【導(dǎo)讀】校園網(wǎng)絡(luò)設(shè)計方案。第十組：王華鋒、何媛萍1

　　

【正文】 23 ? 冒用合法用戶的 IP 地址當(dāng)合法用戶不在線時，冒用其 IP 地址聯(lián)網(wǎng)，使合法用戶的權(quán)益受到侵害 無論是有意或無意地使用非法 IP 地址都可能會給企業(yè)帶來嚴(yán)重的后果，如重復(fù)的 IP 地址會 干擾、破壞網(wǎng)絡(luò)服務(wù)器和網(wǎng)絡(luò)設(shè)備的正常運(yùn)行 ，甚至導(dǎo)致網(wǎng)絡(luò)的不穩(wěn)定 ，從而影響業(yè)務(wù)； 擁有被非法使用的 IP 地址所擁有的特權(quán) ，威脅網(wǎng)絡(luò)安全；利用 欺騙性的 IP 地址 進(jìn)行網(wǎng)絡(luò)攻擊，如 富有侵略性的 TCP SYN 洪泛攻擊來源于一個欺騙性的 IP 地址，它是利用 TCP 三次握手會話對服務(wù)器進(jìn)行顛覆的一種攻擊方式 ，一 個 IP 地址欺騙攻擊者可以通過手動修改地址或者運(yùn)行一個實(shí)施地址欺騙的程序來假冒一個合法地址。 為了防止非法 使用 IP 地址，增強(qiáng)網(wǎng)絡(luò)安全， 最常見 的 方法 是采用靜態(tài)的 ARP命令捆綁 IP 地址和 MAC 地址 ，從而 阻止非法用戶在不修改 MAC 地址的情況下冒用 IP 地址進(jìn)行 的 訪問 ，同時 借助交換機(jī)的端口 安全即 MAC 地址綁定功能可以解決非法用戶修改 MAC 地址以適應(yīng)靜態(tài) ARP 表的問題。 但這種方法由于要事先收集所有機(jī)器的 MAC 地址及相應(yīng)的 IP 地址，然后還要通過人工輸入方法來建立 IP 地址和 MAC 地址 的捆綁表，不僅工作量繁重，而且也難以維護(hù)和管理。 另一個顯著的問題就是帶有攻擊特性的 ARP 欺騙。地址解析協(xié)議（ ARP，Address Resolution Protocol）最基本的功能是用來實(shí)現(xiàn) MAC 地址和 IP 地址的綁定，這樣兩個工作站才可以通訊，通訊發(fā)起方的工作站以 MAC 廣播方式發(fā)送ARP 請求，擁有此 IP 地址的工作站給予 ARP 應(yīng)答，并附上自己的 IP 和 MAC地址。 ARP 協(xié)議同時支持一種無請求 ARP 功能，局域網(wǎng)段上的所有工作站收到主動 ARP，會將發(fā)送者的 MAC 地址和其宣布的 IP 地址保存，覆蓋以前的同一IP 地址和對應(yīng)的 MAC 地址 。 術(shù)語 ―ARP 欺騙 ‖或者說 ―ARP 中毒 ‖就是指 利用 主動ARP 來誤導(dǎo)通信數(shù)據(jù)傳往一個惡意計算機(jī)的黑客技術(shù)，該計算機(jī)就能成為某個特定局域網(wǎng)網(wǎng)段上的兩臺終端工作站之間 IP 會話的 ―中間人 ‖了。 如果黑客想探聽同一網(wǎng)絡(luò)中兩臺主機(jī)之間的通信（即使是通過交換機(jī)相連），他會分別給這兩臺主機(jī)發(fā)送一個 ARP 應(yīng)答包，讓兩臺主機(jī) 都 ―誤 ‖認(rèn)為對方的MAC 地址是第三方黑客所在的主機(jī)，這樣，雙方看似 ―直接 ‖的通信連接，實(shí)際上都是通過黑客所在的主機(jī)間接進(jìn)行的。黑客一方面得到了想要的通信內(nèi)容 ，并實(shí)習(xí)模擬校園網(wǎng)絡(luò) 設(shè)計方案 第十組：王華鋒、何媛萍 24 可以通過工具破譯賬號、密碼、信息 ，另一方面， 還可以惡意 更改數(shù)據(jù)包中的一些信息。 同時，這種 ARP 欺騙又極具隱蔽性，攻擊完成后再恢復(fù)現(xiàn)場，所以不易發(fā)覺、事后也難以追查，被攻擊者往往對此一無所知。 病毒入侵問題 也是所有 客戶 普遍關(guān)心的問題。 這些 病毒， 可以 在極短的時間內(nèi)迅速感染大量系統(tǒng)， 甚至造成網(wǎng)絡(luò)癱瘓和信息失竊，給 客戶 造成嚴(yán)重?fù)p失。 木馬病毒往往會利用 ARP 的 欺騙獲取賬號和密碼，而 蠕蟲病毒也往往利用 IP 地址欺騙技術(shù)來掩蓋它們真實(shí)的源頭主機(jī) 。 例如 ―局域網(wǎng)終結(jié)者 ‖（ ）病毒 ，通過 偽造 ARP 包來欺騙網(wǎng)絡(luò)主機(jī)，使指定的主機(jī)網(wǎng)絡(luò)中斷，嚴(yán)重影響到網(wǎng)絡(luò)的運(yùn)行。 最后， 令 網(wǎng)絡(luò)管理員 頭痛 的問題是如何準(zhǔn)確定位。當(dāng)出現(xiàn) IP 地址被非法 使用、 IP 地址沖突，或網(wǎng)絡(luò)出現(xiàn)異常流量包括由于網(wǎng)絡(luò)掃描、病毒感染和網(wǎng)絡(luò)攻擊產(chǎn)生的流量， 為了 查找這些 IP 地址 的機(jī)器 ，一般采用如下 步驟 ： ? 確定出現(xiàn)問題的 IP 地址 。 ? 查看當(dāng)前 網(wǎng)絡(luò)設(shè)備 的 ARP 表，從中獲得網(wǎng)卡的 MAC 地址。 ? 檢 查 交換機(jī)的 MAC 地址列表，確定機(jī)器位置。 這個過程往往要花費(fèi)大量的時間才能夠定位機(jī)器具體連接的物理端口，而對于偽造的源 IP 地址要查出是從哪臺機(jī)器產(chǎn)生的就更加困難了。如果不能及時對故障源準(zhǔn)確地定位、迅速地隔離，將會導(dǎo)致嚴(yán)重的后果，即使在網(wǎng)絡(luò)恢復(fù)正常后隱患依然存在。 阻止來自網(wǎng)絡(luò)第二層攻擊的重要性 以上 所提到的攻擊和欺騙行為主要 來自 網(wǎng)絡(luò) 的第二 層。在網(wǎng)絡(luò)實(shí)際環(huán)境中，其來源可概括為兩個途徑：人為實(shí)施 ， 病毒或蠕蟲。人為實(shí)施通常是指使用一些黑客的工具對網(wǎng)絡(luò)進(jìn)行掃描和嗅探，獲取管理帳戶和相關(guān)密碼，在網(wǎng)絡(luò)上 中安插木馬，從而進(jìn)行進(jìn)一步竊取機(jī)密文件。木馬 、 蠕蟲 病毒 的攻擊 不僅僅是 攻擊和欺騙， 同時還會帶來 網(wǎng)絡(luò)流量加大、設(shè)備 CPU 利用率過高、二層生成樹環(huán)路 、 網(wǎng)絡(luò)癱瘓 等現(xiàn)象 。 網(wǎng)絡(luò) 第二層 的攻擊 是 網(wǎng)絡(luò)安全 攻擊者 最容易實(shí)施， 也是最不容易 被 發(fā)現(xiàn)的安實(shí)習(xí)模擬校園網(wǎng)絡(luò) 設(shè)計方案 第十組：王華鋒、何媛萍 25 全威脅，它的目標(biāo)是讓網(wǎng)絡(luò)失效或者通過獲取諸如密碼這樣的敏感信息而危及網(wǎng)絡(luò)用戶的安全。 因 為任何一個 合法 用戶都能獲取一個以太網(wǎng)端口的訪問權(quán)限，這些用戶都 有 可能 成為 黑客， 同時 由于設(shè)計 OSI 模型的時候，允許不同通信層在相互不了解情況下也能進(jìn)行工作，所以第二層的安全就變得至關(guān)重要。如果這一層受 到黑客的攻擊，網(wǎng)絡(luò)安全將受到嚴(yán)重威脅，而且其他層之間的通信還會繼續(xù)進(jìn)行，同時任何用戶都不會感覺到攻擊已經(jīng)危及應(yīng)用層的信息安全。 所以， 僅僅基于 認(rèn)證（如 IEEE ） 和 訪問控制列表（ ACL， Access Control Lists）的 安全措施 是無法防止本文中提到的 來自網(wǎng)絡(luò)第二層的 安全攻擊 。 一個經(jīng)過認(rèn)證的用戶仍然 可以 有惡意 ， 并 可以 很容易 地 執(zhí)行本文提到的所有攻擊。目前這類攻擊和欺騙工具已經(jīng)非常成熟和易用 。 歸納前面提到的局域網(wǎng)目前普遍存在的安全問題，根據(jù)這些安全威脅的 特征分析 ， 這些攻擊 都來自于網(wǎng)絡(luò)的第二 層，主要 包括 以下幾種 ： ? MAC 地址 泛濫 攻擊 ? DHCP 服務(wù)器 欺騙 攻擊 ? ARP 欺騙 Cisco Catalyst 交換系列的創(chuàng)新特性 針對這類攻擊 提供了全面 的解決方案， 將發(fā)生在網(wǎng)絡(luò)第二層的攻擊阻止在 通往內(nèi)部網(wǎng)的 第一入口處， 主要基于下面的幾個關(guān)鍵的技術(shù)。 ? Port Security ? DHCP Snooping ? Dynamic ARP Inspection (DAI) 下面主要針對目前 這些 非常典型的二層攻擊和欺騙說明如何在思科交換機(jī)上組合運(yùn)用和部署上述技術(shù)，從而防止在交換環(huán)境中 的 ―中間人 ‖攻擊、MAC/CAM 攻擊、 DHCP 攻擊、地址欺騙等，更具意義的是通過上面技術(shù)的部署可以簡化地址管理，直接跟蹤用戶 IP 和對應(yīng)的交換機(jī)端口 ， 防止 IP 地址沖突。同時對于大多數(shù)具有地址掃描、欺騙等特征的病毒可以有效的報警和隔離。 實(shí)習(xí)模擬校園網(wǎng)絡(luò) 設(shè)計方案 第十組：王華鋒、何媛萍 26 MAC 泛濫 攻擊的原理和危害 交換機(jī)主動學(xué)習(xí)客戶端的 MAC 地址，并建立和維護(hù)端口和 MAC 地址的對應(yīng)表以此建立交換路徑，這個表就是通常我們所說的 CAM 表。 CAM 表的大小是固定的，不同的交換機(jī)的 CAM 表大小不同。 MAC/CAM 攻擊是指利用工具產(chǎn)生欺騙 MAC，快速填滿 CAM 表，交換機(jī) CAM 表被填滿。黑客發(fā)送大量帶 有隨機(jī)源 MAC 地址的數(shù)據(jù)包，這些新 MAC 地址被交換機(jī) CAM學(xué)習(xí)，很快塞滿 MAC地址表，這時新目的 MAC 地址的數(shù)據(jù)包就會廣播到交換機(jī)所有端口，交換機(jī)就像共享 HUB 一樣工作，黑客可以用 sniffer 工具監(jiān)聽所有端口的流量。此類攻擊不僅造成安全性的破壞，同時大量的廣播包降低了交換機(jī)的性能。 當(dāng)交換機(jī)的 CAM 表被填滿后， 交換機(jī)以廣播方式處理通過交換機(jī)的報文，這時攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡(luò)信息。 更為嚴(yán)重的是，這種攻擊也會導(dǎo)致所有鄰接的交換機(jī) CAM 表被填滿 ，流量以洪泛方式發(fā)送到所有 交換機(jī)的所有含有此 VLAN 的 接 口， 從而 造成交換機(jī)負(fù)載過大 、 網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。 MAC 泛濫 攻擊防范 方法 限制單個端口所連接 MAC 地址的數(shù)目可以有效防止類似 macof 工具和 SQL蠕蟲病毒發(fā)起的攻擊， macof 可被網(wǎng)絡(luò)用戶用來產(chǎn)生隨機(jī)源 MAC 地址和隨機(jī)目的 MAC 地址的數(shù)據(jù)包，可以在不到 10 秒的時間內(nèi)填滿交換機(jī)的 CAM 表。 Cisco Catalyst 交換機(jī)的端口安全（ Port Security）和動態(tài)端口安全功能可被用來阻止MAC 泛濫攻擊。例如交換機(jī)連接單臺工作站的端口，可以限制所學(xué) MAC 地址數(shù)為 1；連接 IP 電話和工作站的端口 可限制所學(xué) MAC 地址數(shù)為 3： IP 電話、工作站和 IP 電話內(nèi)的交換機(jī)。 通過端口安全功能，網(wǎng)絡(luò)管理員也可以靜態(tài)設(shè)置每個端口所允許連接的合法MAC 地址，實(shí)現(xiàn)設(shè)備級的安全授權(quán)。動態(tài)端口安全則設(shè)置端口允許合法 MAC地址的數(shù)目，并以一定時間內(nèi)所學(xué)習(xí)到的地址作為合法 MAC 地址。 通過配置 Port Security 可以控制： ? 端口上最大可以通過的 MAC 地址數(shù)量 ? 端口上學(xué)習(xí)或通過哪些 MAC 地址 ? 對于超過規(guī)定數(shù)量的 MAC 處理進(jìn)行違背處理 實(shí)習(xí)模擬校園網(wǎng)絡(luò) 設(shè)計方案 第十組：王華鋒、何媛萍 27 端口上學(xué)習(xí)或通過哪些 MAC 地址，可以通過靜態(tài)手工定義，也可以在交換機(jī)自動學(xué)習(xí)。交換機(jī)動態(tài) 學(xué)習(xí)端口 MAC，直到指定的 MAC 地址數(shù)量，交換機(jī)關(guān)機(jī)后重新學(xué)習(xí)。目前較新的技術(shù)是 Sticky Port Security，交換機(jī)將學(xué)到的 mac地址寫到端口配置中，交換機(jī)重啟后配置仍然存在。 對于超過規(guī)定數(shù)量的 MAC 處理進(jìn)行處理一般有三種方式（針對交換機(jī)型號會有所不同）： ? Shutdown：端口關(guān)閉。 ? Protect： 丟棄非法流量，不報警。 ? Restrict： 丟棄非法流量，報警。 DHCP 欺騙 攻擊的防范 采用 DHCP 管理的常見問題 ： 采用 DHCP server 可以自動為用戶設(shè)置網(wǎng)絡(luò) IP 地址、掩碼 、網(wǎng)關(guān)、 DNS、WINS 等網(wǎng)絡(luò)參數(shù)，簡化了用戶網(wǎng)絡(luò)設(shè)置，提高了管理效率。但在 DHCP 管理使用上也存在著一些另網(wǎng)管人員比較問題，常見的有： ? DHCP server 的冒充。 ? DHCP server 的 DOS 攻擊。 ? 有些用戶隨便指定地址，造成網(wǎng)絡(luò)地址沖突。 ? 由于 DHCP 的運(yùn)作機(jī)制，通常服務(wù)器和客戶端沒有認(rèn)證機(jī)制，如果網(wǎng)絡(luò)上存在多臺 DHCP 服務(wù)器將會給網(wǎng)絡(luò)照成混亂。 ? 由于不小心配置了 DHCP 服務(wù)器引起的網(wǎng)絡(luò)混亂 也 非常常見 。 黑客利用類似 Goobler 的工具可以發(fā)出大量帶有不同源 MAC 地址的 DHCP請求，直到 DHCP 服務(wù)器對應(yīng)網(wǎng)段的所有地址被占用，此類攻擊既可以造成 DOS的破壞，也可和 DHCP 服務(wù)器欺詐結(jié)合將流量重指到意圖進(jìn)行流量截取的惡意節(jié)點(diǎn)。 DHCP 服務(wù)器欺詐可能是故意的，也可能是無意啟動 DHCP 服務(wù)器功能，惡實(shí)習(xí)模擬校園網(wǎng)絡(luò) 設(shè)計方案 第十組：王華鋒、何媛萍 28 意用戶發(fā)放錯誤的 IP 地址、 DNS 服務(wù)器信息或默認(rèn)網(wǎng)關(guān)信息，以此來實(shí)現(xiàn)流量的截取。 DHCP Snooping 技術(shù) 概述 DHCP Snooping 技術(shù)是 DHCP 安全特性，通過建立和維護(hù) DHCP Snooping綁定表過濾不可信任的 DHCP 信息，這些信息是指來自不信任區(qū)域的 DHCP 信息。 通過截取一個虛擬 局域網(wǎng)內(nèi)的 DHCP 信息，交換機(jī)可以在用戶和 DHCP 服務(wù)器之間擔(dān)任就像小型安全防火墻這樣的角色， ―DHCP 監(jiān)聽 ‖功能基于動態(tài)地址分配建立了一個 DHCP 綁定表，并將該表存貯在交換機(jī)里。在沒有 DHCP 的環(huán)境中，如數(shù)據(jù)中心，綁定條目可能被靜態(tài)定義，每個 DHCP 綁定條目包含客戶端地址（一個靜態(tài)地址或者一個從 DHCP 服務(wù)器上獲取的地址）、客戶端 MAC地址、端口、 VLAN ID、租借時間、綁定類型（靜態(tài)的或者動態(tài)的）。 基本防范 為了防止這種類型的攻擊， Catalyst DHCP 偵聽（ DHCP Snooping）功能可有 效阻止此類攻擊，當(dāng)打開此功能，所有用戶端口除非特別設(shè)置，被認(rèn)為不可信任端口，不應(yīng)該作出任何 DHCP 響應(yīng)，因此欺詐 DHCP 響應(yīng)包被交換機(jī)阻斷，合法的 DHCP 服務(wù)器端口或上連端口應(yīng)被