h12-731认证精英hcie security v1.5培训与实验手册hcsce二层攻击防范技术

二层攻击防范技术在企业网络中有多种基于二层的攻击手段，防火墙针对这些二层攻击手段都有其相应的防御手段。在本课程中，介绍一些常见的二层攻击及防范方法。学完本课程后，您将能够:了解DHCPSnooping技术了解ARPSpoofing攻击及其防御原理了解IPSG技术了解DAI技术了解端口安全技术DHCPSnoopingARPSpoofingIPSGDAI端口安全DHCPSnooping概述DHCPSnooping功能用于防止：DHCPServer仿冒者攻击；中间人攻击与IP/MACSpoofing攻击；改变CHADDR值的攻击；Option82。IP地址MAC地址地址租约绑定类型VLANID12345接口信息6主要目的DHCPDoSDHCP仿冒中间人攻击SpoofingDHCPServer仿冒者攻击DHCP服务器伪造DHCP服务器DHCPRequest╳DHCPACK123123不信任接口信任接口√DHCPACK√DHCPdiscovery(broadcast)DHCPoffer(unicastfromthepseudoserver)DHCPrequest(broadcast)DHCPack(unicastfromthepseudoserver)配置防止DHCPServer仿冒者攻击DHCPServer仿冒者可通过二层或三层口进行攻击，配置时需要区分二层和三层的不同场景。在系统视图下执行dhcpsnoopingenable，使能DHCPSnooping功能。在接口（三层）或VLAN（二层）视图下，执行命令dhcpsnoopingenable

interface

interface-typeinterface-number，使能接口/VLAN下的DHCPSnooping功能。dhcpsnoopingtrusted

interface

interface-typeinterface-number，配置连接DHCPServer的VLAN或接口为“信任”状态。中间人与IP/MACSpoofing攻击动态IP与MAC绑定表静态IP与MAC绑定表IP与MAC绑定表I’mreally10.1.0.2我是服务器10.0.0.1IP:10.0.0.1IP:10.1.0.2我是客户端10.1.0.2I’mreally10.0.0.1配置防止中间人与IP/MACSpoofing攻击执行命令dhcpsnoopingcheck{arp|ip|dhcp-chaddr|dhcp-request}enable[interface

interface-typeinterface-number]，配置VLAN的报文检查。执行命令dhcpsnoopingbind-tablestatic

ip-address

ip-address

mac-address

mac-address[interface

interface-typeinterface-number]，配置IP与MAC绑定表的静态表项。注意事项：对于动态分配给用户的IP地址，设备会自动学习用户的MAC地址并建立绑定关系表，此时不需要配置绑定表。对于静态分配给用户的IP地址，设备不会自动学习用户的MAC地址，也不能建立绑定关系表，所以需要手动建立绑定关系表。改变CHADDR值的DoS攻击CHADDR：ClientHardwareAddress。攻击者改变的不是数据帧头部的源MAC地址，而是改变DHCP报文中的CHADDR。检查DHCPRequest报文中CHADDR字段。L2NetworkFWDHCPRelayServerDHCPClientAttackerL3Network配置防止改变CHADDR值的DoS攻击二层接口场景下，VLAN视图下：执行命令dhcpsnoopingenable

interface

interface-typeinterface-number，使能VLAN或的DHCPSnooping功能。执行命令dhcpsnoopingcheck

dhcp-chaddr

enable

interface

interface-typeinterface-number，配置VLAN报文的CHADDR检查。三层接口场景，在接口视图下：执行命令dhcpsnoopingcheck

dhcp-chaddr

enable，配置对报文的CHADDR的检查功能。Option82（仿冒DHCP续租报文攻击）应用场景：当网络中存在攻击者时，攻击者通过不断发送DHCPRequest报文来冒充用户续租IP。防范原理：可以在设备上配置DHCPSnooping功能，检查DHCPRequest报文和使用DHCPSnooping绑定功能。L2NetworkFWDHCPRelayServerDHCPClientAttackerL3NetworkUntrustTrustOption82报文格式Option82是DHCP报文的一个特殊字段，供DHCPRelay设置，用来标识DHCPRequest报文的发送路径。82Ni1i2i3i4i5…iNCodeLengthAgentInformationField1Na1a2a3a4a5…aN2Nb1b2b3b4b5…bN9Nc1c2c3c4c5…cNSubOptLengthSub-OptionValue图1图2配置防止仿冒DHCP续租报文攻击配置防止仿冒DHCP续租报文攻击，需要首先完成VLAN/接口下DHCPSnooping使能项、接口下dhcp-request报文检查、以及IP与MAC地址静态绑定的相关配置，在此不作赘述。二层接口场景下，VLAN视图下，分为以下两种情况：执行命令dhcpoption82insertenableinterface

interface-typeinterface-number，使能Option82功能。执行命令dhcpoption82rebuildenableinterface

interface-typeinterface-number，使能强制插入Option82功能。三层接口场景，在接口视图下，分为以下两种情况：执行命令dhcpoption82insertenable，使能Option82功能。执行命令dhcpoption82rebuildenable，使能强制插入Option82功能。项目数据（1）接口：GigabitEthernet1/0/0IP地址：10.1.1.254/24（2）接口：GigabitEthernet1/0/1IP地址：100.1.1.1/24DHCP服务器地址100.1.1.2/24USGDHCPReplayFWDHCPRelayServerDHCPClient1DHCPClient2IP10.1.1.1/24Mac:00e0-fc5e-008aL3NetworkTrustedSwitchUntrusted（1）（2）DHCPSnooping配置举例DHCPSnooping配置步骤（1）配置DHCPRelay的基本功能：配置接口GigabitEthernet0/0/1接口地址：配置DHCP中继功能接口：<USG>system-view[USG]sysnameDHCP-Relay[DHCP-Relay]interfaceGigabitEthernet1/0/1[DHCP-Relay-GigabitEthernet1/0/1]ipaddress100.1.1.124[DHCP-Relay]interfaceGigabitEthernet1/0/0[DHCP-Relay-GigabitEthernet1/0/0]ipaddress10.1.1.25424[DHCP-Relay-GigabitEthernet1/0/0]dhcpselectrelay[DHCP-Relay-GigabitEthernet1/0/0]iprelayaddress100.1.1.2DHCPSnooping配置步骤（2）开启DHCPSnooping功能，配置Trusted接口：启用全局和接口的DHCPSnooping功能：配置DHCPServer侧接口配置为“Trusted”：[DHCP-Relay]dhcpsnoopingenable[DHCP-Relay]interfaceGigabitEthernet1/0/0[DHCP-Relay-GigabitEthernet0/0/0]dhcpsnoopingenable[DHCP-Relay]interfaceGigabitEthernet1/0/1[DHCP-Relay-GigabitEthernet1/0/1]dhcpsnoopingenable[DHCP-Relay-GigabitEthernet1/0/1]dhcpsnoopingtrustedDHCPSnooping配置步骤（3）配置对特定报文的检查和DHCPSnooping绑定表：[DHCP-Relay]interfaceGigabitEthernet1/0/0[DHCP-Relay-GigabitEthernet1/0/0]dhcpsnoopingcheckarpenable[DHCP-Relay-GigabitEthernet1/0/0]dhcpsnoopingcheckipenable[DHCP-Relay-GigabitEthernet1/0/0]dhcpsnoopingcheckdhcp-requestenable[DHCP-Relay-GigabitEthernet1/0/0]dhcpsnoopingcheckdhcp-chaddrenable[DHCP-Relay-GigabitEthernet1/0/0]dhcpsnoopingbind-tablestaticip-address10.1.1.1mac-address00e0-fc5e-008aDHCPSnooping配置步骤（4）配置DHCP上送速率限制和配置Option82：显示DHCPSnooping绑定表的静态表项信息：[DHCP-Relay]dhcpsnoopingcheckdhcp-rate90[DHCP-Relay]dhcpsnoopingcheckdhcp-rateenable[DHCP-Relay]interfaceGigabitEthernet1/0/0[DHCP-Relay-GigabitEthernet0/0/0]dhcpoption82insertenable<sysname>displaydhcpsnoopingbind-tablestaticbind-table:ifnamevrfvsip/cvlanmac-addressip-addresstpleaseVlanif10000-0000/00000011-0022-00341.2.3.0S0DHCPSnoopingARPSpoofingIPSGDAI端口安全ARPSpoofing原理IP地址MAC地址Type10.1.1.3C-C-CDynamicIP地址MAC地址Type10.1.1.3D-D-DDynamicUserA的ARP表项InternetUserAUserBAttackerIP:10.1.1.1MAC:A-A-AIP:10.1.1.2MAC:B-B-BIP:10.1.1.3MAC:C-C-C攻击者回应欺骗报文在系统视图下，执行命令firewalldefendarp-spoofingenable，开启ARP欺骗攻击防范功能。DHCPSnoopingARPSpoofingIPSGDAI端口安全IPSG背景随着网络规模越来越大，基于源IP的攻击也逐渐增多，一些攻击者利用欺骗的手段获取到网络资源，取得合法使用网络的能力，甚至造成被欺骗者无法访问网络，或者信息泄露，造成不可估量的损失。IPSourceGuard是指设备在作为二层设备使用时，利用绑定表来防御IP源欺骗的攻击。当设备在转发IP报文时，将此IP报文中的源IP、源MAC、端口、VLAN信息和绑定表的信息进行比较，如果信息匹配，说明是合法用户，则允许此用户正常转发，否则认为是攻击者，丢弃该用户发送的IP报文。IP/MAC欺骗攻击典型场景IP:1.1.1.2/24MAC:2-2-2IP:1.1.1.3/24MAC:3-3-3IP:1.1.1.1/24MAC:1-1-1IP:1.1.1.3/24MAC:3-3-3AttackerDHCPClientDHCPServer收到一个用户的IP和MAC，我要刷新MAC信息到我的端口下SwitchIPSG防御原理IP:1.1.1.2/24MAC:2-2-2IP:1.1.1.3/24MAC:3-3-3IP:1.1.1.1/24MAC:1-1-1IP:1.1.1.3/24MAC:3-3-3AttackerDHCPClientDHCPServer在接口或VLAN上配置了IPSGSwitchIP地址包括IPv4地址和IPv6地址，即使能IPSG功能后，设备将对用户IP报文的源IPv4地址和源IPv6地址都进行检查。IPSG功能只对IP类型的报文有效。对其他类型的报文，如PPPoE（Point-to-PointProtocoloverEthernet）报文无法生效。IPSG配置举例HostAIP:10.0.0.1/24MAC:1-1-1HostB(Attacker)IP:10.0.0.2/24MAC:2-2-2SwitchServerGE1/0/1GE1/0/2组网需求：HostA与HostB分别与Switch的GE1/0/1和GE1/0/2接口相连。要求使HostB不能仿冒HostA的IP和MAC欺骗Server，保证HostA的IP报文能正常上送。IPSG配置举例配置IP报文检查功能：配置HostA为静态绑定表项：interfacegigabitethernet1/0/1ipsourcecheckuser-bindenableipsourcecheckuser-bindalarmenableipsourcecheckuser-bindalarmthreshold200interfacegigabitethernet1/0/2ipsourcecheckuser-bindenableipsourcecheckuser-bindalarmenableipsourcecheckuser-bindalarmthreshold200user-bindstaticip-address10.0.0.1mac-address0001-0001-0001interfacegigabitethernet1/0/1IPSG配置举例-验证配置结果在Switch上执行displaydhcpstaticuser-bindall命令可以查看绑定表信息：从显示信息可知，HostA已经配置为静态绑定表项。[Switch]displaydhcpstaticuser-bindall

DHCPstaticBind-table:Flags:O-outervlan,I-innervlan,P-Vlan-mappingIPAddressMACAddressVSI/VLAN(O/I/P)Interface---------------------------------------------------------------------------------------------10.0.0.10001-0001-0001--/--/--GE1/0/1--------------------------------------------------------------------------------------------Printcount:1Totalcount:1DHCPSnoopingARPSpoofingIPSGDAI端口安全ARP中间人攻击

InternetRouterUserAUserBAttackerIP:10.1.1.1MAC:1-1-1IP:10.1.1.2MAC:2-2-2IP:10.1.1.3MAC:3-3-3Attacker向UserA发送伪造UserB的ARP报文Attacker向UserB发送伪造UserA的ARP报文IP地址MAC地址Type10.1.1.33-3-3DynamicIP地址MAC地址Type10.1.1.32-2-2DynamicIP地址MAC地址Type10.1.1.11-1-1DynamicIP地址MAC地址Type10.1.1.12-2-2DynamicUserA的ARP表项ARP表项更新为UserB的ARP表项ARP表项更新为动态ARP检测DAI（DynamicARPInspection）daienable命令用于使能动态ARP检测功能。InternetRouterUserAUserBAttackerIP:10.1.1.1MAC:1-1-1IP:10.1.1.2MAC:2-2-2IP:10.1.1.3MAC:3-3-3EnableDAI查找DHCP

Snooping

绑定表DHCPSnoopingARPSpoofingIPSGDAI端口安全端口安全端口安全（Port