浙江省气象信息网络中心 骆阳
在网络实际环境中, 攻击和欺骗行为主要针对链路层和网络层 ,其来源可概括为两个途径:人为实施;病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探,获取管理帐户和相关密码,在网络上中安插木马,从而进行进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安静,但对于信息安全要求高的企业危害是极大的。而来自木马或者病毒及蠕虫的攻击和往往会偏离攻击和欺骗本身的目的,现象有时非常直接,会带来网络流量加大、设备 CPU 利用率过高、二层生成树环路直至网络瘫痪。
目前这类攻击和欺骗工具已经非常成熟和易用,而目前很多单位在部署这方面的防范还存在很多不足,有很多工作要做。博达针对这类攻击已有较为成熟的解决方案,主要基于下面的几个关键的技术:
u
Switchport Port Security Feature
u
DHCP Snooping 功能
u
动态 ARP Inspection ( DAI )
u
源 IP 检测防护功能( IP Source Guard )
u
防 ARP 欺骗攻击、防 DHCP 欺骗攻击、防 IGMP 攻击( filter arp , filter dhcp , filter
igmp )
u
访问列表控制技术〔 MAC ACL 、 IP ( TCP/UDP ) ACL 〕
u
组播、广播风暴抑制( Storm-control )
在 MAC/CAM 攻击的原理和危害方面: 交换机主动学习客户端的 MAC 地址,并建立和维护端口和 MAC 地址的对应表以此建立交换路径,这个表就是通常我们所说的 CAM 表。 CAM 表的大小是固定的,不同的交换机的 CAM 表大小不同。 MAC/CAM 攻击是指利用工具产生欺骗 MAC ,快速填满 CAM
表,交换机 CAM 表被填满后,交换机以广播方式处理通过交换机的报文,这时攻击者可以利用各种嗅探攻击获取网络信息。 CAM 表满了后,流量以洪泛方式发送到所有接口,也就代表 TRUNK 接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包甚至瘫痪。
博达交换机 Port
Security feature 可以防止 MAC 和 MAC/CAM 攻击。通过配置 Port Security 可以控制:
端口上学习或通过哪些 IP 地址或 MAC 地址 ;端口上学习或通过哪些 MAC 地址,可以通过静态手工定义,也可以在交换机自动学习。交换机动态学习端口 MAC ,直到指定的 MAC 地址数量,交换机关机后重新学习。
Port-Security 配置
Bind :绑定,允许;
Block :阻塞,禁止。
Switch_config_f0/1#switchport port-security ?
bind -- Config ip address binding with mac address on
current port
block -- Block ip with mac address on current port
(1)
端口 bind 绑定功能
(源 IP 、源 MAC 、源 IP-MAC 、关于某个 IP 地址的 ARP Response )
Switch_config_f0/1#switchport port-security bind ?
ip --
Config the function for ip packet
mac --
Config mac address
arp --
Config the function for arp packet
both-arp-ip -- Config the ip address for both arp-ip packet
( 2 )端口 block 功能
可以 block (即阻塞过滤)某个源 IP 地址,某个源 MAC 地址,关于某个 IP 地址的 ARP Response 报文,某个源 IP 地址和关于某个 IP 地址的 ARP
Response 报文的组合。
Switch_config_f0/1#switchport port-security block ?
ip --
Config the function for ip packet
mac --
Config mac address
arp --
Config the function for arp packet
2007年08月08日 于上海 版权作品 未经许可 请勿转载
