【文章內(nèi)容簡介】 和C 進(jìn)行欺騙的前奏就是發(fā)送假的ARP 應(yīng)答包，如圖所示：在收到B主機(jī)發(fā)來的ARP應(yīng)答后，A主機(jī)應(yīng)知道： 的數(shù)據(jù)包應(yīng)該發(fā)到MAC地址為020202020202 的主機(jī)；C 主機(jī)也知道： 的數(shù)據(jù)包應(yīng)該發(fā)到MAC 地址為020202020202 的主機(jī)。這樣，A 和C 都認(rèn)為對方的MAC 地址是020202020202，實(shí)際上這就是B 主機(jī)所需得到的結(jié)果。當(dāng)然，因?yàn)锳RP 緩存表項(xiàng)是動態(tài)更新的，其中動態(tài)生成的映射有個(gè)生命期，一般是兩分鐘，如果再沒有新的信息更新，ARP 映射項(xiàng)會自動去除。所以，B還有一個(gè)“任務(wù)”，那就是一直連續(xù)不斷地向A 和C 發(fā)送這種虛假的ARP 響應(yīng)包，讓其ARP緩存中一直保持被毒害了的映射表項(xiàng)?，F(xiàn)在，如果A 和C 要進(jìn)行通信，實(shí)際上彼此發(fā)送的數(shù)據(jù)包都會先到達(dá)B 主機(jī)，這時(shí)，如果B 不做進(jìn)一步處理，A 和C 之間的通信就無法正常建立，B 也就達(dá)不到“嗅探”通信內(nèi)容的目的，因此，B 要對“錯(cuò)誤”收到的數(shù)據(jù)包進(jìn)行一番修改，然后轉(zhuǎn)發(fā)到正確的目的地，而修改的內(nèi)容，無非是將目的MAC 和源MAC 地址進(jìn)行替換。如此一來，在A 和C 看來，彼此發(fā)送的數(shù)據(jù)包都是直接到達(dá)對方的，但在B 來看，自己擔(dān)當(dāng)?shù)木褪恰暗谌摺钡慕巧＿@種嗅探方法，也被稱作中間人MIMT（ManInTheMiddle）的方法。如圖 所示。防范方法這些攻擊都可以通過動態(tài)ARP檢查（DAI，Dynamic ARP Inspection）來防止，它可以幫助保證接入交換機(jī)只傳遞“合法的”的ARP請求和應(yīng)答信息。DHCP Snooping監(jiān)聽綁定表包括IP地址與MAC地址的綁定信息并將其與特定的交換機(jī)端口相關(guān)聯(lián)，動態(tài)ARP檢測（DAI－Dynamic ARP Inspection）可以用來檢查所有非信任端口的ARP請求和應(yīng)答(主動式ARP和非主動式ARP)，確保應(yīng)答來自真正的ARP所有者。Catalyst交換機(jī)通過檢查端口紀(jì)錄的DHCP綁定信息和ARP應(yīng)答的IP地址決定是否真正的ARP所有者，不合法的ARP包將被刪除。DAI配置針對VLAN，對于同一VLAN內(nèi)的接口可以開啟DAI也可以關(guān)閉，如果ARP包從一個(gè)可信任的接口接受到，就不需要做任何檢查，如果ARP包在一個(gè)不可信任的接口上接受到，該包就只能在綁定信息被證明合法的情況下才會被轉(zhuǎn)發(fā)出去。這樣，DHCP Snooping對于DAI來說也成為必不可少的，DAI是動態(tài)使用的，相連的客戶端主機(jī)不需要進(jìn)行任何設(shè)置上的改變。對于沒有使用DHCP的服務(wù)器個(gè)別機(jī)器可以采用靜態(tài)添加DHCP綁定表或ARP accesslist實(shí)現(xiàn)。另外，通過DAI可以控制某個(gè)端口的ARP請求報(bào)文頻率。一旦ARP請求頻率的頻率超過預(yù)先設(shè)定的閾值，立即關(guān)閉該端口。該功能可以阻止網(wǎng)絡(luò)掃描工具的使用，同時(shí)對有大量ARP報(bào)文特征的病毒或攻擊也可以起到阻斷作用。配置示例IOS全局命令：ip dhcp snooping vlan 100,200 no ip dhcp snooping information optionip dhcp snoopingip arp inspection vlan 100,200 /*定義對哪些VLAN進(jìn)行ARP報(bào)文檢測*/ip arp inspection logbuffer entries 1024ip arp inspection logbuffer logs 1024 interval 10IOS接口命令：ip dhcp snooping trustip arp inspection trust /*定義哪些接口是信任接口，通常是網(wǎng)絡(luò)設(shè)備接口，TRUNK接口等*/ip arp inspection limit rate 15 (pps) /*定義接口每秒ARP報(bào)文數(shù)量*/對于沒有使用DHCP設(shè)備可以采用下面辦法：arp accesslist staticarp permit ip host mac host ip arp inspection filter staticarp vlan 201配置DAI后的效果在配置DAI技術(shù)的接口上，用戶端不能采用指定地址地址將接入網(wǎng)絡(luò)。由于DAI檢查 DHCP snooping綁定表中的IP和MAC對應(yīng)關(guān)系，無法實(shí)施中間人攻擊，攻擊工具失效。下表為實(shí)施中間人攻擊是交換機(jī)的警告：3w0d: %SW_DAI4DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16, vlan 1.([由于對ARP請求報(bào)文做了速度限制，客戶端無法進(jìn)行認(rèn)為或者病毒進(jìn)行的IP掃描、探測等行為，如果發(fā)生這些行為，交換機(jī)馬上報(bào)警或直接切斷掃描機(jī)器。如下表所示：3w0d: %SW_DAI4PACKET_RATE_EXCEEDED: 16 packets received in 184 milliseconds on Fa5/30. ******報(bào)警3w0d: %PM4ERR_DISABLE: arpinspection error detected on Fa5/30, putting Fa5/30 in errdisable state ******切斷端口I4965001.....sh int FastEthernet5/30 is down, line protocol is down (errdisabled) Hardware is Fast Ethernet Port, address is (bia ) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 I4965001...... IP/MAC欺騙的防范常見的欺騙攻擊的種類和目的除了ARP欺騙外，黑客經(jīng)常使用的另一手法是IP地址欺騙。常見的欺騙種類有MAC欺騙、IP欺騙、IP/MAC欺騙，其目的一般為偽造身份或者獲取針對IP/MAC的特權(quán)。此方法也被廣泛用作DOS攻擊，目前較多的攻擊是：Ping Of Death、Syn flood、ICMP Unreacheable Storm。如黑客冒用A地址對B地址發(fā)出大量的ping包，所有ping應(yīng)答都會返回到B地址，通過這種方式來實(shí)施拒絕服務(wù)（DoS）攻擊，這樣可以掩蓋攻擊系統(tǒng)的真實(shí)身份。富有侵略性的TCP SYN洪泛攻擊來源于一個(gè)欺騙性的IP地址，它是利用TCP三次握手會話對服務(wù)器進(jìn)行顛覆的又一種攻擊方式。一個(gè)IP地址欺騙攻擊者可以通過手動修改地址或者運(yùn)行一個(gè)實(shí)施地址欺騙的程序來假冒一個(gè)合法地址。另外病毒和木馬的攻擊也會使用欺騙的源IP地址。互聯(lián)網(wǎng)上的蠕蟲病毒也往往利用欺騙技術(shù)來掩蓋它們真實(shí)的源頭主機(jī)。IP/MAC欺騙的防范Catalyst IP源地址保護(hù)（IP Source Guard）功能打開后，可以根據(jù)DHCP偵聽記錄的IP綁定表動態(tài)產(chǎn)生PVACL，強(qiáng)制來自此端口流量的源地址符合DHCP綁定表的記錄，這樣攻擊者就無法通過假定一個(gè)合法用戶的IP地址來實(shí)施攻擊了，這個(gè)功能將只允許對擁有合法源地址的數(shù)據(jù)保進(jìn)行轉(zhuǎn)發(fā)，合法源地址是與IP地址綁定表保持一致的，它也是來源于DHCP Snooping綁定表。因此，DHCP Snooping功能對于這個(gè)功能的動態(tài)實(shí)現(xiàn)也是必不可少的，對于那些沒有用到DHCP的網(wǎng)絡(luò)環(huán)境來說，該綁定表也可以靜態(tài)配置。IP Source Guard不但可以配置成對IP地址的過濾也可以配置成對MAC地址的過濾，這樣，就只有IP地址和MAC地址都于DHCP Snooping綁定表匹配的通信包才能夠被允許傳輸。此時(shí)，必須將 IP源地址保護(hù)IP Source Guard與端口安全Port Security功能共同使用，并且需要DHCP服務(wù)器支持Option 82時(shí)，才可以抵御IP地址＋MAC地址的欺騙。與DAI不同的是，DAI僅僅檢查ARP報(bào)文， IP Source Guard對所有經(jīng)過定義IP Source Guard檢查的端口的報(bào)文都要檢測源地址。通過在交換機(jī)上配置IP Source Guard，可以過濾掉非法的IP/MAC地址，包含用戶故意修改的和病毒、攻擊等造成的。同時(shí)解決了IP地址沖突問題。配置示例檢測接口上的IP+MACIOS 全局配置命令：ip dhcp snooping vlan 12,200ip dhcp snooping information optionip dhcp snooping接口配置命令：ip verify source vlan dhcpsnooping portsecurityswitchport mode accessswitchport portsecurityswitchport portsecurity maximum 3檢測接口上的IPIOS 全局配置命令ip dhcp snooping vlan 12,200no ip dhcp snooping information optionip dhcp snooping接口配置命令：ip verify source vlan dhcpsnooping不使用DHCP的靜態(tài)配置IOS 全局配置命令：ip dhcp snooping vlan 12,200ip dhcp snooping information optionip dhcp snoopingip source binding vlan 212 interface Gi4/5 內(nèi)部管理用戶的訪問授權(quán)網(wǎng)絡(luò)的安全保障很大程度是通過網(wǎng)絡(luò)設(shè)備的安全功能來實(shí)現(xiàn)，網(wǎng)絡(luò)設(shè)備本身的安全管理顯得尤為重要。不同的內(nèi)部管理用戶應(yīng)該擁有不同的設(shè)備訪問權(quán)限，如有人只能show系統(tǒng)信息，有人可以config系統(tǒng)參數(shù)，具體到每一條命令，要求具有靈活性，這樣在網(wǎng)絡(luò)中有多個(gè)管理員時(shí)可以最大程度保障安全管理。另外，任何管理員、任何時(shí)候?qū)W(wǎng)絡(luò)設(shè)備的任何操作，都要有詳細(xì)的記錄，具體到管理員鍵盤輸入的每一條命令，為設(shè)備的維護(hù)提供了極大的方便。一旦系統(tǒng)發(fā)生問題，立刻可以查到什么人、什么時(shí)候、修改了什么配置，這一點(diǎn)對大型生產(chǎn)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行非常重要。CISCO的路由器產(chǎn)品可以分配16種不同的特權(quán)，每種特權(quán)有規(guī)定的命令集，這使得每個(gè)特權(quán)用戶只能執(zhí)行某些命令，從而提高了安全性。用戶的分級管理在網(wǎng)絡(luò)管理中，一般有許多不同角色的管理者，例如網(wǎng)管操作員，一般網(wǎng)絡(luò)管理員，高級網(wǎng)絡(luò)管理員，同時(shí)，根據(jù)網(wǎng)絡(luò)的區(qū)域劃分，也可分為區(qū)域級網(wǎng)絡(luò)管理人員和中心級網(wǎng)絡(luò)管理人員，這些網(wǎng)絡(luò)管理人員根據(jù)其職責(zé)的不同和所管理的網(wǎng)絡(luò)范圍，功能的不同，應(yīng)該具有不同的權(quán)限。因此，對網(wǎng)絡(luò)上的用戶進(jìn)行分級管理，是十分必要的。缺省情況下，Cisco IOS 軟件 有兩種模式，用戶模式和特權(quán)模式， 每種模式又可以設(shè)置16種不同層次的優(yōu)先級別，用戶可以對這16種不同層次的優(yōu)先級別進(jìn)行設(shè)置，從而使不同的用戶具有不同的權(quán)限，可以執(zhí)行自己權(quán)限范圍內(nèi)的命令，以完成不同的網(wǎng)絡(luò)管理目的。同時(shí)，用戶也可以對某個(gè)特殊命令進(jìn)行編輯和組合，使它可以加入不同的優(yōu)先級別，從而達(dá)到不同的管理目的。 一般情況按照網(wǎng)絡(luò)規(guī)模，功能及區(qū)域，建議分為兩類用戶：區(qū)域網(wǎng)絡(luò)管理和中心全網(wǎng)管理。每類又可分為以下三種不同的用戶分級。區(qū)域網(wǎng)絡(luò)管理分級對于區(qū)域網(wǎng)絡(luò)管理，網(wǎng)管人員只能對指定的部分網(wǎng)路設(shè)備進(jìn)行管理和監(jiān)控，其權(quán)限劃定在一定的范圍之內(nèi)。區(qū)域用網(wǎng)絡(luò)管理分為以下三種不同的用戶分級：區(qū)域網(wǎng)管操作員：區(qū)域網(wǎng)管操作員負(fù)責(zé)本區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備的監(jiān)視，只能執(zhí)行一些show類的用于監(jiān)視的命令，例如：show interfaces ，ping 等，一般屬于Cisco IOS 軟件的用戶模式。區(qū)域網(wǎng)絡(luò)管理員：區(qū)域一般網(wǎng)絡(luò)管理員負(fù)責(zé)本區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備的管理和維護(hù)，能夠執(zhí)行一些對主要配置影響不大的命令，例如show config等。區(qū)域高級網(wǎng)絡(luò)管理員：區(qū)域高級網(wǎng)絡(luò)管理員負(fù)責(zé)本區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備的管理和配置，同時(shí)與中心網(wǎng)絡(luò)管理員協(xié)調(diào)處理區(qū)域之間的網(wǎng)絡(luò)問題。能執(zhí)行全部的命令，例如：升級IOS軟件、參數(shù)配置、 DEBUG測試等，同時(shí)他可以建立一些低級的用戶賬號。全網(wǎng)中心管理分級園區(qū)網(wǎng)絡(luò)總部設(shè)有一個(gè)全網(wǎng)管理中心，全網(wǎng)管理中心負(fù)責(zé)全網(wǎng)的運(yùn)行管理和維護(hù)。在網(wǎng)管中心也應(yīng)設(shè)置不同的用戶級別，以完成不同的管理功能，同區(qū)域網(wǎng)絡(luò)管理類似，一般建議分為以下不同級別：中心網(wǎng)管操作員：中心網(wǎng)管操作員負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的監(jiān)控，只有監(jiān)控的權(quán)限，沒有修改配置的權(quán)限，也只能執(zhí)行一些對主要配置影響不大的命令，例如show config, 等。中心網(wǎng)絡(luò)管理員：中心一般網(wǎng)絡(luò)管理員負(fù)責(zé)整個(gè)網(wǎng)的管理和維護(hù)，能執(zhí)行Cisco IOS 軟件用戶模式全部的命令和特權(quán)模式部分的命令，例如 升級IOS軟件、 參數(shù)配置、 DEBUG測試等。中心高級網(wǎng)絡(luò)管理員：中心高級網(wǎng)絡(luò)管理員負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的運(yùn)行和管理，他同各區(qū)域高級網(wǎng)絡(luò)管理員協(xié)調(diào)處理整個(gè)網(wǎng)絡(luò)出現(xiàn)的問題，具有最高的權(quán)限，他能執(zhí)行全部的IOS命令，同時(shí)他還負(fù)責(zé)整個(gè)安全策略的產(chǎn)生和執(zhí)行，管理所有用戶賬號，分配不同的用戶權(quán)限等。以上這些用戶分級應(yīng)根據(jù)園區(qū)網(wǎng)絡(luò)的具體情況及要求分別細(xì)化其功能，使其分別對應(yīng)Cisco IOS 軟件的權(quán)限16種不同層次的優(yōu)先級別，同時(shí)用戶可以用privilege exec level等命令對某一層次優(yōu)先級所執(zhí)行的命令進(jìn)行管理，從而達(dá)到靈活管理。第五章 產(chǎn)品介紹 Cisco 2800系列介紹思科系統(tǒng)公司174。推出了一個(gè)全新的集成多業(yè)務(wù)路由器系列，它進(jìn)行了專門的優(yōu)化，可安全、線速地同時(shí)提供數(shù)據(jù)、話音和視頻服務(wù)，重新定義了最佳大型企業(yè)和中小型企業(yè)路由。模塊化Cisco174。 2800系列集成多業(yè)務(wù)路由器（參見圖1）建立在思科20年的領(lǐng)先地位及創(chuàng)新技術(shù)的基礎(chǔ)之上，智能地將數(shù)據(jù)、安全性和話音服務(wù)內(nèi)嵌于單一永續(xù)系統(tǒng)，能快速、可擴(kuò)展地提供關(guān)鍵任務(wù)業(yè)務(wù)應(yīng)用。Cisco 2800系列的獨(dú)特集成系統(tǒng)架構(gòu)提供了最高業(yè)務(wù)靈活性和投資保護(hù)。圖1 Cisco 2800系列