電信級IP技術(shù)的發(fā)展成熟使得話音、數(shù)據(jù)、視頻和移動等應(yīng)用的融合成為必然，統(tǒng)一通訊已成為發(fā)展的趨勢。以IP技術(shù)為核心進行網(wǎng)絡(luò)改造并承載多種新型業(yè)務(wù)以提升競爭力，是固網(wǎng)運營商的發(fā)展方向。而以太網(wǎng)技術(shù)由于標準化程度高、應(yīng)用廣泛、帶寬提供能力強、擴展性良好、技術(shù)成熟，設(shè)備性價比高，對IP的良好支持，成為城域網(wǎng)和接入網(wǎng)的發(fā)展趨勢。但是，由于以太網(wǎng)技術(shù)的開放性和其應(yīng)用廣泛，也帶來了一些安全上的問題。特別是當網(wǎng)絡(luò)由原有的單業(yè)務(wù)承載轉(zhuǎn)為多業(yè)務(wù)承載時，安全問題帶來的影響愈發(fā)明顯，已經(jīng)逐步影響到業(yè)務(wù)的開展和部署。

目前接入網(wǎng)常見的攻擊包括ARP“中間人“攻擊、IP/MAC欺騙攻擊、DHCP/ARP報文泛洪攻擊等。

網(wǎng)絡(luò)攻擊

ARP“中間人”攻擊

按照ARP協(xié)議的設(shè)計，一個主機即使收到的ARP應(yīng)答并非自身請求得到的，也會將其IP地址和MAC地址的對應(yīng)關(guān)系添加到自身的ARP映射表中。這樣可以減少網(wǎng)絡(luò)上過多的ARP數(shù)據(jù)通信，但也為“ARP欺騙”創(chuàng)造了條件。

如下圖示，Host A和Host C通過Switch進行通信。此時，如果有黑客(Host B)想探聽Host A和Host C之間的通信，它可以分別給這兩臺主機發(fā)送偽造的ARP應(yīng)答報文，使Host A和Host C用MAC_B更新自身ARP映射表中與對方IP地址相應(yīng)的表項。此后，Host A 和Host C之間看似“直接”的通信，實際上都是通過黑客所在的主機間接進行的，即Host B擔(dān)當了“中間人”的角色，可以對信息進行了竊取和篡改。這種攻擊方式就稱作“中間人(Man-In-The-Middle)攻擊”。

IP/MAC欺騙攻擊

常見的欺騙種類有MAC欺騙、IP欺騙、IP/MAC欺騙，黑客可以偽造報文的源地址進行攻擊，其目的一般為偽造身份或者獲取針對IP/MAC的特權(quán)，另外此方法也被應(yīng)用于DoS( Deny of Service，拒絕服務(wù))攻擊，嚴重的危害了網(wǎng)絡(luò)安全。

為了防止IP/MAC欺騙攻擊，H3C低端以太網(wǎng)交換機提供了IP過濾特性，開啟該功能后，交換機可以強制經(jīng)過某一端口流量的源地址符合動態(tài)獲取的DHCP Snooping表項或靜態(tài)配置的IP與MAC綁定表項的記錄，防止攻擊者通過偽造源地址來實施攻擊。此外，該功能也可以防止用戶隨便指定IP地址，造成的網(wǎng)絡(luò)地址沖突等現(xiàn)象。

DHCP報文泛洪攻擊

DHCP報文泛洪攻擊是指：惡意用戶利用工具偽造大量DHCP報文發(fā)送到服務(wù)器，一方面惡意耗盡了IP資源，使得合法用戶無法獲得IP資源;另一方面,如果交換機上開啟了DHCP Snooping功能，會將接收到的DHCP報文上送到CPU。因此大量的DHCP報文攻擊設(shè)備會使DHCP服務(wù)器高負荷運行，甚至?xí)?dǎo)致設(shè)備癱瘓。

ARP報文泛洪攻擊

ARP報文泛洪類似DHCP泛洪，同樣是惡意用戶發(fā)出大量的ARP報文，造成L3設(shè)備的ARP表項溢出，影響正常用戶的轉(zhuǎn)發(fā)。

安全防范

對于上述的幾種攻擊手段，H3C接入網(wǎng)解決方案在用戶接入側(cè)利用DHCP SNOOPING，提供相應(yīng)的防范手段。

DHCP Snooping表項的建立

開啟DHCP Snooping功能后，H3C接入交換機根據(jù)設(shè)備的不同特點可以分別采取監(jiān)聽DHCP-REQUEST廣播報文和DHCP-ACK單播報文的方法來記錄用戶獲取的IP地址等信息。目前，交換機的DHCP Snooping表項主要記錄的信息包括：分配給客戶端的IP地址、客戶端的MAC地址、VLAN信息、端口信息、租約信息。 #p#

ARP入侵檢測功能

ARP入侵檢測功能工作機制

為了防止ARP中間人攻擊，接入交換機支持將收到的ARP(請求與回應(yīng))報文重定向到CPU，結(jié)合DHCP Snooping安全特性來判斷ARP報文的合法性并進行處理，具體如下。

l 當ARP報文中的源IP地址及源MAC地址的綁定關(guān)系與DHCP Snooping表項或者手工配置的IP靜態(tài)綁定表項匹配，且ARP報文的入端口及其所屬VLAN與DHCP Snooping表項或者手工配置的IP靜態(tài)綁定表項一致，則為合法ARP報文，進行轉(zhuǎn)發(fā)處理。

l 當ARP報文中的源IP地址及源MAC地址的綁定關(guān)系與DHCP Snooping表項或者手工配置的IP靜態(tài)綁定表項不匹配，或ARP報文的入端口，入端口所屬VLAN與DHCP Snooping表項或者手工配置的IP靜態(tài)綁定表項不一致，則為非法ARP報文，直接丟棄，并通過Debug打印出丟棄信息提示用戶。

ARP入侵檢測功能示意圖

手工配置IP靜態(tài)綁定表項

DHCP Snooping表只記錄了通過DHCP方式動態(tài)獲取IP地址的客戶端信息，如果用戶手工配置了固定IP地址，其IP地址、MAC地址等信息將不會被DHCP Snooping表記錄，因此不能通過基于DHCP Snooping表項的ARP入侵檢測，導(dǎo)致用戶無法正常訪問外部網(wǎng)絡(luò)。

為了能夠讓這些擁有合法固定IP地址的用戶訪問網(wǎng)絡(luò)，交換機支持手工配置IP靜態(tài)綁定表的表項，即：用戶的IP地址、MAC地址及連接該用戶的端口之間的綁定關(guān)系。以便正常處理該用戶的報文。

ARP信任端口設(shè)置

由于實際組網(wǎng)中，交換機的上行口會接收其他設(shè)備的請求和應(yīng)答的ARP報文，這些ARP報文的源IP地址和源MAC地址并沒有在DHCP Snooping表項或者靜態(tài)綁定表中。為了解決上行端口接收的ARP請求和應(yīng)答報文能夠通過ARP入侵檢測問題，交換機支持通過配置ARP信任端口，靈活控制ARP報文檢測功能。對于來自信任端口的所有ARP報文不進行檢測，對其它端口的ARP報文通過查看DHCP Snooping表或手工配置的IP靜態(tài)綁定表進行檢測。 #p#

IP過濾功能

IP過濾功能是指交換機可以通過DHCP Snooping表項和手工配置的IP靜態(tài)綁定表，對非法IP報文進行過濾的功能。

在端口上開啟該功能后，交換機首先下發(fā)ACL規(guī)則，丟棄除DHCP報文以外的所有IP報文。(同時，需要考慮DHCP Snooping信任端口功能是否啟動。如果沒有啟動，則丟棄DHCP應(yīng)答報文，否則，允許DHCP應(yīng)答報文通過。)接著，下發(fā)ACL規(guī)則，允許源IP地址為DHCP Snooping表項或已經(jīng)配置的IP靜態(tài)綁定表項中的IP地址的報文通過。

交換機對IP報文有兩種過濾方式：

根據(jù)報文中的源IP地址進行過濾。如果報文的源IP地址、接收報文的交換機端口號與DHCP Snooping動態(tài)表項或手工配置的IP靜態(tài)綁定表項一致，則認為該報文是合法的報文，允許其通過;否則認為是非法報文，直接丟棄。

根據(jù)報文中的源IP地址和源MAC地址進行過濾。如果報文的源IP地址、源MAC地址、接收報文的交換機端口號，與DHCP Snooping動態(tài)表項或手工配置的IP靜態(tài)綁定表項一致，則認為該報文是合法的報文，允許其通過;否則認為是非法報文，直接丟棄。

DHCP/ARP報文限速功能

為了防止DHCP報文泛洪攻擊，接入交換機支持配置端口上對DHCP/ARP報文的限速功能。開啟該功能后，交換機對每秒內(nèi)該端口接收的DHCP/ARP報文數(shù)量進行統(tǒng)計，如果每秒收到的報文數(shù)量超過設(shè)定值，則認為該端口處于超速狀態(tài)(即受到攻擊)。此時，交換機將關(guān)閉該端口，使其不再接收任何報文，從而避免設(shè)備受到大量報文攻擊而癱瘓。

同時，設(shè)備支持配置端口狀態(tài)自動恢復(fù)功能，對于配置了報文限速功能的端口，在其因超速而被交換機關(guān)閉后，經(jīng)過一段時間可以自動恢復(fù)為開啟狀態(tài)。

用戶隔離

運營商網(wǎng)絡(luò)中，通過用戶隔離技術(shù)可以有效的防范用戶間的相互影響，同樣也可以避免ARP“中間人”攻擊、偽DHCP服務(wù)器攻擊等。

通過上述幾種技術(shù)的配套使用，可以有效的降低在接入網(wǎng)中常見的安全隱患，保障運營商業(yè)務(wù)的正常運行。

【編輯推薦】

1. 關(guān)于IPTV接入網(wǎng)解決方案的研究應(yīng)用
2. Catalyst 4000系列接入網(wǎng)關(guān)模塊