网络欺骗攻击的预防策略

在网络管理中，如何防御各种网络攻击，保护网络的安全运行，是网管员必须重视的问题。这就要求网管员熟悉各种网络攻击的特点，才能有针对性的采取保护措施。例如利用交换机等网络设备自带的安全功能，就可以轻松化解各种潜在的安全威胁。众所周知，在思科交换机上不仅可以提供基于端口的安全控制，还提供了DHCP侦听（DHCP Snooping），动 态 ARP检 测（Dynamic ARP Inspection）和 IP源 防 护（IP Source Guard）等基于主机和端口的安全控制手段。

在实际的网络管理中，会使用DHCP服务器为客户机分配IP地址和核心的网络配置参数。对于DHCP的欺骗攻击来说，攻击者会将自身的主机伪装成DHCP服务器或者客户端，分别以不同的方式来攻击DHCP服务器。对于黑客来说，当其连接到交换网络后，将自己伪装成DHCP服务器，当同一个VLAN中的其他主机向外产生广播数据帧，来请求DHCP的IP地址时，黑客的主机就会抢先向其分配IP，当然，这肯定是虚假的IP。例如，本地VLAN使用三层交换机的网关为192.168.1.254，而黑客会为其提供伪造的网关IP（例如是黑客主机的地址192.168.1.253），造成该客户端到达外网的流量会先经过黑客的主机，再经过转发后到达外部网络。

这样，攻击者将毫不费力的侦听到该客户机的所有对外的访问信息。攻击者也可能将自身伪装成DHCP客户端，不停的对外发送DHSP请求包，当然，其会不断的伪装不同的MAC地址。这就会给DHCP服务器造成一个错觉，认为网络中很多主机向其申请IP，造成其不断的向下分发IP，直到DHCP地址池耗尽为止。

针对DHCP欺骗攻击，思科交换机提供了DHCP侦听功能。该功能可以跟踪和记录所有的DHCP请求（Discover）和回应（Offer）消息，来检测DHCP信息在传递过程中是否存在异常情况（例如检测当一台主机产生大量的Discover消息等）。前者由客户端产生，后者由DHCP服务器产生。DHCP Snooping会记录Offer消息中的IP地址分配信息，籍此交换机会知晓在本地交换网络中哪些主机（即MAC地址）分配了什么样的IP地址。

DHCP Snooping会 对Request消息进行流量的限制，即限制在一个接口上每分钟产生的Request消息的流量。如果该流量到达预设的阀值，交换机就会认为有用户伪装成DHCP客户端，不停的发送Request消息对DHCP服务器进行拒绝服务攻击，交换机就会对该端口进行管控。针对DHCP的Offer消息，交换机可以将其限定在某些接口上，例如将只将某个接口连接到DHCP服务器，只允许在该接口上出现DHCP的Offer消息，如果其他的接口上出现了Offer消息，交换机就会认为其连接的主机是伪装的DHCP服务器。DHCP Snooping将 交换网络中的端口分为信任（Trust）和非信任（Untrust）端口。

对于前者来说，允许连接到DHCP服务器，可以接收DHCP服务器发出的消息（例如Offer和Replay消息等）。对于后者来说，是不允许接收DHCP服务器发送来的数据，即其不允许连接DHCP服务器。如果该类型的接口上出现了DHCP的Offer包，就会被交换机丢弃。这样，当黑客主机连接到了Untrust接口，其产生的所有offer包是无法进行交换网络中的。一般来说，会将接入层交换机的所有连接到主机的接口都配置成Untrust接口，同时将所有的上行链路都配置成Trust接口，因为上行链路通常是安全的骨干网络，DHCP服务器往往出现在上行链路中。

进入交换机额全局配置模式，执行“ip dhcp snooping”命令，开启DHCP侦听功能。执行“ip dhcp snooping information option”命令，将一些扩展信息也提交到监控内容中。执行“ip dhcp snooping valn 10,20”命令，在指定的VALN上看起DHCP Snooping功能。默认情况下，所有的接口都是Untrust状态。可以针对特定的端口，将其配置为Untrust状态。

例如执行“interface fastethernet 1/0/9” 命令，进入指定的端口。执行“description Uplink”，“switchport mode trunk”，“switchport trunk allowed vlan 10,20”，“ip dhcp snooping trust” 命 令，为该端口设置描述信息，将其设置为Trust状态，在该接口上可以连接合法的DHCP服务器。对于Untrust接口，可以设置其阀值。例如执行“int ran fa 1/0/10,fa1/0/20”命令，进入指定的端口。

之后执行“description Access Port”，“ip dhcp limit rate 10”的命令，为其设置好描述信息，并允许其在一分钟内最多能够出现10个DHCP数据包。这样就可以防止黑客连接到该接口来伪装成DHCP客户端，对DHCP服务器发起拒绝服务攻击了。

当黑客发送的DHCP请求包达到预设的阀值后，该端口就会自动关闭。执行“show ip dhcp snooping binding”命令，可以监听哪个MAC地址获得了哪个IP地址信息，以及对应的租期，监听类型，所属的VLAN，连接的端口等内容。

在网络环境中经常会遇到ARP毒化攻击，其本质就是ARP欺骗攻击。例如，当A主机想连接某个路由器，为了获取其MAC地址，该主机会首先向外部发送ARP请求，该请求实际上是广播数据帧，主要用来寻找路由器的MAC地址。因为是广播数据帧，所以可能会到达黑客主机，当其收到该ARP请求后，就会自身伪装成目标路由器的IP地址，并将自身的IP地址通告给上述主机。这样，就会让A主机误以为黑客主机就是目标路由器。这样，A主机发送的数据机会传送给黑客主机。而黑客主机会通过设置一些路由信息，将A主机发送的数据转发给目标路由器。

可以看出，ARP毒化攻击就是黑客主机用自己的MAC地址，来回应其他主机对于其他节点的ARP请求。在思科交换机上，提供了DAI（动态ARP检测）功能来抗击ARP毒化攻击，这样可以有效防止恶意ARP响应出现在网络环境中，并且可以检测数据库来对比找出哪些是恶意的ARP，以及哪些是正确的ARP请求。

例如，当网关主机需要寻找A主机时，会产生一个ARP请求，来获取A主机的MAC地址。当黑客主机获得该请求后，会使用其自身的MAC地址进行回应。当该ARP回应包到达交换机后，交换机上的DAI功能对其进行侦听和监控，并提取其中的信息，并将其和本地的数据库进行比对，如果信息符合规范，说明其是一个正确的ARP回应包，否则说明其非法的ARP信息。

交换机是如何知晓每台主机的IP和MAC地址的对应关系呢？这其实和DHCP Snooping功能相关。DHCP Snooping会侦听每一个DHCP Offer消息，来获取每一个MAC地址和IP的正确对应关系。这样，就可以建立所需的数据库。

由此可以看出，当黑客主机冒充A主机的MAC地址的ARP回应包到达交换机后，就会被交换机识破并被丢弃。要想在交换机上开启DAI功能，首先需要正确的开启和配置DHCP Snooping功能。和DHCP Snooping一样，DAI也会将端口分为Trust和Untrust两种。对于前者来说，其连接的主机不可能出现ARP欺骗的现象，即无需检测直接转发ARP数据包。对于后者来说，必须对所有的ARP消息进行检测，判断其合法性。不仅需要对ARP回应包中的IP和MAC的对应关系进行检测，还可以限制允许发送的ARP数据包的数量。

这样，可以防止黑客使用ARP扫描来探测网络中的主机信息。在交换机全局配置模式下按照上述方法开启DHCP Snooping功能，并针对对应的VLAN开启DHCP侦听，并配置对应端口的阀值。执 行“ip arp inspection vlan 10,20”命令，来针对目标VLAN开启DAI保护功能。当然，还需要按照上述方法，开启针对特定端口将其配置为Trust状态。执行“ip arp inspection trust”命令，针对特定的Trust端口开启DAI信任。

注意，在默认情况下，针对ARP检测来说，如果没有具体配置的话，所有的端口都将会自动处于Untrust状态，即其发送的ARP信息都会被跟踪和监视。对于连接企业主干网络的上行链路或者连接合法服务器的接口来说，可以将其设置为Trust状态。