局域网网络安全
数据链路层常见的威胁包括:MAC地址扩散、DHCP服务器欺骗与地址耗尽、IP地址欺骗和ARP攻击与欺骗
接下来我们就了解一下相关的原理与防御措施
一、MAC地址扩散
1、原理:MAC地址扩散利用了交换机转发的原理,攻击主机不断地使用假的MAC地址进行通信,使得交换机的MAC地址表溢出,这时交换机再收到正常的数据帧时,MAC地址表中将找不到数据帧中目的地址对应的条目,该数据帧将被广播转发,攻击者将获得正常的数据通信。
使用MAC地址扩散攻击时的一个明显现象就是CPU利用率偏高,使用show processes cpu命令可以查看cpu的利用率。
2、防御措施:应用端口安全(只有2960以上级别的交换机才支持)
端口安全是一种网络接入的验证,只有符合设置规则的才能接入局域网,避免未授权的客户端接入网络。同时默认只有第一个接入交换机该接口的MAC地址才可以在网络中正常通信。
1)、启用交换机端口安全
switch(config-if)#switchport port-security
启用端口安全的接口必须是接入或干道模式
2)、配置MAC地址违规后的策略
switch(config-if)#switchport port-sectory violation { protect | restrict| shutdown }
portect:将违规的MAC地址的分组丢弃,不记录违规分组
restrict:将违规的MAC地址的分组丢弃,并记录违规分组
shutdown(默认):端口成为err-disabled状态,相当于关闭端口
3)、配置接口允许的最大活跃地址数量
switch(config-if)#switchport port-security maximum max-addr
4)、配置静态绑定的MAC地址
switch(config-if)#switchport port-security mac-address mac-addr
5)、配置老化时间
switch(confi-if)#switchport port-security aging time time
switch(confi-if)#switchport port-security aging type absolute|inactivity
absolute:老化时间到期后,删除所有MAC地址并重新学习
inactivity:与端口连接的客户端老化时间内没有流量通过,就将其MAC地址从MAC地址表中删除
6)、配置端口安全的粘连(sticky)特性
switch(confi-if)#switchport port-security mac-address sticky
7)、查看启用端口安全的状态
switch#show port-security int f0/0
8)、清除接口的MAC地址或全部端口缓存
switch#clear port-security dynamic {address mac-addr | interface f0/0}
9)、删除静态绑定的MAC地址
switch(confi-if)#switchport port-security aging static
二、DHCP服务器欺骗与地址耗尽
1、原理:
DHCP服务器欺骗:即客户端将自己配置为DHCP服务器分派假的IP地址及其信息,或者直接响应DHCP请求。
DHCP地址耗尽:即客户端不断冒充新客户机发送DHCP请求,请求服务器为自己分配IP地址,这样很快就耗尽DHCP配置的IP地址,使正常接入的用户无法获得ip地址
2、防御措施:DHCP监听
DHCP监听将交换机的端口分为两种:
非信任端口:连接终端设备的端口,该端口客户端只能发送DHCP请求报文,丢弃来自该端口的所有其他DHCP报文
信任端口:连接合法的DHCP服务器或汇聚端口
DHCP监听会建立一个DHCP绑定表,主要包括非信任端口的客户端的ip地址、MAC地址、端口号、VLAN、绑定类型和租期等。DHCP绑定表是为进一步部署IP源防护和动态ARP检测做的基础
1)、启用DHCP监听
switch(config)#ip dhcp snooping
switch(config)#ip dhcp snooping vlan numbe
2)、配置端口信任
switch(config-if)#ip dhcp snooping trust
3)、报文中插入82选项(默认已开启)
switch(config)#ip dhcp snooping information option
4)、配置预防DHCP耗尽攻击
switch(config-if)#ip dhcp snooping limit rate rate(pps)
启用核实MAC地址功能,避免DHCP耗尽攻击
switch(config)#ip dhcp snooping verify mac-address
启用核实mac地址功能后,交换机会检测从非信任端口收到的DHCP请求报文中的源MAC地址和DHCP请求报文中的目的mac地址是否相同,避免虚假mac地址请求ip地址实现DHCP耗尽攻击
5)、配置端口自动恢复
switch(config)#errdisable recovery cause dhcp-rate-limit
switch(config)#errdisable recovery interval time
6)、DHCP监听状态查询
switch#show ip dhcp snooping
switch#show ip dhcp snooping binding
7)、DHCP报文的选项82为DHCP中继使用,DHCP监听使用选项82添加相关客户端信息。让允许被插入选项82信息但无中继信息的DHCP报文通过
switch(config-if)#ip dhcp relay information trusted
或switch(config)#ip dhcp relay information trust-all
三、IP地址欺骗
1、原理:IP地址欺骗即客户端使用自己配置的IP地址冒充其他客户端或网络管理员,对其他用户、设备、服务器等进行非法操作
2、预防措施:IP源防护
IP源防护是一种基于IP/MAC的端口流量过滤的技术,以DHCP监听技术为基础。根据DHCP监听的绑定表生成一个IP源绑定表。根据IP源绑定表IP源防护自动在端口加载相应的策略对流量进行检测,不符合的数据被丢弃。启用IP源防护后默认端口准许DHCP报文通过。cisco3560系列以上交换机才支持IP源防护。
1)、启用IP源防护(先要在vlan中启用DHCP监听)
启用IP源防护的源IP地址过滤
switch(config-if)#ip verify source //cisco 3560系列交换机
switch(config-if)#ip verify source vlan dhcp-snooping //cisco 45/65交换机命令
启用IP源防护的源IP和源MAC地址过滤(先启用端口安全)
switch(config-if)#ip verify source port-security //cisco 3560系列交换机
switch(config-if)#ip verify source vlan dhcp-snooping port-security //cisco 45/65交换机命令
2)、配置静态IP源绑定
switch(config)#ip source binding mac-address vlan vlan-number ip-address inf f0/0
3)、查看IP源防护的状态和绑定表
switch #show ip source binding
switch #show ip verify source
四、ARP攻击与欺骗
1、原理
ARP攻击的原理:攻击主机制造假的ARP应答,并发送给局域网中除被攻击主机之外的所有主机。ARP应答中包含除被攻击主机的IP地址和虚假的MAC地址。
攻击主机制造假的ARP应答,并发送给被攻击主机,ARP应答包中包含除被攻击主机之外的所有主机的IP地址和虚假的MAC地址。
ARP欺骗的原理:通过冒充网关或其他主机使得到达网关或主机的流量通过攻击主机进行转发,从而控制流量或得到机密信息。
2、预防措施:动态ARP检测(DAI)
DAI技术会根据DHCP监听生成的DHCP监听绑定表以及IP源防护中静态配置的静态IP源绑定表的内容对ARP报文进行检测。(只有三层交换机才支持)
1)、在制定vlan上启动DAI
switch(config)#ip arp inspection vlan number
2)、配置信任端口
switch(config-if)#ip arp inspection trust
3)、限制入站ARP报文的速率
switch(config-if)#ip arp inspection limit rate rate
4)、查看DAI相关配置与状态
查看启用DAI的端口以及信任状态
switch #show ip arp inspection interface
查看启用DAI的vlan相关信息
switch #show ip arp inspection vlan 10
查看启用DAI的vlan中数据包信息
switch #show ip arp inspection statistics vlan 10
switch #show ip arp inspection