cisco交换机防止欺骗和攻击大全

目录：1.MAC/CAM攻击的防范1.1MAC/CAM攻击的原理和危害1.2典型的病毒利用MAC/CAM攻击案例1.3使用PortSecurityfeature防范MAC/CAM攻击1.4配置1.5使用其它技术防范MAC/CAM攻击2.DHCP攻击的防范2.1采用DHCP管理的常见问题：2.2DHCPSnooping技术概况2.3基本防范2.4高级防范3.ARP欺骗/MITM(Man-In-The-Middle)攻击原理和防范3.1MITM(Man-In-The-Middle)攻击原理3.2攻击实例3.3防范方法3.4配置示例3.5配置DAI后的效果：4.IP/MAC欺骗的防范4．1常见的欺骗攻击的种类和目的4.2攻击实例4.3IP/MAC欺骗的防范4.4配置示例：5.IP地址管理和病毒防范的新思路5.1IP地址管理5.2使用DHCPSnooping、DAI、IPSourceGuard技术能解决的有关病毒问题本文所提到的攻击和欺骗行为主要针对链路层和网络层。在网络实际环境中，其来源可概括为两个途径：人为实施；病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探，获取管理帐户和相关密码，在网络上中安插木马，从而进行进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安静，但对于信息安全要求高的企业危害是极大的。而来自木马或者病毒及蠕虫的攻击和往往会偏离攻击和欺骗本身的目的，现象有时非常直接，会带来网络流量加大、设备CPU利用率过高、二层生成树环路直至网络瘫痪。目前这类攻击和欺骗工具已经非常成熟和易用，而目前企业在部署这方面的防范还存在很多不足，有很多工作要做。思科针对这类攻击已有较为成熟的解决方案，主要基于下面的几个关键的技术：•PortSecurityfeature•DHCPSnooping•DynamicARPInspection(DAI)•IPSourceGuard下面部分主要针对目前非常典型的二层攻击和欺骗说明如何在思科交换机上组合运用和部署上述技术，从而实现防止在交换环境中实施“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等，更具意义的是通过上面技术的部署可以简化地址管理，直接跟踪用户IP和对应的交换机端口；防止IP地址冲突。同时对于大多数对二层网络造成很大危害的具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。1MAC/CAM攻击的防范1.1MAC/CAM攻击的原理和危害交换机主动学习客户端的MAC地址，并建立和维护端口和MAC地址的对应表以此建立交换路径，这个表就是通常我们所说的CAM表。CAM表的大小是固定的，不同的交换机的CAM表大小不同。MAC/CAM攻击是指利用工具产生欺骗MAC，快速填满CAM表，交换机CAM表被填满后，交换机以广播方式处理通过交换机的报文，这时攻击者可以利用各种嗅探攻击获取网络信息。CAM表满了后，流量以洪泛方式发送到所有接口，也就代表TRUNK接口上的流量也会发给所有接口和邻接交换机，会造成交换机负载过大，网络缓慢和丢包甚至瘫痪。•1.3使用PortSecurityfeature防范MAC/CAM攻击思科PortSecurityfeature可以防止MAC和MAC/CAM攻击。通过配置PortSecurity可以控制：•端口上昀大可以通过的MAC地址数量•端口上学习或通过哪些MAC地址•对于超过规定数量的MAC处理进行违背处理端口上学习或通过哪些MAC地址，可以通过静态手工定义，也可以在交换机自动学习。交换机动态学习端口MAC，直到指定的MAC地址数量，交换机关机后重新学习。目前较新的技术是StickyPortSecurity，交换机将学到的mac地址写到端口配置中，交换机重启后配置仍然存在。对于超过规定数量的MAC处理进行处理一般有三种方式（针对交换机型号会有所不同）：•Shutdown。这种方式保护能力昀强，但是对于一些情况可能会为管理带来麻烦，如某台设备中了病毒，病毒间断性伪造源MAC在网络中发送报文。•Protect。丢弃非法流量，不报警。•Restrict。丢弃非法流量，报警，对比上面会是交换机CPU利用率上升但是不影响交换机的正常使用。推荐使用这种方式。1.4配置port-security配置选项：Switch(config-if)#switchportport-security?agingPort-securityagingcommandsmac-addressSecuremacaddressmaximumMaxsecureaddressesviolationSecurityviolationmode配置port-security昀大mac数目，违背处理方式，恢复方法Cat4507(config)#intfastEthernet3/48Cat4507(config-if)#switchportport-securityCat4507(config-if)#switchportport-securitymaximum2Cat4507(config-if)#switchportport-securityviolationshutdownCat4507(config)#errdisablerecoverycausepsecure-violationCat4507(config)#errdisablerecoveryinterval30通过配置stickyport-security学得的MACinterfaceFastEthernet3/29switchportmodeAccessswitchportport-securityswitchportport-securitymaximum5switchportport-securitymac-addressstickyswitchportport-securitymac-addresssticky000b.db1d.6ccdswitchportport-securitymac-addresssticky000b.db1d.6cceswitchportport-securitymac-addresssticky000d.6078.2d95switchportport-securitymac-addresssticky000e.848e.ea01•1.5使用其它技术防范MAC/CAM攻击除了PortSecurity采用DAI技术也可以防范MAC地址欺骗。2DHCP攻击的防范2.1采用DHCP管理的常见问题：采用DHCPserver可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数，简化了用户网络设置，提高了管理效率。但在DHCP管理使用上也存在着一些令网管人员头痛的问题，常见的有：•DHCPserver的冒充。•DHCPserver的Dos攻击。•有些用户随便指定地址，造成网络地址冲突。由于DHCP的运作机制，通常服务器和客户端没有认证机制，如果网络上存在多台DHCP服务器将会给网络照成混乱。由于用户不小心配置了DHCP服务器引起的网络混乱非常常见，足可见故意人为破坏的简单性。通常黑客攻击是首先将正常的DHCP服务器所能分配的IP地址耗尽，然后冒充合法的DHCP服务器。昀为隐蔽和危险的方法是黑客利用冒充的DHCP服务器，为用户分配一个经过修改的DNSserver，在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站，骗取用户帐户和密码，这种攻击是非常恶劣的。对于DHCPserver的Dos攻击可以利用前面写的PortSecurity和后面提到的DAI技术，对于有些用户随便指定地址，造成网络地址冲突也可以利用后面提到的DAI和IPSourceGuard技术。这部分着重介绍DHCP冒用的方法技术。2.2DHCPSnooping技术概况DHCPSnooping技术是DHCP安全特性，通过建立和维护DHCPSnooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCPSnooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID接口等信息，如下表所示：(一般接client端的端口都是不信任端口)cat4507#shipdhcpsnoopingbindingMacAddressIpAddressLease(sec)TypeVLANInterface--------------------------------------------------------------------------00:0D:60:2D:45:0D10.149.3.13600735dhcp-snooping100GigabitEthernet1/0/7这张表不仅解决了DHCP用户的IP和端口跟踪定位问题，为用户管理提供方便，而且还供给动态ARP检测DA）和IPSourceGuard使用。2.3基本防范首先定义交换机上的信任端口和不信任端口，对于不信任端口的DHCP报文进行截获和嗅探，DROP掉来自这些端口的非正常DHCP报文，如下图所示：上图中攻击者自己冒充是dhcpserver.但因为连接交换机的端口配置为untrusted,所以responses包是发不出去的.dhcpsever必须为trust基本配置示例如下表：IOS全局命令：ipdhcpsnoopingvlan100,200/*定义哪些VLAN启用DHCP嗅探ipdhcpsnooping•接口命令ipdhcpsnoopingtrust一般接合法dhcpserver的接口noipdhcpsnoopingtrust(Default)ipdhcpsnoopinglimitrate10(pps)/*一定程度上防止DHCP拒绝服/*务攻击手工添加DHCP绑定表ipdhcpsnoopingbinding1.1.1vlan11.1.1.1interfacegi1/1eXPiry1000?导出DHCP绑定表到TFTP服务器ipdhcpsnoopingdatabaset需要注意的是DHCP绑定表要存在本地存贮器(Bootfalsh、slot0、ftp、tftp)或导出到指定TFTP服务器上，否则交换机重启后DHCP绑定表丢失，对于已经申请到IP地址的设备在租用期内，不会再次发起DHCP请求，如果此时交换机己经配置了下面所讲到的DAI和IPSourceGuard技术，这些用户将不能访问网络。2.3高级防范通过交换机的端口安全性设置每个DHCP请求指定端口上使用唯一的MAC地址，通常DHCP服务器通过DHCP请求的报文中的CHADDR段判断客户端MAC地址，通常这个地址和客户端的真实MAC地址相同，但是如果攻击者不修改客户端的MAC而修改DHCP报文中CHADDR，实施Dos攻击，PortSecurity就不起作用了，DHCPsnoop嗅探技术可以检查DHCP请求报文中的CHADDR字段，判断该字段是否和DHCP嗅探表相匹配。这项功能在有些交换机是缺省配置的，有些交换机需要配置，具体需要参考相关交换机的配置文档。3ARP欺骗/MITM(Man-In-The-Middle)攻击原理和防范3.1MITM(Man-In-The-Middle)攻击原理按照ARP协议的设计，为了减少网络上过多的ARP数据通信，一个主机，即使收到的ARP应答并非自己请求得到的，它也会将其插入到自己的ARP缓存表中，这样，就造成了“ARP欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个ARP应答包，让两台主机都“误”认为对方的MAC地址是第三方的黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，另一方面，只需要更改数据包中的一些信息，成功地做好转发工作即可。在这种嗅探方式中，黑客所在主机是不需要设置网卡的混杂模式的，因为通信双方的数据包