仲　磊　楊　鍇

摘 要 網(wǎng)絡冗余設備的安全性問題是一直網(wǎng)絡中心和網(wǎng)絡維護部門的心病,網(wǎng)關被其他黑客替代將會造成無法估計的損失。本文以比較常用的HSRP協(xié)議來做例,對于網(wǎng)關的安全性技術(shù)作了分析。

關鍵詞 網(wǎng)絡安全 HSRP 網(wǎng)絡攻擊

中圖分類號:TP393.08文獻標識碼:A

隨著網(wǎng)絡應用的普及化,為了保證網(wǎng)絡的穩(wěn)定運行,各個學校和企事業(yè)單位使用了雙核心并采用HSRP來保證其網(wǎng)關的穩(wěn)定。但是在實際網(wǎng)絡環(huán)境中卻發(fā)現(xiàn)了許多基于此類網(wǎng)關冗余協(xié)議的攻擊手段和方法。

1 HSRP工作的原理和其他細節(jié)

(1)每個路由器有它自己的mac和ip地址,但是它卻共享一個MAC和IP地址作為虛擬路由器的IP和MAC對于局域網(wǎng)內(nèi)用戶來說就是網(wǎng)關地址和MAC。如果一臺路由器或者三層交換機down了,其他可以切換代替。

(2)在版本1的HSRP中,它的組播地址是224.0.0.2,在版本2中,組播地址為224.0.0.102.

(3)HSRP的TTL為1,所以黑客不能跨網(wǎng)攻擊。

(4)在1版本中虛擬的mac一般為0000.0c07.acxx,在版本2中為0000.0c9f.fxxx,在IPV6的環(huán)境中為0005.73a0.0xxx。其中xx為組號。

切換替代條件為:如果它從一個活動的路由器上收到任何HSRP的hello報文或者活動路由器自己需要變?yōu)閭溆脿顟B(tài)(如他失去了自己的廣域網(wǎng)連接),那么就會進行熱切換。

工作的協(xié)議為:在IPV4中采用udp的1985,在IPV6中采用udp的2029。

競爭活動狀態(tài)的原則:先看優(yōu)先級誰的值大就勝出,如果一樣就看誰的MAC地址小,那么誰將勝出。

具體配置命令為:standyby 1 ip 10.1.1.100; standyby 1 priority 105(默認100);standby 1 preempt(搶占加快切換時間)。默認的認證為明文的cisco。

2黑客攻擊的方法

(1)黑客會用dos進行攻擊:他一般先通過sniffer查找有沒有相應的HSRP的報文,再通過dos攻擊軟件進行攻擊(如:yersaina 或Hping3)

(2)中間人的攻擊: 通過ARP欺騙HSRP的虛擬MAC,實現(xiàn)對網(wǎng)絡的抓包。進而可以攻擊下面所有局域網(wǎng)的主機和服務器。

(3)信息的泄漏:一般主要作為探測主機類型、路由器的IP和相關設備參數(shù),為下面植入木馬做準備。

3如何防御HSRP的攻擊

(1)使用強認證。

Key chain hsrpkey

Key 1

Key-string hsrpkey

Key-sting hsrpkey

Interface fastEthernet0/0

Standby 1 authentication md5 key-chain hsrpkey

但是如果攻擊者采用重放攻擊。通過拷貝HSRP的報文并設置為高優(yōu)先級,將會馬上成為活動的假路由器。對于這種攻擊,我們建議使用端口安全來保障局域網(wǎng)的安全。

(2)在網(wǎng)絡中使用vacl作用在交換機上和racl作用在路由器上來實現(xiàn)全局的安全架構(gòu)。

vacl:access-list 101 permit udp host 192.168.0.7 host 224.0.0.2 eq 1985

access-list 101 permit udp host 192.168.0.9 host 224.0.0.2 eq 1985

access-list 102 permit udp any host 224.0.0.2 eq 1985

vlan access-map hsrp 10

match ip address 101

action forward

vlan access-map hsrp 20

match ip address 102

action drop

vlan access-map hsrp 30

action forward

vlan filter hsrp vlan-list 88

racl: access-list 101 permit udp host 192.168.0.7 host 224.0.0.2 eq 1985

access-list 101 permit udp host 192.168.0.9 host 224.0.0.2 eq 1985

access-list 101 deny udp any host 224.0.0.2 eq 1985

access-list 101 permit ip any any

interface f0/0

ip access-group 101 in