MACIPSpoofing防御(MACIP欺骗的防御).doc

MAC/IP Spoofing防御（MAC/IP欺骗的预防） MAC Spoofing/MAC欺骗 什么是CAM表 CAM表：cam表是交换机里面一张 mac地址与端口的对应关系映射表（FIB 是cisco的路由转发数据库；CAM表是将这个交换机接口所连的PC的 （MAC地址。。端口。。所属VLAN）去做HASH形成一个确定的数字表。。这个表里边只有0或1 两种数字。。。TCAM表是多层交换机的。。。多层交换机上查的是路由表。。但是路由表中会出现192.168.1.0/24 这种有不确定的地址出现。。所以形成的TCAM表就由 0 或1或X组成。。X（可以是1也可以是0）因此对于TCAM表是比CAM表转发速率慢的。。不要看到多加个T就是更快。。FIB表是针对CISCO的多层交换机来讲的。。也就是CEF功能。。CISCO的多层交换机上有两个表。。FIB表跟ADJANCE表。。FIB就是把 三层交换机的路由表下载下来。。然后通过ADJANCE表的三层IP跟二层地址对应。。这两个表结合起来就形成了CISCO的快速交换机制。。也就是当拓扑变化时不需要第一个包触发。。） 什么是MAC Spoofing-MAC欺骗 当一个交换机收到一个单播包，目的MAC并没有出现在CAM表里边，那么交换机把这个包向相同广播域里边的所有接口进行泛洪。这是交换机的默认行为。攻击者可以在一个交换机端口下使用攻击工具产生大量的MAC地址，交换机CAM表溢出（交换机CAM表存放的MAC地址数见表1），导致大量正常的MAC和端口的对应关系列表被丢弃，使交换机频繁的刷新CAM表中的内容。 Switch ModelNumber of Bridge-Table EntriesCisco Catalyst 2940/50/55/60/70Up to 8000Cisco Catalyst 3500XL8192Cisco Catalyst 3550/60Up to 12000(depending on the modelCisco Catalyst 3750/3750M12000Cisco Catalyst 450032768Cisco Catalyst 494955000Cisco Catalyst 6500/7600Up to 131072 (more if distributed feature cards are installed目前一台普通的PC使用攻击软件每秒钟可以产生500个MAC地址，30秒就可以填满一台普通2层交换机的CAM表，当CAM表溢出后被频繁的刷新，该交换机其他端口丢失MAC地址与端口的对应关系，导致正常端口用户无法正常通信，出现丢包或者网络中断现象。由于CAM表的刷新需要使用交换机的cpu资源，大量MAC地址频繁的刷新，使cpu利用率??能过高，导致无法正常网管受攻击交换机。 如何预防MAC Spoofing 1. MAC地址绑定 l对于通过PPPoE和DHCP上线流程进入运营商网络的正常用户，系统动态MAC 地址绑定，仅允许有限的、安全的MAC地址通过正常的PPPoE和DHCP上线 流程进入运营商网络，禁止不信任的MAC地址进入运营商网络。 l对于不经过PPPoE或者DHCP上线流程进入运营商网络的正常用户，通过静态 MAC地址绑定，仅允许有限的、安全的MAC地址进入运营商网络。 2. 防御MAC Duplicate 开启防御 MAC Duplicate 功能后，系统认为端口上学习到的第一个MAC地址为合 法地址，在MAC地址老化前不允许动态漂移。 3. 采用VMAC 也可以采用VMAC即虚拟MAC方式来防止用户不可信任MAC进入运营商网络， VMAC包括1:1 VMAC和N:1 VMAC。 IP Spoofing /IP地址欺骗 什么是IP Spoofing /IP地址欺骗 IP欺骗就是伪造数据包源IP地址的攻击，基于两个 前提： 1） TCP/IP网络在路由数据包时，不对源IP地址进行判断——可以伪造待发送数据包的源IP地址； 2）UNIX环境下，主机之间有信任关系存在——存在基于IP地址的认证，不再需要用户帐号和口令。 TCP三次握手 信任和认证 序列号猜测的重要性 攻击者X冒充受攻击目标A信任的对象B，远程连接A的rlogin端口，如果能连接成功，不再需要口令就能登录A。 ? 因为A对X请求的响应包返回给B，X不可能知道其中A的序列号，要想在图中的第5步完成三次握手并连接成功，他必须“猜”到A的序列号。 TCP序列号的产生方式 1）64K规则 用于比较老的机器中，非常容易猜测序列号； 2）时间相关规则 序列号产生器根据时间来产生伪随机序列。由于各计算机上的时钟并不完全相同