hc二层攻击防范技术应用p10ok

1、修订记录课程编码适用产品产品版本课程版本ISSUEHC13031054USG6000V1R1V1.0开发/优化者时间审核人开发类型（新开发/优化）王锐2014-08-15姚传哲开发丁祖贤优化本页不打印HC13031054二层攻击防范技术应用 前言在企业网络中有多种基于二层的攻击手段，防火墙针对这些二层攻击手段都有其相应的防御手段。在本课中，介绍一些常见的二层攻击及防范方法。 目标学完本课程后，您将能够:了解DCHP Snooping技术了解ARP Spoofing攻击及其防御原理了解IPSG技术了解DAI技术了解端口安全技术 目录DHCP SnoopingARP SpoofingIPSGDAI

2、端口安全DHCP Snooping 概述IP地址MAC地址地址租约绑定类型VLAN ID12345接口信息6主要目的DHCP DoSDHCP 仿冒中间人攻击SpoofingDHCP Snooping功能用于防止：DHCP Server仿冒者攻击；中间人攻击与IP/MAC Spoofing攻击；改变CHADDR值的DoS攻击；Option82。DHCP Server 仿冒者攻击DHCP 服务器伪造DHCP服务器使能DHCP SnoopingDHCP RequestDHCP ACK123123不信任接口信任接口伪造DHCP服务器的危害中间人与IP/MAC Spoofing 攻击动态IP与MAC绑定

3、表静态IP与MAC绑定表IP与MAC绑定表Im really 10.0.0.2 我是服务器10.0.0.1IP: 10.0.0.1IP: 10.1.0.2我是客户端10.1.0.2Im really 10.0.0.1 改变CHADDR 值的DoS 攻击CHADDR：Client Hardware Address。攻击者改变的不是数据帧头部的源MAC 地址，而是改变DHCP 报文中的CHADDR。检查DHCP Request 报文中CHADDR 字段。L2 NetworkFWDHCP RelayServerDHCP ClientAttackerL3 NetworkOption82（仿冒DHCP续

4、租报文攻击）L2 NetworkFWDHCP RelayServerDHCP ClientAttackerL3 NetworkUntrusttrust应用场景：当网络中存在攻击者时，攻击者通过不断发送DHCP Request报文来冒充用户续租IP。防范原理：可以在设备上配置DHCP Snooping功能，检查DHCP Request报文和使用DHCP Snooping绑定功能。项目数据（1）接口：GigabitEthernet 0/0/0IP地址：10.1.1.254/24（2）接口：GigabitEthernet 0/0/1IP地址：100.1.1.1/24DHCP服务器地址100.1.1.

5、2/24USGDHCP ReplayFWDHCP RelayServerDHCP Client 1DHCP Client 2IP 10.1.1.1/24Mac: 00e0-fc5e-008aL3 NetworktrustedSwitchUntrusted（1）（2）DHCP Snooping配置举例DHCP Snooping配置步骤（1） 配置DHCP Relay的基本功能：配置接口GigabitEthernet 0/0/1接口地址： system-viewUSG sysname DHCP-RelayDHCP-Relay interface GigabitEthernet 0/0/1DHCP-

6、Relay-GigabitEthernet0/0/1 ip address 100.1.1.1 24 配置DHCP中继功能接口：DHCP-Relay interface GigabitEthernet 0/0/0 DHCP-Relay-GigabitEthernet0/0/0 ip address 10.1.1.254 24 DHCP-Relay-GigabitEthernet0/0/0 dhcp select relayDHCP-Relay-GigabitEthernet0/0/0 ip relay address 100.1.1.2 DHCP Snooping配置步骤（2）开启DHCP S

7、nooping功能，配置Trusted接口：启用全局和接口的DHCP Snooping功能：DHCP-Relay dhcp snooping enableDHCP-Relay interface GigabitEthernet 0/0/0DHCP-Relay-GigabitEthernet0/0/0dhcp snooping enableDHCP-Relay interface GigabitEthernet 0/0/1DHCP-Relay-GigabitEthernet0/0/1dhcp snooping enable 配置DHCP Server侧接口配置为“Trusted”：DHCP-Re

8、lay-GigabitEthernet0/0/1dhcp snooping trusted DHCP Snooping配置步骤（3）配置对特定报文的检查和DHCP Snooping绑定表：DHCP-Relay interface GigabitEthernet 0/0/0DHCP-Relay-GigabitEthernet0/0/0 dhcp snooping check arp enable DHCP-Relay-GigabitEthernet0/0/0 dhcp snooping check ip enableDHCP-Relay-GigabitEthernet0/0/0 dhcp sno

9、oping check dhcp-request enable DHCP-Relay-GigabitEthernet0/0/0 dhcp snooping check dhcp-chaddr enableDHCP-Relay-GigabitEthernet0/0/0 dhcp snooping bind-table static ip-address 10.1.1.1 mac-address 00e0-fc5e-008aDHCP Snooping配置步骤（4）配置DHCP上送速率限制和配置Option82 ：DHCP-Relay dhcp snooping check dhcp-rate 90

10、DHCP-Relay dhcp snooping check dhcp-rate enable DHCP-Relay interface GigabitEthernet 0/0/0 DHCP-Relay-GigabitEthernet0/0/0 dhcp option82 insert enable显示DHCP Snooping绑定表的静态表项信息： display dhcp snooping bind-table static bind-table: ifname vrf vsi p/cvlan mac-address ip-address tp leaseVlanif1 0000 - 00

11、00/0000 0011-0022-0034 1.2.3.0 S 0 目录DHCP SnoopingARP SpoofingIPSGDAI端口安全ARP Spoofing原理InternetRouterUser AUser BAttackerIP: 10.1.1.1MAC: A-A-AIP: 10.1.1.2MAC: B-B-BIP: 10.1.1.3MAC: C-C-CIP地址MAC地址Type10.1.1.3C-C-CDynamicIP地址MAC地址Type10.1.1.3D-D-DDynamicUser A的ARP表项攻击者回应欺骗报文ARP Spoofing配置执行命令firewall

12、 defend arp-spoofing enable，开启ARP欺骗攻击防范功能。 目录DHCP SnoopingARP SpoofingIPSGDAI端口安全IPSG背景随着网络规模越来越大，基于源IP 的攻击也逐渐增多，一些攻击者利用欺骗的手段获取到网络资源，取得合法使用网络的能力，甚至造成被欺骗者无法访问网络，或者信息泄露，造成不可估量的损失。IP Source Guard 是指设备在作为二层设备使用时，利用绑定表来防御IP 源欺骗的攻击。当设备在转发IP 报文时，将此IP 报文中的源IP、源MAC、端口、VLAN 信息和绑定表的信息进行比较，如果信息匹配，说明是合法用户，则允许此用户

13、正常转发，否则认为是攻击者，丢弃该用户发送的IP 报文。IP/MAC欺骗攻击典型场景 IP: 1.1.1.2/24MAC: 2-2-2IP: 1.1.1.3/24MAC: 3-3-3IP: 1.1.1.1/24MAC: 1-1-1IP: 1.1.1.3/24MAC: 3-3-3AttackerDHCP ClientDHCP Server收到一个用户的IP和MAC，我要刷新MAC信息到我的端口下SwitchIPSG防御原理IP: 1.1.1.2/24MAC: 2-2-2IP: 1.1.1.3/24MAC: 3-3-3IP: 1.1.1.1/24MAC: 1-1-1IP: 1.1.1.3/24MA

14、C: 3-3-3AttackerDHCP ClientDHCP Server在接口或VLAN上配置了IPSGSwitchIP地址包括IPv4地址和IPv6地址，即使能IPSG功能后，设备将对用户IP报文的源IPv4地址和源IPv6地址都进行检查。IPSG功能只对IP类型的报文有效。对其他类型的报文，如PPPoE（Point-to-Point Protocol over Ethernet）报文无法生效。IPSG配置举例Host AIP: 10.0.0.1/24MAC: 1-1-1Host B (Attacker)IP: 10.0.0.2/24MAC: 2-2-2SwitchServerGE1/0

15、/1GE1/0/2 组网需求：Host A与Host B分别与Switch的GE1/0/1和GE1/0/2接口相连。要求使Host B不能仿冒Host A的IP和MAC欺骗Server，保证Host A的IP报文能正常上送。IPSG配置举例配置IP报文检查功能：配置Host A为静态绑定表项：interface gigabitethernet 1/0/1 ip source check user-bind enable ip source check user-bind alarm enable ip source check user-bind alarm threshold 200inte

16、rface gigabitethernet 1/0/2 ip source check user-bind enable ip source check user-bind alarm enable ip source check user-bind alarm threshold 200 user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface gigabitethernet 1/0/1 IPSG配置举例-验证配置结果Switch display dhcp static user-bind all DH

17、CP static Bind-table: Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping IP Address MAC Address VSI/VLAN(O/I/P) Interface -10.0.0.1 0001-0001-0001 - /- /- GE1/0/1 -Print count: 1 Total count: 1 在Switch上执行display dhcp static user-bind all命令可以查看绑定表信息：从显示信息可知，Host A已经配置为静态绑定表项。 目录DHCP SnoopingARP S

18、poofingIPSGDAI端口安全ARP中间人攻击 InternetRouterUser AUser BAttackerIP: 10.1.1.1MAC: 1-1-1IP: 10.1.1.2MAC: 2-2-2IP: 10.1.1.3MAC: 3-3-3Attacker向User A发送伪造User B的ARP报文Attacker向User B发送伪造User A的ARP报文IP地址MAC地址Type10.1.1.33-3-3DynamicIP地址MAC地址Type10.1.1.32-2-2DynamicIP地址MAC地址Type10.1.1.11-1-1DynamicIP地址MAC地址Typ

19、e10.1.1.22-2-2DynamicUser A的ARP表项ARP表项更新为User B的ARP表项ARP表项更新为动态ARP检测DAI（Dynamic ARP Inspection）InternetRouterUser AUser BAttackerIP: 10.1.1.1MAC: 1-1-1IP: 10.1.1.2MAC: 2-2-2IP: 10.1.1.3MAC: 3-3-3Enable DAI查找DHCP Snooping 绑定表DAI配置dai enable 用于使能动态ARP检测功能。配置举例： system-view Huawei wlan ac Huawei-wlan-view service-set name test Huawei-wlan-service-set-test dai enable 目录DHCP SnoopingARP SpoofingIPSGDAI端口安全端口安全Host AHost BSwitch AGE0/0/1Host CSwitchVLAN 10安全MAC静态MAC安全MAC端口安全（Port Security）功能将交换机接口学习到的MAC地址变为安全MAC地址（包括安全动态MAC和Sticky MAC），可以阻止除安全MAC和静态MAC之外的主机通过本接口和交换机通信，从而增强设备安全性。端口安全配置实例Host A