受到黑客的攻擊，網(wǎng)絡(luò)安全將受到嚴(yán)重威脅，而且其他層之間的通信還會(huì)繼續(xù)進(jìn)行，同時(shí)任何用戶都不會(huì)感覺(jué)到攻擊已經(jīng)危及應(yīng)用層的信息安全。 所以， 僅僅基于 認(rèn)證（如 IEEE ） 和 訪問(wèn)控制列表（ ACL， Access Control Lists）的 安全措施 是無(wú)法防止本文中提到的 來(lái)自網(wǎng)絡(luò)第二層的 安全攻擊 。 一個(gè)經(jīng)過(guò)認(rèn)證的用戶仍然可以 有惡意 ， 并 可以 很容易 地 執(zhí)行本文提到的所有攻擊。目前這類(lèi)攻擊和欺騙工具已經(jīng)非常成熟和易用 。 歸納前面提到的局域網(wǎng)目前普遍存在的安全問(wèn)題 ，根據(jù)這些安全威脅的 特征分析 ， 這些攻擊 都來(lái)自于網(wǎng)絡(luò)的第二層，主要 包括 以下幾種 ： MAC 地址 泛濫 攻擊 DHCP服務(wù)器 欺騙 攻擊 ARP 欺騙 IP/MAC 地址欺騙 Cisco Catalyst 智能交換系列的創(chuàng)新特性針對(duì)這類(lèi)攻擊 提供了全面 的解決方案， 將發(fā)生在網(wǎng)絡(luò)第二層的攻擊阻止在 通往內(nèi)部網(wǎng)的 第一入口處， 主要基于下面的幾個(gè)關(guān)鍵的技術(shù)。 Port Security DHCP Snooping Dynamic ARP Inspection (DAI) IP Source Guard 下面主要針對(duì)目前 這些 非常典型的二層 攻擊和欺騙說(shuō)明如何在思科交換機(jī)上組合運(yùn)用和部署上述技術(shù)，從而防止在交換環(huán)境中 的 “ 中間人 ” 攻擊、 MAC/CAM 攻擊、 DHCP 攻擊、地址欺騙等，更具意義的是通過(guò)上面技術(shù)的部署可以簡(jiǎn)化地址管理，直接跟蹤用戶 IP 和對(duì)應(yīng)的交換機(jī)端口 ， 防止 IP 地址沖突。同時(shí)對(duì)于大多數(shù)具有地址掃描、欺騙等特征的病毒可以有效的報(bào)警和隔離。 MAC 地址泛濫 攻擊的防范 MAC泛濫 攻擊的原理和危害 交換機(jī)主動(dòng)學(xué)習(xí)客戶端的 MAC 地址，并建立和維護(hù)端口和 MAC 地址的對(duì)應(yīng)表以此建立交換路徑，這個(gè)表就是通常我們所說(shuō)的 CAM 表。 CAM 表的大小 是固定的，不同的交換機(jī)的 CAM表大小不同。 MAC/CAM 攻擊是指利用工具產(chǎn)生欺騙 MAC，快速填滿 CAM 表，交換機(jī) CAM 表被填滿。黑客發(fā)送大量帶有隨機(jī)源 MAC 地址的數(shù)據(jù)包，這些新 MAC 地址被交換機(jī) CAM 學(xué)習(xí)，很快塞滿 MAC 地址表，這時(shí)新目的 MAC 地址的數(shù)據(jù)包就會(huì)廣播到交換機(jī)所有端口，交換機(jī)就像共享 HUB 一樣工作，黑客可以用 sniffer 工具監(jiān)聽(tīng)所有端口的流量。此類(lèi)攻擊不僅造成安全性的破壞，同時(shí)大量的廣播包降低了交換機(jī)的性能。 當(dāng)交換機(jī)的 CAM 表被填滿后， 交換機(jī)以廣播方式處理通過(guò)交換機(jī)的報(bào)文，這時(shí)攻擊者可以利用 各種嗅探攻擊獲取網(wǎng)絡(luò)信息。 更為嚴(yán)重的是，這種攻擊也會(huì)導(dǎo)致所有鄰接的交換機(jī)CAM 表被填滿 ，流量以洪泛方式發(fā)送到所有 交換機(jī)的所有含有此 VLAN 的 接口， 從而 造成交 換機(jī)負(fù)載過(guò)大 、 網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。 防范 方法 限制單個(gè)端口所連接 MAC 地址的數(shù)目可以有效防止類(lèi)似 macof 工具和 SQL 蠕蟲(chóng)病毒發(fā)起的攻擊， macof 可被網(wǎng)絡(luò)用戶用來(lái)產(chǎn)生隨機(jī)源 MAC 地址和隨機(jī)目的 MAC 地址的數(shù)據(jù)包，可以在不到 10 秒的時(shí)間內(nèi)填滿交換機(jī)的 CAM 表。 Cisco Catalyst 交換機(jī)的端口安全（ Port Security）和動(dòng)態(tài)端口安全 功能可被用來(lái)阻止 MAC 泛濫攻擊。例如交換機(jī)連接單臺(tái)工作站的端口，可以限制所學(xué) MAC 地址數(shù)為 1；連接 IP 電話和工作站的端口可限制所學(xué) MAC 地址數(shù)為 3： IP 電話、工作站和 IP 電話內(nèi)的交換機(jī)。 通過(guò)端口安全功能，網(wǎng)絡(luò)管理員也可以靜態(tài)設(shè)置每個(gè)端口所允許連接的合法 MAC 地址，實(shí)現(xiàn)設(shè)備級(jí)的安全授權(quán)。動(dòng)態(tài)端口安全則設(shè)置端口允許合法 MAC 地址的數(shù)目，并以一定時(shí)間內(nèi)所學(xué)習(xí)到的地址作為合法 MAC 地址。 通過(guò)配置 Port Security 可以控制： 端口上最大可以通過(guò)的 MAC 地址數(shù)量 端口上學(xué)習(xí)或通過(guò)哪些 MAC 地址 對(duì)于超過(guò)規(guī)定數(shù)量的 MAC 處理進(jìn)行違背處理 端口上學(xué)習(xí)或通過(guò)哪些 MAC 地址，可以通過(guò)靜態(tài)手工定義，也可以在交換機(jī)自動(dòng)學(xué)習(xí)。交換機(jī)動(dòng)態(tài)學(xué)習(xí)端口 MAC，直到指定的 MAC 地址數(shù)量，交換機(jī)關(guān)機(jī)后重新學(xué)習(xí)。目前較新的技術(shù)是 Sticky Port Security，交換機(jī)將學(xué)到的 mac 地址寫(xiě)到端口配置中，交換機(jī)重啟后配置仍然存在。 對(duì)于超過(guò)規(guī)定數(shù)量的 MAC處理進(jìn)行處理一般有三種方式（針對(duì)交換機(jī)型號(hào)會(huì)有所不同）： Shutdown：端口關(guān)閉。 Protect： 丟棄非法流量，不報(bào)警。 Restrict： 丟棄非法流量，報(bào)警 。 配置 示例 Port Security配置選項(xiàng)： Switch(configif) switchport portsecurity ? aging Portsecurity aging mands macaddress Secure mac address maximum Max secure addresses violation Security violation mode 配置 Port Security 最 大 MAC數(shù)目，違背處理方式， 恢復(fù)方法 ： Switch(config)int fastEther 3/48 Switch (configif)switchport portsecurity Switch (configif)switchport portsecurity maximum 2 Switch (configif)switchport portsecurity violation shutdown Switch (config)errdisable recovery cause psecureviolation Switch (config)errdisable recovery interval 30 通過(guò)配置 sticky portsecurity學(xué)得的 MAC： interface FastEther3/29 switchport mode access switchport portsecurity switchport portsecurity maximum 5 switchport portsecurity macaddress sticky switchport portsecurity macaddress sticky switchport portsecurity macaddress sticky switchport portsecurity macaddress sticky switchport portsecurity macaddress sticky DHCP欺騙 攻擊的防范 采用 DHCP 管理的常見(jiàn)問(wèn)題 采用 DHCP server 可以自動(dòng)為用戶設(shè)置網(wǎng)絡(luò) IP 地址、掩碼、網(wǎng)關(guān)、 DNS、 WINS 等網(wǎng)絡(luò)參數(shù)，簡(jiǎn)化了用戶網(wǎng)絡(luò)設(shè)置，提高了管理效率。但在 DHCP 管理使用上也存在著一些另網(wǎng)管人員比較問(wèn)題，常見(jiàn)的有： DHCP server 的冒充。 DHCP server 的 DOS 攻擊。 有些用戶隨便指定地址，造成網(wǎng)絡(luò)地址沖突。 由于 DHCP 的運(yùn)作機(jī)制，通常服務(wù)器和客戶端沒(méi)有認(rèn)證機(jī)制，如果網(wǎng)絡(luò)上存 在多臺(tái) DHCP 服務(wù)器將會(huì)給網(wǎng)絡(luò)照成混亂。 由于不小心配置了 DHCP 服務(wù)器引起的 網(wǎng)絡(luò)混亂 也 非常常見(jiàn) 。 黑客利用類(lèi)似 Goobler 的工具可以發(fā)出大量帶有不同源 MAC 地址的 DHCP 請(qǐng)求，直到DHCP 服務(wù)器對(duì)應(yīng)網(wǎng)段的所有地址被占用，此類(lèi)攻擊既可以造成 DOS 的破壞，也可和 DHCP 服務(wù)器欺詐結(jié)合將流量重指到意圖進(jìn)行流量截取的惡意節(jié)點(diǎn)。 DHCP 服務(wù)器欺詐可能是故意的，也可能是無(wú)意啟動(dòng) DHCP 服務(wù)器功能，惡意用戶發(fā)放錯(cuò)誤的 IP 地址、 DNS 服務(wù)器信息或默認(rèn)網(wǎng)關(guān)信息，以此來(lái)實(shí)現(xiàn)流量的截取。 一個(gè) “ 不可靠 ” 的 DHCP 服務(wù)器通常被用來(lái)與攻擊者協(xié)作，對(duì)網(wǎng)絡(luò)實(shí)施 “ 中間人 ”MITM（ ManInTheMiddle） 攻擊。中間人攻擊是一種攻擊者利用正常的協(xié)議處理行為來(lái)更改兩個(gè)終端之間的正常通信數(shù)據(jù)流而形成的一種攻擊技術(shù) 。 首先一個(gè)黑客會(huì)廣播許多含有欺騙性MAC 地址的 DHCP 請(qǐng)求（動(dòng)態(tài)主機(jī)配置請(qǐng)求），從而耗盡合法 DHCP 服務(wù)器上的地址空間，一旦其空間地址被耗盡，這個(gè) “ 不可靠 ” 的 DHCP 服務(wù)器就開(kāi)始向 “ 用戶 ” 的 DHCP 請(qǐng)求進(jìn)行應(yīng)答了，這些應(yīng)答信息中將包括 DNS 服務(wù)器和一個(gè)默認(rèn)網(wǎng)關(guān)的信息，這些信息就被用來(lái)實(shí)施一個(gè) MITM 中間人攻擊。黑客 也可以 利用冒充的 DHCP 服務(wù)器，為用戶分配一個(gè)經(jīng)過(guò)修改的 DNS Server，在用戶 毫無(wú)察覺(jué)的情況下被引導(dǎo)在預(yù)先配置好的假金融網(wǎng)站或電子商務(wù)網(wǎng)站，騙取 用戶帳戶和密碼，這種攻擊是非常惡劣的。 DHCP Snooping 技術(shù) 概述 DHCP Snooping 技術(shù)是 DHCP 安全特性，通過(guò)建立和維護(hù) DHCP Snooping 綁定表過(guò)濾不可信任的 DHCP 信息，這些信息是指來(lái)自不信任區(qū)域的 DHCP 信息。 通過(guò)截取一個(gè)虛擬局域網(wǎng)內(nèi)的 DHCP 信息，交換機(jī)可以在用戶和 DHCP 服務(wù)器之間擔(dān)任就像小型安全防火墻這樣的角色， “DHCP 監(jiān)聽(tīng) ” 功能基于動(dòng)態(tài)地址分配建立了一個(gè) DHCP 綁定表，并將該表存貯在交換機(jī)里 。在沒(méi)有 DHCP 的環(huán)境中，如數(shù)據(jù)中心，綁定條目可能被靜態(tài)定義，每個(gè) DHCP 綁定條目包含客戶端地址（一個(gè)靜態(tài)地址或者一個(gè)從 DHCP 服務(wù)器上獲取的地址）、客戶端 MAC 地址、端口、 VLAN ID、租借時(shí)間、綁定類(lèi)型（靜態(tài)的或者動(dòng)態(tài)的）。如下表所示： Cat6509sh ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface 00:0D:60:2D:45:0D 600735 dhcpsnooping 100 GigabitEther1/0/7 這張表不僅解決了 DHCP 用戶的 IP 和端口跟蹤定位問(wèn)題，為用戶管理提供方便，而且還供給動(dòng)態(tài) ARP 檢測(cè)（ DAI）和 IP Source Guard 使用。 基本防范 為了防止這種類(lèi)型的攻擊， Catalyst DHCP 偵聽(tīng)（ DHCP Snooping）功能可有效阻止此類(lèi)攻擊，當(dāng)打開(kāi)此功能，所有用戶端口除非特別設(shè)置，被認(rèn)為不可信任端口，不應(yīng)該作出任何 DHCP 響應(yīng)，因此欺詐 DHCP 響應(yīng)包被交換機(jī)阻斷，合法的 DHCP 服務(wù)器端口或上連端口應(yīng)被設(shè)置為信任端口。 Catalyst DHCP 偵聽(tīng)（ DHCP Snooping）對(duì)于下邊介紹的其他阻止 ARP 欺騙和 IP/MAC地址的欺騙是必需的。 首先定義交換機(jī)上的信任端口和不信任端口，對(duì)于不信任端口的 DHCP 報(bào)文進(jìn)行截獲和嗅探， DROP 掉來(lái)自這些端口的非正常 DHCP 響應(yīng) 應(yīng)報(bào)文 ，如下圖所示： 基本配置示例如下表： IOS 全局命令： ip dhcp snooping vlan 100,200 /*定義哪些 VLAN 啟用 DHCP 嗅探 ip dhcp snooping 接口命令 ： ip dhcp snooping trust no ip dhcp snooping trust (Default) ip dhcp snooping limit rate 10 (pps) /*一定程度上防止 DHCP 拒絕服務(wù)攻擊 */ 手工添加 DHCP 綁定表 ： ip dhcp snooping binding vlan 10 interface gi1/1 expiry 1000 導(dǎo)出 DHCP綁定表到 TFTP 服務(wù)器 ： ip dhcp snooping database 需要注意的是 DHCP 綁定表要存在本地存貯器 (Bootfalsh、 slot0、 ftp、 tftp)或?qū)С龅街付?TFTP 服務(wù)器上，否則交換機(jī)重啟后 DHCP 綁定表丟失，對(duì)于已經(jīng)申請(qǐng)到 IP 地址的設(shè)備在租用期內(nèi)，不會(huì)再次發(fā)起 DHCP 請(qǐng)求， 如果此時(shí)交換機(jī)己經(jīng)配置了下面所講到的 DAI 和I