接入网交换机常见问题解决方案

网络 通信技术
为了防止ARP中间人攻击,接入网交换机支持将收到的ARP(请求与回应)报文重定向到CPU,结合DHCP Snooping安全特性来判断ARP报文的合法性并进行处理。

随着接入网技术的发展,其相关设备也广泛的应用于各个领域,同时出现了不少问题,特别是一些ARP攻击之类的问题,下面我们主要分析了接入网交换机问题的解决方案。电信级IP技术的发展成熟使得话音、数据、视频和移动等应用的融合成为必然,统一通讯已成为发展的趋势。

以IP技术为核心进行网络改造并承载多种新型业务以提升竞争力,是固网运营商的发展方向。而以太网技术由于标准化程度高、应用广泛、带宽提供能力强、扩展性良好、技术成熟,设备性价比高,对IP的良好支持,成为城域网和接入网交换机的发展趋势。但是,由于以太网技术的开放性和其应用广泛,也带来了一些安全上的问题。特别是当网络由原有的单业务承载转为多业务承载时,安全问题带来的影响愈发明显,已经逐步影响到业务的开展和部署。目前接入网交换机常见的攻击包括ARP“中间人“攻击、IP/MAC欺骗攻击、DHCP/ARP报文泛洪攻击等。

ARP“中间人”攻击

按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。

Host A和Host C通过Switch进行通信。此时,如果有黑客(Host B)想探听Host A和Host C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后,Host A 和Host C之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人(Man-In-The-Middle)攻击”。

IP/MAC欺骗攻击

常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗,黑客可以伪造报文的源地址进行攻击,其目的一般为伪造身份或者获取针对IP/MAC的特权,另外此方法也被应用于DoS( Deny of Service,拒绝服务)攻击,严重的危害了网络安全。为了防止IP/MAC欺骗攻击,H3C低端以太网交换机提供了IP过滤特性,开启该功能后,交换机可以强制经过某一端口流量的源地址符合动态获取的DHCP Snooping表项或静态配置的IP与MAC绑定表项的记录,防止攻击者通过伪造源地址来实施攻击。此外,该功能也可以防止用户随便指定IP地址,造成的网络地址冲突等现象。

DHCP报文泛洪攻击

DHCP报文泛洪攻击是指:恶意用户利用工具伪造大量DHCP报文发送到服务器,一方面恶意耗尽了IP资源,使得合法用户无法获得IP资源;另一方面,如果交换机上开启了DHCP Snooping功能,会将接收到的DHCP报文上送到CPU。因此大量的DHCP报文攻击设备会使DHCP服务器高负荷运行,甚至会导致设备瘫痪。

ARP报文泛洪攻击

ARP报文泛洪类似DHCP泛洪,同样是恶意用户发出大量的ARP报文,造成L3设备的ARP表项溢出,影响正常用户的转发。

安全防范

对于上述的几种攻击手段,H3C接入网交换机解决方案在用户接入侧利用DHCP SNOOPING,提供相应的防范手段。

DHCP Snooping表项的建立

开启DHCP Snooping功能后,H3C接入网交换机根据设备的不同特点可以分别采取监听DHCP-REQUEST广播报文和DHCP-ACK单播报文的方法来记录用户获取的IP地址等信息。目前,交换机的DHCP Snooping表项主要记录的信息包括:分配给客户端的IP地址、客户端的MAC地址、VLAN信息、端口信息、租约信息。

 ARP入侵检测功能工作机制

为了防止ARP中间人攻击,接入网交换机支持将收到的ARP(请求与回应)报文重定向到CPU,结合DHCP Snooping安全特性来判断ARP报文的合法性并进行处理,具体如下。当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项匹配,且ARP报文的入端口及其所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项一致,则为合法ARP报文,进行转发处理。

当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项不匹配,或ARP报文的入端口,入端口所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项不一致,则为非法ARP报文,直接丢弃,并通过Debug打印出丢弃信息提示用户。

手工配置IP静态绑定表项

DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息,如果用户手工配置了固定IP地址,其IP地址、MAC地址等信息将不会被 DHCP Snooping表记录,因此不能通过基于DHCP Snooping表项的ARP入侵检测,导致用户无法正常访问外部网络。为了能够让这些拥有合法固定IP地址的用户访问网络,交换机支持手工配置IP静态绑定表的表项,即:用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。以便正常处理该用户的报文。
 

责任编辑:王晓东 来源: NET130
相关推荐

2009-10-26 11:11:22

接入网常见问题

2009-12-24 11:05:15

2010-08-04 10:20:30

Flex组件开发

2019-04-04 13:11:37

React内存泄露memory leak

2010-08-26 12:59:29

marginCSS

2009-11-02 17:45:16

2010-02-05 09:56:04

三层交换机

2021-08-20 15:49:13

电脑主板维修

2009-10-28 17:39:58

光接入网解决方案

2009-10-29 10:32:17

接入网解决方案

2009-12-24 15:59:28

ADSL接入网设备

2011-04-26 19:45:35

Aruba企业接入网

2009-10-27 16:12:40

2009-12-28 14:05:21

光纤接入网

2011-01-21 14:13:10

2009-12-31 15:43:32

宽带接入网

2013-05-20 15:33:35

锐捷网络万兆接入万兆以太网

2010-01-21 09:53:44

Cisco交换机常见问

2012-05-09 10:08:41

跨机房

2009-10-26 13:08:33

点赞
收藏

51CTO技术栈公众号