1、前言
隨著互聯(lián)網(wǎng)的不斷發(fā)展,TCP/IP協(xié)議簇成為使用最廣泛的網(wǎng)絡(luò)互連協(xié)議�����。但由于協(xié)議設(shè)計之初主要應(yīng)用于研究環(huán)境���,針對少量���、可信的用戶群體�,網(wǎng)絡(luò)安全問題不是主要的考慮因素,對安全考慮得不夠,導致協(xié)議存在著一些安全風險問題。從本篇開始���,帶領(lǐng)大家一同了解下常見的網(wǎng)絡(luò)攻擊方式和防御手段。
2、MAC地址泛洪
2.1 攻擊原理
交換機收到數(shù)據(jù)幀后會基于源MAC地址進行學習��,形成MAC地址表后便可基于目的MAC查表轉(zhuǎn)發(fā);如果可以查到則單播轉(zhuǎn)發(fā)��,如果查不到則在VLAN內(nèi)泛洪轉(zhuǎn)發(fā)�?�;诖?��,攻擊者向局域網(wǎng)內(nèi)發(fā)生大量偽造MAC地址的數(shù)據(jù)幀��,試圖占滿交換機的MAC地址轉(zhuǎn)發(fā)表。由于表項都具有一定的空間限制,當MAC地址表被占滿后�,就無法學習到新的MAC地址���。
2.2 防御原理
基于端口或者基于VLAN來限制MAC地址學習數(shù)量��,可有效防止MAC地址表項被占滿。當MAC地址數(shù)量達到上限時可根據(jù)需要采取不學習且丟棄、不學習但轉(zhuǎn)發(fā)等不同策略�。
3�、MAC地址欺騙
3.1 攻擊原理
相比MAC地址泛洪攻擊���,MAC地址欺騙攻擊則顯得更加隱蔽��。MAC地址欺騙攻擊不會發(fā)送大量數(shù)據(jù)幀�����,而是發(fā)送含有幾個特定源MAC地址(正常用戶的MAC地址)的數(shù)據(jù)幀,誤導交換機認為自己是網(wǎng)絡(luò)中的另一臺主機,從而將本該發(fā)送給正常用戶的數(shù)據(jù)幀發(fā)給了攻擊者��。
3.2 防御原理
基于源MAC地址學習時增加優(yōu)先級選項��,對于不同接口學習到相同MAC地址時�����,高優(yōu)先級接口的MAC地址表項可以覆蓋低優(yōu)先級接口的MAC地址表項?��;诖耍蓪⑦B接正常用戶接口的優(yōu)先級配置為最高優(yōu)先級����,以此防范MAC地址欺騙攻擊����。
4���、IP地址冒用
4.1 攻擊原理
IP地址冒用是指攻擊者使用自己的MAC地址�,但是冒用他人的IP地址進行通信����,以獲取被攻擊者的權(quán)限或者本應(yīng)發(fā)送給被攻擊者的報文。
4.2 攻擊示例
如圖1所示�����,展示了一個IP地址冒用攻擊示例����。
圖1 IP地址冒用攻擊示例
4.3 防御原理
建立一個地址綁定表用于記錄IP地址和MAC地址的對應(yīng)關(guān)系;
收到IP報文后,提取報文頭中的源IP地址查找綁定表中對應(yīng)的MAC地址��,并且與幀頭部包含的實際源MAC地址進行比較;
如果兩者不一致���,則認為該報文是非法報文�����,并將其丟棄;
對于源IP地址不在地址綁定表中的報文��,會直接通過IP-MAC綁定檢查。
5��、ARP欺騙
5.1 攻擊原理
ARP欺騙是指攻擊者冒用他人的MAC地址發(fā)送ARP報文�����,同樣可以獲取到本應(yīng)發(fā)送給被攻擊者的報文;或者冒用網(wǎng)關(guān)的MAC地址��,使網(wǎng)絡(luò)內(nèi)所有主機都將報文發(fā)給自己����。
5.2 攻擊示例
如圖2所示,展示了一個ARP欺騙攻擊示例。
5.3 防御原理
同“3.3 防御原理”。
6���、URPF
6.1 攻擊原理
基于源IP地址欺騙發(fā)起網(wǎng)絡(luò)攻擊���。
6.2 攻擊示例
如圖3所示����,展示了一個基于源IP地址欺騙攻擊示例���,非法用戶發(fā)起的這種偽造報文對服務(wù)器以及合法用戶都造成了攻擊��。
6.3 防御原理
URPF(Unicast Reverse Path Forwarding)即單播逆向路徑轉(zhuǎn)發(fā)���,其主要功能是防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為����。
一般情況下��,路由設(shè)備接收到報文��,獲取報文的目的IP地址,針對目的IP地址查找路由表����,如果找到了就轉(zhuǎn)發(fā)報文��,否則丟棄該報文。而URPF對此流程進行了完善��,對于嚴格模式:
獲取報文的源IP地址和入接口信息�,在路由表中查找源IP地址對應(yīng)的接口是否與入接口匹配;
如果匹配���,則認為源IP地址是真實的�����,繼續(xù)轉(zhuǎn)發(fā)該報文;
如果不匹配����,則認為源IP地址是虛假的�����,直接丟棄該報文��。
對于松散模式:
獲取報文的源IP地址和入接口信息,在路由表中查找源IP地址是否存在路由表項;
如果存在,則認為源IP地址是真實的���,繼續(xù)轉(zhuǎn)發(fā)該報文;
如果不存在,則認為源IP地址是虛假的����,直接丟棄該報文�。
通過這種方式����,URPF能夠有效地防范網(wǎng)絡(luò)中通過修改報文源IP地址而進行惡意攻擊行為。
7、結(jié)語
網(wǎng)絡(luò)安全是一片沒有硝煙的戰(zhàn)場,攻防博弈�,此消彼長�����。知己知彼者,百戰(zhàn)不怠,要想成功防御攻擊必須先清楚攻擊原理。本期內(nèi)容就到這里���,更多攻防技術(shù)下期見!
