如何防范网络攻击

ARP攻击
找不到正确的网关， 所有访问外网的数据
都无法得到回应
发送ARP响应，告诉： 192.168.10.1对应的
MAC是MAC X
网关
192.168.10.1 MAC A
正常的网络访问数 据包，WWW、 QQ 、FTP
攻击者： 发送ARP 欺骗
192.168.10.3 MAC C
ARP表刷新， 192.168.10.1对应
安全关注点：IP地址扫描/欺骗/盗用
安全关注点：MAC地址欺骗/攻击、ARP欺骗/攻 击、STP攻击、DHCP攻击
安全关注点：线路的安全、物理设备的安全、机房的安 全等
数据链路层安全防范
➢MAC 攻击 ➢ARP 攻击 ➢DHCP 攻击 ➢STP 攻击
MAC攻击
MAC地址：链路层唯一标识
00.d0.f8. 00.07.3c
00d0.f800.0002 ➢ switchport port-security aging time 600
数据链路层安全防范
➢MAC 攻击 ➢ARP 攻击 ➢DHCP 攻击 ➢STP 攻击
ARP攻击
ARP 协议
在以太网中传输的数据包是以太包，而以太包的寻址是依据 其首部的物理地址（MAC 地址）。仅仅知道某主机的逻辑地 址（IP 地址）并不能让内核发送一帧数据给此主机，内核必 须知道目的主机的物理地址才能发送数据。ARP 协议的作用 就是在于把逻辑地址变换成物理地址，也既是把32bit 的IP 地址变换成48bit 的以太地址。
ARP攻击
发送ARP响应，说： PC B对应的MAC是
MAC C
ARP攻击防范
PC A
192.168.10.1 MAC A
攻击者： 发送ARP 欺骗
192.168.10.3 MAC C
发送ARP响应，说： PC A对应的MAC是
MAC C
PC B
192.168.10.2 MAC B
ARP攻击防范配置
步骤3
switchport mode access
步骤4
switchport port-security
步骤5
switchport port-security maximum maximum
步骤6
switchport port-security mac-address H.H.H
步骤7
switchport port-security aging time seconds
PC C MAC C
MAC攻击
利用MAC地址洪泛 攻击截获客户信息
Sniffer截取数据包
用户名、密码
攻击者
交换机
FTP 服务器
PC C 用户名：unit 密码：qy7ttvj7vg
MAC攻击
MAC攻击
防范：
1、MAC静态地址锁 2、802.1x自动绑定MAC地址 3、限定交换机某个端口上可以学习的MAC数量
的是MAC X
PC B
192.168.10.2 MAC B
ARP攻击
发包工具TouchStone
ARP攻击
ARP攻击之三：ARP洪泛
ARP洪泛：网络病毒利用ARP协议，在网络中大 量发送伪造ARP报文，扰乱网络中主机和设备的 ARP缓存，导致无法正常访问网络的攻击行为。
相关病毒： TrojanDropper.Win32.Juntador.c Win32.Troj.Mir2 Win32.Troj.Zypsw.33952
前3个字节： IEEE分配给网 络设备制造厂商 的
后3个字节：网 络设备制造厂商 自行分配的，不 重复，生产时写 入设备
FF.FF.FF.FF.FF.FF
广播MAC地址
MAC攻击
MAC攻击之一： MAC地址欺骗
将合法的MAC 地址修改成不存在 的MAC 地址或其它 计算机的MAC 地址， 从而隐藏自己真实 的MAC，来达到一 些不可告人的目的， 这就是MAC 地址欺 骗。
ARP攻击
ARP数据包
ARP攻击
防范：
利用交换机端口ARP检查安全功能：打开ARP 报文检查ARP报文中的源IP和源MAC是否和绑 定的一致，可有效防止安全端口上欺骗ARP， 防止非法信息点冒充网络关键设备的IP（如服 务器），造成网络通讯混乱。或通过802.1X中 的IP授权模式实现IP+MAC绑定。
mac-address 00d0.f800.0002ip-address 192.168.1.1
数据链路层安全防范
➢MAC 攻击 ➢ARP 攻击 ➢DHCP 攻击 ➢STP 攻击
DHCP攻击
什么是DHCP？
DHCP 是Dynamic Host Configuration Protocol 之缩写，即动 态主机配置协议，它能够自动地给网络中的主机分配IP地址和 设置相关网络属性。
ARP攻击
ARP表刷新， 192.168.10.2对应
的是MAC C
发送ARP响应，告诉： 192.168.10.2对应的
MAC是MAC C
PC A
192.168.10.1 MAC A
发送ARP响应，告诉： 192.168.10.1对应的
MAC是MAC C
发送到PC A的流 量均到攻击者手中
MAC C
PC Client
DHCP Discover (广播包)
DHCP Offer (单播包) DHCP Request (广播包) DHCP ACK (单播包)
• DHCP：标准请查阅RFC2131
DHCP Server
DHCP攻击
DHCP 报文格式
OP Code Hardware Type Hardware Length HOPS
端口绑定MAC地址与IP地址 设置MAC地址的老化时间
ARP攻击防范配置 范例
设置对端口FA0/1+IP+MAC地址三者绑定,同时启用ARP检测 功能,步骤如下:
Switch(config)# port-security arp-check Switch(config)#interface f 0/1 Switch(config-if)#switchport mode access Switch(config-if)# switchport port-security Switch(config-if)#switchport port-security maximum 1 Switch(config-if)#switchport port-security
ARP攻击
• 局域网中两台PC通讯，一台PC B要和另一台PCA通讯，首先
需要知道PC A的MAC地址，因为在广域网靠IP来寻址，而在局 域网中是靠MAC地址来寻址的。
• PC B先查找机器缓存中存贮的ARP表（IP和MAC对应关系
表），该表为动态刷新的。如何没有必须先发出一个ARP请求的 广播报文，询问大家：IP地址是PC A的MAC地址是多少？
MAC攻击
当端口学习的源MAC地 址数量大于一定的数量 （这个值可以自己设定） 或源MAC地址和端口绑 定的不一样，受到的数 据帧丢弃/发送警告信息 通知网管员/端口可关闭
MAC攻击防范
交换机
攻击者
MAC攻击防范配置
配置步骤
步骤 步骤1
名称 configure terminal
步骤2
interface interface id
攻击者： 发送ARP 欺骗
192.168.10.3 MAC C
ARP表刷新， 192.168.10.1对应
的是MAC C
PC B
192.168.10.2 MAC B
ARP攻击
ARP攻击之二：ARP恶作剧
ARP恶作剧：和ARP欺骗的原理一样，报文中的 源IP和源MAC均为虚假的，或错误的网关IP和网 关MAC对应关系。它的主要目的不是窃取报文， 而是扰乱局域网中合法PC中保存的ARP表，使得 网络中的合法PC无法正常上网、通讯中断。
DHCP协议被广泛的应用在局域网环境里来动态分配IP地址。使 用了DHCP服务后，网络的管理和配置是集中化和自动化的，能 够把手工IP 地址配置所导致的配置错误减少到最低程度，比如 手工设置IP所造成的IP地址冲突、网关和DNS设置错误等，大大 减少网络的管理难度和管理时间。
DHCP攻击
DHCP 协议
《网络安全》-翟安江
如何防范网络攻击
各网络层次的威胁浅析
TCP/IP协议栈
网络中的各个设备必工作于协议栈的某个层次
安全关注点：该层次的安全问题主要是由提供服务所采 用的应用软件和数据的安全性产生，包括WEB服务、 电子邮件系统、FTP等，此外还包括病毒对系统的威胁
安全关注点：面向连Baidu Nhomakorabea和非面向连接的攻击
含义 进入配置模式 进入接口配置模式 设置接口模式为Access 启用端口安全 设置端口最大的安全地址数 端口绑定MAC地址 设置MAC地址的老化时间
MAC攻击防范配置 范例
➢ 将MAC 地址与端口进行绑定： ➢ interface interface FastEthernet0/1 ➢ switchport mode access ➢ switchport port-security ➢ switchport port-security maximum 1 ➢ switchport port-security mac-address
到ARP请求报文，局域网中任何一台PC都可以向网络内其它 PC通告：自己就是PC A和MAC A的对应关系，这就给攻击 者带来可乘人之危的漏洞 ！
PC A
PC B
PC C
PC D
非法ARP响应： IP A<－>MAC C
ARP攻击
ARP攻击之一：ARP欺骗
ARP欺骗：利用上页讲到的ARP漏洞，发送虚假 的ARP请求报文和响应报文，报文中的源IP和源 MAC均为虚假的，扰乱局域网中被攻击PC中保 存的ARP表，使得网络中被攻击PC的流量都可流 入到攻击者手中。
32位IP地址：202.103.24.105
ARP
48位MAC地址：00-d0-f8-fb-29-e3
ARP攻击
每一个主机都有一个ARP 高速缓存，此缓存中记录了最近一段时间内 其它IP 地址与其MAC 地址的对应关系。如果本机想与某台主机通信， 则首先在ARP 高速缓存中查找此台主机的IP 和MAC 信息，如果存在， 则直接利用此MAC 地址构造以太包；如果不存在，则向本网络上每一 个主机广播一个ARP 请求包，其意义是"如果你有此IP 地址，请告诉 我你的MAC 地址“，目的主机收到此请求包后，发送一个ARP 响应包， 本机收到此响应包后，把相关信息记录在ARP 高速缓存中。
含义 进入配置模式 启用ARP检测功能 进入接口配置模式 设置接口模式为Access 启用端口安全 设置端口最大的安全地址数
步骤7 步骤8
switchport port-security mac-address H.H.H ip-address ipaddress
switchport port-security aging time seconds
步骤 步骤1
名称 configure terminal
配置步骤
步骤2 port-security arp-check
步骤3
interface interface id
步骤4
switchport mode access
步骤5 switchport port-security
步骤6
switchport port-security maximum maximum
• 局域网里的PC都会收到ARP请求报文，并查看自己的IP是否是
PC A，如果是则响应，反馈ARP响应报文，响应报文中有PC A 的MAC地址：MAC A。
PC A
PC B
PC C
ARP响应： IP A<－>MAC A
ARP请求： IP A<－>?
PC D
ARP攻击
ARP协议的缺陷
• 按照RFC的规定，PC在发ARP响应时，不需要一定要先收
MAC攻击
接入交换机
MAC地址表：空间有限
MAC Port
A
1
B
8
C
14
PC A
PC B
PC C
MAC攻击
MAC攻击之二： MAC地址洪泛攻击
交换机内部的MAC地址表空间是有限的，MAC 攻击会很快占满交换机内部MAC地址表，使得单 播包在交换机内部也变成广播包向同一个VLAN 中所有端口转发，每个连在端口上的客户端都可 以收到该报文，交换机变成了一个Hub，用户的 信息传输也没有安全保障了。
MAC攻击
MAC Port
H
1
X
2
Y
3
交换机内部的MAC地址 表空间很快被不存在的源 MAC地址占满。没有空 间学习合法的MAC B，
MAC C
攻击者 MAC A
MAC攻击：每秒发送成千 上万个随机源MAC的报文
交换机
单播流量在交换机内部以 广播包方式在所有端口转 发，非法者也能接受到这 些报文
PC B MAC B