30选5玩法|福彩30选5开奖结果321|
 

标签:arp

ARP Spoofing攻击原理分析

在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞或者实现“man in the middle” 进行ARP重定向和嗅探攻击。用伪造源MAC地址发送ARP响应包,对ARP高速缓存机制的攻 每个主机都用一个ARP高速缓存存放最近IP地址到MAC?#24067;?#22320;?#20998;?#38388;的?#25104;?#35760;录。MS Windows高速缓存中的每一条记录(条目)的生存时间一般为60秒,起始时间从被创建时开始算起。默认情况下,ARP从缓存中读取IP-MAC条目,缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此,只要网络上有ARP响应包发送到本机,即会更新ARP高速缓存中的IP-MAC条目。攻击者只要?#20013;?#19981;断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和 MAC地址存储在ARP缓存?#23567;?#22240;此,B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。当攻击源大量向局域网中发送虚假的ARP信息后,就会造成局域网中的机器ARP缓存的崩溃。Switch上同样维护着一个动态的MAC缓存,它一般是这样,首先,?#25442;换?#20869;部有一个对应的列表,?#25442;换?#30340;端口对应MAC地址表Port n <-> Mac记录着每一个端口下面存在那些MAC地址,这个表开始是空的,?#25442;换?#20174;来往数据帧中学习。因为MAC-PORT缓存表是动态更新的,那么让整个 Switch的端口表都改变,对Switch进行MAC地址欺骗的Flood,不断发送大量假MAC地址的数据包,Switch就更新MAC-PORT缓存,如果能通过这样的办法把以前正常的MAC和Port对应的关系破坏了,那么Switch就会进行泛洪发送给每一个端口,让Switch基本变成一个 HUB,向所有的端口发送数据包,要进行嗅探攻击的目的一样能够达到。也将造成Switch MAC-PORT缓存的崩溃,如下下面?#25442;换?#20013;日志所示:Internet 172.20.156.10000b.cd85.a193 ARPAVlan256Internet 172.20.156.50000b.cd85.a193 ARPAVlan256Internet 172.20.156.254 0000b.cd85.a193 ARPAVlan256Internet 172.20.156.53 0000b.cd85.a193 ARPAVlan256Internet 172.20.156.33 0000b.cd85.a193 ARPAVlan256Internet 172.20.156.130000b.cd85.a193 ARPAVlan256Internet 172.20.156.150000b.cd85.a193 ARPAVlan256Internet 172.20.156.140000b.cd85.a193 ARPAVlan256二、ARP病毒分析当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病?#23616;?#26426;。其他用户原来直接通过路由器上网现在转由通过病?#23616;?#26426;上网,切换的时候用户会断一次线。切换到病?#23616;?#26426;上网后,如果用户已经登陆了传奇服务器,那么病?#23616;?#26426;就会经常伪造断线的假像,那么用户就得重新登?#21363;?#22855;服务器,这样病?#23616;?#26426;就可以盗号了。
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
在路由器的“系统历史记录”中看到大量如下的信息:
MAC Chged 10.128.103.124MAC Old 00:01:6c:36:d1:7fMAC New 00:05:5d:60:c7:18
这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病?#23616;?#26426;的MAC地址(即所有信息的MAC New地址都一致为病?#23616;?#26426;的MAC地址),同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。
如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致,则说明局域网内曾经出现过ARP欺骗(ARP欺骗的木马程序停止运行时,主机在路由器上恢复其真?#26723;腗AC地址)。
BKDR_NPFECT.A病毒引起ARP欺骗之实测分析
Part1. 病毒现象
中毒机器在局域网中发送假的APR应答包进行APR欺骗, 造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址,导致无法上网和正常的局域网通信.
Part2. 病毒原理分析:
病毒的组件
本文研究的病毒样本有三个组件构成:
%windows%\SYSTEM32\LOADHW.EXE(108,386 bytes) ….. ”病毒组件释放者”
%windows%\System32\drivers\npf.sys(119,808 bytes) ….. ”发ARP欺骗包?#37027;?#21160;程序”
%windows%\System32\msitinit.dll (39,952 bytes)…”命令驱动程序发ARP欺骗包的控制者”
病毒运作基理:
1.LOADHW.EXE 执行时会释放两个组件npf.sys 和msitinit.dll .
LOADHW.EXE释放组件后即终止运行.
注意: 病毒假冒成winPcap?#37027;?#21160;程序,并提供winPcap的功能. 客户若原先装有winPcap,
npf.sys将会被病毒文件覆盖掉.
2.随后msitinit.dll将npf.sys注册(并监视)为内核级驱动设备: "NetGroup Packet Filter Driver"
msitinit.dll 还负责发送指令来操作驱动程序npf.sys (如发送APR欺骗包, 抓包, 过滤包等)
以下?#30828;?#27602;代码中提取得服务相关值:
BinaryPathName = "system32\drivers\npf.sys"StartType = SERVICE_AUTO_STARTServiceType= SERVICE_KERNEL_DRIVERDesiredAccess= SERVICE_ALL_ACCESSDisplayName = "NetGroup Packet Filter Driver"ServiceName = "Npf"
3. npf.sys 负责监护msitinit.dll. 并将LOADHW.EXE注册为自启动程序:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
dwMyTest =LOADHW.EXE
注: 由于该项位于RunOnce下,该注册表启动项在每次执行后,即会被系统自动删除.
Part3. 反病毒应急响应解决方案
按以下顺序删除病毒组件
1) 删除 ”病毒组件释放者”
%windows%\SYSTEM32\LOADHW.EXE
2) 删除 ”发ARP欺骗包?#37027;?#21160;程序” (兼 ?#23433;?#27602;守护程序”)
%windows%\System32\drivers\npf.sys
a. 在设备管理器中, 单击”查看”–>”显示隐藏的设备”
b. 在设备树结构中,打开”非即插即用….”
c. ?#19994;健?NetGroup Packet Filter Driver” ,若没?#19994;?请?#20154;?#26032;设备列表
d. 右键点击” NetGroup Packet Filter Driver” ?#35828;?并选择”?#23545;亍?
e. 重启windows系统,
f.删除%windows%\System32\drivers\npf.sys
3) 删除 ”命令驱动程序发ARP欺骗包的控制者”
%windows%\System32\msitinit.dll
2. 删除以下”病毒的假驱动程序”的注册表服务项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf
三、定位ARP攻击源头和防御方法
1.定位ARP攻击源头
主动定位方式:因为所有的ARP攻击源都会有其特征——网卡会处于混杂模式,可以通过ARPKiller这样的工具扫描网内有哪台机器的网卡是处于混杂模式的,从而判断这台机器有可能就是“元凶”。定?#32531;?#26426;器后,再做病毒信息收集,提交给趋势科技做分析处理。
标注?#21644;?#21345;可以置于一种模式叫混杂模式(promiscuous),在这种模式下工作的网卡能够收到一切通过它的数据,而不管实际上数据的目的地址是不是它。这实际就是Sniffer工作的基本原理:让网卡接收一切它所能接收的数据。
被动定位方式:在局域网发生ARP攻击时,查看?#25442;换?#30340;动态ARP表中的内容,确定攻击源的MAC地址;也可以在局域居于网中部署Sniffer工具,定位ARP攻击源的MAC。
也可以直接Ping网关IP,完成Ping后,用ARP –a查看网关IP对应的MAC地址,此MAC地址应该为欺骗的MAC。
使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址,如果?#23567;盇RP攻击”在做怪,可以?#19994;?#35013;有ARP攻击的PC的IP、机器名和MAC地址。
命令:“nbtscan -r 192.168.16.0/24?#20445;?#25628;索整个192.168.16.0/24网段, 即192.168.16.1-192.168.16.254)?#25442;頡皀btscan 192.168.16.25-137”搜索192.168.16.25-137 网段,即192.168.16.25-192.168.16.137。输出结果第一列是IP地址,最后一列是MAC地址。
NBTSCAN的使用范例:
假设查找一台MAC地址为“000d870d585f”的病?#23616;?#26426;。
1)将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。
2)在Windows开始—运?#23567;?#25171;开,输入cmd(windows98输入“command?#20445;?#22312;出现的DOS窗口中输入:C: btscan -r 192.168.16.1/24(这里需要根据用户实际网?#38382;?#20837;),回车。
3)通过查询IP–MAC对应表,查出“000d870d585f”的病?#23616;?#26426;的IP地址为“192.168.16.223”。
通过上述方法,我们就能够快速的?#19994;?#30149;毒源,确认其MAC——〉机器名和IP地址。
2.防御方法
a.使用可防御ARP攻击的三层?#25442;换?#32465;定端口-MAC-IP,限制ARP流量,及时发现并自动阻断ARP攻击端口,合理划分VLAN,彻底阻止盗用IP、MAC地址,杜绝ARP的攻击。
b.对于经常爆发病毒的网络,进行Internet访问控制,限制用户对网络的访问。此类ARP攻击程序一般都是从Internet下载到用户终端,如果能够加强用户上网的访问控制,就能极大的减少该问题的发生。
c.在发生ARP攻击时,及时?#19994;?#30149;毒攻击源头,并收集病毒信息,可以使用趋势科技的SIC2.0,同时收集可疑的病毒样本文件,一起提交到趋势科技的TrendLabs进行分析,TrendLabs将以最快的速度提供病毒码文件,从而可以进行ARP病毒的防御。

ARP病毒导致网络掉线的解决方法

No Comments 网络技术 ,

 

1、在PC上绑定路由器的IP和MAC地址:

方法一、安装智能网关IP/MAC地址绑定软件

推荐使用:“网关智能绑定精灵 正式版 2.0?#20445;?#36890;过该软件的下载和安装,PC重启后自动绑定网关IP/MAC地址,软件还提供两个附加IP/MAC地址的手动绑定策略(支持绑定服务器等附加绑定),针对本地ARP信息变更,提供报警提示服务)

方法二、手动绑定网关IP/MAC

(1)首先,获得路由器的内网的MAC地址(例如,飞鱼星高性能宽带路由器局域网口的IP地址为:192.168.160.1,MAC地址为:00-3c-01-50-3f-66)。

(2)用记事本编写一个批处理文件Varp.bat内容如下:

    @echo off

    arp -d

    arp -s 192.168.160.1 00-3c-01-50-3f-66

(将文件中的网关IP地址和MAC地址更改为您自己的网关局域网口的IP地址和MAC地址即可。)

将此批处理文件拖动(移动)到“开始”–>“程序”–>“启动”?#23567;?/p>

    2、在路由器上绑定内网所有PC的IP和MAC地址:

以飞鱼星高性能宽带路由器为例,在设备配置页面“网络安全”的“IP-MAC绑定” 中的“扫描MAC?#20445;?#25195;描到的?#31383;?#23450;主机通过“>>>”功能键添?#30001;?#25551;地?#20998;?#32465;定列表?#23567;#?#22914;图一所示)

clip_image001[1]

------中间广告---------

双向地址绑定结合飞鱼星高性能宽带路由器完善的攻击防御体系,让您的网络更安全,更稳定。(如图二所示)

clip_image002[1]

    3、?#19994;?#24863;染ARP病毒的机器

通过飞鱼星路由器配置界面的“系统状态”–>“系统日志?#20445;?#26597;看ARP欺骗攻击的对应日志信息。(如图三所示)

clip_image003[1]

通过飞鱼星路由器后台命令提示符下管理,查看路由器ARP信息,最终查?#19994;?#25915;击来源MAC地址对应IP地址,从而及时、有效的解决故障机问题。(如图四所示)

clip_image004[1]

对于一些不适合传统IP/MAC双向绑定的网络环?#24120;?#20363;如客人流动频繁的商务?#39057;輟?#32463;常克隆/还原系统的网吧、频繁添?#25317;?#33041;的企业和学校。ARP信任机制在无双向绑定?#37027;?#20917;下,可自动学习、判断和更新内网主机的ARP信息,确保路由器获得真实可靠的用户ARP信息,既保证上网的便捷性,?#30452;?#35777;上网的安全性。

最后,在不断的深入研究之后,飞鱼星科技推出了全新的安全联动解决方案,通过三层设备(飞鱼星路由器)和二层设备(飞鱼星?#25442;?/a>机)的协同安全联动,轻松解决因内网个别电脑中毒,攻击其他电脑导致整网?#34987;?#30340;问题,基于?#24067;?#31471;口的防御方式,整个网络将?#25442;?#21463;到任何威?#30149;?#21516;?#22791;?#24615;能的自防御系?#24120;?#21487;有效的防御网络中其他的常见攻击。同时,简单、易操作的理念将大大减轻网管员的工作量,使得网管员有更多时间考虑网络的日常维护和网络规划,不再一天到晚疲于应付安全事件的发生。

clip_image005[1]

其他排查办法:

(1)在?#31383;?#23450;PC上Ping路由器网关的IP地址,?#32531;?#20351;用“arp -a”命令,查看网关对应的MAC地址是否与实际情况相符,如有不符,可去查找与该MAC地址对应的PC。

(2)使用抓包工具,分析所得到的ARP数据报。有些ARP病毒是会把通往网关的路径指向自己,有些是发出虚假ARP回应包来混淆网络通信。第一种处理比?#20808;?#26131;,第二种处理比较困难,如果杀毒软件不能正确识别病毒的话,往往需要手工查找感染病毒的电脑和手工处理病毒,比较困?#36873;?/p>

(3)使用MAC地址扫描工具,Nbtscan扫描全网段IP地址和MAC地址对应表,有助于判断感染ARP病毒对应MAC地址和IP地址。

什么是proxy ARP? ARP代理

在MS系统中设置网关的效果: 
1.不设网关………………………….不向本网?#25105;?#22806;的地址发包 
2.网关设为自己…………………….proxy arp, 对任何地址发ARP请求,路由器响应 
3.网关设为路由器地址…………….普通模式,PC ARP解?#21520;?#30001;器地址,?#32531;?#36328;网?#38382;?#25454;包交路由器转发 
4.网关设为未使用的本网段地址….普通模式,PC ARP解?#21520;?#30001;器地址,失败,无法跨网段访问 
5.网关设为非本网段地址………….proxy arp, 对任何地址发ARP请求,路由器响应

什么是proxy ARP? proxy ARP就是通过使用一个主机(通常为router),来作为指定的设备对另一设备的ARP请求作出应答。proxy ARP是如何工作的? 设备需求:

Cisco 2500系列的rourer

Cisco IOS Release 12.2(10b)

此主题相关?#35745;?#22914;下:

假设在如上图的一个环境中,位于子网A的主机A(172.16.10.100)需要发送packet到位于子网B的主机D(172.16.20.200)上去.于是主机A将发送ARP请求给D.当然,为了能够达到主机D,就需要知道主机D的MAC地址.因此,主机A在它位于的那个子网A上广播ARP请求。

当然router的e0口也接收到该广播,但是router默认?#25442;?#36716;发广播的,所以该ARP请求仍然到达不了主机D.但是router却知道主机D位于另外一个子网B.于是router应答自己的MAC地址给主机A,在应答的ARP报文中源IP地址为主机D的IP地址,但是源MAC地址是router e0口的MAC地址.这就是发送给主机A的proxy ARP应答(代理人,中间人).这样的proxy ARP应答一般是作为unicast发送给请求者(主机A)

主机A收到这个proxy ARP应答以后,开始更新自己的ARP table。

于是从现在开始,主机A将要前往主机D的packet通过router e0口(00-00-0c-94-36-ab)转发,因为router知道如何到达主机D,它会把packet转发给主机D

另外,位于子网A的主机的ARP cache,如下图:

此主题相关?#35745;?#22914;下:

注意上图,3个IP地址?#25104;?#21040;1个MAC地址(router e0口的MAC地址)上,这就说明正在使用proxy ARP

Cisco的router的接口应该配置成能够接收和应答proxy ARP,当然这个默认是启用的,不过可以使用一些命令来关闭这个功能,命令如下:

Router# config t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#int e 0

Router(config-if)#no ip proxy-arp

Router(config-if)#^Z

Router#

要再次启用的话,在接口配置模式下使用ip proxy-arp命令即可proxy ARP有哪些优点? 最主要的一个优点就是能够在不影响其他router的路由表?#37027;?#20917;下在网络上添加一个新的router,这样使得子网的变化对主机是透明的

proxy ARP应该使用在主机没有配置默认网关或没有任何路由策略的网络上proxy ARP带来的哪些负面影响? 1.增加了某一网段上ARP流量

2.主机需要更大的ARP table来处理IP地址到MAC地址的?#25104;?/p>

3.安全问题,比如ARP欺骗(spoofing)

4.?#25442;?#20026;不使用ARP来解析地址的网络工作

5.不能够概括和推广网络拓扑

思科?#25442;换?#22914;何防范典型欺骗和攻击

No Comments 安全技术 ,

本文所提到的攻击和欺骗行为主要针对链路层和网络层。在网络实际环境中,其来源可概括为两个途径:人为实施;病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探,获取管理帐户和相关密码,在网络?#29616;?#23433;插木马,从而进行进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安静,但对于信息安全要求高的企业危害是极大的。而来自木马或者病毒及蠕虫的攻击和往往会偏离攻击和欺骗本身的目的,现象有时非常直接,会带来网络流量加大、设备 CPU 利用率过高、二层生成树环?#20998;?#33267;网络?#34987;尽?/p>

目前这类攻击和欺骗工具已经非常成熟和易用,而目前企业在部署这方面的防范还存在很多不足,有很多工作要做。思科针对这类攻击已有较为成熟的解决方案,主要基于下面的几个关键的技术:
? Port Security feature
? DHCP Snooping
? Dynamic ARP Inspection (DAI)
? IP Source Guard

下面部分主要针对目前非常典型的二层攻击和欺骗说明如何在思科?#25442;换?#19978;组合运用和部署上述技术,从而实现防止在?#25442;换?#22659;中实施“中间人”攻击、 MAC/CAM 攻击、 DHCP 攻击、地址欺骗等,更具意义的是通过上面技术的部署可以简化地址管理,直接跟踪用户 IP 和对应的?#25442;换?#31471;口;防止 IP 地址冲突。同时对于大多数对二层网络造成很大危害的具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。

1 MAC/CAM攻击的防范
1.1MAC/CAM攻击的原理和危害

?#25442;换?#20027;动学习客户端的 MAC 地址,并建立和维护端口和 MAC 地址的对应表?#28304;?#24314;立?#25442;?#36335;径,这个表就是通常我们所?#26723;?CAM 表。 CAM 表的大小是固定的,不同的?#25442;换?#30340; CAM 表大小不同。 MAC/CAM 攻击是指利用工具产生欺骗 MAC ,快速填满 CAM 表,?#25442;换?CAM 表被填满后,?#25442;换?#20197;广播方式处理通过?#25442;换?#30340;报文,这时攻击者可以利用各?#20013;?#25506;攻击获取网络信息。 CAM 表满了后,流量以洪泛方式发送到所有接口,也就代表 TRUNK 接口上的流量也会发给所有接口和邻接?#25442;换?#20250;造成?#25442;换?#36127;载过大,网络缓慢和丢包甚至?#34987;尽?/p>

1.2典型的病毒利用MAC/CAM攻击案例

曾经对网络照成非常大威胁的 SQL 蠕虫病毒就利用组播目标地址,构造假目标 MAC 来填满?#25442;换?CAM 表。其特征如下图所示:

 

1.3使用 Port Security feature 防范MAC/CAM攻击

思科 Port Security feature 可以防止 MAC 和 MAC/CAM 攻击。通过配置 Port Security 可以控制:

? 端口上最大可以通过的 MAC 地址数量
? 端口上学习或通过哪些 MAC 地址
? 对于超过规定数量的 MAC 处理进行违背处理

端口上学习或通过哪些 MAC 地址,可以通过静态手工定义,也可以在?#25442;换?#33258;动学习。?#25442;换?#21160;态学习端口 MAC ,直到指定的 MAC 地址数量,?#25442;换?#20851;机后重新学习。目前较新的技术是 Sticky Port Security ,?#25442;换?#23558;学到的 mac 地址写到端口配置中,?#25442;换?#37325;启后配置仍然存在。

对于超过规定数量的 MAC 处理进行处理一般有三?#22336;?#24335;(针对?#25442;换?#22411;号会有所不同):

? Shutdown 。这?#22336;?#24335;保护能力最强,但是对于一些情况可能会为管理带来麻?#24120;?#22914;某台设备中了病毒,病毒间断性伪造源 MAC 在网络中发送报文。
? Protect 。丢弃非法流量,不报警。
? Restrict 。丢弃非法流量,报警,对比上面会是?#25442;换?CPU 利用率上升但是不影响?#25442;换?#30340;正常使用。推荐使用这?#22336;?#24335;。
1.4配置

port-security 配置选项: 
Switch(config-if)# switchport port-security ? 
aging Port-security aging commands 
mac-address Secure mac address 
maximum Max secure addresses 
violation Security violation mode 

配置 port-security 最大 mac 数目,违背处理方式,恢复方法

Cat4507(config)#int fastEthernet 3/48 
Cat4507 (config-if)#switchport port-security 
Cat4507 (config-if)#switchport port-security maximum 2 
Cat4507 (config-if)#switchport port-security violation shutdown 
Cat4507 (config)#errdisable recovery cause psecure-violation 
Cat4507 (config)#errdisable recovery interval 30 

通过配置 sticky port-security学得的MAC

interface FastEthernet3/29 
switchport mode access 
switchport port-security 
switchport port-security maximum 5 
switchport port-security mac-address sticky 
switchport port-security mac-address sticky 000b.db1d.6ccd 
switchport port-security mac-address sticky 000b.db1d.6cce 
switchport port-security mac-address sticky 000d.6078.2d95 
switchport port-security mac-address sticky 000e.848e.ea01 

1.5使用 其它技术 防范MAC/CAM攻击

除了 Port Security 采用 DAI 技术也可以防范 MAC 地址欺骗。

2 DHCP攻击的防范

2.1采用DHCP管理的常见问题:

采用 DHCP server 可以自动为用户设置网络 IP 地址、掩码、网关、 DNS 、 WINS 等网络?#38382;?#31616;化了用户网络设置,提高了管理效率。但在 DHCP 管理使用上也存在着一些另网管人员比较问题,常见的有:

? DHCP server 的冒充。

? DHCP server 的 Dos 攻击。

? 有些用户随便指定地址,造成网络地址冲突。

由于 DHCP 的运作机制,通常服务器和客户端没有?#29616;?#26426;制,如果网络上存在多台 DHCP 服务器将会给网络照成混乱。由于用户不小心配置了 DHCP 服务器引起的网络混乱非常常见,足可见故意人为破?#26723;?#31616;单性。通常黑客攻击是首先将正常的 DHCP 服务器所能分配的 IP 地址?#26408;。缓?#20882;充合法的 DHCP 服务器。最为隐蔽和危险的方法是黑客利用冒充的 DHCP 服务器,为用户分配一个经过修改的 DNS server ,在用户毫无察觉?#37027;?#20917;下被引导在预先配置好的假金融网站或电?#30001;?#21153;网站,骗取用户帐户和密码,这种攻击是非常恶劣的。

对于 DHCP server 的 Dos 攻击可以利用前面将的 Port Security 和后面提到的 DAI 技术,对于有些用户随便指定地址,造成网络地址冲突也可以利用后面提到的 DAI 和 IP Source Guard 技术。这部分着重介绍 DHCP 冒用的方法技术。

2.2DHCP Snooping技术概况

DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息,如下表所示:

cat4507#sh ip dhcp snooping binding 
MacAddress IpAddress Lease(sec) Type VLAN Interface
00:0D:60:2D:45:0D 10.149.3.13 600735 dhcp-snooping 100
GigabitEthernet1/0/7 

这张表不仅解决了 DHCP用户的IP和端口跟踪定位问题,为用户管理提供方便,而?#19968;?#20379;给动态ARP检测DA)和IP Source Guard使用。

2.3基本防范

首先定义?#25442;换?#19978;的信任端口和不信任端口,对于不信任端口的 DHCP 报文进行截获和嗅探, DROP 掉来自这些端口的非正常 DHCP 报文,如下图所示:

 

基本配置示例如下表:

IOS 全局命令: 
ip dhcp snooping vlan 100,200 /* 定义哪些 VLAN 启用 DHCP 嗅探
ip dhcp snooping
接口命令
ip dhcp snooping trust
no ip dhcp snooping trust (Default)
ip dhcp snooping limit rate 10 (pps) /* 一定程度上防止 DHCP 拒绝服 /* 务攻击
手工添加 DHCP 绑定表
ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1 interface gi1/1 expiry 1000
导出 DHCP 绑定表到 TFTP 服务器
ip dhcp snooping database tftp:// 10.1.1 .1/directory/file

需要注意的是 DHCP 绑定表要存在本地存贮器 (Bootfalsh 、 slot0 、 ftp 、 tftp) 或导出到指定 TFTP 服务器上,否则?#25442;换?#37325;启后 DHCP 绑定表丢失,对于已经申请到 IP 地址的设备在租用期内,?#25442;?#20877;次发起 DHCP 请求,如果此时?#25442;换?#24049;经配置了下面所讲到的 DAI 和 IP Source Guard 技术,这些用户将不能访问网络。

2.3高级防范

通过?#25442;换?#30340;端口安全性设置每个 DHCP 请求指定端口上使用唯一的 MAC 地址,通常 DHCP 服务器通过 DHCP 请求的报文中的 CHADDR 段判断客户端 MAC 地址,通常这个地址和客户端的真是 IP 相同,但是如果攻击者不修?#30446;?#25143;端的 MAC 而修改 DHCP 报文中 CHADDR ,实施 Dos 攻击, Port Security 就不起作用了, DHCP 嗅探技术可以检查 DHCP 请求报文中的 CHADDR 字段,判断该字?#38382;?#21542;和 DHCP 嗅探表相匹配。这项功能在有些?#25442;换?#26159;缺省配置的,有些?#25442;换?#38656;要配置,具体需要参考相关?#25442;换?#30340;配置文档。

3 ARP欺骗/ MITM(Man-In-The-Middle)攻击原理和防范

3.1 MITM(Man-In-The-Middle) 攻击原理

按照 ARP 协议的设计,为了减少网络上过多的 ARP 数据通信,一个主机,即?#25925;?#21040;的 ARP 应答并非自己请求得到的,它也会将其插入到自己的 ARP 缓存表中,这样,就造成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信(即?#25925;?#36890;过?#25442;换?#30456;连),他会分别给这两台主机发送一个 ARP 应答包,让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机,这样,双方?#27492;啤?#30452;接”的通信连接,实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。在这?#20013;?#25506;方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。

这里举个例子,假定同一个局域网内,有 3 台主机通过?#25442;换?#30456;连:

A 主机: IP 地址为 192.168.0.1 , MAC 地址为 01:01:01:01:01:01 ; 
B 主机: IP 地址为 192.168.0.2 , MAC 地址为 02:02:02:02:02:02 ;
C 主机: IP 地址为 192.168.0.3 , MAC 地址为 03:03:03:03:03:03 。

B 主机对 A 和 C 进行欺骗?#37027;?#22863;就是发送假的 ARP 应答包,如图 所示

 

在收到 B主机发来的ARP应答后,A主机应知道:

到 192.168.0.3 的数据包应该发到 MAC 地址为 020202020202 的主机; C 主机也知道:到 192.168.0.1 的数据包应该发到 MAC 地址为 020202020202 的主机。这样, A 和 C 都认为对方的 MAC 地址是 020202020202 ,实际上这就是 B 主机所需得到的结果。当然,因为 ARP 缓存表项是动态更新的,其中动态生成的?#25104;?#26377;个生命期,一般是两分钟,如果再没有新的信息更新, ARP ?#25104;?#39033;会自动去除。所以, B 还有一个“任务?#20445;?#37027;就是一直连续不断地向 A 和 C 发送这种虚假的 ARP 响应包,让其 ARP缓存中一直保持被毒害了的?#25104;?#34920;项。

现在,如果 A 和 C 要进行通信,实际上彼此发送的数据包都会先到达 B 主机,这时,如果 B 不做进一步处理, A 和 C 之间的通信就无法正常建立, B 也就达不到“嗅探”通信内容的目的,因此, B 要对?#25353;?#35823;”收到的数据包进行一番修改,?#32531;?#36716;发到正确的目的地,而修改的内容,无非是将目的 MAC 和源 MAC 地址进行替换。如此一来,在 A 和 C 看来,彼此发送的数据包都是直接到达对方的,但在 B 来看,自己担当的就是“第三者”的?#24039;?#36825;?#20013;?#25506;方法,也被称作“ Man-In-The-Middle ”的方法。如图 所示。

 

3.2攻击实例

目前利用 ARP原理编制的工具十分简单易用,这些工具可以直?#26377;?#25506;和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超过30种应用的密码和传输内容。 下面是测试时利用工具捕获的 TELNET 过程,捕获内容包含了 TELNET 密码和全部所传的内容 :

 

不仅仅是以上特定应用的数据,利用中间人攻击者可将监控到数据直接发给 SNIFFER等嗅探器,这样就可以监控所有被欺骗用户的数据。

还有些人利用 ARP原理 开发出网管工具,随时切?#29616;?#23450;用户的连接。这些工具流传到捣乱者手里极易使网络变得不稳定,通常这些故障很难排查。

3.3防范方法

思科 Dynamic ARP Inspection (DAI)在?#25442;换?#19978;提供IP地址和MAC地址的绑定, 并动态建立绑定关系。DAI 以 DHCP Snooping绑定表为基础,对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现。DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这些技术可以防范“中间人”攻击。

3.3配置示例

IOS 全局命令:

ip dhcp snooping vlan 100,200 
no ip dhcp snooping information option
ip dhcp snooping
ip arp inspection vlan 100,200 /* 定义对哪些 VLAN 进行 ARP 报文检测
ip arp inspection log-buffer entries 1024
ip arp inspection log-buffer logs 1024 interval 10

IOS 接口命令:

ip dhcp snooping trust 
ip arp inspection trust /* 定义哪些接口是信任接口,通常是网络设备接口, TRUNK 接口等
ip arp inspection limit rate 15 (pps) /* 定义接口每秒 ARP 报文数量

对于没有使用 DHCP 设备可以采用下面办法:

arp access-list static-arp 
permit ip host 10.66.227.5 mac host 0009.6b88.d387
ip arp inspection filter static-arp vlan 201

3.3配置DAI后的效果:

? 在配置 DAI技术的接口上,用户端不能采用指定地址地址将接入网络。

? 由于 DAI检查 DHCP snooping绑定表中的IP和MAC对应关系,无法实施中间人攻击,攻击工具失效。下表为实施中间人攻击是?#25442;换?#30340;警告:

3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16,
vlan 1.([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2 

? 由于对 ARP请求报文做了速?#35748;?#21046;,客户端无法进行认为或者病毒进行的IP扫描、探测等行为,如果发生这些行为,?#25442;换?#39532;上报警或直接切断扫描机器。如下表所示:

3w0d: %SW_DAI-4-PACKET_RATE_EXCEEDED: 
16 packets received in 184 milliseconds on Fa5/30. ******报警 
3w0d: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa5/30,
putting Fa5/ 30 in err-disable state ******切断端口 
I49-4500-1#.....sh int f.5/30
FastEthernet5/30 is down, line protocol is down (err-disabled)
Hardware is Fast Ethernet Port , address is 0002.b90e
.3f 4d (bia 0002.b90e .3f 4d) 
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
I49-4500-1#......

? 用户获取 IP地址后,用户不能修改IP或MAC,如果用户同时修改IP和MAC必须是网络内部合法的IP和MAC才可,对于这?#20013;薷目?#20197;使用下面讲到的 IP Source Guard技术来防范。下表为手动指定IP的报警:

3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/30, vlan 1.([000d.6078.2d95/192.168.1.100/0000.0000.0000/192.168.1.100/01:52:28 UTC Fri Dec 29 2000 ])

4 IP/MAC欺骗的防范

4.1常见的欺骗攻击的种类和目的

常见的欺骗种类有 MAC欺骗、IP欺骗、IP/MAC欺骗,其目的一般为伪造身份或者获取针对IP/MAC的特权。当目前较多的是攻击行为:如Ping Of Death、syn flood、ICMP unreacheable Storm,另外病毒和木马的攻击也具有典型性,下面是木马攻击的一个例子。

4.2攻击实例

下图攻击为伪造源地址攻击,其目标地址为公网上的 DNS服务器,直接目的是希望通使DNS服务器对伪造源地址的响应和等待,造成DDOS攻击,并?#28304;?#25193;大攻击效果。该攻击每秒?#30001;?#19975;个报文,中档?#25442;换?分钟就?#34987;荊?#29031;成的间接后果非常大。

4.3IP/MAC欺骗的防范

IP Source Guard 技术配置在?#25442;换?#19978;仅支持在 2 层端口上的配置,通过下面机制可以防范 IP/MAC 欺骗:

? IP Source Guard 使用 DHCP sooping 绑定表信息。

? 配置在?#25442;换?#31471;口上,并对该端口生效。

? 运作机?#35780;?#20284; DAI,但是 IP Source Guard不仅仅检查ARP报文,所有经过定义IP Source Guard检查的端口的报文都要检测。

? IP Source Guard检查 接口 所通过的流量的IP地址和MAC地址是否在DHCP sooping绑定表,如果不在绑定表中则阻塞这些流量。注意如果需要检查MAC需要DHCP服务器支持Option 82,同时使路由器支持Option 82信息。

通过在?#25442;换?#19978;配置 IP Source Guard:

? 可以过?#35828;?#38750;法的 IP地址,包含用户故意修改的和病毒、攻击等造成的。

? 解决 IP地址冲突问题。

? 提供了动态的建立 IP+MAC+PORT的对应表和绑定关系,对于不使用DHCP的服务器和一些特殊情况机器可以采用利用全局命令静态手工添加对应关?#26723;?#32465;定表?#23567;?/p>

? 配置 IP Source Guard的接口初始阻塞所有非DHCP流量。

? 不能防止“中间人攻击”。

对于 IP欺骗在路由器上也可以使用urpf技术。

4.4配置示例:

检测接口上的 IP+MAC

IOS 全局配置命令:

ip dhcp snooping vlan 12,200 
ip dhcp snooping information option
ip dhcp snooping

接口配置命令:

ip verify source vlan dhcp-snooping port-security 
switchport mode access
switchport port-security
switchport port-security limit rate invalid-source-mac N
/* 控制端口上所能学习源 MAC 的速率,仅当 IP+MAC 同时检测时有意义。
检测接口上的 IP

IOS 全局配置命令

ip dhcp snooping vlan 12,200 
no ip dhcp snooping information option
ip dhcp snooping

接口配置命令:

ip verify source vlan dhcp-snooping 
不使用 DHCP 的静态配置
IOS 全局配置命令:
ip dhcp snooping vlan 12,200
ip dhcp snooping information option
ip dhcp snooping
ip source binding 0009.6b88.d387 vlan 212 10.66.227.5 interface Gi4/5

5 IP地址管理和病毒防范的新思路

5.1IP地址管理

综上所述通过配置思科?#25442;换?#30340;上述特征,不仅解决了一些典型攻击和病毒的防范问题,也为传统 IP地址管理提供了新的思路。

通过上面的几项技术解决了传统的利用DHCP服务器管理客户端IP地址的问题:

? 故意不使用手工指定静态 IP地址和DHCP分配地址冲突

? 配置 DHCP server

? 使用静态指定 IP遇到的问题

? 不使用分配的 IP地址和服务器或其他地址冲突

? 不容易定位 IP地址和具体?#25442;换?#31471;口对应表

使用静态地址的重要服务器和计算机,可以进行静态绑定 IP+MAC、IP+MAC+PORT,手工配置DAI和 IP Source Guard绑定表项, 来保护这些设备,同时也防止来自这些设备的攻击。

目前对于网络病毒的不断爆发,越来越多的用户开始重视对 PC的管理,用户关注谁能访问网络、访问以后能做什么、做了哪些事情、这就是我们常?#26723;腁AA?#29616;ぃ?#38500;了这些用户希望能够很快定位到用户在哪台?#25442;换?#21738;个端口、以哪个IP和MAC登陆,这样有有了”AAA+A”( Authenticate, Authorize,Account , Address )的概念。

通过上面的配置我们在网络层面已经可以定位用户了,?#30001;?802.1X?#29616;?#25105;们可以在网络层面根据用户的身份为用户授权,从而实现”AAA+A”。

更进一步要审计用户所使用电脑具备的条件,如系统补丁、所装杀毒软件?#23433;?#19969;、等条件可以考虑采用思科网络准入控制 NAC。

5.2使用DHCP Snooping 、DAI、IP Source Guard技术能解决的有关病毒问题

由于大多数对局域网危害较大的网络病毒都具有典型的欺骗和扫描,快速发包,大量 ARP 请求等特征,采用上述技术一定程度上可以自动切断病毒源,及?#22791;?#35686;,准确定位病毒源。

30选5玩法