S12500交换机网络安全技术白皮书VIP

1、H3C S12500 网络安全技术白皮书关键词：网络安全，威胁摘要：本文主要介绍了网络安全威胁的分类以及H3C S12500系列路由交换机具备的安全能力。缩略语清单：缩略语英文全名中文解释DoSDenial of Service拒绝服务ACLAccess Control List访问控制列表ARPAddress Resolution Protocol地址解析协议MACMedia Access Control媒体访问控制URPFUnicast Reverse Path Forwarding单播反向路径转发TCPTransmission Control Protocol传输控制协议UDPUser

2、Datagram Protocol用户数据报协议ICMPInternet Control Message Protocol因特网控制报文协议TTLTime To Live生存时间MFFMAC-Forced ForwardingMAC强制转发PPSPacket per second报文数每秒目 录 HYPERLINK l _bookmark0 概述4 HYPERLINK l _bookmark0 网络安全威胁4 HYPERLINK l _bookmark0 网络安全威胁的定义4 HYPERLINK l _bookmark0 网络安全威胁的分类4 HYPERLINK l _bookmark0 网络

3、设备的安全威胁4 HYPERLINK l _bookmark1 数据传送层面5 HYPERLINK l _bookmark1 控制信令层面5 HYPERLINK l _bookmark1 设备管理层面5 HYPERLINK l _bookmark1 H3C S12500安全能力介绍5 HYPERLINK l _bookmark1 数据转发层面的安全能力5 HYPERLINK l _bookmark1 URPF技术5 HYPERLINK l _bookmark2 非法报文过滤技术7 HYPERLINK l _bookmark3 ICMP分片报文过滤功能8 HYPERLINK l _bookmar

4、k3 TTL超时报文过滤功能8 HYPERLINK l _bookmark3 Hop Limit超时报文过滤功能8 HYPERLINK l _bookmark4 地址扫描攻击防护能力9 HYPERLINK l _bookmark4 广播/组播/未知单播报文速率限制9 HYPERLINK l _bookmark4 MAC地址表容量攻击防护能力9 HYPERLINK l _bookmark5 静态MAC地址表项和ARP表项绑定能力10 HYPERLINK l _bookmark5 强大的ACL功能10 HYPERLINK l _bookmark5 CPU控制平面的安全能力10 HYPERLINK

5、l _bookmark5 控制平面带宽管理技术10 HYPERLINK l _bookmark6 控制信令层面的安全能力12 HYPERLINK l _bookmark6 ARP协议攻击检测和防范技术12 HYPERLINK l _bookmark7 IP Source Guard技术18 HYPERLINK l _bookmark8 DHCP服务安全技术19 HYPERLINK l _bookmark9 TCP连接保护和攻击防范技术20 HYPERLINK l _bookmark10 STP协议保护技术21 HYPERLINK l _bookmark11 路由协议攻击防护能力23 HYPER

6、LINK l _bookmark12 设备管理层面的安全能力24 HYPERLINK l _bookmark12 管理用户分级分权24 HYPERLINK l _bookmark12 支持安全的远程管理24 HYPERLINK l _bookmark12 支持安全审计24 HYPERLINK l _bookmark12 安全接入控制24 HYPERLINK l _bookmark12 SFTP服务24概述随着互联网技术的不断演进、网络规模的爆炸性发展，互联网应用已经从起初的科研领域逐渐延伸到当代社会生活的方方面面，越来越多基于网络的关键业务蓬勃兴起，网络成为人类提高生产力、提升生活质量的新的推

7、动力。然而，互联网的技术基础，即IP网络，却在天然上存在着安全、服务质量、运营模式等方面的隐患。IP网络的简单和开放在促成互联网迅猛发展的同时，也造成了IP网络容易引入安全漏洞的弱点。同时，随着技术的发展、信息传递的迅捷，针对IP网络安全攻击的技术难度越来越小，攻击工具自动化程度则越来越高，攻击技术趋向平民化。网络攻击事件数量每年都在大幅增加，造成的损失日益巨大，影响范围不再仅限于少数公司，甚至波及国家信息安全。网络安全威胁给网络世界进一步的发展蒙上了阴影。在这种情况下，网络设备自身的安全特性和防攻击能力显得越来越重要。网络安全威胁网络安全威胁的定义所谓网络安全威胁，包括传输数据安全威胁和网络

8、设备安全威胁。传输数据安全威胁指通过特定技术，对在网络、服务器和桌面上存储和传输的数据未经授权进行访问，甚至破坏或者修改这些数据；网络设备安全威胁指针对网络设备进行攻击，影响网络设备正常运行。网络安全威胁的分类IP网络的安全威胁分为两个方面：主机（包括用户主机和应用服务器等）的安全；网络自身（主要是网络设备，包括路由器、交换机等）的安全。用户主机所感知的安全威胁主要是针对特定操作系统（主要是Windows系统）的攻击，诸如病毒、木马。网络设备主要面对的是基于TCP/IP协议的攻击。本文主要讨论网络自身，即网络设备的安全问题。网络设备的安全威胁网络设备的功能可以分为以下几个层面：网络数据传送、网

9、络控制信令、网络设备管理。相应地，网络设备的安全威胁即是针对于这几个层面展开的。数据传送层面网络数据传送层面的功能是负责处理进入设备的数据流。它有可能受到基于流量的攻击，如大流量攻击、畸形报文攻击。这些攻击的主要目的是占用设备CPU的处理时间，造成正常的数据流量无法得到处理，使设备的可用性降低。由于网络数据传送层面负责用户数据的转发，因此也会受到针对用户数据的攻击，主要是对用户数据的恶意窃取、修改、删除等，使用户数据的机密性和完整性受到破坏。控制信令层面网络控制信令层面的主要功能是维护各层网络协议的运行，以控制数据流的路由和交换。这一层面受到的最主要威胁来自对路由信息的窃取，对IP地址的伪造等

10、，这会造成网络路由信息的泄漏或滥用。设备管理层面网络设备管理层面提供了对设备的远程管理功能。威胁来自于两个方面，一个是系统管理所使用的协议（如Telnet协议、HTTP协议等）的漏洞，另一个是不严密的管理，如设备管理账号的泄露等。H3C S12500 安全能力介绍H3C S12500系列高端路由交换机是基于Comware软件平台进行开发的。通过Comware平台的支持，以及H3C S12500独有的一些安全实现，H3C S12500能够提供丰富的安全特性。数据转发层面的安全能力URPF 技术URPF（Unicast Reverse Path Forwarding，单播反向路径转发）检查技术，主

11、要用于防止基于源地址欺骗的网络攻击行为。源地址欺骗攻击是指入侵者构造出一系列带有伪造源地址的报文，对于使用基于IP 地址验证的应用来说，此攻击方法可以导致未被授权用户以他人身份获得访问系统的权限，甚至是管理员权限。即使被攻击设备的响应报文不能到达攻击者，同样也会对被攻击设备造成破坏。图1 URPF检查示意图如上图所示，在Device A上伪造源地址为/8的报文，向Device B发起请求， Device B响应请求时将向真正的“/8”，即Device C发送报文。这种非法报文对Device B和Device C都会造成攻击。URPF检查技术可以应用在上述环境中，在Device B上根据报文的源

12、IP地址查找该IP地址的出接口，判断该IP地址的出接口是否和报文的入接口一致，如果不一致则认为URPF检查不通过，并且对这种报文采取相应的处理动作。S12500产品支持URPF技术，并且能够支持多种检查模式，用户可以根据当前网络安全等级及应用需要采用不同的URPF检查模式。严格检查模式严格检查模式不但需要检查报文的源IP地址是否在路由表中存在，还需要检查报文的入接口是否和源IP地址查找的路由表中的出接口一致，如果有一个出接口和报文入接口一致，则认为检查通过，否则认为检查不通过。对于缺省路由、主机路由和网段路由，也同样支持严格模式的检查，必须检查路由表和出接口信息；对于等价路由，只需要符合等价路

13、由的任意一条路由，则认为URPF检查成功，报文正常转发。基于链路层检查模式链路层检查模式先根据报文源IP地址查找路由表，获取下一跳地址，并且根据下一跳IP地址查找ARP表项，获取ARP表中的MAC地址，并且用该MAC地址和报文源MAC地址进行比较，如果相等则URPF检查通过，否则URPF检查失败。基于链路层检查模式，是S12500产品基于高可靠、高安全核心层设备推出的安全特性之一，真正把数据链路层和IP层结合在一起，实现IP转发的链路层检查，相较于以往单纯的IP地址检查，更加科学和安全。链路层检查模式不支持基于等价路由的检查。非法报文过滤技术网络中充斥的各种非法报文，不但占用宝贵的带宽资源，还

14、对网络中的各种设备造成冲击。S12500产品能够过滤各种非法报文，既包括内容错误的报文，也包括格式错误的报文，下面具体描述S12500产品能够识别并且过滤的各种非法报文：网络接入控制的过滤功能检测并过滤各种物理层错误的报文，包括CRC错帧、超小帧、超大帧、帧丢失、奇偶检验错帧等。数据链路转发的过滤功能S12500能够过滤如下数据链路层非法的报文：端口收到报文的 VLAN ID 不在端口允许通过的范围内，直接丢弃；非法源 MAC 地址的报文（报文源 MAC 地址为组播 MAC 地址），直接丢弃；STP BLOCK 的端口收到数据报文，直接丢弃。IP转发的过滤功能对于各种IP头和IP地址非法的报文

15、，S12500设备能够检查并且过滤：IPv4 头校验和错误的报文，直接丢弃；IPv4 头版本号错误的报文，直接丢弃；IPv4 头长度错误的报文，直接丢弃；IPv4 源 IP 地址等于目的 IP 地址的报文，直接丢弃；IPv4 源 IP 地址为 /8 或 /4 的报文，直接丢弃；IPv4 目的 IP 地址为 /8 或 的报文，直接丢弃；IPv4 报文目的 MAC 地址为单播地址，目的 IP 地址为组播地址，直接丢弃；IPv4 报文目的 MAC 地址为组播地址，目的 IP 地址为单播地址，直接丢弃；IPv4 URPF 检查失败的报文，直接丢弃；IPv6 头版本号错误的报文，直接丢弃；IPv6 源

16、IP 地址等于目的 IP 地址的报文，直接丢弃；IPv6 源 IP 地址为:1/128 或 FF:/8 的报文，直接丢弃；IPv6 目的 IP 地址为:1/128 或:的报文，直接丢弃；IPv6 报文目的 MAC 地址为单播地址，目的 IP 地址为组播地址，直接丢弃；IPv6 报文目的 MAC 地址为组播地址，目的 IP 地址为单播地址，直接丢弃。ICMP 分片报文过滤功能一般来说网络中传输的ICMP报文都不大，而且对于不同的系统，能够发送和接收的ICMP报文的大小也不一样。通常，ICMP分片报文用于测试网络的运行状态，检测网络转发路径的稳定性。在网络正常运行中，一般不会出现ICMP分片报文，

17、分片报文大部分是由于网络攻击导致，网络中存在大流量的ICMP分片报文，不但会占用宝贵的带宽资源，而且会导致被攻击者性能严重下降，甚至无法正常工作。H3C S12500能够识别并且过滤ICMP分片报文（识别方法：IP头MF字段不为0或者IP头OFFSET字段不为0的ICMP报文），使能ICMP分片报文过滤功能后，正常转发和上送CPU的ICMP分片报文都会被直接丢弃。TTL 超时报文过滤功能所谓TTL超时报文，是指IP报文中的TTL值为0或者为1，不在IP转发的正常范围内。当网络存在路由环路时，IP报文在设备间相互转发，每转发一跳则TTL值减一，最终导致TTL值超时。当网络设备收到TTL超时报文后

18、，需要向源设备发送TTL超时通知，告知对端TTL超时，TraceRoute就是利用该功能达到路径检测的目的。过多的TTL超时报文，会冲击网络设备的控制平面，导致网络设备正常业务处理性能的下降。H3C S12500产品支持TTL超时报文的检测和过滤功能，当设备收到TTL等于0或者等于1的IP报文时，直接丢弃，不进行转发或者上送CPU处理。系统默认丢弃TTL等于0的报文，但是正常转发TTL等于1的报文。对于MPLS的TTL等于1报文，和IP报文相同处理。Hop Limit 超时报文过滤功能Hop Limit超时报文和TTL超时报文类似，只不过TTL超时是IPv4报文，而Hop Limit超时是IP

19、v6报文。H3C S12500产品支持Hop Limit超时报文的检测和过滤功能，当设备收到Hop Limit等于0或者等于1的IP报文时，直接丢弃，不进行转发或者上CPU处理。系统默认丢弃Hop Limit等于0的报文，但是正常转发Hop Limit等于1的报文。地址扫描攻击防护能力地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时，网络设备会给该网段下的每个地址发送ARP报文，地址不存在的话，还需要发送目的主机不可达报文。如果直连网段较大，攻击流量足够大时，会消耗网络设备较多的CPU和内存资源，可能引起网络中断。H3C S12500实现

20、了地址扫描攻击的防护能力。当S12500交换机收到目的IP是直连网段的报文时，如果该目的地址的路由不存在，会发送一个ARP请求报文，并针对目的地址下发一条丢弃表项，以防止后续报文持续冲击CPU。如果有ARP应答， 则立即删除相应的丢弃表项，并添加正常的路由表项。否则，经过一段时间后丢弃表项自动老化。这样，既防止直连网段扫描攻击对交换机造成影响，又保证正常业务流程的畅通。H3C S12500还提供了相应的配置命令，用于控制地址扫描攻击防护功能是否启用。广播/组播/未知单播报文速率限制网络中存在大量的广播或者组播报文，会占用宝贵的网络带宽，从而严重影响网络设备的转发性能。而且当网络中某台设备存在环

21、路时，广播和组播报文会在网络中泛滥，导致整个网络的瘫痪。H3C S12500具有强大的广播、组播和未知单播报文过滤功能。既可以按照PPS来限制端口每秒允许通过的广播、组播和未知单播报文个数，也可以按照流量绝对值来限制端口允许通过的广播、组播和未知单播报文速率。当广播、组播和未知单播报文超过用户限制的门限值后，超出部分的报文将会被系统丢弃，确保广播/组播/ 未知单播流量所占的比例降低到限定的范围，保证网络业务的正常运行。针对每种类型的报文，S12500分别提供命令进行控制，并且每种类型的报文都能够按照PPS或者Kbps进行限速。MAC 地址表容量攻击防护能力所谓MAC地址表容量攻击，是指攻击源发

22、送源MAC地址不断变化的报文，网络设备在收到这种报文后，会进行源MAC地址学习。由于MAC地址表容量是有限的， 当MAC地址表项达到最大容量后，正常报文的MAC地址学习将无法完成。在进行二层转发时，这些报文将会在VLAN内广播，严重影响网络带宽，同时也会对网络设备下挂主机造成冲击。H3C S12500提供设置单个端口或者单个VLAN允许学习的最大MAC地址数目的功能。用户可以根据端口或者VLAN下挂的主机数目来设置该端口或者VLAN最大允许学习的MAC地址数目，防止一个端口或者VLAN就把系统的MAC地址表项耗尽。在设置端口MAC地址最大学习数目时，还可以选择超过部分是否转发，防止未知单播报文

23、在VLAN内广播，对其他设备造成冲击。静态 MAC 地址表项和 ARP 表项绑定能力H3C S12500提供配置静态MAC地址表项和静态ARP表项的功能。用户可以通过配置静态MAC地址表项，保证二层数据报文正确的转发；用户还可以通过配置静态ARP表项，绑定MAC地址和IP地址，确保IP地址不会被伪用户盗用。同时，S12500设备支持黑洞MAC地址功能，配置黑洞MAC地址功能后，源MAC地址或者目的MAC地址匹配该MAC地址表项的报文将会被过滤，不会在设备中正常转发。强大的 ACL 功能在复杂的网络环境中，存在各种各样的攻击报文，可能攻击网络设备，也可能攻击网络设备下挂的主机。H3C S1250

24、0提供强大而丰富的ACL功能，能够对报文的数据链路层、网络层、传输层各字段进行识别，在入方向和出方向采取各种处理动作。入方向ACL支持的处理动作为限速、过滤、统计、重定向、镜像等，出方向ACL支持的处理动作为过滤、限速、统计等。通过ACL功能，管理者可以对非法流量进行有效的过滤。管理者可以在端口、VLAN或者全局模式下设置相应的ACL规则， 以满足不同的需要。S12500的ACL 规则，不但可以根据IP协议类型、TCP端口号、UDP端口号、IP地址、MAC地址等常用字段对报文进行过滤或者限流，还可以根据用户自身的需求指定报文各字段进行过滤和限流。CPU 控制平面的安全能力控制平面带宽管理技术控

25、制平面是交换机的神经中枢，在网络运行中，如果控制平面遭受攻击，会造成严重的后果，轻则影响网络协议的稳定，重则导致设备瘫痪。H3C S12500产品针对控制平面的管理做了大量有效的工作，对上送CPU的各种报文进行分类和限流，确保CPU不受攻击报文的影响，具体表现在如下几个方面：自动识别H3C S12500产品控制报文上送CPU遵循“按需分配”的原则，系统中某种协议没有启用时，交换机即使收到这种类型的协议报文，也不会送到控制平面（CPU）进行处理，保证控制平面不受垃圾报文的攻击；当某种协议启动后，交换机会根据协议类型及协议报文的特征识别该报文并且送CPU处理，并且根据协议运行的需要确定该协议报文是

26、指定端口上送、指定VLAN上送还是全局上送。通过这种方式，最大限度的防止网络中的垃圾报文冲击控制平面，对CPU起到保护作用。有效隔离S12500产品协议报文上送CPU，会对各种类型的协议报文进行分类，并且对每种类型的协议报文分配相应的编号，通过该编号可以决定报文上送控制平面的速率和报文上送控制平面的队列。通过编号区分协议报文，并且上送控制平面，保证协议报文之间互相不会受到干扰，每种协议报文都能够按照自身的速率门限（速率门限根据各功能支持的规格计算得出）送往控制平面，而不会由于某种协议遭受攻击导致其他协议受到影响。硬件限流如上所述，每种类型的协议报文都分配有一个相应的编号，通过这个编号可以设置协

27、议报文上送CPU的速率（限速单位PPS）；同时，每个编号的协议报文都要入相应的队列（总共8个队列），对每个队列也进行相应的限速（限速单位PPS），确保每个队列送往控制平面的协议报文不会超出正常的应用要求；在CPU端口，也会对所有的报文进行端口流量整形，保证CPU不会因为协议报文的冲击而出现异常。优先级调度协议报文送CPU时，存在8个队列，队列之间通过SP+WRR调度，确保每个队列的报文都能够得到调度；同时，在控制平面处理协议报文时，也根据一定的方式进行调度，读取上送CPU的协议报文，确保在一个CPU调度周期内能够处理各个队列的报文，同时也能够保证高优先级队列报文优先调度。 图2 控制平面带宽管

28、理示意图总之，通过如上的技术保护，H3C S12500产品控制平面的抗攻击能力大为提升， 完全满足高端交换机的稳定性应用需要。控制信令层面的安全能力ARP 协议攻击检测和防范技术1-1-1MAC addressIP address3-3-3 HYPERLINK l _bookmark1 2-2-2Source MAC address HYPERLINK l _bookmark1 Destination MAC addressGatewayIntercepted data flowThe gateways MAC address has been updatedUpdatedGateways M

29、AC address is 2-2-2.Send forged ARP information针对ARP协议攻击主要包含两种方式：ARP欺骗攻击和ARP泛洪攻击，而ARP欺骗攻击又包括仿冒网关、欺骗网关和欺骗终端用户等。IP addressMAC address1-1-1 HYPERLINK l _bookmark1 D HYPERLINK l _bookmark1 estination MAC addressSource MAC address HYPERLINK l _bookmark1 2- HYPERLINK l _bookmark1 2-23-3-3IP address HYPERL

30、INK l _bookmark1 M HYPERLINK l _bookmark1 AC addressType(gateway) HYPERLINK l _bookmark1 1- HYPERLINK l _bookmark1 1-1DynamicDynamicType HYPERLINK l _bookmark1 1-1-1(gateway) HYPERLINK l _bookmark1 MAC addressIP address5-5-50MAC addressIP addressAttacker BIP addressMAC address05-5-5User ADynamicType

31、 HYPERLINK l _bookmark1 2- HYPERLINK l _bookmark1 2-2 (gateway) HYPERLINK l _bookmark1 M HYPERLINK l _bookmark1 AC addressIP address3-3-3MAC addressIP addressARP entry changes toIP addressMAC address3-3-3IP address HYPERLINK l _bookmark1 MAC addressType (gateway) HYPERLINK l _bookmark1 2-2-2Dynamic图

32、3 ARP欺骗之仿冒网关攻击示意图IP address HYPERLINK l _bookmark1 MA HYPERLINK l _bookmark1 C addressType HYPERLINK l _bookmark1 3- HYPERLINK l _bookmark1 3-3DynamicIP address HYPERLINK l _bookmark1 M HYPERLINK l _bookmark1 AC addressType HYPERLINK l _bookmark1 2- HYPERLINK l _bookmark1 2-2DynamicIP addressMAC add

33、ress1-1-1 HYPERLINK l _bookmark1 De HYPERLINK l _bookmark1 stination MACSource MAC HYPERLINK l _bookmark1 2- HYPERLINK l _bookmark1 2-21-1-11-1-1 HYPERLINK l _bookmark1 2-2-2Source MAC HYPERLINK l _bookmark1 Destination MACMAC addressIP address5-5-50MAC addressIP addressIP addressMAC address05-5-5At

34、tacker BUser A1-1-1MAC addressIP addressDynamicType HYPERLINK l _bookmark1 3-3-3 HYPERLINK l _bookmark1 MAC addressIP addressDynamicType HYPERLINK l _bookmark1 2-2-2 HYPERLINK l _bookmark1 MAC addressIP address9-9-9MAC addressIP addressGatewayUpdatedARP entry changes toIntercepted data flowUser As M

35、AC address has been updatedUser As MACaddress is 2-2-2.Send forged ARP information3-3-31-1-1MAC addressIP address3-3-3 HYPERLINK l _bookmark1 2-2-2Source MAC HYPERLINK l _bookmark1 Destination MACIP addressMAC address3-3-3图4 ARP欺骗之欺骗网关攻击示意图IP addressMAC address1-1-1 HYPERLINK l _bookmark1 De HYPERLI

36、NK l _bookmark1 stination MACSource MAC HYPERLINK l _bookmark1 2- HYPERLINK l _bookmark1 2-23-3-3IP addressMAC address9-9-9IP addressMAC address05-5-5IP address HYPERLINK l _bookmark1 MA HYPERLINK l _bookmark1 C addressType HYPERLINK l _bookmark1 9- HYPERLINK l _bookmark1 9-9DynamicIP addressMAC add

37、ress3-3-3IP address HYPERLINK l _bookmark1 MA HYPERLINK l _bookmark1 C addressType HYPERLINK l _bookmark1 2- HYPERLINK l _bookmark1 2-2DynamicDynamicType HYPERLINK l _bookmark1 9-9-9 HYPERLINK l _bookmark1 MAC addressIP addressDynamicType HYPERLINK l _bookmark1 2-2-2 HYPERLINK l _bookmark1 MAC addre

38、ssIP address3-3-3MAC addressIP address5-5-50MAC addressIP addressGatewayUser Cs MAC address has been updated.Intercepted data flowUpdatedAttacker BUser AARP entry changes toSend forged ARP informationUser Cs MACaddress is 2-2-2.图5 ARP欺骗之欺骗终端用户攻击示意图1-1-1MAC addressIP addressDynamic HYPERLINK l _bookm

39、ark1 2- HYPERLINK l _bookmark1 2-2Dynamic HYPERLINK l _bookmark1 2- HYPERLINK l _bookmark1 2-6Dynamic HYPERLINK l _bookmark1 2- HYPERLINK l _bookmark1 2-3Dynamic HYPERLINK l _bookmark1 2- HYPERLINK l _bookmark1 2-4Dynamic HYPERLINK l _bookmark1 2- HYPERLINK l _bookmark1 2-5Dynamic HYPERLINK l _bookm

40、ark1 HYPERLINK l _bookmark1 .Type HYPERLINK l _bookmark1 MA HYPERLINK l _bookmark1 C addressIP addressUpdateds MAC address is 2-2-2s MAC address is 2-2-3IP address HYPERLINK l _bookmark1 MAC addressType HYPERLINK l _bookmark1 2-2-2Dynamic HYPERLINK l _bookmark1 2-2-3Dynamic HYPERLINK l _bookmark1 2-

41、2-4Dynamic HYPERLINK l _bookmark1 2-2-5Dynamic HYPERLINK l _bookmark1 2-2-6Dynamic HYPERLINK l _bookmark1 .DynamicIP addressMAC address1-1-1IP addressMAC address05-5-5IP addressMAC address033-3-33-3-303MAC addressIP address5-5-50MAC addressIP addressGatewayARP table is fullMAC addresses of User A, A

42、1, A2, A3have been updated.User A03s MACaddress is 3-3-3Fail to learn new ARP entriess MAC address is 2-2-4Send tremendous forgedARP informationAttacker B图6 ARP欺骗之ARP泛洪攻击示意图下面介绍ARP攻击相关的一些功能，通过这些功能，S12500产品能够最大限度的防止ARP协议报文攻击，保护下挂网络不受ARP报文攻击影响。ARP协议攻击防护能力ARP协议没有任何验证方式，而ARP在数据转发中又是至关重要的，攻击者常伪造ARP报文进行攻击

43、。H3C S12500能够检测并且防范ARP报文的攻击。当攻击者采用某个或者某几个固定的攻击源，向设备发送大量的ARP报文进行攻击时，S12500能够检测并且防范这种ARP协议报文的攻击。当S12500收到ARP报文时，会根据报文源MAC地址进行HASH计算，并且记录单位时间收到的ARP报文数目。当S12500检测到某些固定源MAC地址的ARP报文发送的速率超过预定速率，则认为该源MAC地址的主机在进行ARP攻击。如果用户启用ARP防攻击功能，则会打印提示信息并记录到日志信息中，并下发一条表项过滤此源MAC地址的报文，对该攻击源进行屏蔽。地址冲突检测和保护所谓地址冲突，是指网络设备下挂的主机或

44、者对接的其他网络设备的IP地址和该网络设备的接口IP地址冲突，网络设备如果无法检测到地址冲突，该网络设备下挂的其他主机的网关ARP表项有可能会被更新，导致下挂主机无法正常上网。H3C S12500支持地址冲突检测功能。当S12500收到ARP报文时，会判断该报文的源IP地址和本网段接口IP地址是否相同。如果发现地址相同，则S12500会立即发送一个地址冲突报文和免费ARP广播报文。地址冲突报文是通知对端主机或者设备，该地址已经被占用；免费ARP广播报文，是通知本网段内其他主机和网络设备，纠正本网段内其他主机或者网络设备的ARP表项，防止ARP表项指向错误的MAC地址。同时，S12500会上报地

45、址冲突的告警信息并同时记录日志，以便维护人员能够及时了解设备遭受的攻击。ARP端口限速当交换机中下挂的某个端口异常、存在大量ARP报文攻击时，有可能导致整个网络的ARP学习异常，从而导致整个网络下挂用户出现异常。H3C S12500产品支持ARP报文端口限速功能，能够针对每个物理端口配置ARP报文限速速率。ARP源MAC地址一致性检查ARP报文中的源MAC地址信息包括以太网源地址和发送端以太网地址，这两个地址都表示请求发起者的MAC地址，网络设备和主机根据发送端以太网地址学习ARP表项。在正常情况下，这两个MAC地址是一致的。而在攻击源构造的地址扫描攻击报文中，由于以太网源地址是网卡驱动程序产

46、生的，比较难以构造，通常攻击报文（病毒报文）的以太网源地址都是固定的，而发送端以太网地址是变化的， 网络中经常存在该类型的ARP报文攻击。H3C S12500产品能够自动检测ARP报文中的以太网源MAC地址和发送端以太网地址，对于经过交换机的ARP 报文（ 包括正常转发或者上送CPU 处理的ARP 报文），如果检测到报文中的以太网源MAC地址和发送端以太网MAC地址不一致， 则直接丢弃。S12500产品支持命令行控制是否启用ARP源MAC地址一致性检查功能，默认系统不启用该功能。在某些特殊应用场合，发送的 ARP 报文中的以太网源 MAC 地址和发送端以太网地址会不一致，此时需要关闭源 MAC

47、 地址一致性检查功能。ARP源抑制功能如果网络中有主机通过向设备发送大量目的IP不能解析的IP报文来攻击设备，则会造成下面的危害：设备向目的网段发送大量 ARP 请求报文，加重目的网段的负载。设备会不断解析目标 IP 地址，增加 CPU 的负担。为避免这种攻击所带来的危害，S12500设备提供ARP源抑制功能。开启该功能后，如果网络中某主机向设备某端口连续发送目标IP地址不能解析的IP报文（当每5秒内的ARP请求报文的流量超过设置的阈值），对于由此IP地址发出的IP报文， 设备不允许其触发ARP请求，直至5秒后再处理，从而避免了恶意攻击所造成的危害。ARP主动确认机制ARP的主动确认功能主要应

48、用于网关设备上，防止攻击者仿冒用户欺骗网关设备。H3C S12500产品支持ARP主动确认功能，在使能本功能之后，当收到的ARP报文中的源MAC地址和对应ARP表项中的不同时，设备首先判断ARP表项刷新时间是否超过1分钟，如果没有超过1分钟，则不更新ARP表项。否则向ARP表项对应的源发送一个单播ARP请求报文，如果在随后的5秒内收到ARP应答报文，则忽略之前收到的ARP攻击报文；如果没有收到ARP应答报文，则向之前收到的ARP报文对应的源发送一个单播ARP请求报文，如果在随后的5秒内收到了ARP应答报文， 则根据之前收到的ARP报文更新ARP表项，否则ARP表项不会被修改。ARP Detec

49、tion功能当设备作为二层接入设备时，正常情况下，用户发送的广播ARP请求将在VLAN内广播，ARP应答将进行二层转发。如果用户仿冒其他用户的IP地址，将会改写网关或者其他用户的ARP表项，导致被仿冒用户的报文错误的发送到发起攻击用户的主机上。用户可以通过配置ARP Detection功能解决上述问题：对于合法用户的ARP报文进行正常转发，否则丢弃。ARP Detection包含两个功能：用户合法性检查功能和ARP报文有效性检查功能。用户合法性检查用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在端口上的合法用户，包括基于DHCP Snooping安全表项的

50、检查、基于802.1x安全表项的检查和基于静态IP和MAC绑定表项的检查。用户可以任意选择使能哪些功能，各功能可以共存。如果使能多种功能，则设备先进行DHCP Snooping安全表项检查，然后进行802.1x检查，最后进行IP和MAC静态绑定表项检查。基于 DHCP Snooping 安全表项的检查主要针对仿冒用户的攻击。对于ARP非信任端口，打开DHCP Snooping安全表项检查模式且所属VLAN使能了ARP Detection功能，则从该端口上送的ARP报文需进行DHCP Snooping安全表项检查。如果查找到对应的表项，并且均与表项记录一致（IP地址，MAC地址，端口索引，VLA

51、N ID等），则检查通过；如果参数不一致或者没有查找到对应的表项，则认为是攻击报文，检查不通过。对于信任端口， 不进行DHCP Snooping安全表项检查。对于没有使能ARP Detection的VLAN，即使在ARP非信任端口上，也不进行DHCP Snooping安全表项检查。基于 802.1x 安全表项的检查主要针对仿冒用户的攻击。对于ARP非信任端口，打开802.1x安全表项检查模式且所属VLAN使能了ARP Detection功能，从该端口上送的ARP报文需进行802.1x安全表项检查。对于源IP地址源MAC地址端口索引VLAN ID都一致或源IP地址不存在但源MAC地址为OUI M

52、AC地址的情况，认为是合法报文检查通过；否则认为是攻击报文进行丢弃处理。基于静态 IP 和 MAC 绑定表项的检查主要针对仿冒网关的攻击。不论对于ARP非信任端口，还是信任端口，只要打开静态IP和MAC绑定表项检查模式且所属VLAN使能了ARP Detection功能后，从该端口上送的ARP报文需进行基于静态IP和MAC绑定表项检查。对于源IP存在绑定关系但是MAC地址不符的ARP报文，设备认为是非法报文进行丢弃处理；对于源IP 不存在绑定关系和源IP存在绑定关系且MAC地址相符的ARP报文，设备认为是合法报文，检查通过。ARP 报文有效性检查对于ARP信任端口，不进行报文有效性检查；对于AR

53、P非信任端口，需要根据配置对MAC地址和IP地址不合法的报文进行过滤。可以选择配置源MAC地址、目的MAC地址或IP地址检查模式。对于源 MAC 地址的检查模式，会检查 ARP 报文中的源 MAC 地址和以太网报文头中的源 MAC 地址是否一致，一致认为有效，否则丢弃；对于目的 MAC 地址的检查模式（只针对 ARP 应答报文），会检查 ARP 应答报文中的目的 MAC 地址是否为全 0 或者全 1，是否和以太网报文头中的目的 MAC 地址一致。全 0、全 1 和不一致的报文都是无效的，无效的报文需要被丢弃；对于 IP 地址检查模式，会检查 ARP 报文中的源 IP 和目的 IP 地址，全 0

54、、全1 或者组播 IP 地址都是不合法的，需要丢弃。对于 ARP 应答报文，源 IP 和目的 IP 地址都进行检查；对于 ARP 请求报文，只检查源 IP 地址。IP Source Guard技术根据对校园网和企业网的调查显示，当前网络安全面临的一个主要问题是ARP地址攻击问题，主要表现为仿冒网关攻击、仿冒其他用户攻击和ARP泛洪，其中针对网关和其他用户的地址欺骗攻击尤为明显和难以防范。H3C S12500支持IP Source Guard功能，可以对端口转发的报文进行过滤控制， 防止非法报文通过端口，提高端口的安全性。端口接收到报文后查找IP Source Guard绑定表项，如果报文中的特

55、征项与绑定表项中记录的特征项匹配，则端口转发该报文，否则做丢弃处理。IP Source Guard支持的报文特征项包括：源IP地址、源MAC地址和VLAN标签。并且，可支持端口与如下特征项的组合（下文简称绑定表项）：IP、MAC、IPMACIPVLAN、MACVLAN、IPMACVLANIP Source Guard支持两种触发绑定的机制：一种是通过手工配置方式提供绑定表项，称为静态绑定；另外一种由DHCP Snooping或者DHCP Relay提供绑定表项， 称为动态绑定。而且，绑定是针对端口的，一个端口被绑定后，仅该端口被限制， 其他端口不受该绑定影响。如下图所示，IP Source G

56、uard和DHCP Snooping联动，在接入设备实现IP+MAC+PORT的绑定，防止接入用户进行ARP地址欺骗和地址扫描等攻击。With IP source guard enabled, establish IP-MAC- port bindings based on the DHCP snooping entryWith DHCP snooping enabled, resolve packets exchanged between the DHCP server and client to obtain IP-MAC- port bindings of legal usersDHCP

57、 serverGateway图7 IP Source Guard在接入设备使用示意图DHCP 服务安全技术地址盗用防护能力所谓地址盗用，是指一个非法用户仿冒合法用户的IP地址，盗用合法用户的IP地址进行上网。网络设备会学习到错误的ARP表项，影响合法用户的正常上网。H3C S12500具有防范非法用户盗用地址上网的能力。用S12500做DHCP Relay设备，当客户端申请合法的IP地址时， S12500 会学习其IP地址和MAC地址，即DHCP Security表项；通过静态配置也可以添加DHCP Security表项。在S12500上开启Address Check功能，当交换机学习客户端A

58、RP表项时，会去检查其IP和MAC 地址对应关系是否合法。对于非法用户，交换机拒绝学习其ARP表项，从而不转发该客户端报文，使该客户端无法访问网络。DHCP-Snooping Option 82在传统的DHCP动态分配IP地址的方式中，同一VLAN的用户所拥有的权限是完全相同的，网络管理者不能对同一VLAN中特定的用户进行有效的控制。普通的DHCP中继代理（不支持Option82的）也不能够区分不同的客户端，从而无法结合DHCP动态分配IP地址的应用来控制客户端对网络资源的访问，给网络的安全控制提出了严峻的挑战。S12500的DHCP Snooping Option82功能使上述问题得到了有效

59、的解决。客户端经过S12500 中继到DHCP 服务器获得IP 时， Option82 功能可以在DHCP 报文的Option82域中添加特定信息（Circuit ID和Remote ID），这样就能够让服务器识别该客户端是在哪个DHCP中继设备之下的。据此就可以给不同DHCP中继设备下的客户端分配不同权限的IP和不同的网络配置，从而达到安全管理的目的。DHCP伪服务器检测如果网络中有私自架设的DHCP服务器，当客户端申请IP地址时，这台DHCP服务器就会与DHCP客户端进行交互，导致客户端获得错误的IP地址。这种私设的DHCP服务器称为伪DHCP服务器。S12500的DHCP Server

60、detect特性可以及时发现客户私设服务器。当S12500收到来自网络上其他设备的DHCP Server发出的DHCP报文时，会自动识别出私设的DHCP服务器，并打印告警信息提示管理员。DHCP伪服务器屏蔽在网络中如果有私自架设的DHCP服务器，则可能导致用户得到错误的IP地址。为了使用户能通过合法的DHCP服务器获取IP地址，DHCP Snooping将S12500的端口划分为信任端口和非信任端口，只有信任端口上的DHCP服务器可以给网络提供DHCP服务。对于非信任端口，上行的DHCP服务器报文将被拦截，使客户端不会通过非信任端口上的DHCP服务器获得IP，以保证客户端的IP都是从指定的信任