交換機知識--網(wǎng)絡(luò)安全

ARP（Address Resolution Protocol，地址解析協(xié)議）用于將網(wǎng)絡(luò)層的IP地址解析為數(shù)據(jù)鏈路層地址。IP地址只是主機在網(wǎng)絡(luò)層中的地址，如果要將網(wǎng)絡(luò)層中數(shù)據(jù)包傳送給目的主機，必須知道目的主機的數(shù)據(jù)鏈路層地址（比如以太網(wǎng)絡(luò)MAC地址）。因此必須將IP地址解析為數(shù)據(jù)鏈路層地址。

ARP協(xié)議用于將IP地址解析為MAC地址，并在主機內(nèi)部維護(hù)一張ARP表，記錄最近與本主機通信的其它主機的MAC地址與IP地址的對應(yīng)關(guān)系。當(dāng)主機需要與陌生主機通信時，首先進(jìn)行ARP地址解析，ARP地址解析過程如圖所示：

1) A在自己的ARP表中查詢是否存在主機B的IP地址和MAC地址的對應(yīng)條目。若存在，直接向主機B發(fā)送數(shù)據(jù)。若不存在，則A向整個局域網(wǎng)中廣播一份稱為“ARP請求”的數(shù)據(jù)鏈路幀，這個請求包含發(fā)送端（即主機A）的IP地址和MAC地址以及接收端（即主機B）的IP地址。

2) 局域網(wǎng)的每個主機接收到主機A廣播的ARP請求后，目的主機B識別出這是發(fā)送端在詢問它的IP地址，于是給主機A發(fā)出一個ARP應(yīng)答。這個應(yīng)答包含了主機B的MAC地址。

3) 主機A接收到主機B發(fā)出的ARP應(yīng)答后，就將主機B的IP地址與MAC地址的對應(yīng)條目添加自己的ARP表中，以便后續(xù)報文的轉(zhuǎn)發(fā)。

掃描綁定功能即通過交換機向局域網(wǎng)或VLAN發(fā)送指定IP段的ARP請求報文，當(dāng)收到相應(yīng)的ARP應(yīng)答報文時，將分析ARP應(yīng)答報文來獲得四元信息。由此可見，通過掃描綁定功能可以很方便的將局域網(wǎng)用戶的四元信息進(jìn)行綁定。

DHCP偵聽

隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和網(wǎng)絡(luò)復(fù)雜度的提高，經(jīng)常出現(xiàn)計算機的數(shù)量超過可供分配的IP地址的情況。同時隨著便攜機及無線網(wǎng)絡(luò)的廣泛使用，計算機的位置也經(jīng)常變化，相應(yīng)的IP地址也必須經(jīng)常更新，從而導(dǎo)致網(wǎng)絡(luò)配置越來越復(fù)雜。DHCP（Dynamic Host Configuration Protocol，動態(tài)主機配置協(xié)議）是在BOOTP協(xié)議基礎(chǔ)上進(jìn)行了優(yōu)化和擴(kuò)展而產(chǎn)生的一種網(wǎng)絡(luò)配置協(xié)議，并有效解決了上面這些問題。

DHCP工作原理

DHCP采用“客戶端/服務(wù)器”通信模式，由客戶端向服務(wù)器提出配置申請，服務(wù)器返回為客戶端分配的IP地址等配置信息，以實現(xiàn)網(wǎng)絡(luò)資源的動態(tài)配置。通常一臺服務(wù)器可以為多臺客戶端分配IP，如圖所示：

針對DHCP客戶端的需求不同，DHCP服務(wù)器提供三種IP地址分配策略：

1) 手工分配地址：由管理員為少數(shù)特定客戶端（如WWW服務(wù)器等）靜態(tài)綁定IP地址。通過DHCP將固定IP地址分配給客戶端。

2) 自動分配地址：DHCP服務(wù)器為客戶端分配租期為無限長的IP地址。

3) 動態(tài)分配地址：DHCP服務(wù)器為客戶端分配具有一定有效期限的IP地址，當(dāng)使用期限到期后，客戶端需要重新申請地址。

絕大多數(shù)客戶端均通過動態(tài)分配地址的方式獲取IP地址，其獲取IP地址的過程如下圖所示：

1) 發(fā)現(xiàn)階段，客戶端以廣播方式發(fā)送DHCP-DISCOVER報文尋找DHCP服務(wù)器。

2) 提供階段，DHCP服務(wù)器接收到客戶端發(fā)送的DHCP-DISCOVER報文后，根據(jù)IP地址分配的優(yōu)先次序從地址池中選出一個IP地址，與其它參數(shù)一起通過DHCP-OFFER報文發(fā)送給客戶端（發(fā)送方式根據(jù)客戶端發(fā)送的DHCP-DISCOVER報文中的flag字段決定，具體請見DHCP報文格式的介紹）。

3) 選擇階段，如果有多臺DHCP服務(wù)器向該客戶端發(fā)來DHCP-OFFER報文，客戶端只接受第一個收到的DHCP-OFFER報文，然后以廣播方式發(fā)送DHCP-REQUEST報文，該報文中包含DHCP服務(wù)器在DHCP-OFFER報文中分配的IP地址。

4) 確認(rèn)階段，DHCP服務(wù)器收到DHCP客戶端發(fā)來的DHCP-REQUEST報文后，只有DHCP客戶端選擇的服務(wù)器會進(jìn)行如下操作：如果確認(rèn)地址分配給該客戶端，則返回DHCP-ACK報文；否則將返回DHCP-NAK報文，表明地址不能分配給該客戶端。

Option 82

DHCP報文格式基于BOOTP的報文格式，共有8種類型的報文，每種報文的格式相同。DHCP和BOOTP消息的不同主要體現(xiàn)在選項（Option）字段，并利用Option字段來實現(xiàn)功能擴(kuò)展。例如DHCP可以利用Option字段傳遞控制信息和網(wǎng)絡(luò)配置參數(shù)，實現(xiàn)地址的動態(tài)分配，為客戶端提供更加豐富的網(wǎng)絡(luò)配置信息。更多DHCP Option選項的介紹，請參見RFC 2132。

Option 82選項記錄了DHCP客戶端的位置信息，交換機接收到DHCP客戶端發(fā)送給DHCP服務(wù)器的請求報文后，在該報文中添加Option 82，并轉(zhuǎn)發(fā)給DHCP服務(wù)器。管理員可以從Option 82中獲得DHCP客戶端的位置信息，以便定位DHCP客戶端，實現(xiàn)對客戶端的安全和計費等控制。支持Option 82的服務(wù)器還可以根據(jù)該選項的信息制訂IP地址和其它參數(shù)的分配策略，提供更加靈活的地址分配方案。

Option 82最多可以包含255個子選項。若定義了Option 82，則至少要定義一個子選項。目前本交換機支持兩個子選項：Circuit ID（電路ID子選項）和Remote ID（遠(yuǎn)程ID子選項）。由于Option 82的內(nèi)容沒有統(tǒng)一規(guī)定，不同廠商通常根據(jù)需要進(jìn)行填充。目前本交換機對子選項的填充內(nèi)容如下，電路ID子選項的填充內(nèi)容是接收到DHCP客戶端請求報文的端口所屬VLAN的編號以及端口號，遠(yuǎn)程ID子選項的填充內(nèi)容是接收到DHCP客戶端請求報文的DHCP Snooping設(shè)備的MAC地址。

DHCP服務(wù)欺騙攻擊

在DHCP工作過程中，通常服務(wù)器和客戶端沒有認(rèn)證機制，如果網(wǎng)絡(luò)上存在多臺DHCP服務(wù)器，不僅會給網(wǎng)絡(luò)造成混亂，也對網(wǎng)絡(luò)安全造成很大威脅。這種網(wǎng)絡(luò)中出現(xiàn)非法的DHCP服務(wù)器，通常分為兩種情況：

1) 用戶不小心配置的DHCP服務(wù)器，由此引起的網(wǎng)絡(luò)混亂非常常見。

2) 黑客將正常的DHCP服務(wù)器中的IP地址耗盡，然后冒充合法的DHCP服務(wù)器，為客戶端分配IP地址等配置參數(shù)。例如黑客利用冒充的DHCP服務(wù)器，為用戶分配一個經(jīng)過修改的DNS服務(wù)器地址，在用戶毫無察覺的情況下被引導(dǎo)至預(yù)先配置好的假的金融網(wǎng)站或電子商務(wù)網(wǎng)站，騙取用戶的帳戶和密碼，如圖所示。

DHCP偵聽是運行在交換機上的一種DHCP安全特性。通過設(shè)置DHCP服務(wù)器的連接端口為授信端口，只處理授信端口發(fā)來的DHCP響應(yīng)報文；通過監(jiān)聽DHCP報文，記錄用戶從DHCP服務(wù)器獲取局域網(wǎng)用戶的四元信息，進(jìn)行綁定后與ARP攻擊防護(hù)、IP源防護(hù)等安全功能配合使用；同時也可以過濾不可信任的DHCP信息，防止局域網(wǎng)中發(fā)生DHCP服務(wù)欺騙攻擊，提高網(wǎng)絡(luò)的安全性。

ARP防護(hù)

根據(jù)所述的ARP地址解析過程可知，利用ARP協(xié)議，可以實現(xiàn)相同網(wǎng)段內(nèi)的主機之間正常通信或者通過網(wǎng)關(guān)與外網(wǎng)進(jìn)行通信。但由于ARP協(xié)議是基于網(wǎng)絡(luò)中的所有主機或者網(wǎng)關(guān)都為可信任的前提制定的，因此在實際復(fù)雜的網(wǎng)絡(luò)中，此過程存在大量的安全隱患，從而導(dǎo)致針對ARP協(xié)議的欺騙攻擊非常常見。網(wǎng)關(guān)仿冒、欺騙網(wǎng)關(guān)、欺騙終端用戶和ARP泛洪攻擊均是在學(xué)校等大型網(wǎng)絡(luò)中常見的ARP攻擊，以下簡單介紹這幾種常見攻擊：

網(wǎng)關(guān)仿冒

攻擊者發(fā)送錯誤的網(wǎng)關(guān)MAC給受害者，而網(wǎng)絡(luò)中的受害者收到這些ARP響應(yīng)報文時，自動更新ARP表，導(dǎo)致不能正常訪問網(wǎng)絡(luò)。如圖所示。

如圖，攻擊者發(fā)送偽造的網(wǎng)關(guān)ARP報文給局域網(wǎng)中的正常用戶，相應(yīng)的局域網(wǎng)用戶收到此報文后更新自己的ARP表項。當(dāng)局域網(wǎng)中正常用戶要與網(wǎng)關(guān)進(jìn)行通信時，將數(shù)據(jù)包封裝上錯誤的目的MAC地址，導(dǎo)致通信中斷。

欺騙網(wǎng)關(guān)

攻擊者發(fā)送錯誤的終端用戶的IP/MAC的對應(yīng)關(guān)系給網(wǎng)關(guān)，導(dǎo)致網(wǎng)關(guān)無法和合法終端用戶正常通信。如圖所示。

如圖，攻擊者發(fā)送偽造的用戶A的ARP報文給網(wǎng)關(guān)，網(wǎng)關(guān)收到此報文后更新自己的ARP表項，當(dāng)網(wǎng)關(guān)與局域網(wǎng)中用戶A進(jìn)行通信時，將數(shù)據(jù)包封裝上錯誤的目的MAC地址，導(dǎo)致通信中斷。

欺騙終端用戶

攻擊者發(fā)送錯誤的終端用戶/服務(wù)器的IP/MAC的對應(yīng)關(guān)系給受害的終端用戶，導(dǎo)致同網(wǎng)段內(nèi)兩個終端用戶之間無法正常通信。如圖所示。

如圖，攻擊者發(fā)送偽造的用戶A的ARP報文給用戶B，用戶B收到此報文后更新自己的ARP表項，當(dāng)用戶B與用戶A進(jìn)行通信時，將數(shù)據(jù)包封裝上錯誤的目的MAC地址，導(dǎo)致通信中斷。

中間人攻擊

攻擊者不斷向局域網(wǎng)中計算機發(fā)送錯誤的ARP報文，使受害主機一直維護(hù)錯誤的ARP表項。當(dāng)局域網(wǎng)主機互相通信時，將數(shù)據(jù)包發(fā)給攻擊者，再由攻擊者將數(shù)據(jù)包進(jìn)行處理后轉(zhuǎn)發(fā)。在這個過程中，攻擊者竊聽了通信雙方的數(shù)據(jù)，而通信雙方對此并不知情。這就是中間人攻擊。如圖所示。

假設(shè)同一個局域網(wǎng)內(nèi)，有3臺主機通過交換機相連：

A主機：IP地址為192.168.0.101，MAC地址為00-00-00-11-11-11；

B主機：IP地址為192.168.0.102，MAC地址為00-00-00-22-22-22；

攻擊者：IP地址為192.168.0.103，MAC地址為00-00-00-33-33-33。

1. 首先，攻擊者向主機A和主機B發(fā)送偽造的ARP應(yīng)答報文。

2. A主機和B主機收到此ARP應(yīng)答后，更新各自的ARP表。

3. A主機和B主機通信時，將數(shù)據(jù)包發(fā)送給錯誤的MAC地址，即攻擊者。

4. 攻擊者竊聽了通信數(shù)據(jù)后，將數(shù)據(jù)包處理后再轉(zhuǎn)發(fā)到正確的MAC地址，使A主機和B主機保持正常的通信。

5. 攻擊者連續(xù)不斷地向A主機和B主機發(fā)送偽造的ARP響應(yīng)報文，使二者的始終維護(hù)錯誤的ARP表。

在A主機和B主機看來，彼此發(fā)送的數(shù)據(jù)包都是直接到達(dá)對方的，但在攻擊者看來，其擔(dān)當(dāng)?shù)木褪恰暗谌摺钡慕巧?。這種嗅探方法，也被稱作“中間人”的方法。

ARP泛洪攻擊

攻擊者偽造大量不同ARP報文在同網(wǎng)段內(nèi)進(jìn)行廣播，消耗網(wǎng)絡(luò)帶寬資源，造成網(wǎng)絡(luò)速度急劇降低；同時，網(wǎng)關(guān)學(xué)習(xí)此類ARP報文，并更新ARP表，導(dǎo)致ARP表項被占滿，無法學(xué)習(xí)合法用戶的ARP表，導(dǎo)致合法用戶無法訪問外網(wǎng)。

在本交換機中，通過四元綁定功能在用戶接入交換機時即對用戶的四元信息進(jìn)行綁定；而在ARP防護(hù)功能中則利用在交換機中綁定的四元信息對ARP報文進(jìn)行檢查，過濾非法ARP報文。通過上述兩步可以很好的對局域網(wǎng)中ARP攻擊進(jìn)行防御。