在网络实际环境中,攻击和欺骗行为主要针对链路层和网络层,其来源可概括为两个途径:人为实施;病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探,获取管理帐户和相关密码,在网络上中安插木马,从而进行进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安静,但对于信息安全要求高的企业危害是极大的。而来自木马或者病毒及蠕虫的攻击和往往会偏离攻击和欺骗本身的目的,现象有时非常直接,会带来网络流量加大、设备 CPU 利用率过高、二层生成树环路直至网络瘫痪。
目前这类攻击和欺骗工具已经非常成熟和易用,而目前很多单位在部署这方面的防范还存在很多不足,有很多工作要做。博达针对这类攻击已有较为成熟的解决方案,主要基于下面的几个关键的技术:
u Switchport Port Security Feature
u DHCP Snooping功能
u 动态ARP Inspection(DAI)
u 源IP检测防护功能(IP Source Guard)
u 防ARP欺骗攻击、防DHCP欺骗攻击、防IGMP攻击(filter arp,filter dhcp,filter igmp)
u 访问列表控制技术〔MAC ACL、IP(TCP/UDP)ACL〕
u 组播、广播风暴抑制(Storm-control)
在MAC/CAM攻击的原理和危害方面:交换机主动学习客户端的 MAC 地址,并建立和维护端口和 MAC 地址的对应表以此建立交换路径,这个表就是通常我们所说的 CAM 表。CAM 表的大小是固定的,不同的交换机的CAM 表大小不同。MAC/CAM 攻击是指利用工具产生欺骗 MAC,快速填满CAM 表,交换机CAM 表被填满后,交换机以广播方式处理通过交换机的报文,这时攻击者可以利用各种嗅探攻击获取网络信息。CAM 表满了后,流量以洪泛方式发送到所有接口,也就代表TRUNK 接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包甚至瘫痪。
博达交换机Port Security feature 可以防止MAC和MAC/CAM攻击。通过配置Port Security可以控制:
端口上学习或通过哪些IP地址或MAC 地址 ;端口上学习或通过哪些 MAC 地址,可以通过静态手工定义,也可以在交换机自动学习。交换机动态学习端口 MAC ,直到指定的 MAC 地址数量,交换机关机后重新学习。
Port-Security配置
Bind:绑定,允许;
Block:阻塞,禁止。
Switch_config_f0/1#switchport port-security ?
bind -- Config ip address binding with mac address on current port
block -- Block ip with mac address on current port
(1) 端口bind绑定功能
(源IP、源MAC、源IP-MAC、关于某个IP地址的ARP Response)
Switch_config_f0/1#switchport port-security bind ?
ip -- Config the function for ip packet
mac -- Config mac address
arp -- Config the function for arp packet
both-arp-ip -- Config the ip address for both arp-ip packet
(2)端口block功能
可以block(即阻塞过滤)某个源IP地址,某个源MAC地址,关于某个IP地址的ARP Response报文,某个源IP地址和关于某个IP地址的ARP Response报文的组合。
Switch_config_f0/1#switchport port-security block ?
ip -- Config the function for ip packet
mac -- Config mac address
arp -- Config the function for arp packet
