报文常见的tcpip体系协议安全隐患和应对方法

合同协议模板

常见的 TCP/IP体系协议安全隐患和应对方法ARP,DHCP,TCP,DN S

一、 ARP

常见的ARP安全隐患和对应的预防方法

1.ARP泛洪攻击

ARP泛洪攻击就是攻击者通过伪造大量源IP地址变化的ARP报文频繁向网络中发送使得交换机端口在接收到这些请求包后频繁地处理这些ARP报文占用大量的系统资源和设备CPU资源。这样一一来使设备的ARP表溢出超出所能存储的容量范围合法用户的ARP报文就不能生成有效的ARP表项导致正常通信中断。另外通过向设备发送大量目标IP地址不能解析的IP报文使设备反复地对目标IP地址进行解析导致CPU负荷过重也是泛洪攻击的一种。

在H3C设备中可以通过限制VLAN中学习到的ARP表项数量来预防ARP泛洪攻击。 ARP报文限速功能来预防ARP泛洪攻击。在设备的指定VLAN接口配置允许学习动态ARP表项的最大个数。当该VLAN接口动态学习到的ARP表项超过限定的最大值后将不进行动态地址表项的学习从而防止某一VLAN内的恶意用户发动ARP泛洪攻击造成的危害。

2 “中间人攻击”

按照ARP协议的设计一个主机即使收到的ARP应答并非自身请求得到的也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信但也为“ARP欺骗”创造了条件。

如图17-1所示 Host A和Host C通过Switch进行通信。此时如果有黑客

Host B想探听Host A和Host C之间的通信它可以分别给这两台主机发送伪造的ARP应答报文使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后 Host A和Host C之间看似“直接”的通信实际上都是通过黑客所在的主机间接进行的 即Host B担当了“中间人”的角色可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人Man-In-The-Middle攻击。

为了防止黑客或攻击者通过ARP报文实施“中间人”攻击在一些H3C交换机中如S3100、 S5600系列等支持ARP入侵检测功能。启用了ARP入侵检测功能后对于ARP信任端口不进行用户合法性检查对于ARP非信任端口需要进行用户合法性检查 以防止仿冒用户的攻击。

用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在端口上的合法用户包括基于IP Source Guard静态绑定表项的检查、基于DHCP Snooping安全表项的检查、基于802. 1X安全表项的检查和OUI MAC地址的检查。

首先进行基于IP Source Guard静态绑定表项检查。如果找到了对应源IP地址和源MAC地址的静态绑定表项认为该ARP报文合法进行转发。如果找到了对应源IP地址的静态绑定表项但源MAC地址不符认为该ARP报文非法进行丢弃。如果没有找到对应源IP地址的静态绑定表项继续进行DHCP Snooping安全表项、

可编辑可修改 欢迎下载

合同协议模板

802. 1 X安全表项和MAC地址检查。

可编辑可修改 欢迎下载

合同协议模板

在基于IP Source Guard静态绑定表项检查之后进行基于DHCP Snooping安全表项、 802. 1X安全表项和MAC地址检查只要符合三者中任何一个就认为该ARP报文合法进行转发。其中 MAC地址检查指的是只要ARP报文的源MAC地址为MAC地址并且使能了Voice VLAN功能就认为是合法报文检查通过。

如果所有检查都没有找到匹配的表项则认为是非法报文直接丢弃。

开启ARP入侵检测功能以后用户可以通过配置ARP严格转发功能使从指定VLAN的非信任端口上接收的合法ARP请求报文只能通过已配置的信任端口进行转发而从非信任端口上接收的合法ARP应答报文首先按照报文中的目的MAC地址进行转发若目的MAC地址不在MAC地址表中则将此ARP应答报文通过信任端口进行转发。

但是开启了ARP入侵检测功能后需要将ARP报文上送到CPU处理如果攻击者恶意构造大量ARP报文发往交换机的某一端口会导致CPU负担过重从而造成其他功能无法正常运行甚至设备瘫痪。于是H3C又有另一种配合的解决方案就是在端口上配置ARP报文限速功能。开启某个端口的ARP报文限速功能后交换机对每秒内该端口接收的ARP报文数量进行统计如果每秒收到的ARP报文数量超过设定值则认为该端口处于超速状态即受到ARP报文攻击。此时交换机将关闭该端口使其不再接收任何报文从而避免大量ARP报文攻击设备。同时设备支持配置端口状态自动恢复功能对于配置了ARP限速功能的端口在其因超速而被交换机关闭后经过一段时间可以自动恢复为开启状态。

3.仿冒网关攻击

按照ARP协议的设计网络设备收到目的IP地址是本接口IP地址的ARP报文

无论此ARP报文是否为自身请求得到的都会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信但也为“ARP欺骗”创造了条件。

实际网络环境特别是校园网中最常见的ARP攻击方式是“仿冒网关”攻击。即攻击者伪造ARP报文发送源IP地址为网关I P地址源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来主机访问网关的流量被重定向到一个错误的MAC地址导致该用户无法正常访问外网。

因为主机A仿冒网关向主机B发送了伪造的网关ARP报文导致主机B的ARP表中记录了错误的网关地址映射关系本来正确的MAC地址应该是1-1-1现在却被更新为2-2-2这样主机在上网时发送给网关报文时会错误地发送到仿冒的网关中从而正常的数据不能被网关接收造成所有更新了错误的网关ARP表项的用户主机都上不了网。

仿冒网关攻击是一种比较常见的攻击方式如果攻击源发送的是广播ARP报文或者根据其自身所掌握的局域网内主机的信息依次地发送攻击报文就可能会导致整个局域网通信的中断是ARP攻击中影响较为严重的一种。

为了防御“仿冒网关”的ARP攻击在一些H3C交换机中如S3100、 S5600等系列中提供了基于网关IP/MAC的ARP报文过滤功能。为防御交换机下行端口

下行端口通常是直接连接用户的可能收到的源IP地址为网关IP地址的ARP攻击报文可将接入交换机下行端口和网关IP进行绑定。绑定后该端口接收的源IP地址为网关IP地址的ARP报文将被丢弃其他ARP报文允许通过。为防御交换机上行端口通常是直接连接网关设备的可能收到的源IP地址为网关IP地址

可编辑可修改 欢迎下载

合同协议模板

源MAC地址为伪造的MAC地址的ARP攻击报文可将接入交换机级联端口或上行端口和网关IP地址、网关MAC地址进行绑定。绑定后该端口接收的源IP地址为指定的网关I P地址源MAC地址为非指定的网关MAC地址的ARP报文将被丢弃其他ARP报文允许通过。这样一来这些仿冒网关的ARP报文就不起作用了。

可编辑可修改 欢迎下载

合同协议模板

【注意】ARP信任端口功能比端口支持基于网关IP/MAC的ARP报文过滤功能的优先级高即如果接入交换机级联端口或上行端口被配置为ARP信任端口则该端口上对于网关I P地址、网关MAC地址的绑定不生效

4. 欺骗网关攻击

恶意用户可能通过工具软件发送伪造网络中其他设备或主机的源IP或源MAC地址的ARP报文从而导致途径网络设备上的ARP表项刷新到错误的端口上导致正常主机的网络流量中断。

主机A以主机B的IP地址10. 10.01.3为源I P地址和仿冒的MAC地址5-5-5为源MAC地址冒充主机B向网关发送了伪造的主机B的ARP报文导致网关中关于主机B的ARP表中记录了错误的主机B地址映射关系这来来自互联网发往主机B的的数据包就不能正确地被主机B接收。

为了防御这一类ARP攻击 H3C的一些交换机如S3100、 S5600系列中提供了ARP报文源MAC一致性检查功能。通过检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致来校验其是否为伪造的ARP报文。如果一致则该ARP报文通过一致性检查交换机进行正常的表项学习如果不一致则认为该ARP报文是伪造报文交换机不学习动态ARP表项的学习也不根据该报文刷新ARP表项。

5. 欺骗其他用户攻击

这种攻击方式与上面介绍的欺骗网关攻击一样只不过这里攻击者的仿冒报文不是发送给风关而是发送给其他用户主机。如图17-4所示主机A以主机B的IP地址10. 10. 10.3为源IP地址仿冒的MAC地址5-5-5向主机C发送了伪造的主机B的ARP报文导致主机C的ARP表中记录了错误的主机B地址映射关系从而导致主机C发送给主机BR正常的数据报文不能正确地被主机B接收。

防止欺骗其他用户的攻击方法也是采用前面介绍的ARP报文源MAC一致性检查功能不再赘述。 ,

通常需要配置以上所介绍的ARP攻击防御功能的设备如下所示l配置VLAN接口学习动态ARP表项的最大数目网关设备l配置ARP报文源MAC一致性检查功能网关设备、接入设备l配置基于网关IP/MAC的ARP报文过滤功能接入设备l配置ARP入侵检测功能网关设备、接入设备l 配置ARP报文限速功能网关设备、接入设备

二、 DHCP

可编辑可修改 欢迎下载

合同协议模板

三、 TCP

TCP/IP协议的安全隐患有以下几点

1 关于链路层存在的安全隐患

在以内网中信息通道是共享的一般地 CSMA/CD协议是以太网接口在检测到数据帧不属于自己时就把它忽略不会把其他送到上层协议。解决该漏洞的对策是网络分段、利用交换器、动态集线器等设备对数据流进行限制加密和禁用杂错节点。

2关于ip漏洞

Ip包一旦从网络中发送出去源ip地址就几乎不用仅在中间路由器因某种原因丢弃它或达到目标端后才被使用。如果攻击者把自己的主机伪装成目标主机信任的友好主机 即把发送的ip包中的源ip地址改成被信任的友好主机ip地址利用主机间信任关系和这种信任关系的实际认证中存在的脆弱性就可以对信任主机进行攻击。解决这个问题的一个办法是让路由器拒接接受来自网络外部的ip地址与本地某一主机的ip地址相同的ip包的进入。

3关于DNS欺骗

网络上的所有主机都信任DNS服务器如果DNS服务器中的数据被攻击者破坏就可以进行DNS欺骗。

SYN Flood是目前最流行的DoS 拒绝服务攻击与DdoS 分布式拒绝服务攻击的方式之一这是一种利用TCP协议缺陷发送大量伪造的TCP连接请求从而使得被攻击方资源耗尽CPU满负荷或内存不足的攻击方式。

防御方法 SYN-cookie技术

SYN-cookie是对TCP服务器端的三次握手协议作一些修改专门用来防范SYNFlood攻击的一种手段。一般情况下 当TCP服务器收到个TCP SYN报文后 马上为该连接请求分配缓冲区然后返回一个SYN +ACK报文这时形成一个半连接。SYN Flood正是利用了这一点发送大量的伪造源地址的SYN连接请求而不完成连接这样就大量的消耗服务器的资源。

可编辑可修改 欢迎下载

合同协议模板

SYN –cookie技术针对标准TCP连接建立过程资源分配上的这一缺陷改变了资源分配的策略。当服务器收到一个SYN报文后不立即分配一个专门的数据缓冲区而是利用连接的信息生成一个临时文件cookie 并将这个临时文件cookie作为将要返回的SYN +ACK报文的初始序列号。当客户端返回一个ACK报文时根据包头信息计算临时文件cookie  与返回的确认序列号初始序列号+1的前24位进行对比如果相同则是一个正常连接然后分配资源建立连接

四、 DNS

五、 . .

六、

七、

可编辑可修改 欢迎下载