【文章內容簡介】 和C 進行欺騙的前奏就是發(fā)送假的ARP 應答包，如圖所示：在收到B主機發(fā)來的ARP應答后，A主機應知道： 的數(shù)據(jù)包應該發(fā)到MAC地址為020202020202 的主機；C 主機也知道： 的數(shù)據(jù)包應該發(fā)到MAC 地址為020202020202 的主機。這樣，A 和C 都認為對方的MAC 地址是020202020202，實際上這就是B 主機所需得到的結果。當然，因為ARP 緩存表項是動態(tài)更新的，其中動態(tài)生成的映射有個生命期，一般是兩分鐘，如果再沒有新的信息更新，ARP 映射項會自動去除。所以，B還有一個“任務”，那就是一直連續(xù)不斷地向A 和C 發(fā)送這種虛假的ARP 響應包，讓其ARP緩存中一直保持被毒害了的映射表項?，F(xiàn)在，如果A 和C 要進行通信，實際上彼此發(fā)送的數(shù)據(jù)包都會先到達B 主機，這時，如果B 不做進一步處理，A 和C 之間的通信就無法正常建立，B 也就達不到“嗅探”通信內容的目的，因此，B 要對“錯誤”收到的數(shù)據(jù)包進行一番修改，然后轉發(fā)到正確的目的地，而修改的內容，無非是將目的MAC 和源MAC 地址進行替換。如此一來，在A 和C 看來，彼此發(fā)送的數(shù)據(jù)包都是直接到達對方的，但在B 來看，自己擔當?shù)木褪恰暗谌摺钡慕巧＿@種嗅探方法，也被稱作中間人MIMT（ManInTheMiddle）的方法。如圖 所示。防范方法這些攻擊都可以通過動態(tài)ARP檢查（DAI，Dynamic ARP Inspection）來防止，它可以幫助保證接入交換機只傳遞“合法的”的ARP請求和應答信息。DHCP Snooping監(jiān)聽綁定表包括IP地址與MAC地址的綁定信息并將其與特定的交換機端口相關聯(lián)，動態(tài)ARP檢測（DAI－Dynamic ARP Inspection）可以用來檢查所有非信任端口的ARP請求和應答(主動式ARP和非主動式ARP)，確保應答來自真正的ARP所有者。Catalyst交換機通過檢查端口紀錄的DHCP綁定信息和ARP應答的IP地址決定是否真正的ARP所有者，不合法的ARP包將被刪除。DAI配置針對VLAN，對于同一VLAN內的接口可以開啟DAI也可以關閉，如果ARP包從一個可信任的接口接受到，就不需要做任何檢查，如果ARP包在一個不可信任的接口上接受到，該包就只能在綁定信息被證明合法的情況下才會被轉發(fā)出去。這樣，DHCP Snooping對于DAI來說也成為必不可少的，DAI是動態(tài)使用的，相連的客戶端主機不需要進行任何設置上的改變。對于沒有使用DHCP的服務器個別機器可以采用靜態(tài)添加DHCP綁定表或ARP accesslist實現(xiàn)。另外，通過DAI可以控制某個端口的ARP請求報文頻率。一旦ARP請求頻率的頻率超過預先設定的閾值，立即關閉該端口。該功能可以阻止網絡掃描工具的使用，同時對有大量ARP報文特征的病毒或攻擊也可以起到阻斷作用。配置示例IOS全局命令：ip dhcp snooping vlan 100,200 no ip dhcp snooping information optionip dhcp snoopingip arp inspection vlan 100,200 /*定義對哪些VLAN進行ARP報文檢測*/ip arp inspection logbuffer entries 1024ip arp inspection logbuffer logs 1024 interval 10IOS接口命令：ip dhcp snooping trustip arp inspection trust /*定義哪些接口是信任接口，通常是網絡設備接口，TRUNK接口等*/ip arp inspection limit rate 15 (pps) /*定義接口每秒ARP報文數(shù)量*/對于沒有使用DHCP設備可以采用下面辦法：arp accesslist staticarp permit ip host mac host ip arp inspection filter staticarp vlan 201配置DAI后的效果在配置DAI技術的接口上，用戶端不能采用指定地址地址將接入網絡。由于DAI檢查 DHCP snooping綁定表中的IP和MAC對應關系，無法實施中間人攻擊，攻擊工具失效。下表為實施中間人攻擊是交換機的警告：3w0d: %SW_DAI4DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16, vlan 1.([由于對ARP請求報文做了速度限制，客戶端無法進行認為或者病毒進行的IP掃描、探測等行為，如果發(fā)生這些行為，交換機馬上報警或直接切斷掃描機器。如下表所示：3w0d: %SW_DAI4PACKET_RATE_EXCEEDED: 16 packets received in 184 milliseconds on Fa5/30. ******報警3w0d: %PM4ERR_DISABLE: arpinspection error detected on Fa5/30, putting Fa5/30 in errdisable state ******切斷端口I4965001.....sh int FastEthernet5/30 is down, line protocol is down (errdisabled) Hardware is Fast Ethernet Port, address is (bia ) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 I4965001...... IP/MAC欺騙的防范常見的欺騙攻擊的種類和目的除了ARP欺騙外，黑客經常使用的另一手法是IP地址欺騙。常見的欺騙種類有MAC欺騙、IP欺騙、IP/MAC欺騙，其目的一般為偽造身份或者獲取針對IP/MAC的特權。此方法也被廣泛用作DOS攻擊，目前較多的攻擊是：Ping Of Death、Syn flood、ICMP Unreacheable Storm。如黑客冒用A地址對B地址發(fā)出大量的ping包，所有ping應答都會返回到B地址，通過這種方式來實施拒絕服務（DoS）攻擊，這樣可以掩蓋攻擊系統(tǒng)的真實身份。富有侵略性的TCP SYN洪泛攻擊來源于一個欺騙性的IP地址，它是利用TCP三次握手會話對服務器進行顛覆的又一種攻擊方式。一個IP地址欺騙攻擊者可以通過手動修改地址或者運行一個實施地址欺騙的程序來假冒一個合法地址。另外病毒和木馬的攻擊也會使用欺騙的源IP地址?；ヂ?lián)網上的蠕蟲病毒也往往利用欺騙技術來掩蓋它們真實的源頭主機。IP/MAC欺騙的防范Catalyst IP源地址保護（IP Source Guard）功能打開后，可以根據(jù)DHCP偵聽記錄的IP綁定表動態(tài)產生PVACL，強制來自此端口流量的源地址符合DHCP綁定表的記錄，這樣攻擊者就無法通過假定一個合法用戶的IP地址來實施攻擊了，這個功能將只允許對擁有合法源地址的數(shù)據(jù)保進行轉發(fā)，合法源地址是與IP地址綁定表保持一致的，它也是來源于DHCP Snooping綁定表。因此，DHCP Snooping功能對于這個功能的動態(tài)實現(xiàn)也是必不可少的，對于那些沒有用到DHCP的網絡環(huán)境來說，該綁定表也可以靜態(tài)配置。IP Source Guard不但可以配置成對IP地址的過濾也可以配置成對MAC地址的過濾，這樣，就只有IP地址和MAC地址都于DHCP Snooping綁定表匹配的通信包才能夠被允許傳輸。此時，必須將 IP源地址保護IP Source Guard與端口安全Port Security功能共同使用，并且需要DHCP服務器支持Option 82時，才可以抵御IP地址＋MAC地址的欺騙。與DAI不同的是，DAI僅僅檢查ARP報文， IP Source Guard對所有經過定義IP Source Guard檢查的端口的報文都要檢測源地址。通過在交換機上配置IP Source Guard，可以過濾掉非法的IP/MAC地址，包含用戶故意修改的和病毒、攻擊等造成的。同時解決了IP地址沖突問題。配置示例檢測接口上的IP+MACIOS 全局配置命令：ip dhcp snooping vlan 12,200ip dhcp snooping information optionip dhcp snooping接口配置命令：ip verify source vlan dhcpsnooping portsecurityswitchport mode accessswitchport portsecurityswitchport portsecurity maximum 3檢測接口上的IPIOS 全局配置命令ip dhcp snooping vlan 12,200no ip dhcp snooping information optionip dhcp snooping接口配置命令：ip verify source vlan dhcpsnooping不使用DHCP的靜態(tài)配置IOS 全局配置命令：ip dhcp snooping vlan 12,200ip dhcp snooping information optionip dhcp snoopingip source binding vlan 212 interface Gi4/5 內部管理用戶的訪問授權網絡的安全保障很大程度是通過網絡設備的安全功能來實現(xiàn)，網絡設備本身的安全管理顯得尤為重要。不同的內部管理用戶應該擁有不同的設備訪問權限，如有人只能show系統(tǒng)信息，有人可以config系統(tǒng)參數(shù)，具體到每一條命令，要求具有靈活性，這樣在網絡中有多個管理員時可以最大程度保障安全管理。另外，任何管理員、任何時候對網絡設備的任何操作，都要有詳細的記錄，具體到管理員鍵盤輸入的每一條命令，為設備的維護提供了極大的方便。一旦系統(tǒng)發(fā)生問題，立刻可以查到什么人、什么時候、修改了什么配置，這一點對大型生產網絡的穩(wěn)定運行非常重要。CISCO的路由器產品可以分配16種不同的特權，每種特權有規(guī)定的命令集，這使得每個特權用戶只能執(zhí)行某些命令，從而提高了安全性。用戶的分級管理在網絡管理中，一般有許多不同角色的管理者，例如網管操作員，一般網絡管理員，高級網絡管理員，同時，根據(jù)網絡的區(qū)域劃分，也可分為區(qū)域級網絡管理人員和中心級網絡管理人員，這些網絡管理人員根據(jù)其職責的不同和所管理的網絡范圍，功能的不同，應該具有不同的權限。因此，對網絡上的用戶進行分級管理，是十分必要的。缺省情況下，Cisco IOS 軟件 有兩種模式，用戶模式和特權模式， 每種模式又可以設置16種不同層次的優(yōu)先級別，用戶可以對這16種不同層次的優(yōu)先級別進行設置，從而使不同的用戶具有不同的權限，可以執(zhí)行自己權限范圍內的命令，以完成不同的網絡管理目的。同時，用戶也可以對某個特殊命令進行編輯和組合，使它可以加入不同的優(yōu)先級別，從而達到不同的管理目的。 一般情況按照網絡規(guī)模，功能及區(qū)域，建議分為兩類用戶：區(qū)域網絡管理和中心全網管理。每類又可分為以下三種不同的用戶分級。區(qū)域網絡管理分級對于區(qū)域網絡管理，網管人員只能對指定的部分網路設備進行管理和監(jiān)控，其權限劃定在一定的范圍之內。區(qū)域用網絡管理分為以下三種不同的用戶分級：區(qū)域網管操作員：區(qū)域網管操作員負責本區(qū)域內部的網絡設備的監(jiān)視，只能執(zhí)行一些show類的用于監(jiān)視的命令，例如：show interfaces ，ping 等，一般屬于Cisco IOS 軟件的用戶模式。區(qū)域網絡管理員：區(qū)域一般網絡管理員負責本區(qū)域內部的網絡設備的管理和維護，能夠執(zhí)行一些對主要配置影響不大的命令，例如show config等。區(qū)域高級網絡管理員：區(qū)域高級網絡管理員負責本區(qū)域內部的網絡設備的管理和配置，同時與中心網絡管理員協(xié)調處理區(qū)域之間的網絡問題。能執(zhí)行全部的命令，例如：升級IOS軟件、參數(shù)配置、 DEBUG測試等，同時他可以建立一些低級的用戶賬號。全網中心管理分級園區(qū)網絡總部設有一個全網管理中心，全網管理中心負責全網的運行管理和維護。在網管中心也應設置不同的用戶級別，以完成不同的管理功能，同區(qū)域網絡管理類似，一般建議分為以下不同級別：中心網管操作員：中心網管操作員負責整個網絡的監(jiān)控，只有監(jiān)控的權限，沒有修改配置的權限，也只能執(zhí)行一些對主要配置影響不大的命令，例如show config, 等。中心網絡管理員：中心一般網絡管理員負責整個網的管理和維護，能執(zhí)行Cisco IOS 軟件用戶模式全部的命令和特權模式部分的命令，例如 升級IOS軟件、 參數(shù)配置、 DEBUG測試等。中心高級網絡管理員：中心高級網絡管理員負責整個網絡的運行和管理，他同各區(qū)域高級網絡管理員協(xié)調處理整個網絡出現(xiàn)的問題，具有最高的權限，他能執(zhí)行全部的IOS命令，同時他還負責整個安全策略的產生和執(zhí)行，管理所有用戶賬號，分配不同的用戶權限等。以上這些用戶分級應根據(jù)園區(qū)網絡的具體情況及要求分別細化其功能，使其分別對應Cisco IOS 軟件的權限16種不同層次的優(yōu)先級別，同時用戶可以用privilege exec level等命令對某一層次優(yōu)先級所執(zhí)行的命令進行管理，從而達到靈活管理。第五章 產品介紹 Cisco 2800系列介紹思科系統(tǒng)公司174。推出了一個全新的集成多業(yè)務路由器系列，它進行了專門的優(yōu)化，可安全、線速地同時提供數(shù)據(jù)、話音和視頻服務，重新定義了最佳大型企業(yè)和中小型企業(yè)路由。模塊化Cisco174。 2800系列集成多業(yè)務路由器（參見圖1）建立在思科20年的領先地位及創(chuàng)新技術的基礎之上，智能地將數(shù)據(jù)、安全性和話音服務內嵌于單一永續(xù)系統(tǒng)，能快速、可擴展地提供關鍵任務業(yè)務應用。Cisco 2800系列的獨特集成系統(tǒng)架構提供了最高業(yè)務靈活性和投資保護。圖1 Cisco 2800系列