DHCP欺騙、ARP 欺騙、CAM表攻擊的預(yù)防端口安全教案資料

1、Good is good, but better carries it.精益求精，善益求善。DHCP欺騙、ARP 欺騙、CAM表攻擊的預(yù)防 端口安全-Cisco交換機(jī)上防范ARP欺騙和二層攻擊人為實(shí)施通常是指使用一些黑客的工具對(duì)網(wǎng)絡(luò)進(jìn)行掃描和嗅探，獲取管理帳戶和相關(guān)密碼，在網(wǎng)絡(luò)上中安插木馬，從而進(jìn)行進(jìn)一步竊取機(jī)密文件。攻擊和欺騙過(guò)程往往比較隱蔽和安靜，但對(duì)于信息安全要求高的企業(yè)危害是極大的。而來(lái)自木馬或者病毒及蠕蟲的攻擊和往往會(huì)偏離攻擊和欺騙本身的目的，現(xiàn)象有時(shí)非常直接，會(huì)帶來(lái)網(wǎng)絡(luò)流量加大、設(shè)備CPU利用率過(guò)高、二層生成樹環(huán)路直至網(wǎng)絡(luò)癱瘓。目前這類攻擊和欺騙工具已經(jīng)非常成熟和易用，而目前企業(yè)在

2、部署這方面的防范還存在很多不足，有很多工作要做。思科針對(duì)這類攻擊已有較為成熟的解決方案，主要基于下面的幾個(gè)關(guān)鍵的技術(shù)：PortSecurityfeatureDHCPSnoopingDynamicARPInspection(DAI)IPSourceGuard下面部分主要針對(duì)目前非常典型的二層攻擊和欺騙說(shuō)明如何在思科交換機(jī)上組合運(yùn)用和部署上述技術(shù)，從而實(shí)現(xiàn)防止在交換環(huán)境中實(shí)施“中間人”攻擊、MAC/CAM攻擊、DHCP攻擊、地址欺騙等，更具意義的是通過(guò)上面技術(shù)的部署可以簡(jiǎn)化地址管理，直接跟蹤用戶IP和對(duì)應(yīng)的交換機(jī)端口；防止IP地址沖突。同時(shí)對(duì)于大多數(shù)對(duì)二層網(wǎng)絡(luò)造成很大危害的具有地址掃描、欺騙等特征

3、的病毒可以有效的報(bào)警和隔離。1MAC/CAM攻擊的防范1.1MAC/CAM攻擊的原理和危害交換機(jī)主動(dòng)學(xué)習(xí)客戶端的MAC地址，并建立和維護(hù)端口和MAC地址的對(duì)應(yīng)表以此建立交換路徑，這個(gè)表就是通常我們所說(shuō)的CAM表。CAM表的大小是固定的，不同的交換機(jī)的CAM表大小不同。MAC/CAM攻擊是指利用工具產(chǎn)生欺騙MAC，快速填滿CAM表，交換機(jī)CAM表被填滿后，交換機(jī)以廣播方式處理通過(guò)交換機(jī)的報(bào)文，這時(shí)攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡(luò)信息。CAM表滿了后，流量以洪泛方式發(fā)送到所有接口，也就代表TRUNK接口上的流量也會(huì)發(fā)給所有接口和鄰接交換機(jī)，會(huì)造成交換機(jī)負(fù)載過(guò)大，網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。1.2典型

4、的病毒利用MAC/CAM攻擊案例曾經(jīng)對(duì)網(wǎng)絡(luò)照成非常大威脅的SQL蠕蟲病毒就利用組播目標(biāo)地址，構(gòu)造假目標(biāo)MAC來(lái)填滿交換機(jī)CAM表。其特征如下圖所示：1.3使用PortSecurityfeature防范MAC/CAM攻擊思科PortSecurityfeature可以防止MAC和MAC/CAM攻擊。通過(guò)配置PortSecurity可以控制：端口上最大可以通過(guò)的MAC地址數(shù)量端口上學(xué)習(xí)或通過(guò)哪些MAC地址對(duì)于超過(guò)規(guī)定數(shù)量的MAC處理進(jìn)行違背處理端口上學(xué)習(xí)或通過(guò)哪些MAC地址，可以通過(guò)靜態(tài)手工定義，也可以在交換機(jī)自動(dòng)學(xué)習(xí)。交換機(jī)動(dòng)態(tài)學(xué)習(xí)端口MAC，直到指定的MAC地址數(shù)量，交換機(jī)關(guān)機(jī)后重新學(xué)習(xí)。目前較

5、新的技術(shù)是StickyPortSecurity，交換機(jī)將學(xué)到的mac地址寫到端口配置中，交換機(jī)重啟后配置仍然存在。對(duì)于超過(guò)規(guī)定數(shù)量的MAC處理進(jìn)行處理一般有三種方式（針對(duì)交換機(jī)型號(hào)會(huì)有所不同）：Shutdown。這種方式保護(hù)能力最強(qiáng)，但是對(duì)于一些情況可能會(huì)為管理帶來(lái)麻煩，如某臺(tái)設(shè)備中了病毒，病毒間斷性偽造源MAC在網(wǎng)絡(luò)中發(fā)送報(bào)文。Protect。丟棄非法流量，不報(bào)警。Restrict。丟棄非法流量，報(bào)警，對(duì)比上面會(huì)是交換機(jī)CPU利用率上升但是不影響交換機(jī)的正常使用。推薦使用這種方式。1.4配置port-security配置選項(xiàng)：Switch(config-if)#switchportport-

6、security?agingPort-securityagingcommandsmac-addressSecuremacaddressmaximumMaxsecureaddressesviolationSecurityviolationmode配置port-security最大mac數(shù)目，違背處理方式，恢復(fù)方法Cat4507(config)#intfastEthernet3/48Cat4507(config-if)#switchportport-securityCat4507(config-if)#switchportport-securitymaximum2Cat4507(config-if

7、)#switchportport-securityviolationshutdownCat4507(config)#errdisablerecoverycausepsecure-violationCat4507(config)#errdisablerecoveryinterval30通過(guò)配置stickyport-security學(xué)得的MACinterfaceFastEthernet3/29switchportmodeaccessswitchportport-securityswitchportport-securitymaximum5switchportport-securitymac-add

8、ressstickyswitchportport-securitymac-addresssticky000b.db1d.6ccdswitchportport-securitymac-addresssticky000b.db1d.6cceswitchportport-securitymac-addresssticky000d.6078.2d95switchportport-securitymac-addresssticky000e.848e.ea011.5使用其它技術(shù)防范MAC/CAM攻擊除了PortSecurity采用DAI技術(shù)也可以防范MAC地址欺騙。2DHCP攻擊的防范2.1采用DHCP管

9、理的常見問(wèn)題：采用DHCPserver可以自動(dòng)為用戶設(shè)置網(wǎng)絡(luò)IP地址、掩碼、網(wǎng)關(guān)、DNS、WINS等網(wǎng)絡(luò)參數(shù)，簡(jiǎn)化了用戶網(wǎng)絡(luò)設(shè)置，提高了管理效率。但在DHCP管理使用上也存在著一些另網(wǎng)管人員比較問(wèn)題，常見的有：DHCPserver的冒充。DHCPserver的Dos攻擊。有些用戶隨便指定地址，造成網(wǎng)絡(luò)地址沖突。由于DHCP的運(yùn)作機(jī)制，通常服務(wù)器和客戶端沒(méi)有認(rèn)證機(jī)制，如果網(wǎng)絡(luò)上存在多臺(tái)DHCP服務(wù)器將會(huì)給網(wǎng)絡(luò)照成混亂。由于用戶不小心配置了DHCP服務(wù)器引起的網(wǎng)絡(luò)混亂非常常見，足可見故意人為破壞的簡(jiǎn)單性。通常黑客攻擊是首先將正常的DHCP服務(wù)器所能分配的IP地址耗盡，然后冒充合法的DHCP服務(wù)器。

10、最為隱蔽和危險(xiǎn)的方法是黑客利用冒充的DHCP服務(wù)器，為用戶分配一個(gè)經(jīng)過(guò)修改的DNSserver，在用戶毫無(wú)察覺的情況下被引導(dǎo)在預(yù)先配置好的假金融網(wǎng)站或電子商務(wù)網(wǎng)站，騙取用戶帳戶和密碼，這種攻擊是非常惡劣的。對(duì)于DHCPserver的Dos攻擊可以利用前面將的PortSecurity和后面提到的DAI技術(shù)，對(duì)于有些用戶隨便指定地址，造成網(wǎng)絡(luò)地址沖突也可以利用后面提到的DAI和IPSourceGuard技術(shù)。這部分著重介紹DHCP冒用的方法技術(shù)。2.2DHCPSnooping技術(shù)概況DHCPSnooping技術(shù)是DHCP安全特性，通過(guò)建立和維護(hù)DHCPSnooping綁定表過(guò)濾不可信任的DHCP信

11、息，這些信息是指來(lái)自不信任區(qū)域的DHCP信息。DHCPSnooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLAN-ID接口等信息，如下表所示：cat4507#shipdhcpsnoopingbindingMacAddressIpAddressLease(sec)TypeVLANInterface-00:0D:60:2D:45:0D3600735dhcp-snooping100GigabitEthernet1/0/7這張表不僅解決了DHCP用戶的IP和端口跟蹤定位問(wèn)題，為用戶管理提供方便，而且還供給動(dòng)態(tài)ARP檢測(cè)DA）和IPSourceGuard使用。2.3基本防范首先定義

12、交換機(jī)上的信任端口和不信任端口，對(duì)于不信任端口的DHCP報(bào)文進(jìn)行截獲和嗅探，DROP掉來(lái)自這些端口的非正常DHCP報(bào)文，如下圖所示：基本配置示例如下表：IOS全局命令：ipdhcpsnoopingvlan100,200/*定義哪些VLAN啟用DHCP嗅探ipdhcpsnooping接口命令ipdhcpsnoopingtrustnoipdhcpsnoopingtrust(Default)ipdhcpsnoopinglimitrate10(pps)/*一定程度上防止DHCP拒絕服/*務(wù)攻擊手工添加DHCP綁定表ipdhcpsnoopingbinding1.1.1vlaninterfacegi1/1

13、expiry1000導(dǎo)出DHCP綁定表到TFTP服務(wù)器ipdhcpsnoopingdatabaset/directory/file需要注意的是DHCP綁定表要存在本地存貯器(Bootfalsh、slot0、ftp、tftp)或?qū)С龅街付═FTP服務(wù)器上，否則交換機(jī)重啟后DHCP綁定表丟失，對(duì)于已經(jīng)申請(qǐng)到IP地址的設(shè)備在租用期內(nèi)，不會(huì)再次發(fā)起DHCP請(qǐng)求，如果此時(shí)交換機(jī)己經(jīng)配置了下面所講到的DAI和IPSourceGuard技術(shù)，這些用戶將不能訪問(wèn)網(wǎng)絡(luò)。2.3高級(jí)防范通過(guò)交換機(jī)的端口安全性設(shè)置每個(gè)DHCP請(qǐng)求指定端口上使用唯一的MAC地址，通常DHCP服務(wù)器通過(guò)DHCP請(qǐng)求的報(bào)文中的CHADDR

14、段判斷客戶端MAC地址，通常這個(gè)地址和客戶端的真是IP相同，但是如果攻擊者不修改客戶端的MAC而修改DHCP報(bào)文中CHADDR，實(shí)施Dos攻擊，PortSecurity就不起作用了，DHCP嗅探技術(shù)可以檢查DHCP請(qǐng)求報(bào)文中的CHADDR字段，判斷該字段是否和DHCP嗅探表相匹配。這項(xiàng)功能在有些交換機(jī)是缺省配置的，有些交換機(jī)需要配置，具體需要參考相關(guān)交換機(jī)的配置文檔。3ARP欺騙/MITM(Man-In-The-Middle)攻擊原理和防范3.1MITM(Man-In-The-Middle)攻擊原理按照ARP協(xié)議的設(shè)計(jì)，為了減少網(wǎng)絡(luò)上過(guò)多的ARP數(shù)據(jù)通信，一個(gè)主機(jī)，即使收到的ARP應(yīng)答并非自己

15、請(qǐng)求得到的，它也會(huì)將其插入到自己的ARP緩存表中，這樣，就造成了“ARP欺騙”的可能。如果黑客想探聽同一網(wǎng)絡(luò)中兩臺(tái)主機(jī)之間的通信（即使是通過(guò)交換機(jī)相連），他會(huì)分別給這兩臺(tái)主機(jī)發(fā)送一個(gè)ARP應(yīng)答包，讓兩臺(tái)主機(jī)都“誤”認(rèn)為對(duì)方的MAC地址是第三方的黑客所在的主機(jī)，這樣，雙方看似“直接”的通信連接，實(shí)際上都是通過(guò)黑客所在的主機(jī)間接進(jìn)行的。黑客一方面得到了想要的通信內(nèi)容，另一方面，只需要更改數(shù)據(jù)包中的一些信息，成功地做好轉(zhuǎn)發(fā)工作即可。在這種嗅探方式中，黑客所在主機(jī)是不需要設(shè)置網(wǎng)卡的混雜模式的，因?yàn)橥ㄐ烹p方的數(shù)據(jù)包在物理上都是發(fā)送給黑客所在的中轉(zhuǎn)主機(jī)的。這里舉個(gè)例子，假定同一個(gè)局域網(wǎng)內(nèi)，有3臺(tái)主機(jī)通過(guò)交

16、換機(jī)相連：A主機(jī)：IP地址為，MAC地址為01:01:01:01:01:01；B主機(jī)：IP地址為，MAC地址為02:02:02:02:02:02；C主機(jī)：IP地址為，MAC地址為03:03:03:03:03:03。B主機(jī)對(duì)A和C進(jìn)行欺騙的前奏就是發(fā)送假的ARP應(yīng)答包，如圖所示在收到B主機(jī)發(fā)來(lái)的ARP應(yīng)答后，A主機(jī)應(yīng)知道：到的數(shù)據(jù)包應(yīng)該發(fā)到MAC地址為020202020202的主機(jī)；C主機(jī)也知道：到的數(shù)據(jù)包應(yīng)該發(fā)到MAC地址為020202020202的主機(jī)。這樣，A和C都認(rèn)為對(duì)方的MAC地址是020202020202，實(shí)際上這就是B主機(jī)所需得到的結(jié)果。當(dāng)然，因?yàn)锳RP緩存表項(xiàng)是動(dòng)態(tài)更新的，其中動(dòng)

17、態(tài)生成的映射有個(gè)生命期，一般是兩分鐘，如果再?zèng)]有新的信息更新，ARP映射項(xiàng)會(huì)自動(dòng)去除。所以，B還有一個(gè)“任務(wù)”，那就是一直連續(xù)不斷地向A和C發(fā)送這種虛假的ARP響應(yīng)包，讓其ARP緩存中一直保持被毒害了的映射表項(xiàng)。現(xiàn)在，如果A和C要進(jìn)行通信，實(shí)際上彼此發(fā)送的數(shù)據(jù)包都會(huì)先到達(dá)B主機(jī)，這時(shí)，如果B不做進(jìn)一步處理，A和C之間的通信就無(wú)法正常建立，B也就達(dá)不到“嗅探”通信內(nèi)容的目的，因此，B要對(duì)“錯(cuò)誤”收到的數(shù)據(jù)包進(jìn)行一番修改，然后轉(zhuǎn)發(fā)到正確的目的地，而修改的內(nèi)容，無(wú)非是將目的MAC和源MAC地址進(jìn)行替換。如此一來(lái)，在A和C看來(lái)，彼此發(fā)送的數(shù)據(jù)包都是直接到達(dá)對(duì)方的，但在B來(lái)看，自己擔(dān)當(dāng)?shù)木褪恰暗谌摺钡?/p>

18、角色。這種嗅探方法，也被稱作“Man-In-The-Middle”的方法。如圖所示。3.2攻擊實(shí)例目前利用ARP原理編制的工具十分簡(jiǎn)單易用，這些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超過(guò)30種應(yīng)用的密碼和傳輸內(nèi)容。下面是測(cè)試時(shí)利用工具捕獲的TELNET過(guò)程，捕獲內(nèi)容包含了TELNET密碼和全部所傳的內(nèi)容：不僅僅是以上特定應(yīng)用的數(shù)據(jù)，利用中間人攻擊者可將監(jiān)控到數(shù)據(jù)直接發(fā)給SNIFFER等嗅探器，這樣就可以監(jiān)控所有被欺騙用戶的數(shù)據(jù)。還有些人利用ARP原理開發(fā)出網(wǎng)管工具，隨時(shí)切斷指定用戶的連接。這些工具流傳到搗亂者手里極易使網(wǎng)絡(luò)變得不穩(wěn)定，通

19、常這些故障很難排查。3.3防范方法思科DynamicARPInspection(DAI)在交換機(jī)上提供IP地址和MAC地址的綁定，并動(dòng)態(tài)建立綁定關(guān)系。DAI以DHCPSnooping綁定表為基礎(chǔ)，對(duì)于沒(méi)有使用DHCP的服務(wù)器個(gè)別機(jī)器可以采用靜態(tài)添加ARPaccess-list實(shí)現(xiàn)。DAI配置針對(duì)VLAN，對(duì)于同一VLAN內(nèi)的接口可以開啟DAI也可以關(guān)閉。通過(guò)DAI可以控制某個(gè)端口的ARP請(qǐng)求報(bào)文數(shù)量。通過(guò)這些技術(shù)可以防范“中間人”攻擊。3.3配置示例IOS全局命令：ipdhcpsnoopingvlan100,200noipdhcpsnoopinginformationoptionipdhcps

20、noopingiparpinspectionvlan100,200/*定義對(duì)哪些VLAN進(jìn)行ARP報(bào)文檢測(cè)iparpinspectionlog-bufferentries1024iparpinspectionlog-bufferlogs1024interval10IOS接口命令：ipdhcpsnoopingtrustiparpinspectiontrust/*定義哪些接口是信任接口，通常是網(wǎng)絡(luò)設(shè)備接口，TRUNK接口等iparpinspectionlimitrate15(pps)/*定義接口每秒ARP報(bào)文數(shù)量對(duì)于沒(méi)有使用DHCP設(shè)備可以采用下面辦法：arpaccess-liststatic-a

21、rppermitiphostmachost0009.6b88.d387iparpinspectionfilterstatic-arpvlan2013.3配置DAI后的效果：在配置DAI技術(shù)的接口上，用戶端不能采用指定地址地址將接入網(wǎng)絡(luò)。由于DAI檢查DHCPsnooping綁定表中的IP和MAC對(duì)應(yīng)關(guān)系，無(wú)法實(shí)施中間人攻擊，攻擊工具失效。下表為實(shí)施中間人攻擊是交換機(jī)的警告：3w0d:%SW_DAI-4-DHCP_SNOOPING_DENY:1InvalidARPs(Req)onFa5/16,vlan1.(000b.db1d.6ccd/00/0000.0000.0000/由于對(duì)ARP請(qǐng)求報(bào)文做了

22、速度限制，客戶端無(wú)法進(jìn)行認(rèn)為或者病毒進(jìn)行的IP掃描、探測(cè)等行為，如果發(fā)生這些行為，交換機(jī)馬上報(bào)警或直接切斷掃描機(jī)器。如下表所示：3w0d:%SW_DAI-4-PACKET_RATE_EXCEEDED:16packetsreceivedin184millisecondsonFa5/30.*報(bào)警3w0d:%PM-4-ERR_DISABLE:arp-inspectionerrordetectedonFa5/30,puttingFa5/30inerr-disablestate*切斷端口I49-4500-1#.shintf.5/30FastEthernet5/30isdown,lineprotocoli

23、sdown(err-disabled)HardwareisFastEthernetPort,addressis0002.b90e.3f4d(bia0002.b90e.3f4d)MTU1500bytes,BW100000Kbit,DLY100usec,reliability255/255,txload1/255,rxload1/255I49-4500-1#.用戶獲取IP地址后，用戶不能修改IP或MAC，如果用戶同時(shí)修改IP和MAC必須是網(wǎng)絡(luò)內(nèi)部合法的IP和MAC才可，對(duì)于這種修改可以使用下面講到的IPSourceGuard技術(shù)來(lái)防范。下表為手動(dòng)指定IP的報(bào)警：3w0d:%SW_DAI-4-DHC

24、P_SNOOPING_DENY:1InvalidARPs(Req)onFa5/30,vlan1.(000d.6078.2d95/00/0000.0000.0000/00/01:52:28UTCFriDec292000)4IP/MAC欺騙的防范41常見的欺騙攻擊的種類和目的常見的欺騙種類有MAC欺騙、IP欺騙、IP/MAC欺騙，其目的一般為偽造身份或者獲取針對(duì)IP/MAC的特權(quán)。當(dāng)目前較多的是攻擊行為：如PingOfDeath、synflood、ICMPunreacheableStorm，另外病毒和木馬的攻擊也具有典型性，下面是木馬攻擊的一個(gè)例子。4.2攻擊實(shí)例下圖攻擊為偽造源地址攻擊，其目標(biāo)地

25、址為公網(wǎng)上的DNS服務(wù)器，直接目的是希望通使DNS服務(wù)器對(duì)偽造源地址的響應(yīng)和等待，造成DDOS攻擊，并以此擴(kuò)大攻擊效果。該攻擊每秒鐘上萬(wàn)個(gè)報(bào)文，中檔交換機(jī)2分鐘就癱瘓，照成的間接后果非常大。4.3IP/MAC欺騙的防范IPSourceGuard技術(shù)配置在交換機(jī)上僅支持在2層端口上的配置，通過(guò)下面機(jī)制可以防范IP/MAC欺騙：IPSourceGuard使用DHCPsooping綁定表信息。配置在交換機(jī)端口上，并對(duì)該端口生效。運(yùn)作機(jī)制類似DAI，但是IPSourceGuard不僅僅檢查ARP報(bào)文，所有經(jīng)過(guò)定義IPSourceGuard檢查的端口的報(bào)文都要檢測(cè)。IPSourceGuard檢查接口所通

26、過(guò)的流量的IP地址和MAC地址是否在DHCPsooping綁定表，如果不在綁定表中則阻塞這些流量。注意如果需要檢查MAC需要DHCP服務(wù)器支持Option82，同時(shí)使路由器支持Option82信息。通過(guò)在交換機(jī)上配置IPSourceGuard：可以過(guò)濾掉非法的IP地址，包含用戶故意修改的和病毒、攻擊等造成的。解決IP地址沖突問(wèn)題。提供了動(dòng)態(tài)的建立IPMACPORT的對(duì)應(yīng)表和綁定關(guān)系，對(duì)于不使用DHCP的服務(wù)器和一些特殊情況機(jī)器可以采用利用全局命令靜態(tài)手工添加對(duì)應(yīng)關(guān)系到綁定表中。配置IPSourceGuard的接口初始阻塞所有非DHCP流量。不能防止“中間人攻擊”。對(duì)于IP欺騙在路由器上也可以使

27、用urpf技術(shù)。4.4配置示例：檢測(cè)接口上的IP+MACIOS全局配置命令：ipdhcpsnoopingvlan12,200ipdhcpsnoopinginformationoptionipdhcpsnooping接口配置命令：ipverifysourcevlandhcp-snoopingport-securityswitchportmodeaccessswitchportport-securityswitchportport-securitylimitrateinvalid-source-macN/*控制端口上所能學(xué)習(xí)源MAC的速率，僅當(dāng)IP+MAC同時(shí)檢測(cè)時(shí)有意義。檢測(cè)接口上的IPIOS全局配置命令ipdhcpsnoopingvlan12,200noipdhcpsnoopinginformationoptionipdhcpsnoo