接入网常见的攻击及防范.docVIP

　　接入网常见的攻击及防范～教育资源库 　　电信级IP技术的发展成熟使得话音、数据、视频和移动等应用的融合成为必然，统一通讯已成为发展的趋势。以IP技术为核心进行网络改造并承载多种新型业务以提升竞争力，是固网运营商的发展方向。而以太网技术由于标准化程度高、应用广泛、带宽提供能力强、扩展性良好、技术成熟，设备性价比高，对IP的良好支持，成为城域网和接入网的发展趋势。但是，由于以太网技术的开放性和其应用广泛，也带来了一些安全上的问题。特别是当网络由原有的单业务承载转为多业务承载时，安全问题带来的影响愈发明显，已经逐步影响到业务的开展和部署。 　　目前接入网常见的攻击包括ARP中间人攻击、IP/MAC欺骗攻击、DHCP/ARP报文泛洪攻击等。 　　网络攻击 　　ARP中间人攻击 　　按照ARP协议的设计，一个主机即使收到的ARP应答并非自身请求得到的，也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信，但也为ARP欺骗创造了条件。 　　如下图示，Host A和Host C通过SAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后，Host A 和Host C之间看似直接的通信，实际上都是通过黑客所在的主机间接进行的，即Host B担当了中间人的角色，可以对信息进行了窃取和篡改。这种攻击方式就称作中间人(Man-In-The-Middle)攻击。 　　IP/MAC欺骗攻击 　　常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗，黑客可以伪造报文的源地址进行攻击，其目的一般为伪造身份或者获取针对IP/MAC的特权，另外此方法也被应用于DoS( Deny of Service，拒绝服务)攻击，严重的危害了网络安全。 　　为了防止IP/MAC欺骗攻击，H3C低端以太网交换机提供了IP过滤特性，开启该功能后，交换机可以强制经过某一端口流量的源地址符合动态获取的DHCP Snooping表项或静态配置的IP与MAC绑定表项的记录，防止攻击者通过伪造源地址来实施攻击。此外，该功能也可以防止用户随便指定IP地址，造成的网络地址冲突等现象。 　　DHCP报文泛洪攻击 　　DHCP报文泛洪攻击是指：恶意用户利用工具伪造大量DHCP报文发送到服务器，一方面恶意耗尽了IP资源，使得合法用户无法获得IP资源;另一方面,如果交换机上开启了DHCP Snooping功能，会将接收到的DHCP报文上送到CPU。因此大量的DHCP报文攻击设备会使DHCP服务器高负荷运行，甚至会导致设备瘫痪。 　　ARP报文泛洪攻击 　　ARP报文泛洪类似DHCP泛洪，同样是恶意用户发出大量的ARP报文，造成L3设备的ARP表项溢出，影响正常用户的转发。 　　安全防范 　　对于上述的几种攻击手段，H3C接入网解决方案在用户接入侧利用DHCP SNOOPING，提供相应的防范手段。 　　DHCP Snooping表项的建立 　　开启DHCP Snooping功能后，H3C接入交换机根据设备的不同特点可以分别采取监听DHCP-REQUEST广播报文和DHCP-ACK单播报文的方法来记录用户获取的IP地址等信息。目前，交换机的DHCP Snooping表项主要记录的信息包括：分配给客户端的IP地址、客户端的MAC地址、VLAN信息、端口信息、租约信息。 　　ARP入侵检测功能 　　ARP入侵检测功能工作机制 　　为了防止ARP中间人攻击，接入交换机支持将收到的ARP(请求与回应)报文重定向到CPU，结合DHCP Snooping安全特性来判断ARP报文的合法性并进行处理，具体如下。 　　l 当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项匹配，且ARP报文的入端口及其所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项一致，则为合法ARP报文，进行转发处理。 　　l 当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项不匹配，或ARP报文的入端口，入端口所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项不一致，则为非法ARP报文，直接丢弃，并通过Debug打印出丢弃信息提示用户。 　　ARP入侵检测功能示意图 　　手工配置IP静态绑定表项 　　DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息，如果用户手工配置了固定IP地址，其IP地址、MAC地址等信息将不会被DHCP Snooping表记录，因此不能通过基于DHCP Snooping表项的ARP入侵