DHCPsnooping 攻击防范.doc
《DHCPsnooping 攻击防范.doc》由会员分享,可在线阅读,更多相关《DHCPsnooping 攻击防范.doc(6页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、如有侵权,请联系网站删除,仅供学习与交流DHCP snooping 攻击防范【精品文档】第 5 页DHCP和网络安全应用方案1. 概述本文所提到的攻击和欺骗行为主要针对链路层和网络层。在网络实际环境中,其来源可概括为两个途径:人为实施、病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探,获取管理账户和相关密码,在网络上中安插木马,从而进行进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安静,但对于信息安全要求高的企业危害是极大的。而来自木马或者病毒及蠕虫的攻击和往往会偏离攻击和欺骗本身的目的,现象有时非常直接,会带来网络流量加大、设备CPU利用率过高、二层生成树环路直至网络瘫痪
2、。目前这类攻击和欺骗工具已经非常成熟和易用,而目前这方面的防范还存在很多不足,有很多工作要做。瑞斯康达针对这类攻击已有较为有效的解决方案,主要基于下面的几个关键的技术: DHCP Snooping Dynamic ARP Inspection IP Source Guard目前这类攻击和欺骗中有如下几种类型,下面分别介绍。 1.1 网关仿冒ARP病毒通过发送错误的网关MAC对应关系给其他受害者,导致其他终端用户不能正常访问网关。这种攻击形式在校园网中非常常见。见下图:图1-1 网关仿冒攻击示意图如上图所示,攻击者发送伪造的网关ARP报文,欺骗同网段内的其它主机。从而网络中主机访问网关的流量,被
3、重定向到一个错误的MAC地址,导致该用户无法正常访问外网。通过DHCP Snooping 和Dynamic ARP Inspection的结合使用,接入交换机丢弃攻击者B发出的仿冒网关的ARP欺骗报文,从而使正常用户不会收到欺骗报文,即可以防御这种ARP欺骗。1.2 欺骗网关攻击者发送错误的终端用户的IPMAC的对应关系给网关,导致网关无法和合法终端用户正常通信。这种攻击在校园网中也有发生,但概率和“网关仿冒”攻击类型相比,相对较少。见下图:图1-2 欺骗网关攻击示意图如上图,攻击者伪造虚假的ARP报文,欺骗网关相同网段内的某一合法用户的MAC地址已经更新。网关发给该用户的所有数据全部重定向到
4、一个错误的MAC地址,导致该用户无法正常访问外网。通过DHCP Snooping 和Dynamic ARP Inspection的结合使用,接入交换机丢弃攻击者B发出的仿冒用户A的ARP欺骗报文,从而使网关不会收到欺骗报文,即可以防御这种ARP欺骗。1.3 欺骗终端用户这种攻击类型,攻击者发送错误的终端用户/服务器的IPMAC的对应关系给受害的终端用户,导致同网段内两个终端用户之间无法正常通信。这种攻击在校园网中也有发生,但概率和“网关仿冒”攻击类型相比,相对较少。见下图:图1-3 欺骗终端攻击示意图如上图,攻击者伪造虚假的ARP报文,欺骗相同网段内的其他主机该网段内某一合法用户的MAC地址已
5、经更新。导致该网段内其他主机发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。通过DHCP Snooping 和Dynamic ARP Inspection的结合使用,接入交换机丢弃攻击者B发出的仿冒用户A的ARP欺骗报文,从而使用户C不会收到欺骗报文,即可以防御这种ARP欺骗。1.4 ARP泛洪攻击这种攻击类型,攻击者伪造大量不同ARP报文在同网段内进行广播,导致网关ARP表项被占满,合法用户的ARP表项无法正常学习,导致合法用户无法正常访问外网。主要是一种对局域网资源消耗的攻击手段。这种攻击在校园网中也有发生,但概率和上述三类欺骗性ARP攻击类型相比,相对较
6、少。如下图:图1-4 ARP泛洪攻击示意图通过DHCP Snooping 和Dynamic ARP Inspection的结合使用,接入交换机丢弃攻击者B发出的仿冒用户A的ARP欺骗报文,从而使用户C不会收到欺骗报文,即可以防御这种ARP欺骗。1.5 IP/MAC欺骗除了ARP欺骗外,黑客经常使用的另一手法是IP地址欺骗。常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗,其目的一般为伪造身份或者获取针对IP/MAC的特权。此方法也被广泛用作DOS攻击,目前较多的攻击是:Ping Of Death、Sync Flood、ICMP Unreachable Storm。如黑客冒用A地址对B地址
7、发出大量的ping包,所有ping应答都会返回到B地址,通过这种方式来实施拒绝服务(DoS)攻击,这样可以掩盖攻击系统的真实身份。富有侵略性的TCP SYN洪泛攻击来源于一个欺骗性的IP地址,它是利用TCP三次握手会话对进行颠覆的又一种攻击方式。一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。另外病毒和木马的攻击也会使用欺骗的源IP地址。互联网上的蠕虫病毒也往往利用欺骗技术来掩盖它们真实的源头主机。通过DHCP Snooping 和IP Source Guard的结合使用,接入交换机丢弃不符合绑定规则的IP报文(DHCP报文除外),即可以防御IP/M
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DHCP snooping 攻击防范 攻击 防范
限制150内