Cisco交換機防范ARP欺騙和二層攻擊

人為實施通常是指使用一些黑客的工具對網絡進行掃描和嗅探，獲取管理帳戶和相關密碼，在網絡上中安插木馬，從而進行進一步竊取機密文件。攻擊和欺騙過程往往比較隱蔽和安靜，但對於信息安全要求高的企業危害是極大的。而來自木馬或者病毒及蠕蟲的攻擊和往往會偏離攻擊和人為實施通常是指使用一些黑客的工具對網絡進行掃描和嗅探，獲取管理帳戶和相關密碼，在網絡上中安插木馬，從而進行進一步竊取機密文件。攻擊和欺騙過程往往比較隱蔽和安靜，但對於信息安全要求高的企業危害是極大的。而來自木馬或者病毒及蠕蟲的攻擊和往往會偏離攻擊和欺騙本身的目的，現象有時非常直接，會帶來網絡流量加大、設備 CPU 利用率過高、二層生成樹環路直至網絡癱瘓。

　　目前這類攻擊和欺騙工具已經非常成熟和易用，而目前企業在部署這方面的防范還存在很多不足，有很多工作要做。思科針對這類攻擊已有較為成熟的解決方案，主要基於下面的幾個關鍵的技術： Port Security feature DHCP Snooping Dynamic ARP Inspection (DAI) IP Source Guard

　　下面部分主要針對目前非常典型的二層攻擊和欺騙說明如何在思科交換機上組合運用和部署上述技術，從而實現防止在交換環境中實施“中間人”攻擊、 MAC/CAM 攻擊、 DHCP 攻擊、地址欺騙等，更具意義的是通過上面技術的部署可以簡化地址管理，直接跟蹤用戶 IP 和對應的交換機端口；防止 IP 地址沖突。同時對於大多數對二層網絡造成很大危害的具有地址掃描、欺騙等特征的病毒可以有效的報警和隔離。

　　1 MAC/CAM攻擊的防范

　　1.1MAC/CAM攻擊的原理和危害

　　交換機主動學習客戶端的 MAC 地址，並建立和維護端口和 MAC 地址的對應表以此建立交換路徑，這個表就是通常我們所說的 CAM 表。 CAM 表的大小是固定的，不同的交換機的 CAM 表大小不同。 MAC/CAM 攻擊是指利用工具產生欺騙 MAC ，快速填滿 CAM 表，交換機 CAM 表被填滿後，交換機以廣播方式處理通過交換機的報文，這時攻擊者可以利用各種嗅探攻擊獲取網絡信息。 CAM 表滿了後，流量以洪泛方式發送到所有接口，也就代表 TRUNK 接口上的流量也會發給所有接口和鄰接交換機，會造成交換機負載過大，網絡緩慢和丟包甚至癱瘓。

　　1.2典型的病毒利用MAC/CAM攻擊案例

　　曾經對網絡照成非常大威脅的 SQL 蠕蟲病毒就利用組播目標地址，構造假目標 MAC 來填滿交換機 CAM 表。

　　1.3使用 Port Security feature 防范MAC/CAM攻擊

　　思科 Port Security feature 可以防止 MAC 和 MAC/CAM 攻擊。通過配置 Port Security 可以控制：

　　端口上最大可以通過的 MAC 地址數量

　　端口上學習或通過哪些 MAC 地址

　　對於超過規定數量的 MAC 處理進行違背處理

　　端口上學習或通過哪些 MAC 地址，可以通過靜態手工定義，也可以在交換機自動學習。交換機動態學習端口 MAC ，直到指定的 MAC 地址數量，交換機關機後重新學習。目前較新的技術是 Sticky Port Security ，交換機將學到的 mac 地址寫到端口配置中，交換機重啟後配置仍然存在。

　　對於超過規定數量的 MAC 處理進行處理一般有三種方式（針對交換機型號會有所不同）：

　　Shutdown 。這種方式保護能力最強，但是對於一些情況可能會為管理帶來麻煩，如某台設備中了病毒，病毒間斷性偽造源 MAC 在網絡中發送報文。

　　Protect 。丟棄非法流量，不報警。

　　Restrict 。丟棄非法流量，報警，對比上面會是交換機 CPU 利用率上升但是不影響交換機的正常使用。推薦使用這種方式。

1.4配置

　　port-security 配置選項： Switch(config-if)# switchport port-security aging Port-security aging commands mac-address Secure mac address maximum Max secure addresses violation Security violation mode

　　配置 port-security 最大 mac 數目，違背處理方式，恢復方法 Cat4507(config)#int fastEthernet 3/48 Cat4507 (config-if)#switchport port-security Cat4507 (config-if)#switchport port-security maximum 2 Cat4507 (config-if)#switchport port-security violation shutdown Cat4507 (config)#errdisable recovery cause psecure-violation Cat4507 (config)#errdisable recovery interval 30

　　通過配置 sticky port-security學得的MAC interface FastEthernet3/29 switchport mode access switchport port-security switchport port-security maximum 5 switchport port-security mac-address sticky switchport port-security mac-address sticky 000b.db1d.6ccd switchport port-security mac-address sticky 000b.db1d.6cce switchport port-security mac-address sticky 000d.6078.2d95 switchport port-security mac-address sticky 000e.848e.ea01

　　1.5使用 其它技術 防范MAC/CAM攻擊

　　除了 Port Security 采用 DAI 技術也可以防范 MAC 地址欺騙。

　　2 DHCP攻擊的防范

　　2.1采用DHCP管理的常見問題：

　　采用 DHCP server 可以自動為用戶設置網絡 IP 地址、掩碼、網關、 DNS 、 WINS 等網絡參數，簡化了用戶網絡設置，提高了管理效率。但在 DHCP 管理使用上也存在著一些另網管人員比較問題，常見的有：

　　DHCP server 的冒充。

　　DHCP server 的 Dos 攻擊。

　　有些用戶隨便指定地址，造成網絡地址沖突。

　　由於 DHCP 的運作機制，通常服務器和客戶端沒有認證機制，如果網絡上存在多台 DHCP 服務器將會給網絡照成混亂。由於用戶不小心配置了 DHCP 服務器引起的網絡混亂非常常見，足可見故意人為破壞的簡單性。通常黑客攻擊是首先將正常的 DHCP 服務器所能分配的 IP 地址耗盡，然後冒充合法的 DHCP 服務器。最為隱蔽和危險的方法是黑客利用冒充的 DHCP 服務器，為用戶分配一個經過修改的 DNS server ，在用戶毫無察覺的情況下被引導在預先配置好的假金融網站或電子商務網站，騙取用戶帳戶和密碼，這種攻擊是非常惡劣的。

　　對於 DHCP server 的 Dos 攻擊可以利用前面將的 Port Security 和後面提到的 DAI 技術，對於有些用戶隨便指定地址，造成網絡地址沖突也可以利用後面提到的 DAI 和 IP Source Guard 技術。這部分著重介紹 DHCP 冒用的方法技術。

　　2.2DHCP Snooping技術概況

　　DHCP Snooping技術是DHCP安全特性，通過建立和維護DHCP Snooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區域的DHCP信息。DHCP Snooping綁定表包含不信任區域的用戶MAC地址、IP地址、租用期、VLAN-ID 接口等信息，如下表所示： cat4507#sh ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface ------------------ --------------- ---------- ------- ---- ----------------- 00:0D:60:2D:45:0D 10.149.3.13 600735 dhcp-snooping 100 GigabitEthernet1/0/7

　　這張表不僅解決了 DHCP用戶的IP和端口跟蹤定位問題，為用戶管理提供方便，而且還供給動態ARP檢測DA）和IP Source Guard使用

2.3基本防范

　　首先定義交換機上的信任端口和不信任端口，對於不信任端口的 DHCP 報文進行截獲和嗅探， DROP 掉來自這些端口的非正常 DHCP 報文，如下圖所示：

　　基本配置示例如下表：

　　IOS 全局命令： ip dhcp snooping vlan 100,200 /* 定義哪些 VLAN 啟用 DHCP 嗅探 ip dhcp snooping 接口命令 ip dhcp snooping trust no ip dhcp snooping trust (Default) ip dhcp snooping limit rate 10 (pps) /* 一定程度上防止 DHCP 拒絕服 /* 務攻擊 手工添加 DHCP 綁定表 ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1 interface gi1/1 expiry 1000 導出 DHCP 綁定表到 TFTP 服務器 ip dhcp snooping database tftp:// 10.1.1 .1/directory/file

　　需要注意的是 DHCP 綁定表要存在本地存貯器 (Bootfalsh 、 slot0 、 ftp 、 tftp) 或導出到指定 TFTP 服務器上，否則交換機重啟後 DHCP 綁定表丟失，對於已經申請到 IP 地址的設備在租用期內，不會再次發起 DHCP 請求，如果此時交換機己經配置了下面所講到的 DAI 和 IP Source Guard 技術，這些用戶將不能訪問網絡。

　　2.3高級防范

　　通過交換機的端口安全性設置每個 DHCP 請求指定端口上使用唯一的 MAC 地址，通常 DHCP 服務器通過 DHCP 請求的報文中的 CHADDR 段判斷客戶端 MAC 地址，通常這個地址和客戶端的真是 IP 相同，但是如果攻擊者不修改客戶端的 MAC 而修改 DHCP 報文中 CHADDR ，實施 Dos 攻擊， Port Security 就不起作用了， DHCP 嗅探技術可以檢查 DHCP 請求報文中的 CHADDR 字段，判斷該字段是否和 DHCP 嗅探表相匹配。這項功能在有些交換機是缺省配置的，有些交換機需要配置，具體需要參考相關交換機的配置文檔。

　　3 ARP欺騙/ MITM(Man-In-The-Middle)攻擊原理和防范

　　3.1 MITM(Man-In-The-Middle) 攻擊原理

　　按照 ARP 協議的設計，為了減少網絡上過多的 ARP 數據通信，一個主機，即使收到的 ARP 應答並非自己請求得到的，它也會將其插入到自己的 ARP 緩存表中，這樣，就造成了“ ARP 欺