1、前言
隨著互聯(lián)網(wǎng)的不斷發(fā)展����,TCP/IP協(xié)議簇成為使用最廣泛的網(wǎng)絡(luò)互連協(xié)議。但由于協(xié)議設(shè)計(jì)之初主要應(yīng)用于研究環(huán)境��,針對(duì)少量�、可信的用戶群體,網(wǎng)絡(luò)安全問題不是主要的考慮因素����,對(duì)安全考慮得不夠,導(dǎo)致協(xié)議存在著一些安全風(fēng)險(xiǎn)問題�。從本篇開始,帶領(lǐng)大家一同了解下常見的網(wǎng)絡(luò)攻擊方式和防御手段���。
2���、MAC地址泛洪
2.1 攻擊原理
交換機(jī)收到數(shù)據(jù)幀后會(huì)基于源MAC地址進(jìn)行學(xué)習(xí),形成MAC地址表后便可基于目的MAC查表轉(zhuǎn)發(fā);如果可以查到則單播轉(zhuǎn)發(fā)��,如果查不到則在VLAN內(nèi)泛洪轉(zhuǎn)發(fā)?��;诖?���,攻擊者向局域網(wǎng)內(nèi)發(fā)生大量偽造MAC地址的數(shù)據(jù)幀���,試圖占滿交換機(jī)的MAC地址轉(zhuǎn)發(fā)表����。由于表項(xiàng)都具有一定的空間限制�,當(dāng)MAC地址表被占滿后,就無法學(xué)習(xí)到新的MAC地址���。
2.2 防御原理
基于端口或者基于VLAN來限制MAC地址學(xué)習(xí)數(shù)量��,可有效防止MAC地址表項(xiàng)被占滿���。當(dāng)MAC地址數(shù)量達(dá)到上限時(shí)可根據(jù)需要采取不學(xué)習(xí)且丟棄、不學(xué)習(xí)但轉(zhuǎn)發(fā)等不同策略��。
3�、MAC地址欺騙
3.1 攻擊原理
相比MAC地址泛洪攻擊�,MAC地址欺騙攻擊則顯得更加隱蔽���。MAC地址欺騙攻擊不會(huì)發(fā)送大量數(shù)據(jù)幀,而是發(fā)送含有幾個(gè)特定源MAC地址(正常用戶的MAC地址)的數(shù)據(jù)幀���,誤導(dǎo)交換機(jī)認(rèn)為自己是網(wǎng)絡(luò)中的另一臺(tái)主機(jī)�����,從而將本該發(fā)送給正常用戶的數(shù)據(jù)幀發(fā)給了攻擊者����。
3.2 防御原理
基于源MAC地址學(xué)習(xí)時(shí)增加優(yōu)先級(jí)選項(xiàng)��,對(duì)于不同接口學(xué)習(xí)到相同MAC地址時(shí)���,高優(yōu)先級(jí)接口的MAC地址表項(xiàng)可以覆蓋低優(yōu)先級(jí)接口的MAC地址表項(xiàng)�����?�;诖?���,可將連接正常用戶接口的優(yōu)先級(jí)配置為最高優(yōu)先級(jí),以此防范MAC地址欺騙攻擊����。
4、IP地址冒用
4.1 攻擊原理
IP地址冒用是指攻擊者使用自己的MAC地址����,但是冒用他人的IP地址進(jìn)行通信,以獲取被攻擊者的權(quán)限或者本應(yīng)發(fā)送給被攻擊者的報(bào)文�。
4.2 攻擊示例
如圖1所示,展示了一個(gè)IP地址冒用攻擊示例��。
圖1 IP地址冒用攻擊示例
4.3 防御原理
建立一個(gè)地址綁定表用于記錄IP地址和MAC地址的對(duì)應(yīng)關(guān)系;
收到IP報(bào)文后�����,提取報(bào)文頭中的源IP地址查找綁定表中對(duì)應(yīng)的MAC地址�,并且與幀頭部包含的實(shí)際源MAC地址進(jìn)行比較;
如果兩者不一致,則認(rèn)為該報(bào)文是非法報(bào)文���,并將其丟棄;
對(duì)于源IP地址不在地址綁定表中的報(bào)文��,會(huì)直接通過IP-MAC綁定檢查��。
5�����、ARP欺騙
5.1 攻擊原理
ARP欺騙是指攻擊者冒用他人的MAC地址發(fā)送ARP報(bào)文����,同樣可以獲取到本應(yīng)發(fā)送給被攻擊者的報(bào)文;或者冒用網(wǎng)關(guān)的MAC地址���,使網(wǎng)絡(luò)內(nèi)所有主機(jī)都將報(bào)文發(fā)給自己��。
5.2 攻擊示例
如圖2所示�,展示了一個(gè)ARP欺騙攻擊示例��。
5.3 防御原理
同“3.3 防御原理”����。
6、URPF
6.1 攻擊原理
基于源IP地址欺騙發(fā)起網(wǎng)絡(luò)攻擊����。
6.2 攻擊示例
如圖3所示,展示了一個(gè)基于源IP地址欺騙攻擊示例���,非法用戶發(fā)起的這種偽造報(bào)文對(duì)服務(wù)器以及合法用戶都造成了攻擊����。
6.3 防御原理
URPF(Unicast Reverse Path Forwarding)即單播逆向路徑轉(zhuǎn)發(fā),其主要功能是防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為��。
一般情況下�,路由設(shè)備接收到報(bào)文,獲取報(bào)文的目的IP地址����,針對(duì)目的IP地址查找路由表,如果找到了就轉(zhuǎn)發(fā)報(bào)文�����,否則丟棄該報(bào)文����。而URPF對(duì)此流程進(jìn)行了完善,對(duì)于嚴(yán)格模式:
獲取報(bào)文的源IP地址和入接口信息��,在路由表中查找源IP地址對(duì)應(yīng)的接口是否與入接口匹配;
如果匹配���,則認(rèn)為源IP地址是真實(shí)的����,繼續(xù)轉(zhuǎn)發(fā)該報(bào)文;
如果不匹配,則認(rèn)為源IP地址是虛假的�����,直接丟棄該報(bào)文�。
對(duì)于松散模式:
獲取報(bào)文的源IP地址和入接口信息,在路由表中查找源IP地址是否存在路由表項(xiàng);
如果存在�����,則認(rèn)為源IP地址是真實(shí)的���,繼續(xù)轉(zhuǎn)發(fā)該報(bào)文;
如果不存在,則認(rèn)為源IP地址是虛假的�����,直接丟棄該報(bào)文��。
通過這種方式�����,URPF能夠有效地防范網(wǎng)絡(luò)中通過修改報(bào)文源IP地址而進(jìn)行惡意攻擊行為。
7��、結(jié)語
網(wǎng)絡(luò)安全是一片沒有硝煙的戰(zhàn)場(chǎng)���,攻防博弈�����,此消彼長����。知己知彼者��,百戰(zhàn)不怠�����,要想成功防御攻擊必須先清楚攻擊原理���。本期內(nèi)容就到這里��,更多攻防技術(shù)下期見!
