【文章內(nèi)容簡介】 危害是極大的。木馬 、 蠕蟲 病毒 的攻擊 不僅僅是 攻擊和欺騙， 同時還會帶來 網(wǎng)絡(luò)流量加大、設(shè)備 CPU 利用率過高、二層生成樹環(huán)路 、 網(wǎng)絡(luò)癱瘓 等現(xiàn)象 。 網(wǎng)絡(luò) 第二層 的攻擊 是 網(wǎng)絡(luò)安全 攻擊者 最容易實施， 也是最不容易 被 發(fā)現(xiàn)的安全威脅，它的目標是讓網(wǎng)絡(luò)失效或者通過獲取諸如密碼這樣的敏感信息而危及網(wǎng)絡(luò)用戶的安全。 因 為任何一個 合法 用戶都能獲取一個以太網(wǎng)端口的訪問權(quán)限，這些用戶都 有 可能 成為 黑客， 同時由于設(shè)計 OSI 模型的時候，允許不同通信層在相互不了解情況下也 能進行工作，所以第二層的安全就變得至關(guān)重要。如果這一層受到黑客的攻擊，網(wǎng)絡(luò)安全將受到嚴重威脅，而且其他層之間的通信還會繼續(xù)進行，同時任何用戶都不會感覺到攻擊已經(jīng)危及應(yīng)用層的信息安全。 所以， 僅僅基于 認證（如 IEEE ） 和 訪問控制列表（ ACL， Access Control Lists）的 安全措施 是無法防止本文中提到的 來自網(wǎng)絡(luò)第二層的 安全攻擊 。 一個經(jīng)過認證的用戶仍然可以 有惡意 ， 并 可以 很容易 地 執(zhí)行本文提到的所有攻擊。目前這類攻擊和欺騙工具已經(jīng)非常成熟和易用 。 歸納前面提到的局域網(wǎng)目前普遍存在的安全問題 ，根據(jù)這些安全威脅的 特征分析 ， 這些攻擊 都來自于網(wǎng)絡(luò)的第二層，主要 包括 以下幾種 ： MAC 地址 泛濫 攻擊 DHCP服務(wù)器 欺騙 攻擊 ARP 欺騙 IP/MAC 地址欺騙 Cisco Catalyst 智能交換系列的創(chuàng)新特性針對這類攻擊 提供了全面 的解決方案， 將發(fā)生在網(wǎng)絡(luò)第二層的攻擊阻止在 通往內(nèi)部網(wǎng)的 第一入口處， 主要基于下面的幾個關(guān)鍵的技術(shù)。 Port Security DHCP Snooping Dynamic ARP Inspection (DAI) IP Source Guard 下面主要針對目前 這些 非常典型的二層 攻擊和欺騙說明如何在思科交換機上組合運用和部署上述技術(shù)，從而防止在交換環(huán)境中 的 “ 中間人 ” 攻擊、 MAC/CAM 攻擊、 DHCP 攻擊、地址欺騙等，更具意義的是通過上面技術(shù)的部署可以簡化地址管理，直接跟蹤用戶 IP 和對應(yīng)的交換機端口 ， 防止 IP 地址沖突。同時對于大多數(shù)具有地址掃描、欺騙等特征的病毒可以有效的報警和隔離。 MAC 地址泛濫 攻擊的防范 MAC泛濫 攻擊的原理和危害 交換機主動學(xué)習(xí)客戶端的 MAC 地址，并建立和維護端口和 MAC 地址的對應(yīng)表以此建立交換路徑，這個表就是通常我們所說的 CAM 表。 CAM 表的大小 是固定的，不同的交換機的 CAM表大小不同。 MAC/CAM 攻擊是指利用工具產(chǎn)生欺騙 MAC，快速填滿 CAM 表，交換機 CAM 表被填滿。黑客發(fā)送大量帶有隨機源 MAC 地址的數(shù)據(jù)包，這些新 MAC 地址被交換機 CAM 學(xué)習(xí)，很快塞滿 MAC 地址表，這時新目的 MAC 地址的數(shù)據(jù)包就會廣播到交換機所有端口，交換機就像共享 HUB 一樣工作，黑客可以用 sniffer 工具監(jiān)聽所有端口的流量。此類攻擊不僅造成安全性的破壞，同時大量的廣播包降低了交換機的性能。 當交換機的 CAM 表被填滿后， 交換機以廣播方式處理通過交換機的報文，這時攻擊者可以利用 各種嗅探攻擊獲取網(wǎng)絡(luò)信息。 更為嚴重的是，這種攻擊也會導(dǎo)致所有鄰接的交換機CAM 表被填滿 ，流量以洪泛方式發(fā)送到所有 交換機的所有含有此 VLAN 的 接口， 從而 造成交 換機負載過大 、 網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。 防范 方法 限制單個端口所連接 MAC 地址的數(shù)目可以有效防止類似 macof 工具和 SQL 蠕蟲病毒發(fā)起的攻擊， macof 可被網(wǎng)絡(luò)用戶用來產(chǎn)生隨機源 MAC 地址和隨機目的 MAC 地址的數(shù)據(jù)包，可以在不到 10 秒的時間內(nèi)填滿交換機的 CAM 表。 Cisco Catalyst 交換機的端口安全（ Port Security）和動態(tài)端口安全 功能可被用來阻止 MAC 泛濫攻擊。例如交換機連接單臺工作站的端口，可以限制所學(xué) MAC 地址數(shù)為 1；連接 IP 電話和工作站的端口可限制所學(xué) MAC 地址數(shù)為 3： IP 電話、工作站和 IP 電話內(nèi)的交換機。 通過端口安全功能，網(wǎng)絡(luò)管理員也可以靜態(tài)設(shè)置每個端口所允許連接的合法 MAC 地址，實現(xiàn)設(shè)備級的安全授權(quán)。動態(tài)端口安全則設(shè)置端口允許合法 MAC 地址的數(shù)目，并以一定時間內(nèi)所學(xué)習(xí)到的地址作為合法 MAC 地址。 通過配置 Port Security 可以控制： 端口上最大可以通過的 MAC 地址數(shù)量 端口上學(xué)習(xí)或通過哪些 MAC 地址 對于超過規(guī)定數(shù)量的 MAC 處理進行違背處理 端口上學(xué)習(xí)或通過哪些 MAC 地址，可以通過靜態(tài)手工定義，也可以在交換機自動學(xué)習(xí)。交換機動態(tài)學(xué)習(xí)端口 MAC，直到指定的 MAC 地址數(shù)量，交換機關(guān)機后重新學(xué)習(xí)。目前較新的技術(shù)是 Sticky Port Security，交換機將學(xué)到的 mac 地址寫到端口配置中，交換機重啟后配置仍然存在。 對于超過規(guī)定數(shù)量的 MAC處理進行處理一般有三種方式（針對交換機型號會有所不同）： Shutdown：端口關(guān)閉。 Protect： 丟棄非法流量，不報警。 Restrict： 丟棄非法流量，報警 。 配置 示例 Port Security配置選項： Switch(configif) switchport portsecurity ? aging Portsecurity aging mands macaddress Secure mac address maximum Max secure addresses violation Security violation mode 配置 Port Security 最 大 MAC數(shù)目，違背處理方式， 恢復(fù)方法 ： Switch(config)int fastEther 3/48 Switch (configif)switchport portsecurity Switch (configif)switchport portsecurity maximum 2 Switch (configif)switchport portsecurity violation shutdown Switch (config)errdisable recovery cause psecureviolation Switch (config)errdisable recovery interval 30 通過配置 sticky portsecurity學(xué)得的 MAC： interface FastEther3/29 switchport mode access switchport portsecurity switchport portsecurity maximum 5 switchport portsecurity macaddress sticky switchport portsecurity macaddress sticky switchport portsecurity macaddress sticky switchport portsecurity macaddress sticky switchport portsecurity macaddress sticky DHCP欺騙 攻擊的防范 采用 DHCP 管理的常見問題 采用 DHCP server 可以自動為用戶設(shè)置網(wǎng)絡(luò) IP 地址、掩碼、網(wǎng)關(guān)、 DNS、 WINS 等網(wǎng)絡(luò)參數(shù)，簡化了用戶網(wǎng)絡(luò)設(shè)置，提高了管理效率。但在 DHCP 管理使用上也存在著一些另網(wǎng)管人員比較問題，常見的有： DHCP server 的冒充。 DHCP server 的 DOS 攻擊。 有些用戶隨便指定地址，造成網(wǎng)絡(luò)地址沖突。 由于 DHCP 的運作機制，通常服務(wù)器和客戶端沒有認證機制，如果網(wǎng)絡(luò)上存 在多臺 DHCP 服務(wù)器將會給網(wǎng)絡(luò)照成混亂。 由于不小心配置了 DHCP 服務(wù)器引起的 網(wǎng)絡(luò)混亂 也 非常常見 。 黑客利用類似 Goobler 的工具可以發(fā)出大量帶有不同源 MAC 地址的 DHCP 請求，直到DHCP 服務(wù)器對應(yīng)網(wǎng)段的所有地址被占用，此類攻擊既可以造成 DOS 的破壞，也可和 DHCP 服務(wù)器欺詐結(jié)合將流量重指到意圖進行流量截取的惡意節(jié)點。 DHCP 服務(wù)器欺詐可能是故意的，也可能是無意啟動 DHCP 服務(wù)器功能，惡意用戶發(fā)放錯誤的 IP 地址、 DNS 服務(wù)器信息或默認網(wǎng)關(guān)信息，以此來實現(xiàn)流量的截取。 一個 “ 不可靠 ” 的 DHCP 服務(wù)器通常被用來與攻擊者協(xié)作，對網(wǎng)絡(luò)實施 “ 中間人 ”MITM（ ManInTheMiddle） 攻擊。中間人攻擊是一種攻擊者利用正常的協(xié)議處理行為來更改兩個終端之間的正常通信數(shù)據(jù)流而形成的一種攻擊技術(shù) 。 首先一個黑客會廣播許多含有欺騙性MAC 地址的 DHCP 請求（動態(tài)主機配置請求），從而耗盡合法 DHCP 服務(wù)器上的地址空間，一旦其空間地址被耗盡，這個 “ 不可靠 ” 的 DHCP 服務(wù)器就開始向 “ 用戶 ” 的 DHCP 請求進行應(yīng)答了，這些應(yīng)答信息中將包括 DNS 服務(wù)器和一個默認網(wǎng)關(guān)的信息，這些信息就被用來實施一個 MITM 中間人攻擊。黑客 也可以 利用冒充的 DHCP 服務(wù)器，為用戶分配一個經(jīng)過修改的 DNS Server，在用戶 毫無察覺的情況下被引導(dǎo)在預(yù)先配置好的假金融網(wǎng)站或電子商務(wù)網(wǎng)站，騙取 用戶帳戶和密碼，這種攻擊是非常惡劣的。 DHCP Snooping 技術(shù) 概述 DHCP Snooping 技術(shù)是 DHCP 安全特性，通過建立和維護 DHCP Snooping 綁定表過濾不可信任的 DHCP 信息，這些信息是指來自不信任區(qū)域的 DHCP 信息。 通過截取一個虛擬局域網(wǎng)內(nèi)的 DHCP 信息，交換機可以在用戶和 DHCP 服務(wù)器之間擔(dān)任就像小型安全防火墻這樣的角色， “DHCP 監(jiān)聽 ” 功能基于動態(tài)地址分配建立了一個 DHCP 綁定表，并將該表存貯在交換機里 。在沒有 DHCP 的環(huán)境中，如數(shù)據(jù)中心，綁定條目可能被靜態(tài)定義，每個 DHCP 綁定條目包含客戶端地址（一個靜態(tài)地址或者一個從 DHCP 服務(wù)器上獲取的地址）、客戶端 MAC 地址、端口、 VLAN ID、租借時間、綁定類型（靜態(tài)的或者動態(tài)的）。如下表所示： Cat6509sh ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface 00:0D:60:2D:45:0D 600735 dhcpsnooping 100 GigabitEther1/0/7 這張表不僅解決了 DHCP 用戶的 IP 和端口跟蹤定位問題，為用戶管理提供方便，而且還供給動態(tài) ARP 檢測（ DAI）和 IP Source Guard 使用。 基本防范 為了防止這種類型的攻擊， Catalyst DHCP 偵聽（ DHCP Snooping）功能可有效阻止此類攻擊，當打開此功能，所有用戶端口除非特別設(shè)置，被認為不可信任端口，不應(yīng)該作出任何 DHCP 響應(yīng)，因此欺詐 DHCP 響應(yīng)包被交換機阻斷，合法的 DHCP 服務(wù)器端口或上連端口應(yīng)被設(shè)置為信任端口。 Catalyst DHCP 偵聽（ DHCP Snooping）對于下邊介紹的其他阻止 ARP 欺騙和 IP/MAC地址的欺騙是必需的。 首先定義交換機上的信任端口和不信任端口，對于不信任端口的 DHCP 報文進行截獲和嗅探， DROP 掉來自這些端口的非正常 DHCP 響應(yīng) 應(yīng)報文 ，如下圖所示： 基本配置示例如下表： IOS 全局命令： ip dhcp snooping vlan 100,200 /*定義哪些 VLAN 啟用 DHCP 嗅探 ip dhcp snooping 接口命令 ： ip dhcp snooping trust no ip dhcp snooping trust (Default) ip dhcp snooping limit rate 10 (pps) /*一定程度上防止 DHCP 拒絕服務(wù)攻擊 */ 手工添加 DHCP 綁定表 ： ip dhcp snooping binding vlan 10 interface gi1/1 expiry 1000 導(dǎo)出 DHCP綁定表到 TFTP 服務(wù)器 ： ip dhcp snooping database 需要注意的是 DHCP 綁定表要存在本地存貯器 (Bootfalsh、 slot0、 ftp、 tftp)或?qū)С龅街付?TFTP 服務(wù)器上，否則交換機重啟后 DHCP 綁定表丟失，對于已經(jīng)申請到 IP 地址的設(shè)備在租用期內(nèi)，不會再次發(fā)起 DHCP 請求， 如果此時交換機己經(jīng)配置了下面所講到的 DAI 和I