S12500交換機網(wǎng)絡安全技術(shù)白皮書

1、H3C S12500 網(wǎng)絡安全技術(shù)白皮書關(guān)鍵詞：網(wǎng)絡安全，威脅摘要：本文主要介紹了網(wǎng)絡安全威脅的分類以及H3C S12500系列路由交換機具備的安全能力?？s略語清單：縮略語英文全名中文解釋DoSDenial of Service拒絕服務ACLAccess Control List訪問控制列表ARPAddress Resolution Protocol地址解析協(xié)議MACMedia Access Control媒體訪問控制URPFUnicast Reverse Path Forwarding單播反向路徑轉(zhuǎn)發(fā)TCPTransmission Control Protocol傳輸控制協(xié)議UDPUser

2、Datagram Protocol用戶數(shù)據(jù)報協(xié)議ICMPInternet Control Message Protocol因特網(wǎng)控制報文協(xié)議TTLTime To Live生存時間MFFMAC-Forced ForwardingMAC強制轉(zhuǎn)發(fā)PPSPacket per second報文數(shù)每秒目 錄 HYPERLINK l _bookmark0 概述4 HYPERLINK l _bookmark0 網(wǎng)絡安全威脅4 HYPERLINK l _bookmark0 網(wǎng)絡安全威脅的定義4 HYPERLINK l _bookmark0 網(wǎng)絡安全威脅的分類4 HYPERLINK l _bookmark0 網(wǎng)絡

3、設備的安全威脅4 HYPERLINK l _bookmark1 數(shù)據(jù)傳送層面5 HYPERLINK l _bookmark1 控制信令層面5 HYPERLINK l _bookmark1 設備管理層面5 HYPERLINK l _bookmark1 H3C S12500安全能力介紹5 HYPERLINK l _bookmark1 數(shù)據(jù)轉(zhuǎn)發(fā)層面的安全能力5 HYPERLINK l _bookmark1 URPF技術(shù)5 HYPERLINK l _bookmark2 非法報文過濾技術(shù)7 HYPERLINK l _bookmark3 ICMP分片報文過濾功能8 HYPERLINK l _bookmar

4、k3 TTL超時報文過濾功能8 HYPERLINK l _bookmark3 Hop Limit超時報文過濾功能8 HYPERLINK l _bookmark4 地址掃描攻擊防護能力9 HYPERLINK l _bookmark4 廣播/組播/未知單播報文速率限制9 HYPERLINK l _bookmark4 MAC地址表容量攻擊防護能力9 HYPERLINK l _bookmark5 靜態(tài)MAC地址表項和ARP表項綁定能力10 HYPERLINK l _bookmark5 強大的ACL功能10 HYPERLINK l _bookmark5 CPU控制平面的安全能力10 HYPERLINK

5、l _bookmark5 控制平面帶寬管理技術(shù)10 HYPERLINK l _bookmark6 控制信令層面的安全能力12 HYPERLINK l _bookmark6 ARP協(xié)議攻擊檢測和防范技術(shù)12 HYPERLINK l _bookmark7 IP Source Guard技術(shù)18 HYPERLINK l _bookmark8 DHCP服務安全技術(shù)19 HYPERLINK l _bookmark9 TCP連接保護和攻擊防范技術(shù)20 HYPERLINK l _bookmark10 STP協(xié)議保護技術(shù)21 HYPERLINK l _bookmark11 路由協(xié)議攻擊防護能力23 HYPER

6、LINK l _bookmark12 設備管理層面的安全能力24 HYPERLINK l _bookmark12 管理用戶分級分權(quán)24 HYPERLINK l _bookmark12 支持安全的遠程管理24 HYPERLINK l _bookmark12 支持安全審計24 HYPERLINK l _bookmark12 安全接入控制24 HYPERLINK l _bookmark12 SFTP服務24概述隨著互聯(lián)網(wǎng)技術(shù)的不斷演進、網(wǎng)絡規(guī)模的爆炸性發(fā)展，互聯(lián)網(wǎng)應用已經(jīng)從起初的科研領(lǐng)域逐漸延伸到當代社會生活的方方面面，越來越多基于網(wǎng)絡的關(guān)鍵業(yè)務蓬勃興起，網(wǎng)絡成為人類提高生產(chǎn)力、提升生活質(zhì)量的新的推

7、動力。然而，互聯(lián)網(wǎng)的技術(shù)基礎，即IP網(wǎng)絡，卻在天然上存在著安全、服務質(zhì)量、運營模式等方面的隱患。IP網(wǎng)絡的簡單和開放在促成互聯(lián)網(wǎng)迅猛發(fā)展的同時，也造成了IP網(wǎng)絡容易引入安全漏洞的弱點。同時，隨著技術(shù)的發(fā)展、信息傳遞的迅捷，針對IP網(wǎng)絡安全攻擊的技術(shù)難度越來越小，攻擊工具自動化程度則越來越高，攻擊技術(shù)趨向平民化。網(wǎng)絡攻擊事件數(shù)量每年都在大幅增加，造成的損失日益巨大，影響范圍不再僅限于少數(shù)公司，甚至波及國家信息安全。網(wǎng)絡安全威脅給網(wǎng)絡世界進一步的發(fā)展蒙上了陰影。在這種情況下，網(wǎng)絡設備自身的安全特性和防攻擊能力顯得越來越重要。網(wǎng)絡安全威脅網(wǎng)絡安全威脅的定義所謂網(wǎng)絡安全威脅，包括傳輸數(shù)據(jù)安全威脅和網(wǎng)絡

8、設備安全威脅。傳輸數(shù)據(jù)安全威脅指通過特定技術(shù)，對在網(wǎng)絡、服務器和桌面上存儲和傳輸?shù)臄?shù)據(jù)未經(jīng)授權(quán)進行訪問，甚至破壞或者修改這些數(shù)據(jù)；網(wǎng)絡設備安全威脅指針對網(wǎng)絡設備進行攻擊，影響網(wǎng)絡設備正常運行。網(wǎng)絡安全威脅的分類IP網(wǎng)絡的安全威脅分為兩個方面：主機（包括用戶主機和應用服務器等）的安全；網(wǎng)絡自身（主要是網(wǎng)絡設備，包括路由器、交換機等）的安全。用戶主機所感知的安全威脅主要是針對特定操作系統(tǒng)（主要是Windows系統(tǒng)）的攻擊，諸如病毒、木馬。網(wǎng)絡設備主要面對的是基于TCP/IP協(xié)議的攻擊。本文主要討論網(wǎng)絡自身，即網(wǎng)絡設備的安全問題。網(wǎng)絡設備的安全威脅網(wǎng)絡設備的功能可以分為以下幾個層面：網(wǎng)絡數(shù)據(jù)傳送、網(wǎng)

9、絡控制信令、網(wǎng)絡設備管理。相應地，網(wǎng)絡設備的安全威脅即是針對于這幾個層面展開的。數(shù)據(jù)傳送層面網(wǎng)絡數(shù)據(jù)傳送層面的功能是負責處理進入設備的數(shù)據(jù)流。它有可能受到基于流量的攻擊，如大流量攻擊、畸形報文攻擊。這些攻擊的主要目的是占用設備CPU的處理時間，造成正常的數(shù)據(jù)流量無法得到處理，使設備的可用性降低。由于網(wǎng)絡數(shù)據(jù)傳送層面負責用戶數(shù)據(jù)的轉(zhuǎn)發(fā)，因此也會受到針對用戶數(shù)據(jù)的攻擊，主要是對用戶數(shù)據(jù)的惡意竊取、修改、刪除等，使用戶數(shù)據(jù)的機密性和完整性受到破壞?？刂菩帕顚用婢W(wǎng)絡控制信令層面的主要功能是維護各層網(wǎng)絡協(xié)議的運行，以控制數(shù)據(jù)流的路由和交換。這一層面受到的最主要威脅來自對路由信息的竊取，對IP地址的偽造等

10、，這會造成網(wǎng)絡路由信息的泄漏或濫用。設備管理層面網(wǎng)絡設備管理層面提供了對設備的遠程管理功能。威脅來自于兩個方面，一個是系統(tǒng)管理所使用的協(xié)議（如Telnet協(xié)議、HTTP協(xié)議等）的漏洞，另一個是不嚴密的管理，如設備管理賬號的泄露等。H3C S12500 安全能力介紹H3C S12500系列高端路由交換機是基于Comware軟件平臺進行開發(fā)的。通過Comware平臺的支持，以及H3C S12500獨有的一些安全實現(xiàn)，H3C S12500能夠提供豐富的安全特性。數(shù)據(jù)轉(zhuǎn)發(fā)層面的安全能力URPF 技術(shù)URPF（Unicast Reverse Path Forwarding，單播反向路徑轉(zhuǎn)發(fā)）檢查技術(shù)，主

11、要用于防止基于源地址欺騙的網(wǎng)絡攻擊行為。源地址欺騙攻擊是指入侵者構(gòu)造出一系列帶有偽造源地址的報文，對于使用基于IP 地址驗證的應用來說，此攻擊方法可以導致未被授權(quán)用戶以他人身份獲得訪問系統(tǒng)的權(quán)限，甚至是管理員權(quán)限。即使被攻擊設備的響應報文不能到達攻擊者，同樣也會對被攻擊設備造成破壞。圖1 URPF檢查示意圖如上圖所示，在Device A上偽造源地址為/8的報文，向Device B發(fā)起請求， Device B響應請求時將向真正的“/8”，即Device C發(fā)送報文。這種非法報文對Device B和Device C都會造成攻擊。URPF檢查技術(shù)可以應用在上述環(huán)境中，在Device B上根據(jù)報文的源

12、IP地址查找該IP地址的出接口，判斷該IP地址的出接口是否和報文的入接口一致，如果不一致則認為URPF檢查不通過，并且對這種報文采取相應的處理動作。S12500產(chǎn)品支持URPF技術(shù)，并且能夠支持多種檢查模式，用戶可以根據(jù)當前網(wǎng)絡安全等級及應用需要采用不同的URPF檢查模式。嚴格檢查模式嚴格檢查模式不但需要檢查報文的源IP地址是否在路由表中存在，還需要檢查報文的入接口是否和源IP地址查找的路由表中的出接口一致，如果有一個出接口和報文入接口一致，則認為檢查通過，否則認為檢查不通過。對于缺省路由、主機路由和網(wǎng)段路由，也同樣支持嚴格模式的檢查，必須檢查路由表和出接口信息；對于等價路由，只需要符合等價路

13、由的任意一條路由，則認為URPF檢查成功，報文正常轉(zhuǎn)發(fā)?；阪溌穼訖z查模式鏈路層檢查模式先根據(jù)報文源IP地址查找路由表，獲取下一跳地址，并且根據(jù)下一跳IP地址查找ARP表項，獲取ARP表中的MAC地址，并且用該MAC地址和報文源MAC地址進行比較，如果相等則URPF檢查通過，否則URPF檢查失敗?；阪溌穼訖z查模式，是S12500產(chǎn)品基于高可靠、高安全核心層設備推出的安全特性之一，真正把數(shù)據(jù)鏈路層和IP層結(jié)合在一起，實現(xiàn)IP轉(zhuǎn)發(fā)的鏈路層檢查，相較于以往單純的IP地址檢查，更加科學和安全。鏈路層檢查模式不支持基于等價路由的檢查。非法報文過濾技術(shù)網(wǎng)絡中充斥的各種非法報文，不但占用寶貴的帶寬資源，還

14、對網(wǎng)絡中的各種設備造成沖擊。S12500產(chǎn)品能夠過濾各種非法報文，既包括內(nèi)容錯誤的報文，也包括格式錯誤的報文，下面具體描述S12500產(chǎn)品能夠識別并且過濾的各種非法報文：網(wǎng)絡接入控制的過濾功能檢測并過濾各種物理層錯誤的報文，包括CRC錯幀、超小幀、超大幀、幀丟失、奇偶檢驗錯幀等。數(shù)據(jù)鏈路轉(zhuǎn)發(fā)的過濾功能S12500能夠過濾如下數(shù)據(jù)鏈路層非法的報文：端口收到報文的 VLAN ID 不在端口允許通過的范圍內(nèi)，直接丟棄；非法源 MAC 地址的報文（報文源 MAC 地址為組播 MAC 地址），直接丟棄；STP BLOCK 的端口收到數(shù)據(jù)報文，直接丟棄。IP轉(zhuǎn)發(fā)的過濾功能對于各種IP頭和IP地址非法的報文

15、，S12500設備能夠檢查并且過濾：IPv4 頭校驗和錯誤的報文，直接丟棄；IPv4 頭版本號錯誤的報文，直接丟棄；IPv4 頭長度錯誤的報文，直接丟棄；IPv4 源 IP 地址等于目的 IP 地址的報文，直接丟棄；IPv4 源 IP 地址為 /8 或 /4 的報文，直接丟棄；IPv4 目的 IP 地址為 /8 或 的報文，直接丟棄；IPv4 報文目的 MAC 地址為單播地址，目的 IP 地址為組播地址，直接丟棄；IPv4 報文目的 MAC 地址為組播地址，目的 IP 地址為單播地址，直接丟棄；IPv4 URPF 檢查失敗的報文，直接丟棄；IPv6 頭版本號錯誤的報文，直接丟棄；IPv6 源

16、IP 地址等于目的 IP 地址的報文，直接丟棄；IPv6 源 IP 地址為:1/128 或 FF:/8 的報文，直接丟棄；IPv6 目的 IP 地址為:1/128 或:的報文，直接丟棄；IPv6 報文目的 MAC 地址為單播地址，目的 IP 地址為組播地址，直接丟棄；IPv6 報文目的 MAC 地址為組播地址，目的 IP 地址為單播地址，直接丟棄。ICMP 分片報文過濾功能一般來說網(wǎng)絡中傳輸?shù)腎CMP報文都不大，而且對于不同的系統(tǒng)，能夠發(fā)送和接收的ICMP報文的大小也不一樣。通常，ICMP分片報文用于測試網(wǎng)絡的運行狀態(tài)，檢測網(wǎng)絡轉(zhuǎn)發(fā)路徑的穩(wěn)定性。在網(wǎng)絡正常運行中，一般不會出現(xiàn)ICMP分片報文，

17、分片報文大部分是由于網(wǎng)絡攻擊導致，網(wǎng)絡中存在大流量的ICMP分片報文，不但會占用寶貴的帶寬資源，而且會導致被攻擊者性能嚴重下降，甚至無法正常工作。H3C S12500能夠識別并且過濾ICMP分片報文（識別方法：IP頭MF字段不為0或者IP頭OFFSET字段不為0的ICMP報文），使能ICMP分片報文過濾功能后，正常轉(zhuǎn)發(fā)和上送CPU的ICMP分片報文都會被直接丟棄。TTL 超時報文過濾功能所謂TTL超時報文，是指IP報文中的TTL值為0或者為1，不在IP轉(zhuǎn)發(fā)的正常范圍內(nèi)。當網(wǎng)絡存在路由環(huán)路時，IP報文在設備間相互轉(zhuǎn)發(fā)，每轉(zhuǎn)發(fā)一跳則TTL值減一，最終導致TTL值超時。當網(wǎng)絡設備收到TTL超時報文后

18、，需要向源設備發(fā)送TTL超時通知，告知對端TTL超時，TraceRoute就是利用該功能達到路徑檢測的目的。過多的TTL超時報文，會沖擊網(wǎng)絡設備的控制平面，導致網(wǎng)絡設備正常業(yè)務處理性能的下降。H3C S12500產(chǎn)品支持TTL超時報文的檢測和過濾功能，當設備收到TTL等于0或者等于1的IP報文時，直接丟棄，不進行轉(zhuǎn)發(fā)或者上送CPU處理。系統(tǒng)默認丟棄TTL等于0的報文，但是正常轉(zhuǎn)發(fā)TTL等于1的報文。對于MPLS的TTL等于1報文，和IP報文相同處理。Hop Limit 超時報文過濾功能Hop Limit超時報文和TTL超時報文類似，只不過TTL超時是IPv4報文，而Hop Limit超時是IP

19、v6報文。H3C S12500產(chǎn)品支持Hop Limit超時報文的檢測和過濾功能，當設備收到Hop Limit等于0或者等于1的IP報文時，直接丟棄，不進行轉(zhuǎn)發(fā)或者上CPU處理。系統(tǒng)默認丟棄Hop Limit等于0的報文，但是正常轉(zhuǎn)發(fā)Hop Limit等于1的報文。地址掃描攻擊防護能力地址掃描攻擊是攻擊者向攻擊目標網(wǎng)絡發(fā)送大量的目的地址不斷變化的IP報文。當攻擊者掃描網(wǎng)絡設備的直連網(wǎng)段時，網(wǎng)絡設備會給該網(wǎng)段下的每個地址發(fā)送ARP報文，地址不存在的話，還需要發(fā)送目的主機不可達報文。如果直連網(wǎng)段較大，攻擊流量足夠大時，會消耗網(wǎng)絡設備較多的CPU和內(nèi)存資源，可能引起網(wǎng)絡中斷。H3C S12500實現(xiàn)

20、了地址掃描攻擊的防護能力。當S12500交換機收到目的IP是直連網(wǎng)段的報文時，如果該目的地址的路由不存在，會發(fā)送一個ARP請求報文，并針對目的地址下發(fā)一條丟棄表項，以防止后續(xù)報文持續(xù)沖擊CPU。如果有ARP應答， 則立即刪除相應的丟棄表項，并添加正常的路由表項。否則，經(jīng)過一段時間后丟棄表項自動老化。這樣，既防止直連網(wǎng)段掃描攻擊對交換機造成影響，又保證正常業(yè)務流程的暢通。H3C S12500還提供了相應的配置命令，用于控制地址掃描攻擊防護功能是否啟用。廣播/組播/未知單播報文速率限制網(wǎng)絡中存在大量的廣播或者組播報文，會占用寶貴的網(wǎng)絡帶寬，從而嚴重影響網(wǎng)絡設備的轉(zhuǎn)發(fā)性能。而且當網(wǎng)絡中某臺設備存在環(huán)

21、路時，廣播和組播報文會在網(wǎng)絡中泛濫，導致整個網(wǎng)絡的癱瘓。H3C S12500具有強大的廣播、組播和未知單播報文過濾功能。既可以按照PPS來限制端口每秒允許通過的廣播、組播和未知單播報文個數(shù)，也可以按照流量絕對值來限制端口允許通過的廣播、組播和未知單播報文速率。當廣播、組播和未知單播報文超過用戶限制的門限值后，超出部分的報文將會被系統(tǒng)丟棄，確保廣播/組播/ 未知單播流量所占的比例降低到限定的范圍，保證網(wǎng)絡業(yè)務的正常運行。針對每種類型的報文，S12500分別提供命令進行控制，并且每種類型的報文都能夠按照PPS或者Kbps進行限速。MAC 地址表容量攻擊防護能力所謂MAC地址表容量攻擊，是指攻擊源發(fā)

22、送源MAC地址不斷變化的報文，網(wǎng)絡設備在收到這種報文后，會進行源MAC地址學習。由于MAC地址表容量是有限的， 當MAC地址表項達到最大容量后，正常報文的MAC地址學習將無法完成。在進行二層轉(zhuǎn)發(fā)時，這些報文將會在VLAN內(nèi)廣播，嚴重影響網(wǎng)絡帶寬，同時也會對網(wǎng)絡設備下掛主機造成沖擊。H3C S12500提供設置單個端口或者單個VLAN允許學習的最大MAC地址數(shù)目的功能。用戶可以根據(jù)端口或者VLAN下掛的主機數(shù)目來設置該端口或者VLAN最大允許學習的MAC地址數(shù)目，防止一個端口或者VLAN就把系統(tǒng)的MAC地址表項耗盡。在設置端口MAC地址最大學習數(shù)目時，還可以選擇超過部分是否轉(zhuǎn)發(fā)，防止未知單播報文

23、在VLAN內(nèi)廣播，對其他設備造成沖擊。靜態(tài) MAC 地址表項和 ARP 表項綁定能力H3C S12500提供配置靜態(tài)MAC地址表項和靜態(tài)ARP表項的功能。用戶可以通過配置靜態(tài)MAC地址表項，保證二層數(shù)據(jù)報文正確的轉(zhuǎn)發(fā)；用戶還可以通過配置靜態(tài)ARP表項，綁定MAC地址和IP地址，確保IP地址不會被偽用戶盜用。同時，S12500設備支持黑洞MAC地址功能，配置黑洞MAC地址功能后，源MAC地址或者目的MAC地址匹配該MAC地址表項的報文將會被過濾，不會在設備中正常轉(zhuǎn)發(fā)。強大的 ACL 功能在復雜的網(wǎng)絡環(huán)境中，存在各種各樣的攻擊報文，可能攻擊網(wǎng)絡設備，也可能攻擊網(wǎng)絡設備下掛的主機。H3C S1250

24、0提供強大而豐富的ACL功能，能夠?qū)笪牡臄?shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層各字段進行識別，在入方向和出方向采取各種處理動作。入方向ACL支持的處理動作為限速、過濾、統(tǒng)計、重定向、鏡像等，出方向ACL支持的處理動作為過濾、限速、統(tǒng)計等。通過ACL功能，管理者可以對非法流量進行有效的過濾。管理者可以在端口、VLAN或者全局模式下設置相應的ACL規(guī)則， 以滿足不同的需要。S12500的ACL 規(guī)則，不但可以根據(jù)IP協(xié)議類型、TCP端口號、UDP端口號、IP地址、MAC地址等常用字段對報文進行過濾或者限流，還可以根據(jù)用戶自身的需求指定報文各字段進行過濾和限流。CPU 控制平面的安全能力控制平面帶寬管理技術(shù)控

25、制平面是交換機的神經(jīng)中樞，在網(wǎng)絡運行中，如果控制平面遭受攻擊，會造成嚴重的后果，輕則影響網(wǎng)絡協(xié)議的穩(wěn)定，重則導致設備癱瘓。H3C S12500產(chǎn)品針對控制平面的管理做了大量有效的工作，對上送CPU的各種報文進行分類和限流，確保CPU不受攻擊報文的影響，具體表現(xiàn)在如下幾個方面：自動識別H3C S12500產(chǎn)品控制報文上送CPU遵循“按需分配”的原則，系統(tǒng)中某種協(xié)議沒有啟用時，交換機即使收到這種類型的協(xié)議報文，也不會送到控制平面（CPU）進行處理，保證控制平面不受垃圾報文的攻擊；當某種協(xié)議啟動后，交換機會根據(jù)協(xié)議類型及協(xié)議報文的特征識別該報文并且送CPU處理，并且根據(jù)協(xié)議運行的需要確定該協(xié)議報文是

26、指定端口上送、指定VLAN上送還是全局上送。通過這種方式，最大限度的防止網(wǎng)絡中的垃圾報文沖擊控制平面，對CPU起到保護作用。有效隔離S12500產(chǎn)品協(xié)議報文上送CPU，會對各種類型的協(xié)議報文進行分類，并且對每種類型的協(xié)議報文分配相應的編號，通過該編號可以決定報文上送控制平面的速率和報文上送控制平面的隊列。通過編號區(qū)分協(xié)議報文，并且上送控制平面，保證協(xié)議報文之間互相不會受到干擾，每種協(xié)議報文都能夠按照自身的速率門限（速率門限根據(jù)各功能支持的規(guī)格計算得出）送往控制平面，而不會由于某種協(xié)議遭受攻擊導致其他協(xié)議受到影響。硬件限流如上所述，每種類型的協(xié)議報文都分配有一個相應的編號，通過這個編號可以設置協(xié)

27、議報文上送CPU的速率（限速單位PPS）；同時，每個編號的協(xié)議報文都要入相應的隊列（總共8個隊列），對每個隊列也進行相應的限速（限速單位PPS），確保每個隊列送往控制平面的協(xié)議報文不會超出正常的應用要求；在CPU端口，也會對所有的報文進行端口流量整形，保證CPU不會因為協(xié)議報文的沖擊而出現(xiàn)異常。優(yōu)先級調(diào)度協(xié)議報文送CPU時，存在8個隊列，隊列之間通過SP+WRR調(diào)度，確保每個隊列的報文都能夠得到調(diào)度；同時，在控制平面處理協(xié)議報文時，也根據(jù)一定的方式進行調(diào)度，讀取上送CPU的協(xié)議報文，確保在一個CPU調(diào)度周期內(nèi)能夠處理各個隊列的報文，同時也能夠保證高優(yōu)先級隊列報文優(yōu)先調(diào)度。 圖2 控制平面帶寬管

28、理示意圖總之，通過如上的技術(shù)保護，H3C S12500產(chǎn)品控制平面的抗攻擊能力大為提升， 完全滿足高端交換機的穩(wěn)定性應用需要?？刂菩帕顚用娴陌踩芰RP 協(xié)議攻擊檢測和防范技術(shù)1-1-1MAC addressIP address3-3-3 HYPERLINK l _bookmark1 2-2-2Source MAC address HYPERLINK l _bookmark1 Destination MAC addressGatewayIntercepted data flowThe gateways MAC address has been updatedUpdatedGateways M

29、AC address is 2-2-2.Send forged ARP information針對ARP協(xié)議攻擊主要包含兩種方式：ARP欺騙攻擊和ARP泛洪攻擊，而ARP欺騙攻擊又包括仿冒網(wǎng)關(guān)、欺騙網(wǎng)關(guān)和欺騙終端用戶等。IP addressMAC address1-1-1 HYPERLINK l _bookmark1 D HYPERLINK l _bookmark1 estination MAC addressSource MAC address HYPERLINK l _bookmark1 2- HYPERLINK l _bookmark1 2-23-3-3IP address HYPERL

30、INK l _bookmark1 M HYPERLINK l _bookmark1 AC addressType(gateway) HYPERLINK l _bookmark1 1- HYPERLINK l _bookmark1 1-1DynamicDynamicType HYPERLINK l _bookmark1 1-1-1(gateway) HYPERLINK l _bookmark1 MAC addressIP address5-5-50MAC addressIP addressAttacker BIP addressMAC address05-5-5User ADynamicType

31、 HYPERLINK l _bookmark1 2- HYPERLINK l _bookmark1 2-2 (gateway) HYPERLINK l _bookmark1 M HYPERLINK l _bookmark1 AC addressIP address3-3-3MAC addressIP addressARP entry changes toIP addressMAC address3-3-3IP address HYPERLINK l _bookmark1 MAC addressType (gateway) HYPERLINK l _bookmark1 2-2-2Dynamic圖

32、3 ARP欺騙之仿冒網(wǎng)關(guān)攻擊示意圖IP address HYPERLINK l _bookmark1 MA HYPERLINK l _bookmark1 C addressType HYPERLINK l _bookmark1 3- HYPERLINK l _bookmark1 3-3DynamicIP address HYPERLINK l _bookmark1 M HYPERLINK l _bookmark1 AC addressType HYPERLINK l _bookmark1 2- HYPERLINK l _bookmark1 2-2DynamicIP addressMAC add

33、ress1-1-1 HYPERLINK l _bookmark1 De HYPERLINK l _bookmark1 stination MACSource MAC HYPERLINK l _bookmark1 2- HYPERLINK l _bookmark1 2-21-1-11-1-1 HYPERLINK l _bookmark1 2-2-2Source MAC HYPERLINK l _bookmark1 Destination MACMAC addressIP address5-5-50MAC addressIP addressIP addressMAC address05-5-5At

34、tacker BUser A1-1-1MAC addressIP addressDynamicType HYPERLINK l _bookmark1 3-3-3 HYPERLINK l _bookmark1 MAC addressIP addressDynamicType HYPERLINK l _bookmark1 2-2-2 HYPERLINK l _bookmark1 MAC addressIP address9-9-9MAC addressIP addressGatewayUpdatedARP entry changes toIntercepted data flowUser As M

35、AC address has been updatedUser As MACaddress is 2-2-2.Send forged ARP information3-3-31-1-1MAC addressIP address3-3-3 HYPERLINK l _bookmark1 2-2-2Source MAC HYPERLINK l _bookmark1 Destination MACIP addressMAC address3-3-3圖4 ARP欺騙之欺騙網(wǎng)關(guān)攻擊示意圖IP addressMAC address1-1-1 HYPERLINK l _bookmark1 De HYPERLI

36、NK l _bookmark1 stination MACSource MAC HYPERLINK l _bookmark1 2- HYPERLINK l _bookmark1 2-23-3-3IP addressMAC address9-9-9IP addressMAC address05-5-5IP address HYPERLINK l _bookmark1 MA HYPERLINK l _bookmark1 C addressType HYPERLINK l _bookmark1 9- HYPERLINK l _bookmark1 9-9DynamicIP addressMAC add

37、ress3-3-3IP address HYPERLINK l _bookmark1 MA HYPERLINK l _bookmark1 C addressType HYPERLINK l _bookmark1 2- HYPERLINK l _bookmark1 2-2DynamicDynamicType HYPERLINK l _bookmark1 9-9-9 HYPERLINK l _bookmark1 MAC addressIP addressDynamicType HYPERLINK l _bookmark1 2-2-2 HYPERLINK l _bookmark1 MAC addre

38、ssIP address3-3-3MAC addressIP address5-5-50MAC addressIP addressGatewayUser Cs MAC address has been updated.Intercepted data flowUpdatedAttacker BUser AARP entry changes toSend forged ARP informationUser Cs MACaddress is 2-2-2.圖5 ARP欺騙之欺騙終端用戶攻擊示意圖1-1-1MAC addressIP addressDynamic HYPERLINK l _bookm

39、ark1 2- HYPERLINK l _bookmark1 2-2Dynamic HYPERLINK l _bookmark1 2- HYPERLINK l _bookmark1 2-6Dynamic HYPERLINK l _bookmark1 2- HYPERLINK l _bookmark1 2-3Dynamic HYPERLINK l _bookmark1 2- HYPERLINK l _bookmark1 2-4Dynamic HYPERLINK l _bookmark1 2- HYPERLINK l _bookmark1 2-5Dynamic HYPERLINK l _bookm

40、ark1 HYPERLINK l _bookmark1 .Type HYPERLINK l _bookmark1 MA HYPERLINK l _bookmark1 C addressIP addressUpdateds MAC address is 2-2-2s MAC address is 2-2-3IP address HYPERLINK l _bookmark1 MAC addressType HYPERLINK l _bookmark1 2-2-2Dynamic HYPERLINK l _bookmark1 2-2-3Dynamic HYPERLINK l _bookmark1 2-

41、2-4Dynamic HYPERLINK l _bookmark1 2-2-5Dynamic HYPERLINK l _bookmark1 2-2-6Dynamic HYPERLINK l _bookmark1 .DynamicIP addressMAC address1-1-1IP addressMAC address05-5-5IP addressMAC address033-3-33-3-303MAC addressIP address5-5-50MAC addressIP addressGatewayARP table is fullMAC addresses of User A, A

42、1, A2, A3have been updated.User A03s MACaddress is 3-3-3Fail to learn new ARP entriess MAC address is 2-2-4Send tremendous forgedARP informationAttacker B圖6 ARP欺騙之ARP泛洪攻擊示意圖下面介紹ARP攻擊相關(guān)的一些功能，通過這些功能，S12500產(chǎn)品能夠最大限度的防止ARP協(xié)議報文攻擊，保護下掛網(wǎng)絡不受ARP報文攻擊影響。ARP協(xié)議攻擊防護能力ARP協(xié)議沒有任何驗證方式，而ARP在數(shù)據(jù)轉(zhuǎn)發(fā)中又是至關(guān)重要的，攻擊者常偽造ARP報文進行攻擊

43、。H3C S12500能夠檢測并且防范ARP報文的攻擊。當攻擊者采用某個或者某幾個固定的攻擊源，向設備發(fā)送大量的ARP報文進行攻擊時，S12500能夠檢測并且防范這種ARP協(xié)議報文的攻擊。當S12500收到ARP報文時，會根據(jù)報文源MAC地址進行HASH計算，并且記錄單位時間收到的ARP報文數(shù)目。當S12500檢測到某些固定源MAC地址的ARP報文發(fā)送的速率超過預定速率，則認為該源MAC地址的主機在進行ARP攻擊。如果用戶啟用ARP防攻擊功能，則會打印提示信息并記錄到日志信息中，并下發(fā)一條表項過濾此源MAC地址的報文，對該攻擊源進行屏蔽。地址沖突檢測和保護所謂地址沖突，是指網(wǎng)絡設備下掛的主機或

44、者對接的其他網(wǎng)絡設備的IP地址和該網(wǎng)絡設備的接口IP地址沖突，網(wǎng)絡設備如果無法檢測到地址沖突，該網(wǎng)絡設備下掛的其他主機的網(wǎng)關(guān)ARP表項有可能會被更新，導致下掛主機無法正常上網(wǎng)。H3C S12500支持地址沖突檢測功能。當S12500收到ARP報文時，會判斷該報文的源IP地址和本網(wǎng)段接口IP地址是否相同。如果發(fā)現(xiàn)地址相同，則S12500會立即發(fā)送一個地址沖突報文和免費ARP廣播報文。地址沖突報文是通知對端主機或者設備，該地址已經(jīng)被占用；免費ARP廣播報文，是通知本網(wǎng)段內(nèi)其他主機和網(wǎng)絡設備，糾正本網(wǎng)段內(nèi)其他主機或者網(wǎng)絡設備的ARP表項，防止ARP表項指向錯誤的MAC地址。同時，S12500會上報地

45、址沖突的告警信息并同時記錄日志，以便維護人員能夠及時了解設備遭受的攻擊。ARP端口限速當交換機中下掛的某個端口異常、存在大量ARP報文攻擊時，有可能導致整個網(wǎng)絡的ARP學習異常，從而導致整個網(wǎng)絡下掛用戶出現(xiàn)異常。H3C S12500產(chǎn)品支持ARP報文端口限速功能，能夠針對每個物理端口配置ARP報文限速速率。ARP源MAC地址一致性檢查ARP報文中的源MAC地址信息包括以太網(wǎng)源地址和發(fā)送端以太網(wǎng)地址，這兩個地址都表示請求發(fā)起者的MAC地址，網(wǎng)絡設備和主機根據(jù)發(fā)送端以太網(wǎng)地址學習ARP表項。在正常情況下，這兩個MAC地址是一致的。而在攻擊源構(gòu)造的地址掃描攻擊報文中，由于以太網(wǎng)源地址是網(wǎng)卡驅(qū)動程序產(chǎn)

46、生的，比較難以構(gòu)造，通常攻擊報文（病毒報文）的以太網(wǎng)源地址都是固定的，而發(fā)送端以太網(wǎng)地址是變化的， 網(wǎng)絡中經(jīng)常存在該類型的ARP報文攻擊。H3C S12500產(chǎn)品能夠自動檢測ARP報文中的以太網(wǎng)源MAC地址和發(fā)送端以太網(wǎng)地址，對于經(jīng)過交換機的ARP 報文（ 包括正常轉(zhuǎn)發(fā)或者上送CPU 處理的ARP 報文），如果檢測到報文中的以太網(wǎng)源MAC地址和發(fā)送端以太網(wǎng)MAC地址不一致， 則直接丟棄。S12500產(chǎn)品支持命令行控制是否啟用ARP源MAC地址一致性檢查功能，默認系統(tǒng)不啟用該功能。在某些特殊應用場合，發(fā)送的 ARP 報文中的以太網(wǎng)源 MAC 地址和發(fā)送端以太網(wǎng)地址會不一致，此時需要關(guān)閉源 MAC

47、 地址一致性檢查功能。ARP源抑制功能如果網(wǎng)絡中有主機通過向設備發(fā)送大量目的IP不能解析的IP報文來攻擊設備，則會造成下面的危害：設備向目的網(wǎng)段發(fā)送大量 ARP 請求報文，加重目的網(wǎng)段的負載。設備會不斷解析目標 IP 地址，增加 CPU 的負擔。為避免這種攻擊所帶來的危害，S12500設備提供ARP源抑制功能。開啟該功能后，如果網(wǎng)絡中某主機向設備某端口連續(xù)發(fā)送目標IP地址不能解析的IP報文（當每5秒內(nèi)的ARP請求報文的流量超過設置的閾值），對于由此IP地址發(fā)出的IP報文， 設備不允許其觸發(fā)ARP請求，直至5秒后再處理，從而避免了惡意攻擊所造成的危害。ARP主動確認機制ARP的主動確認功能主要應

48、用于網(wǎng)關(guān)設備上，防止攻擊者仿冒用戶欺騙網(wǎng)關(guān)設備。H3C S12500產(chǎn)品支持ARP主動確認功能，在使能本功能之后，當收到的ARP報文中的源MAC地址和對應ARP表項中的不同時，設備首先判斷ARP表項刷新時間是否超過1分鐘，如果沒有超過1分鐘，則不更新ARP表項。否則向ARP表項對應的源發(fā)送一個單播ARP請求報文，如果在隨后的5秒內(nèi)收到ARP應答報文，則忽略之前收到的ARP攻擊報文；如果沒有收到ARP應答報文，則向之前收到的ARP報文對應的源發(fā)送一個單播ARP請求報文，如果在隨后的5秒內(nèi)收到了ARP應答報文， 則根據(jù)之前收到的ARP報文更新ARP表項，否則ARP表項不會被修改。ARP Detec

49、tion功能當設備作為二層接入設備時，正常情況下，用戶發(fā)送的廣播ARP請求將在VLAN內(nèi)廣播，ARP應答將進行二層轉(zhuǎn)發(fā)。如果用戶仿冒其他用戶的IP地址，將會改寫網(wǎng)關(guān)或者其他用戶的ARP表項，導致被仿冒用戶的報文錯誤的發(fā)送到發(fā)起攻擊用戶的主機上。用戶可以通過配置ARP Detection功能解決上述問題：對于合法用戶的ARP報文進行正常轉(zhuǎn)發(fā)，否則丟棄。ARP Detection包含兩個功能：用戶合法性檢查功能和ARP報文有效性檢查功能。用戶合法性檢查用戶合法性檢查是根據(jù)ARP報文中源IP地址和源MAC地址檢查用戶是否是所屬VLAN所在端口上的合法用戶，包括基于DHCP Snooping安全表項的

50、檢查、基于802.1x安全表項的檢查和基于靜態(tài)IP和MAC綁定表項的檢查。用戶可以任意選擇使能哪些功能，各功能可以共存。如果使能多種功能，則設備先進行DHCP Snooping安全表項檢查，然后進行802.1x檢查，最后進行IP和MAC靜態(tài)綁定表項檢查?；?DHCP Snooping 安全表項的檢查主要針對仿冒用戶的攻擊。對于ARP非信任端口，打開DHCP Snooping安全表項檢查模式且所屬VLAN使能了ARP Detection功能，則從該端口上送的ARP報文需進行DHCP Snooping安全表項檢查。如果查找到對應的表項，并且均與表項記錄一致（IP地址，MAC地址，端口索引，VLA

51、N ID等），則檢查通過；如果參數(shù)不一致或者沒有查找到對應的表項，則認為是攻擊報文，檢查不通過。對于信任端口， 不進行DHCP Snooping安全表項檢查。對于沒有使能ARP Detection的VLAN，即使在ARP非信任端口上，也不進行DHCP Snooping安全表項檢查?；?802.1x 安全表項的檢查主要針對仿冒用戶的攻擊。對于ARP非信任端口，打開802.1x安全表項檢查模式且所屬VLAN使能了ARP Detection功能，從該端口上送的ARP報文需進行802.1x安全表項檢查。對于源IP地址源MAC地址端口索引VLAN ID都一致或源IP地址不存在但源MAC地址為OUI M

52、AC地址的情況，認為是合法報文檢查通過；否則認為是攻擊報文進行丟棄處理?；陟o態(tài) IP 和 MAC 綁定表項的檢查主要針對仿冒網(wǎng)關(guān)的攻擊。不論對于ARP非信任端口，還是信任端口，只要打開靜態(tài)IP和MAC綁定表項檢查模式且所屬VLAN使能了ARP Detection功能后，從該端口上送的ARP報文需進行基于靜態(tài)IP和MAC綁定表項檢查。對于源IP存在綁定關(guān)系但是MAC地址不符的ARP報文，設備認為是非法報文進行丟棄處理；對于源IP 不存在綁定關(guān)系和源IP存在綁定關(guān)系且MAC地址相符的ARP報文，設備認為是合法報文，檢查通過。ARP 報文有效性檢查對于ARP信任端口，不進行報文有效性檢查；對于AR

53、P非信任端口，需要根據(jù)配置對MAC地址和IP地址不合法的報文進行過濾?？梢赃x擇配置源MAC地址、目的MAC地址或IP地址檢查模式。對于源 MAC 地址的檢查模式，會檢查 ARP 報文中的源 MAC 地址和以太網(wǎng)報文頭中的源 MAC 地址是否一致，一致認為有效，否則丟棄；對于目的 MAC 地址的檢查模式（只針對 ARP 應答報文），會檢查 ARP 應答報文中的目的 MAC 地址是否為全 0 或者全 1，是否和以太網(wǎng)報文頭中的目的 MAC 地址一致。全 0、全 1 和不一致的報文都是無效的，無效的報文需要被丟棄；對于 IP 地址檢查模式，會檢查 ARP 報文中的源 IP 和目的 IP 地址，全 0

54、、全1 或者組播 IP 地址都是不合法的，需要丟棄。對于 ARP 應答報文，源 IP 和目的 IP 地址都進行檢查；對于 ARP 請求報文，只檢查源 IP 地址。IP Source Guard技術(shù)根據(jù)對校園網(wǎng)和企業(yè)網(wǎng)的調(diào)查顯示，當前網(wǎng)絡安全面臨的一個主要問題是ARP地址攻擊問題，主要表現(xiàn)為仿冒網(wǎng)關(guān)攻擊、仿冒其他用戶攻擊和ARP泛洪，其中針對網(wǎng)關(guān)和其他用戶的地址欺騙攻擊尤為明顯和難以防范。H3C S12500支持IP Source Guard功能，可以對端口轉(zhuǎn)發(fā)的報文進行過濾控制， 防止非法報文通過端口，提高端口的安全性。端口接收到報文后查找IP Source Guard綁定表項，如果報文中的特

55、征項與綁定表項中記錄的特征項匹配，則端口轉(zhuǎn)發(fā)該報文，否則做丟棄處理。IP Source Guard支持的報文特征項包括：源IP地址、源MAC地址和VLAN標簽。并且，可支持端口與如下特征項的組合（下文簡稱綁定表項）：IP、MAC、IPMACIPVLAN、MACVLAN、IPMACVLANIP Source Guard支持兩種觸發(fā)綁定的機制：一種是通過手工配置方式提供綁定表項，稱為靜態(tài)綁定；另外一種由DHCP Snooping或者DHCP Relay提供綁定表項， 稱為動態(tài)綁定。而且，綁定是針對端口的，一個端口被綁定后，僅該端口被限制， 其他端口不受該綁定影響。如下圖所示，IP Source G

56、uard和DHCP Snooping聯(lián)動，在接入設備實現(xiàn)IP+MAC+PORT的綁定，防止接入用戶進行ARP地址欺騙和地址掃描等攻擊。With IP source guard enabled, establish IP-MAC- port bindings based on the DHCP snooping entryWith DHCP snooping enabled, resolve packets exchanged between the DHCP server and client to obtain IP-MAC- port bindings of legal usersDHCP

57、 serverGateway圖7 IP Source Guard在接入設備使用示意圖DHCP 服務安全技術(shù)地址盜用防護能力所謂地址盜用，是指一個非法用戶仿冒合法用戶的IP地址，盜用合法用戶的IP地址進行上網(wǎng)。網(wǎng)絡設備會學習到錯誤的ARP表項，影響合法用戶的正常上網(wǎng)。H3C S12500具有防范非法用戶盜用地址上網(wǎng)的能力。用S12500做DHCP Relay設備，當客戶端申請合法的IP地址時， S12500 會學習其IP地址和MAC地址，即DHCP Security表項；通過靜態(tài)配置也可以添加DHCP Security表項。在S12500上開啟Address Check功能，當交換機學習客戶端A

58、RP表項時，會去檢查其IP和MAC 地址對應關(guān)系是否合法。對于非法用戶，交換機拒絕學習其ARP表項，從而不轉(zhuǎn)發(fā)該客戶端報文，使該客戶端無法訪問網(wǎng)絡。DHCP-Snooping Option 82在傳統(tǒng)的DHCP動態(tài)分配IP地址的方式中，同一VLAN的用戶所擁有的權(quán)限是完全相同的，網(wǎng)絡管理者不能對同一VLAN中特定的用戶進行有效的控制。普通的DHCP中繼代理（不支持Option82的）也不能夠區(qū)分不同的客戶端，從而無法結(jié)合DHCP動態(tài)分配IP地址的應用來控制客戶端對網(wǎng)絡資源的訪問，給網(wǎng)絡的安全控制提出了嚴峻的挑戰(zhàn)。S12500的DHCP Snooping Option82功能使上述問題得到了有效

59、的解決。客戶端經(jīng)過S12500 中繼到DHCP 服務器獲得IP 時， Option82 功能可以在DHCP 報文的Option82域中添加特定信息（Circuit ID和Remote ID），這樣就能夠讓服務器識別該客戶端是在哪個DHCP中繼設備之下的。據(jù)此就可以給不同DHCP中繼設備下的客戶端分配不同權(quán)限的IP和不同的網(wǎng)絡配置，從而達到安全管理的目的。DHCP偽服務器檢測如果網(wǎng)絡中有私自架設的DHCP服務器，當客戶端申請IP地址時，這臺DHCP服務器就會與DHCP客戶端進行交互，導致客戶端獲得錯誤的IP地址。這種私設的DHCP服務器稱為偽DHCP服務器。S12500的DHCP Server

60、detect特性可以及時發(fā)現(xiàn)客戶私設服務器。當S12500收到來自網(wǎng)絡上其他設備的DHCP Server發(fā)出的DHCP報文時，會自動識別出私設的DHCP服務器，并打印告警信息提示管理員。DHCP偽服務器屏蔽在網(wǎng)絡中如果有私自架設的DHCP服務器，則可能導致用戶得到錯誤的IP地址。為了使用戶能通過合法的DHCP服務器獲取IP地址，DHCP Snooping將S12500的端口劃分為信任端口和非信任端口，只有信任端口上的DHCP服務器可以給網(wǎng)絡提供DHCP服務。對于非信任端口，上行的DHCP服務器報文將被攔截，使客戶端不會通過非信任端口上的DHCP服務器獲得IP，以保證客戶端的IP都是從指定的信任