常见的TCPIP体系协议安全隐患与应对方法.doc

常见的TCPIP体系协议安全隐患与应对方法.doc

  1. 1、本文档共5页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
常见的TCP/IP体系协议安全隐患和应对方法(ARP,DHCP,TCP,DNS) ARP 常见的ARP安全隐患和对应的预防方法 1.ARP泛洪攻击   ARP泛洪攻击就是攻击者通过伪造大量源IP地址变化的ARP报文频繁向网络中发送,使得交换机端口在接收到这些请求包后,频繁地处理这些ARP报文,占用大量的系统资源和设备CPU资源。这样一一来,使设备的ARP表溢出(超出所能存储的容量范围),合法用户的ARP报文就不能生成有效的ARP表项,导致正常通信中断。另外,通过向设备发送大量目标IP地址不能解析的IP报文,使设备反复地对目标IP地址进行解析,导致CPU负荷过重,也是泛洪攻击的一种。   在H3C设备中,可以通过限制VLAN中学习到的ARP表项数量来预防ARP泛洪攻击。ARP报文限速功能来预防ARP泛洪攻击。在设备的指定VLAN接口,配置允许学习动态ARP表项的最大个数。当该VLAN接口动态学习到的ARP表项超过限定的最大值后,将不进行动态地址表项的学习,从而防止某一VLAN内的恶意用户发动ARP泛洪攻击造成的危害。   2. “中间人攻击”   按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP 欺骗”创造了条件。   如图17-1所示,Host A和Host C通过Switch进行通信。此时,如果有黑客(Host B)想探听Host A和Host C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后,Host A 和Host C之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人(Man-In-The-Middle)攻击。   为了防止黑客或攻击者通过ARP报文实施“中间人”攻击,在一些H3C交换机中(如S3100、S5600系列等)支持ARP入侵检测功能。启用了ARP入侵检测功能后,对于ARP信任端口,不进行用户合法性检查;对于ARP非信任端口,需要进行用户合法性检查,以防止仿冒用户的攻击。   用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在端口上的合法用户,包括基于IP Source Guard静态绑定表项的检查、基于DHCP Snooping安全表项的检查、基于802.1X安全表项的检查和OUI MAC地址的检查。   首先进行基于IP Source Guard静态绑定表项检查。如果找到了对应源IP地址和源MAC地址的静态绑定表项,认为该ARP报文合法,进行转发。如果找到了对应源IP地址的静态绑定表项但源MAC地址不符,认为该ARP报文非法,进行丢弃。如果没有找到对应源IP地址的静态绑定表项,继续进行DHCP Snooping安全表项、802.1X安全表项和MAC地址检查。   在基于IP Source Guard静态绑定表项检查之后进行基于DHCP Snooping安全表项、802.1X安全表项和MAC地址检查,只要符合三者中任何一个,就认为该ARP报文合法,进行转发。其中,MAC地址检查指的是,只要ARP报文的源MAC地址为MAC地址,并且使能了Voice VLAN功能,就认为是合法报文,检查通过。   如果所有检查都没有找到匹配的表项,则认为是非法报文,直接丢弃。   开启ARP入侵检测功能以后,用户可以通过配置ARP严格转发功能,使从指定VLAN的非信任端口上接收的合法ARP请求报文只能通过已配置的信任端口进行转发;而从非信任端口上接收的合法ARP应答报文,首先按照报文中的目的MAC地址进行转发,若目的MAC地址不在MAC地址表中,则将此ARP应答报文通过信任端口进行转发。   但是开启了ARP入侵检测功能后,需要将ARP报文上送到CPU处理,如果攻击者恶意构造大量ARP报文发往交换机的某一端口,会导致CPU负担过重,从而造成其他功能无法正常运行甚至设备瘫痪。于是H3C又有另一种配合的解决方案,就是在端口上配置ARP报文限速功能。开启某个端口的ARP报文限速功能后,交换机对每秒内该端口接收的ARP报文数量进行统计,如果每秒收到的ARP报文数量超过设定值,则认为该端口处于超速状态(即受到ARP报文攻击)。此时,交换机将关闭该端口,使其不再接收任何报文,从而避免大量ARP报文攻击设备。同时,设备支持配置端口状态自动恢复功能,对于配置了ARP限速功能的端口,在其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态。   3. 仿冒网

文档评论(0)

kehan123 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档