收藏
下载资源

常见的TCPIP体系协议安全隐患和应对方法

上传人:平*** 文档编号:8835513 上传时间:2017-09-29 格式:DOC 页数:5 大小:46.76KB
返回 下载 相关 举报
常见的TCPIP体系协议安全隐患和应对方法_第1页
第1页 / 共5页
常见的TCPIP体系协议安全隐患和应对方法_第2页
第2页 / 共5页
常见的TCPIP体系协议安全隐患和应对方法_第3页
第3页 / 共5页
常见的TCPIP体系协议安全隐患和应对方法_第4页
第4页 / 共5页
常见的TCPIP体系协议安全隐患和应对方法_第5页
第5页 / 共5页
亲,该文档总共5页,全部预览完了,如果喜欢就下载吧!
资源描述

《常见的TCPIP体系协议安全隐患和应对方法》由会员分享,可在线阅读,更多相关《常见的TCPIP体系协议安全隐患和应对方法(5页珍藏版)》请在金锄头文库上搜索。

1、常见的 TCP/IP 体系协议安全隐患和应对方法(ARP,DHCP,TCP,DNS)一、 ARP常见的 ARP 安全隐患和对应的预防方法1.ARP 泛洪攻击ARP 泛洪攻击就是攻击者通过伪造大量源 IP 地址变化的 ARP 报文频繁向网络中发送,使得交换机端口在接收到这些请求包后,频繁地处理这些 ARP 报文,占用大量的系统资源和设备 CPU 资源。这样一一来,使设备的 ARP 表溢出(超出所能存储的容量范围) ,合法用户的 ARP 报文就不能生成有效的 ARP 表项,导致正常通信中断。另外,通过向设备发送大量目标 IP 地址不能解析的 IP 报文,使设备反复地对目标 IP 地址进行解析,导致

2、 CPU 负荷过重,也是泛洪攻击的一种。在 H3C 设备中,可以通过限制 VLAN 中学习到的 ARP 表项数量来预防 ARP泛洪攻击。ARP 报文限速功能来预防 ARP 泛洪攻击。在设备的指定 VLAN 接口,配置允许学习动态 ARP 表项的最大个数。当该 VLAN 接口动态学习到的 ARP 表项超过限定的最大值后,将不进行动态地址表项的学习,从而防止某一 VLAN 内的恶意用户发动 ARP 泛洪攻击造成的危害。2 “中间人攻击”按照 ARP 协议的设计,一个主机即使收到的 ARP 应答并非自身请求得到的,也会将其 IP 地址和 MAC 地址的对应关系添加到自身的 ARP 映射表中。这样可以

3、减少网络上过多的 ARP 数据通信,但也为“ARP 欺骗”创造了条件。如图 17-1 所示,Host A 和 Host C 通过 Switch 进行通信。此时,如果有黑客(Host B)想探听 Host A 和 Host C 之间的通信,它可以分别给这两台主机发送伪造的 ARP 应答报文,使 Host A 和 Host C 用 MAC_B 更新自身 ARP 映射表中与对方 IP 地址相应的表项。此后,Host A 和 Host C 之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即 Host B 担当了“中间人”的角色,可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人(M

4、an-In-The-Middle)攻击。为了防止黑客或攻击者通过 ARP 报文实施“中间人”攻击,在一些 H3C 交换机中(如 S3100、S5600 系列等)支持 ARP 入侵检测功能。启用了 ARP 入侵检测功能后,对于 ARP 信任端口,不进行用户合法性检查;对于 ARP 非信任端口,需要进行用户合法性检查,以防止仿冒用户的攻击。用户合法性检查是根据 ARP 报文中源 IP 地址和源 MAC 地址检查用户是否是所属 VLAN 所在端口上的合法用户,包括基于 IP Source Guard 静态绑定表项的检查、基于 DHCP Snooping 安全表项的检查、基于 802.1X 安全表项的

5、检查和OUI MAC 地址的检查。首先进行基于 IP Source Guard 静态绑定表项检查。如果找到了对应源 IP 地址和源 MAC 地址的静态绑定表项,认为该 ARP 报文合法,进行转发。如果找到了对应源 IP 地址的静态绑定表项但源 MAC 地址不符,认为该 ARP 报文非法,进行丢弃。如果没有找到对应源 IP 地址的静态绑定表项,继续进行 DHCP Snooping 安全表项、802.1X 安全表项和 MAC 地址检查。在基于 IP Source Guard 静态绑定表项检查之后进行基于 DHCP Snooping 安全表项、802.1X 安全表项和 MAC 地址检查,只要符合三者

6、中任何一个,就认为该ARP 报文合法,进行转发。其中,MAC 地址检查指的是,只要 ARP 报文的源MAC 地址为 MAC 地址,并且使能了 Voice VLAN 功能,就认为是合法报文,检查通过。如果所有检查都没有找到匹配的表项,则认为是非法报文,直接丢弃。开启 ARP 入侵检测功能以后,用户可以通过配置 ARP 严格转发功能,使从指定 VLAN 的非信任端口上接收的合法 ARP 请求报文只能通过已配置的信任端口进行转发;而从非信任端口上接收的合法 ARP 应答报文,首先按照报文中的目的 MAC 地址进行转发,若目的 MAC 地址不在 MAC 地址表中,则将此 ARP 应答报文通过信任端口进

7、行转发。但是开启了 ARP 入侵检测功能后,需要将 ARP 报文上送到 CPU 处理,如果攻击者恶意构造大量 ARP 报文发往交换机的某一端口,会导致 CPU 负担过重,从而造成其他功能无法正常运行甚至设备瘫痪。于是 H3C 又有另一种配合的解决方案,就是在端口上配置 ARP 报文限速功能。开启某个端口的 ARP 报文限速功能后,交换机对每秒内该端口接收的 ARP 报文数量进行统计,如果每秒收到的ARP 报文数量超过设定值,则认为该端口处于超速状态(即受到 ARP 报文攻击) 。此时,交换机将关闭该端口,使其不再接收任何报文,从而避免大量 ARP 报文攻击设备。同时,设备支持配置端口状态自动恢

8、复功能,对于配置了 ARP 限速功能的端口,在其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态。3. 仿冒网关攻击按照 ARP 协议的设计,网络设备收到目的 IP 地址是本接口 IP 地址的 ARP报文(无论此 ARP 报文是否为自身请求得到的) ,都会将其 IP 地址和 MAC 地址的对应关系添加到自身的 ARP 映射表中。这样可以减少网络上过多的 ARP 数据通信,但也为“ARP 欺骗”创造了条件。实际网络环境,特别是校园网中,最常见的 ARP 攻击方式是“仿冒网关”攻击。即:攻击者伪造 ARP 报文,发送源 IP 地址为网关 IP 地址,源 MAC 地址为伪造的 MAC 地址

9、的 ARP 报文给被攻击的主机,使这些主机更新自身 ARP 表中网关 IP 地址与 MAC 地址的对应关系。这样一来,主机访问网关的流量,被重定向到一个错误的 MAC 地址,导致该用户无法正常访问外网。因为主机 A 仿冒网关向主机 B 发送了伪造的网关 ARP 报文,导致主机 B 的ARP 表中记录了错误的网关地址映射关系(本来正确的 MAC 地址应该是 1-1-1,现在却被更新为 2-2-2) ,这样主机在上网时发送给网关报文时会错误地发送到仿冒的网关中,从而正常的数据不能被网关接收,造成所有更新了错误的网关 ARP表项的用户主机都上不了网。仿冒网关攻击是一种比较常见的攻击方式,如果攻击源发

10、送的是广播 ARP 报文,或者根据其自身所掌握的局域网内主机的信息依次地发送攻击报文,就可能会导致整个局域网通信的中断,是 ARP 攻击中影响较为严重的一种。为了防御“仿冒网关”的 ARP 攻击,在一些 H3C 交换机中(如S3100、S5600 等系列)中提供了基于网关 IP/MAC 的 ARP 报文过滤功能。为防御交换机下行端口(下行端口通常是直接连接用户的)可能收到的源 IP 地址为网关 IP 地址的 ARP 攻击报文,可将接入交换机下行端口和网关 IP 进行绑定。绑定后,该端口接收的源 IP 地址为网关 IP 地址的 ARP 报文将被丢弃,其他 ARP 报文允许通过。为防御交换机上行端

11、口(通常是直接连接网关设备的)可能收到的源 IP 地址为网关 IP 地址,源 MAC 地址为伪造的 MAC 地址的 ARP 攻击报文,可将接入交换机级联端口或上行端口和网关 IP 地址、网关 MAC 地址进行绑定。绑定后,该端口接收的源 IP 地址为指定的网关 IP 地址,源 MAC 地址为非指定的网关 MAC 地址的 ARP 报文将被丢弃,其他 ARP 报文允许通过。这样一来,这些仿冒网关的 ARP 报文就不起作用了。【注意】ARP 信任端口功能比端口支持基于网关 IP/MAC 的 ARP 报文过滤功能的优先级高,即:如果接入交换机级联端口或上行端口被配置为 ARP 信任端口,则该端口上对于

12、网关 IP 地址、网关 MAC 地址的绑定不生效4. 欺骗网关攻击恶意用户可能通过工具软件,发送伪造网络中其他设备(或主机)的源 IP 或源 MAC 地址的 ARP 报文,从而导致途径网络设备上的 ARP 表项刷新到错误的端口上,导致正常主机的网络流量中断。主机 A 以主机 B 的 IP 地址(10.10.01.3)为源 IP 地址和仿冒的 MAC 地址(5-5-5)为源 MAC 地址冒充主机 B 向网关发送了伪造的主机 B 的 ARP 报文,导致网关中关于主机 B 的 ARP 表中记录了错误的主机 B 地址映射关系,这来来自互联网发往主机 B 的的数据包就不能正确地被主机 B 接收。为了防御

13、这一类 ARP 攻击,H3C 的一些交换机(如 S3100、S5600 系列)中提供了 ARP 报文源 MAC 一致性检查功能。通过检查 ARP 报文中的源 MAC 地址和以太网报文头中的源 MAC 地址是否一致,来校验其是否为伪造的 ARP 报文。如果一致,则该 ARP 报文通过一致性检查,交换机进行正常的表项学习;如果不一致,则认为该 ARP 报文是伪造报文,交换机不学习动态 ARP 表项的学习,也不根据该报文刷新 ARP 表项。5. 欺骗其他用户攻击这种攻击方式与上面介绍的欺骗网关攻击一样,只不过,这里攻击者的仿冒报文不是发送给风关,而是发送给其他用户主机。如图 17-4 所示,主机 A

14、 以主机 B 的 IP 地址( 10.10.10.3)为源 IP 地址,仿冒的 MAC 地址(5-5-5)向主机 C发送了伪造的主机 B 的 ARP 报文,导致主机 C 的 ARP 表中记录了错误的主机 B地址映射关系,从而导致主机 C 发送给主机 BR 正常的数据报文不能正确地被主机 B 接收。防止欺骗其他用户的攻击方法也是采用前面介绍的 ARP 报文源 MAC 一致性检查功能,不再赘述。,通常需要配置以上所介绍的 ARP 攻击防御功能的设备如下所示:l 配置 VLAN 接口学习动态 ARP 表项的最大数目:网关设备l 配置 ARP 报文源 MAC 一致性检查功能:网关设备、接入设备l 配置

15、基于网关 IP/MAC 的 ARP 报文过滤功能:接入设备l 配置 ARP 入侵检测功能:网关设备、接入设备l 配置 ARP 报文限速功能:网关设备、接入设备二、 DHCP防 DHCP 服务欺骗攻击通过“伪服务器检测”功能在日志中记录 DHCP服务器的信息,协助管理员发现伪 DHCP 服务器通过“DHCP Snooping 信任端口”功能,自动丢弃非信任端口的 DHCP 响应报文,防止伪 DHCP 服务器攻击防止非法用户(或用户随意更换 IP地址)访问网络通过“DHCP 中继安全地址检查”功能与 ARP 模块的配合,防止局域网中的非法用户访问外网通过“ARP 入侵检测”、“IP 过滤”功能防止

16、局域网中的非法用户访问外网表项老化机制通过“握手机制”进行DHCP 中继用户地址表项的定时老化通过“租约定时器”实现根据客户端 IP 地址的租约对DHCP Snooping 表项进行老化三、 TCPTCP/IP 协议的安全隐患有以下几点: 1 关于链路层存在的安全隐患在以内网中,信息通道是共享的,一般地,CSMA/CD 协议是以太网接口在检测到数据帧不属于自己时,就把它忽略,不会把其他送到上层协议。解决该漏洞的对策是:网络分段、利用交换器、动态集线器等设备对数据流进行限制,加密和禁用杂错节点。2 关于 ip 漏洞Ip 包一旦从网络中发送出去,源 ip 地址就几乎不用,仅在中间路由器因某种原因丢弃它或达到目标端后,才被使用。如果攻击者把自己的主机伪装成目标主机信任的友好主机,即把发送的 ip 包中的源 ip地址改成被信任的友好主机 ip 地址,利用主机间信任关系和这种信任关系的实际认证中存在的脆弱性,就可以对信任主机进行攻击。解决这个问题的一个办法是,让路由器拒接接受来自网络外部的 ip 地址与本地某一主机的 ip 地址相同的 ip 包的进入。3 关

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号