勞翠金,秦 燊

(柳州城市職業(yè)學(xué)院 信息工程系,廣西 柳州 545000)

0 引言

建立在TCP/IP 之上的局域網(wǎng)由于協(xié)議本身的脆弱性,給攻擊者留下了入侵的機(jī)會(huì)。 以太網(wǎng)中的數(shù)據(jù)傳輸信道是共享信道,如果局域網(wǎng)采用集線器連接,因?yàn)榧€器接收到信號(hào)后會(huì)將信號(hào)從所有接口轉(zhuǎn)發(fā)出去,發(fā)給局域網(wǎng)中的所有主機(jī),主機(jī)若被設(shè)為監(jiān)聽模式,即使收到的信號(hào)不是發(fā)給自己的,也會(huì)接收下來,從而達(dá)到偵聽網(wǎng)絡(luò)數(shù)據(jù),非法竊取他人賬號(hào)、密碼等信息和借此進(jìn)行其他非法操作,損害他人利益的目的。如果局域網(wǎng)連接使用的不是集線器而是交換機(jī),雖然能避免以上廣播轉(zhuǎn)發(fā)的后果,但攻擊者仍可基于ARP協(xié)議及交換機(jī)生成MAC 地址表的原理,偽造“IP 地址與MAC 地址對(duì)應(yīng)關(guān)系”,實(shí)施中間人攻擊。 另外,攻擊者還可利用局域網(wǎng)對(duì)DHCP 服務(wù)器缺少驗(yàn)證機(jī)制,通過攻擊DHCP 服務(wù)器,進(jìn)而將偽造的缺省網(wǎng)關(guān)和DNS服務(wù)器地址發(fā)給用戶,達(dá)到中間人攻擊和網(wǎng)絡(luò)釣魚等目的。 文章主要探討如何有針對(duì)性地加強(qiáng)其防御能力及相關(guān)技術(shù)手段。 涉及的安全防護(hù)措施和技術(shù)手段,均可通過運(yùn)行EVE-NG 虛擬化平臺(tái)進(jìn)行驗(yàn)證[1]。

1 針對(duì)MAC 地址泛洪攻擊的防護(hù)

1.1 端口鏡像技術(shù)

網(wǎng)絡(luò)管理員運(yùn)用端口鏡像技術(shù),可對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控,將流經(jīng)交換機(jī)各端口的流量轉(zhuǎn)發(fā)到網(wǎng)絡(luò)安全管理員監(jiān)控的端口。 以Catalyst 2950 系列的交換機(jī)為例,命令“monitor session 1 source interface g0/1”指定源端口,命令“monitor session 1 destination interface g0/2”指定目的端口,源端口g0/1 的流量將會(huì)被鏡像到管理員所在的目標(biāo)端口g0/2 上,由管理員進(jìn)行監(jiān)控和分析。

因?yàn)楣粽邲]有交換機(jī)的管理權(quán)限,故攻擊者無法采用以上方法對(duì)局域網(wǎng)上的流量進(jìn)行監(jiān)控和捕獲諸如密碼等重要信息。 但攻擊者卻可采用MAC 地址泛洪等攻擊達(dá)到該目的。 下文先探討攻擊者的做法,再給出解決方案。 這涉及交換機(jī)的工作原理及MAC 地址表。

1.2 MAC 地址泛洪攻擊的原理

局域網(wǎng)中的電腦互通時(shí),源電腦先根據(jù)目標(biāo)電腦的IP 地址,獲得其對(duì)應(yīng)的MAC 地址,然后,再通過源MAC 地址和目標(biāo)MAC 地址進(jìn)行通信。 通信需經(jīng)過中間設(shè)備交換機(jī)的中轉(zhuǎn)。 交換機(jī)查找其MAC 地址表中是否存有目標(biāo)MAC 地址的條目,若有,則可找到出接口;若無,則交換機(jī)會(huì)通過廣播的方式,把這個(gè)數(shù)據(jù)幀從除了入接口之外的其他所有接口廣播出去,收到這個(gè)數(shù)據(jù)幀的電腦如果發(fā)現(xiàn)數(shù)據(jù)幀的目標(biāo)MAC 地址與自己的MAC 地址不同,則會(huì)將其丟棄,如果發(fā)現(xiàn)接收到的數(shù)據(jù)幀的目標(biāo)MAC 地址是自己的MAC 地址,就接收并處理該數(shù)據(jù)幀。

交換機(jī)上的MAC 地址表存有MAC 地址與接口的對(duì)應(yīng)關(guān)系,但剛開始時(shí)是空的。 當(dāng)有數(shù)據(jù)幀到達(dá)交換機(jī)時(shí),交換機(jī)會(huì)將源MAC 與交換機(jī)中的MAC 地址表中的條目進(jìn)行對(duì)比,如果在MAC 地址表中找不到包含這個(gè)源MAC 地址的條目,交換機(jī)就會(huì)將這個(gè)源MAC地址與對(duì)應(yīng)的入接口作為一個(gè)新的條目,存入MAC 地址表。 以后一旦有目的MAC 地址與MAC 地址表中已有的MAC 地址一致的數(shù)據(jù)幀進(jìn)入交換機(jī),交換機(jī)就可以將其從查到的對(duì)應(yīng)接口轉(zhuǎn)發(fā)出去[2]。

然而,交換機(jī)的MAC 地址表的存儲(chǔ)空間畢竟是有限的,當(dāng)攻擊者虛構(gòu)大量的源MAC 地址的數(shù)據(jù)幀,并發(fā)往交換機(jī)中時(shí),交換機(jī)將會(huì)將這些虛構(gòu)的源MAC 地址記錄到自己的MAC 地址表中,最終導(dǎo)致交換機(jī)的MAC 地址表爆滿,使交換機(jī)無法存儲(chǔ)新的MAC 地址及其與相應(yīng)接口的對(duì)應(yīng)關(guān)系。 此后,如果還有新的數(shù)據(jù)流經(jīng)過交換機(jī),因?yàn)榻粨Q機(jī)無法從MAC 地址表中查找到其相應(yīng)的目標(biāo)MAC 地址,所以交換機(jī)只能像集線器一樣,將數(shù)據(jù)幀廣播出去。 包括攻擊者在內(nèi)的電腦,都會(huì)收到這些廣播信息,攻擊者通過抓包軟件,捕獲和分析這些信息。

因?yàn)榻粨Q機(jī)的MAC 地址表容量是有限的,所以攻擊者若在kali linux 上打開多個(gè)命令行窗口,同時(shí)運(yùn)行macof 命令,偽造大量的源MAC 地址來占滿交接機(jī)的MAC 地址表空間,則經(jīng)由此交換機(jī)的數(shù)據(jù)的轉(zhuǎn)發(fā)只能通過廣播進(jìn)行,此時(shí)通過抓包就可以捕獲到網(wǎng)絡(luò)上的所有流量了。

1.3 MAC 地址泛洪攻擊的防御

防御MAC 地址泛洪攻擊的常用方法,是配置交換機(jī)端口的port-security 屬性。 通過交接機(jī)端口的portsecurity 屬性可限制每個(gè)端口可連接的MAC 地址數(shù)量,還能限制相同的MAC 地址是否允許出現(xiàn)在不同的端口列表中。 對(duì)不符合port-security 屬性的違規(guī)行為,可配置為將相應(yīng)的端口關(guān)閉,也可配置為將違規(guī)幀丟棄,從而避免出現(xiàn)MAC 地址泛洪的不良影響。 進(jìn)入交換機(jī)端口使用“switchport port-security”命令,可開啟交換機(jī)端口的port-security 屬性,阻止端口遭受MAC 地址的泛洪攻擊。 開啟port-security 后,一個(gè)交換機(jī)端口默認(rèn)只能連接一個(gè)MAC 地址;相同的MAC 地址不允許同時(shí)出現(xiàn)在不同的端口的列表中。 如果相同的MAC地址在不同的交換機(jī)端口列表中出現(xiàn),交換機(jī)會(huì)將這種情況視為違規(guī)。 違規(guī)幀的處理方式有以下3 種[2]。

第一種違規(guī)幀的處理方式是protect,會(huì)將違規(guī)幀丟棄,而且不發(fā)送任何告警信息;第二種違規(guī)幀的處理方式是restrict,會(huì)將違規(guī)幀丟棄,同時(shí)發(fā)送告警信息;第三種違規(guī)幀的處理方式是shutdown,會(huì)將出現(xiàn)違規(guī)幀的端口關(guān)閉,將端口的狀態(tài)置為errordisable,同時(shí),發(fā)送告警信息。 例如,通過“switchport port - security violation shutdown”命令,可將違規(guī)幀的處理方式設(shè)置為“shutdown”;通過“switchport port-security maximum 2”命令,將端口允許連接的最大MAC 地址數(shù)量設(shè)置為2 個(gè)。

配置了相關(guān)的防護(hù)命令后,若攻擊者發(fā)動(dòng)攻擊,交換機(jī)會(huì)進(jìn)行主動(dòng)防御,此時(shí),可在交換機(jī)上通過“show port-security interface g1/0”命令,查看交換機(jī)g1/0 接口的port-security 狀態(tài),可以看到,雖然攻擊者發(fā)起大量的偽造源MAC 地址,想占滿交換機(jī)的MAC 地址表的空間,但由于源MAC 地址數(shù)超過了2,端口因違規(guī)而被關(guān)閉,達(dá)到了防御的目的。 網(wǎng)絡(luò)管理員為了進(jìn)一步追蹤攻擊者,可通過“show port-security address”命令,查看port-security 上的地址信息,從而追蹤到攻擊者并進(jìn)行追責(zé)。 如果交換機(jī)的端口因遭受攻擊,進(jìn)行主動(dòng)防御而關(guān)閉了,當(dāng)網(wǎng)絡(luò)安全管理員處理好相關(guān)問題后,需要對(duì)該端口進(jìn)行恢復(fù)處理:先使用 “no switchport port-security”命令,關(guān)閉這個(gè)端口的port-security 屬性,再用“shutdown”命令關(guān)閉這個(gè)端口,最后用“no shutdown”命令啟用這個(gè)端口。

2 針對(duì)DHCP 攻擊的防護(hù)技術(shù)

2.1 DHCP 攻擊的原理

除了MAC 地址泛洪攻擊,局域網(wǎng)站的DHCP 服務(wù)器也容易受到攻擊。 正常的DHCP 服務(wù)器接收到客戶機(jī)獲取地址的請(qǐng)求后,會(huì)從地址池中取出IP 地址分配給客戶機(jī),同時(shí)還會(huì)把相關(guān)的子網(wǎng)掩碼、網(wǎng)關(guān)地址、DNS服務(wù)器地址等信息,一并分配給客戶機(jī),具體如下。

首先,客戶機(jī)向局域網(wǎng)發(fā)送DHCP Discover 廣播請(qǐng)求,向DHCP 服務(wù)器申請(qǐng)IP 地址、子網(wǎng)掩碼、缺省網(wǎng)關(guān)、DNS 服務(wù)器等信息。

如果局域網(wǎng)中存在多臺(tái)DHCP 服務(wù)器,每臺(tái)服務(wù)器都會(huì)從自身地址池的可用IP 地址中取出一個(gè),連同相關(guān)的子網(wǎng)掩碼、網(wǎng)關(guān)地址、DNS 服務(wù)器地址,回應(yīng)給客戶機(jī)。 客戶機(jī)收到DHCP 服務(wù)器的回應(yīng)后,選擇其中一個(gè)服務(wù)器分配的地址等信息,并作出響應(yīng)。 沒有被客戶機(jī)接收的DHCP 服務(wù)器會(huì)把打算分配出去的IP地址回收到地址池中;被客戶機(jī)接收的DHCP 服務(wù)器則返回確認(rèn)信息給客戶機(jī),客戶機(jī)最終正式獲得該DHCP 服務(wù)器分配的IP 地址、子網(wǎng)掩碼、網(wǎng)關(guān)地址、DNS 地址等信息,進(jìn)行正常的網(wǎng)絡(luò)通信。

然而,若有攻擊者通過kali 的“pig.py 網(wǎng)卡類型及編號(hào)”命令不斷地向正規(guī)DHCP 服務(wù)器申請(qǐng)IP 地址,則會(huì)耗盡正規(guī)DHCP 服務(wù)器地址池中的所有IP 地址,導(dǎo)致正規(guī)DHCP 服務(wù)器無法再為正常用戶分配地址,此時(shí),若攻擊者啟用自己控制的惡意DHCP 服務(wù)器,就可以在給客戶機(jī)分配IP 地址的同時(shí),給客戶機(jī)分配惡意的網(wǎng)關(guān)信息或惡意的DNS 服務(wù)器地址信息。 若客戶機(jī)獲取的是惡意網(wǎng)關(guān)地址,客戶機(jī)訪問外網(wǎng)的所有數(shù)據(jù)都會(huì)經(jīng)過攻擊者控制的惡意網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā),攻擊者就可以把自己當(dāng)作中間人,在惡意網(wǎng)關(guān)上采取抓包等方式,截獲受害客戶機(jī)訪問外網(wǎng)的所有數(shù)據(jù)流量;若客戶機(jī)獲取的是惡意DNS 的地址,受害者打算訪問正規(guī)網(wǎng)站時(shí),卻被惡意DNS 服務(wù)器引導(dǎo)到釣魚網(wǎng)站,導(dǎo)致賬號(hào)、密碼等信息泄露。

2.2 DHCP 攻擊的防御

針對(duì)這樣的DHCP 服務(wù)攻擊,作為網(wǎng)絡(luò)安全管理員,可采用DHCP Snooping 技術(shù)來限制交換機(jī)端口發(fā)送用于分配IP 地址的數(shù)據(jù)包,限制每秒鐘通過交換機(jī)端口的DHCP 包的數(shù)量,從而對(duì)DHCP 攻擊進(jìn)行防御[3]。

(1) 設(shè)置交換機(jī)的時(shí)區(qū)和時(shí)間。 因?yàn)镈HCP Snooping 技術(shù)涉及DHCP 服務(wù)器所分配IP 地址的租用時(shí)間,所以要先用命令“clock timezone”和“clock set”設(shè)置好交換機(jī)所屬的時(shí)區(qū)及當(dāng)前時(shí)間。

(2)激活DHCP snooping。 先通過命令“ip dhcp snooping”在全局激活DHCP snooping,然后通過“ip dhcp snooping vlan id 號(hào)”在特定的VLAN 中進(jìn)一步激活。

(3) 指定DHCP Snooping 數(shù)據(jù)庫(kù)的存放位置。DHCP 的租用時(shí)間、客戶端的MAC 地址、IP 地址、所屬vlan、所連的交換機(jī)端口等相關(guān)信息,除了可臨時(shí)存儲(chǔ)到交換機(jī)的內(nèi)存中,還可存儲(chǔ)到DHCP Snooping 數(shù)據(jù)庫(kù)中。 可使用“ip dhcp snooping database flash:/文件名”命令,指定DHCP Snooping 數(shù)據(jù)庫(kù)的存放位置。

(4)設(shè)置信任端口。 對(duì)于正規(guī)的DHCP 服務(wù)器所連接的端口,可通過命令“ip dhcp snooping trust”將其指派成信任端口。 信任端口可發(fā)送所有的DHCP 包,包括DHCP 的請(qǐng)求包和對(duì)外分配IP 地址的DHCP 包。

(5)對(duì)非信任端口進(jìn)行DHCP 限速。 未明確指派的則為非信任端口,非信任端口只能發(fā)送DHCP Discover 和DHCP Request 這樣的DHCP 請(qǐng)求包,不能發(fā)送用于分配IP 地址的DHCP OFFER 和DHCP ACK包。 連接到非信任端口的惡意DHCP 服務(wù)器,是無法分配IP 地址給客戶機(jī)的。 可對(duì)非信任端口應(yīng)進(jìn)行DHCP 限速,限制每秒DHCP 包的數(shù)量,命令是“ip dhcp snooping limit rate 速率值”。

進(jìn)行以上配置后,若遭受針對(duì)DHCP 服務(wù)的攻擊,受攻擊的交換機(jī)端口會(huì)主動(dòng)關(guān)閉,網(wǎng)絡(luò)管理員追究攻擊者的責(zé)任、進(jìn)行相關(guān)處理后,需要恢復(fù)被關(guān)閉的端口,恢復(fù)的方法是:先進(jìn)入該接口,然后用shutdown 命令關(guān)閉該接口,再用no shutdown 命令重新打開該接口。

3 結(jié)語

若沒有配置交換機(jī)端口的port-security 屬性對(duì)MAC 地址泛洪攻擊進(jìn)行防御,攻擊者可在局域網(wǎng)中實(shí)施攻擊后,通過抓包捕獲包括密碼在內(nèi)的各種信息。若沒有啟用DHCP Snooping 對(duì)DHCP 攻擊進(jìn)行防御,正規(guī)服務(wù)器遭受針對(duì)DHCP 服務(wù)的攻擊后,將會(huì)耗盡地址池中的地址。 攻擊者會(huì)進(jìn)一步使用偽造的DHCP服務(wù)器為客戶分配虛假的網(wǎng)關(guān)或DNS 服務(wù)器,對(duì)客戶實(shí)施中間人攻擊或釣魚網(wǎng)站攻擊等,可見局域網(wǎng)中必要防范的重要性。