1、前言
隨著互聯(lián)網(wǎng)的不斷發(fā)展,TCP/IP協(xié)議簇成為使用最廣泛的網(wǎng)絡(luò)互連協(xié)議。但由于協(xié)議設(shè)計之初主要應(yīng)用于研究環(huán)境,針對少量、可信的用戶群體,網(wǎng)絡(luò)安全問題不是主要的考慮因素,對安全考慮得不夠,導(dǎo)致協(xié)議存在著一些安全風(fēng)險問題。從本篇開始,帶領(lǐng)大家一同了解下常見的網(wǎng)絡(luò)攻擊方式和防御手段。
2、MAC地址泛洪
2.1 攻擊原理
交換機(jī)收到數(shù)據(jù)幀后會基于源MAC地址進(jìn)行學(xué)習(xí),形成MAC地址表后便可基于目的MAC查表轉(zhuǎn)發(fā);如果可以查到則單播轉(zhuǎn)發(fā),如果查不到則在VLAN內(nèi)泛洪轉(zhuǎn)發(fā)。基于此,攻擊者向局域網(wǎng)內(nèi)發(fā)生大量偽造MAC地址的數(shù)據(jù)幀,試圖占滿交換機(jī)的MAC地址轉(zhuǎn)發(fā)表。由于表項都具有一定的空間限制,當(dāng)MAC地址表被占滿后,就無法學(xué)習(xí)到新的MAC地址。
2.2 防御原理
基于端口或者基于VLAN來限制MAC地址學(xué)習(xí)數(shù)量,可有效防止MAC地址表項被占滿。當(dāng)MAC地址數(shù)量達(dá)到上限時可根據(jù)需要采取不學(xué)習(xí)且丟棄、不學(xué)習(xí)但轉(zhuǎn)發(fā)等不同策略。
3、MAC地址欺騙
3.1 攻擊原理
相比MAC地址泛洪攻擊,MAC地址欺騙攻擊則顯得更加隱蔽。MAC地址欺騙攻擊不會發(fā)送大量數(shù)據(jù)幀,而是發(fā)送含有幾個特定源MAC地址(正常用戶的MAC地址)的數(shù)據(jù)幀,誤導(dǎo)交換機(jī)認(rèn)為自己是網(wǎng)絡(luò)中的另一臺主機(jī),從而將本該發(fā)送給正常用戶的數(shù)據(jù)幀發(fā)給了攻擊者。
3.2 防御原理
基于源MAC地址學(xué)習(xí)時增加優(yōu)先級選項,對于不同接口學(xué)習(xí)到相同MAC地址時,高優(yōu)先級接口的MAC地址表項可以覆蓋低優(yōu)先級接口的MAC地址表項。基于此,可將連接正常用戶接口的優(yōu)先級配置為最高優(yōu)先級,以此防范MAC地址欺騙攻擊。
4、IP地址冒用
4.1 攻擊原理
IP地址冒用是指攻擊者使用自己的MAC地址,但是冒用他人的IP地址進(jìn)行通信,以獲取被攻擊者的權(quán)限或者本應(yīng)發(fā)送給被攻擊者的報文。
4.2 攻擊示例
如圖1所示,展示了一個IP地址冒用攻擊示例。
圖1 IP地址冒用攻擊示例
4.3 防御原理
建立一個地址綁定表用于記錄IP地址和MAC地址的對應(yīng)關(guān)系;
收到IP報文后,提取報文頭中的源IP地址查找綁定表中對應(yīng)的MAC地址,并且與幀頭部包含的實際源MAC地址進(jìn)行比較;
如果兩者不一致,則認(rèn)為該報文是非法報文,并將其丟棄;
對于源IP地址不在地址綁定表中的報文,會直接通過IP-MAC綁定檢查。
5、ARP欺騙
5.1 攻擊原理
ARP欺騙是指攻擊者冒用他人的MAC地址發(fā)送ARP報文,同樣可以獲取到本應(yīng)發(fā)送給被攻擊者的報文;或者冒用網(wǎng)關(guān)的MAC地址,使網(wǎng)絡(luò)內(nèi)所有主機(jī)都將報文發(fā)給自己。
5.2 攻擊示例
如圖2所示,展示了一個ARP欺騙攻擊示例。
5.3 防御原理
同“3.3 防御原理”。
6、URPF
6.1 攻擊原理
基于源IP地址欺騙發(fā)起網(wǎng)絡(luò)攻擊。
6.2 攻擊示例
如圖3所示,展示了一個基于源IP地址欺騙攻擊示例,非法用戶發(fā)起的這種偽造報文對服務(wù)器以及合法用戶都造成了攻擊。
6.3 防御原理
URPF(Unicast Reverse Path Forwarding)即單播逆向路徑轉(zhuǎn)發(fā),其主要功能是防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。
一般情況下,路由設(shè)備接收到報文,獲取報文的目的IP地址,針對目的IP地址查找路由表,如果找到了就轉(zhuǎn)發(fā)報文,否則丟棄該報文。而URPF對此流程進(jìn)行了完善,對于嚴(yán)格模式:
獲取報文的源IP地址和入接口信息,在路由表中查找源IP地址對應(yīng)的接口是否與入接口匹配;
如果匹配,則認(rèn)為源IP地址是真實的,繼續(xù)轉(zhuǎn)發(fā)該報文;
如果不匹配,則認(rèn)為源IP地址是虛假的,直接丟棄該報文。
對于松散模式:
獲取報文的源IP地址和入接口信息,在路由表中查找源IP地址是否存在路由表項;
如果存在,則認(rèn)為源IP地址是真實的,繼續(xù)轉(zhuǎn)發(fā)該報文;
如果不存在,則認(rèn)為源IP地址是虛假的,直接丟棄該報文。
通過這種方式,URPF能夠有效地防范網(wǎng)絡(luò)中通過修改報文源IP地址而進(jìn)行惡意攻擊行為。
7、結(jié)語
網(wǎng)絡(luò)安全是一片沒有硝煙的戰(zhàn)場,攻防博弈,此消彼長。知己知彼者,百戰(zhàn)不怠,要想成功防御攻擊必須先清楚攻擊原理。本期內(nèi)容就到這里,更多攻防技術(shù)下期見!