夏衛(wèi)虎,李元旦
浙江省煙草公司臺(tái)州市公司,浙江臺(tái)州 318000
隨著時(shí)代的發(fā)展,網(wǎng)絡(luò)上信息傳遞的信息量和重要程度都在急劇增加,本文總結(jié)了網(wǎng)絡(luò)中幾種嚴(yán)重的攻擊方式,根據(jù)大部分網(wǎng)絡(luò)攻擊特點(diǎn),將攻擊終結(jié)在接入層,大大減少了上層核心網(wǎng)絡(luò)被攻擊的風(fēng)險(xiǎn)和業(yè)務(wù)處理負(fù)擔(dān)。
二層交換機(jī)是基于MAC地址去轉(zhuǎn)發(fā)數(shù)據(jù)幀的,轉(zhuǎn)發(fā)過程中依靠對(duì)CAM表的查詢來確定正確的轉(zhuǎn)發(fā)接口,一旦在查詢過程中無法找到相關(guān)目的MAC對(duì)應(yīng)的條目,此數(shù)據(jù)幀將作為廣播幀從交換機(jī)的所有端口發(fā)送出去。MAC/CAM泛洪攻擊就是利用了交換機(jī)的這個(gè)特點(diǎn),短時(shí)間內(nèi)產(chǎn)生大量去往未知目的地的數(shù)據(jù)幀,這些欺騙MAC地址將迅速填滿交換機(jī)的CAM表。CAM表被填滿后,流量在所有端口廣播,這時(shí)攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡(luò)信息。同時(shí)流量以方波方式發(fā)送到鄰接交換機(jī),造成交換機(jī)負(fù)載過大,網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。
在以太網(wǎng)等局域網(wǎng)上,使用ARP協(xié)議來實(shí)現(xiàn)lP地址到MAC地址的動(dòng)態(tài)轉(zhuǎn)換。在每臺(tái)安裝有TCP/IP協(xié)議的電腦里都有一個(gè)ARP緩存表,表里的lP地址與MAC地址是一一對(duì)應(yīng)的。ARP欺騙攻擊就是利用ARP協(xié)議漏洞,通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙的攻擊技術(shù),并能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞,攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP 響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP—MAC條目,造成網(wǎng)絡(luò)中斷或中間人攻擊。
從影響網(wǎng)絡(luò)連接通暢的方式來看,ARP欺騙分為二種,一種是對(duì)交換機(jī)ARP表的欺騙:另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是向交換機(jī)不斷發(fā)送錯(cuò)誤的MAC地址以填滿交換機(jī)ARP表,而真實(shí)內(nèi)網(wǎng)終端地址信息無法通過更新保存在ARP表中,結(jié)果交換機(jī)的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址,造成正常PC無法收到信息。第二種ARP欺騙的原理是偽造網(wǎng)關(guān):攻擊者首先會(huì)偽造網(wǎng)關(guān)地址,使得局域網(wǎng)計(jì)算機(jī)中所有的計(jì)算機(jī)發(fā)給網(wǎng)關(guān)的數(shù)據(jù)全部發(fā)給攻擊者,在收到這些數(shù)據(jù)之后,攻擊者會(huì)將這些數(shù)據(jù)發(fā)往網(wǎng)關(guān),通過網(wǎng)關(guān)發(fā)送到外部網(wǎng)絡(luò),外部網(wǎng)絡(luò)會(huì)返回?cái)?shù)據(jù)給攻擊者,攻擊者再將這些返回的數(shù)據(jù)發(fā)送給內(nèi)網(wǎng)計(jì)算機(jī)。攻擊者就這樣成為了計(jì)算機(jī)與外部網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)闹修D(zhuǎn)站,從而竊取到計(jì)算機(jī)與外部網(wǎng)絡(luò)交互的所有信息,而計(jì)算機(jī)卻全不知情。
接入層交換機(jī)處在網(wǎng)絡(luò)的邊緣,是整個(gè)網(wǎng)絡(luò)的大門,也是抵御惡意攻擊的第一道防線。以下以思科接入層交換機(jī)為例,提出針對(duì)以上攻擊的解決方案。
802.1 X是IEEE制定的關(guān)于用戶接入網(wǎng)絡(luò)的認(rèn)證標(biāo)準(zhǔn),它的全稱是“基于端口的網(wǎng)絡(luò)接人控制”802.1X協(xié)議是基于C/S的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶或設(shè)備通過接入端口訪問網(wǎng)絡(luò)系統(tǒng)。當(dāng)流量到達(dá)啟用了802.1X的端口后,需要和驗(yàn)證服務(wù)器交互,認(rèn)證通過后得到授權(quán),才可以訪問網(wǎng)絡(luò)。以下為配置實(shí)例:
switch(config)#aaa new-model //啟用交換機(jī)aaa認(rèn)證功能
switch(config)#aaa authentication dot1x default group radius
//指定802.1X認(rèn)證的方式為radius
switch(config)#radius-server host 【ip address】 key 【password】
//配置驗(yàn)證服務(wù)器和密鑰
switch(config)#dot1x system-auth-control 全局啟用802.1x認(rèn)證
switch(config)#interface F0/0
switch (config-if)#dot1x port-control auto 將F0/0端口開啟802.1x認(rèn)證
在企業(yè),連接到接入層交換機(jī)端口的工作站的MAC地址基本保持不變。可以根據(jù)MAC地址控制對(duì)端口的訪問,首先使用接口配置命令啟用,接下來指定一組允許的MAC地址并設(shè)置最大MAC地址數(shù)目,最后,指定使用端口安全的接口在遇到MAC地址違規(guī)時(shí)的處理方式。通過這樣設(shè)置任何來自非指定的MAC地址的數(shù)據(jù)包都將被丟棄而無法訪問內(nèi)網(wǎng)。 以下為配置實(shí)例:
switch (config)#interface F0/2
switch(config-if)#switchport mode access//配置端口模式為接入
switch(config-if)#switchport port-security//接口下開啟portsecurity
switch(config-if)# switchport port-security maximum 1
//配置接口允許MAC地址的最大數(shù)量
switch(config-if)#switchport port-security mac-address 5337. E6B5.B5CA
//定義允許向此接口發(fā)送數(shù)據(jù)幀的MAC地址
switch(config-if)# switchport port-security violation shutdown
//定義當(dāng)有非法MAC地址接入后所采取的動(dòng)作,以上配置為沖突后關(guān)閉端口
端口接收到非指定的MAC地址后,將Shutdown,并進(jìn)入err-disable狀態(tài),所有連接在交換機(jī)這個(gè)端口的終端都將斷開。此外,還能設(shè)置交換機(jī)丟棄來自該MAC地址的數(shù)據(jù)包,端口狀態(tài)不受影響。
DAI的工作原理是將交換機(jī)端口劃分為可信和不可信的,交換機(jī)攔截并檢查所有經(jīng)不可信端口到達(dá)的ARP分組,但在可信端口上不執(zhí)行這樣的檢查。在不可信端口上收到ARP應(yīng)答后,交換機(jī)根據(jù)已知的可信值對(duì)其中的MAC和IP地址進(jìn)行檢查。交換機(jī)通過靜態(tài)配置的條目或者DHCP探測(cè)數(shù)據(jù)庫中的動(dòng)態(tài)條目來收集可信的ARP信息。如果ARP應(yīng)答中包含與可信數(shù)據(jù)庫中的條目沖突的非法信息或值,交換機(jī)就將丟棄ARP應(yīng)答,并生成一條日志信息。這種措施可防止非法(偽造)的ARP條目被傳輸給其他機(jī)器并加入到其ARP緩存中。以下為配置實(shí)例:
switch(config)#ip arp inspection vlan 104// 在vlan104上啟用DAI
switch(config)#arp access-list staticarp//配置一個(gè)ARP訪問列表
switch(config-acl)#permit ip host 192.168.1.10 mac host 0003.4b55.a184
//指定允許的MAC-IP地址綁定switch(config-acl)#exit
switch(config)ip arp inspect //將ARP訪問列表應(yīng)用于DAI
本文詳細(xì)分析了幾種攻擊手段的原理和危害,給出基于接入層的解決方案,實(shí)現(xiàn)對(duì)用戶終端接入的有效控制,從而保證企業(yè)內(nèi)網(wǎng)信息的安全訪問。
[1]David Hucaby.CCNP SWITCH(642-813)認(rèn)證考試指南[M].人民郵電出版社,2010.
[2]吳世忠,江常青,彭勇.信息安全保障基礎(chǔ)[M].航空工業(yè)出版社,2009.
[3]徐勝利,孫開云,聶金.加強(qiáng)接入層交換機(jī)安全[J].網(wǎng)管員世界,2011(11).