最新国产精品拍自在线观看,在线观看国产一区二区三区,亚洲乱码中文字幕系列,日韩亚无码一区二区三区

  1. 簡(jiǎn)體中文
語(yǔ)言入口:

交換機(jī)知識(shí)--網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)淺析

發(fā)布者::SeaPai   發(fā)布時(shí)間: :2014-12-24 15:24 瀏覽次數(shù): :

ARP(Address Resolution Protocol,地址解析協(xié)議)用于將網(wǎng)絡(luò)層的IP地址解析為數(shù)據(jù)鏈路層地址。IP地址只是主機(jī)在網(wǎng)絡(luò)層中的地址,如果要將網(wǎng)絡(luò)層中數(shù)據(jù)包傳送給目的主機(jī),必須知道目的主機(jī)的數(shù)據(jù)鏈路層地址(比如以太網(wǎng)絡(luò)MAC地址)。因此必須將IP地址解析為數(shù)據(jù)鏈路層地址。

ARP協(xié)議用于將IP地址解析為MAC地址,并在主機(jī)內(nèi)部維護(hù)一張ARP表,記錄最近與本主機(jī)通信的其它主機(jī)的MAC地址與IP地址的對(duì)應(yīng)關(guān)系。當(dāng)主機(jī)需要與陌生主機(jī)通信時(shí),首先進(jìn)行ARP地址解析,ARP地址解析過(guò)程如圖所示:

 

 

1) A在自己的ARP表中查詢是否存在主機(jī)B的IP地址和MAC地址的對(duì)應(yīng)條目。若存在,直接向主機(jī)B發(fā)送數(shù)據(jù)。若不存在,則A向整個(gè)局域網(wǎng)中廣播一份稱為“ARP請(qǐng)求”的數(shù)據(jù)鏈路幀,這個(gè)請(qǐng)求包含發(fā)送端(即主機(jī)A)的IP地址和MAC地址以及接收端(即主機(jī)B)的IP地址。

2) 局域網(wǎng)的每個(gè)主機(jī)接收到主機(jī)A廣播的ARP請(qǐng)求后,目的主機(jī)B識(shí)別出這是發(fā)送端在詢問(wèn)它的IP地址,于是給主機(jī)A發(fā)出一個(gè)ARP應(yīng)答。這個(gè)應(yīng)答包含了主機(jī)B的MAC地址。

3) 主機(jī)A接收到主機(jī)B發(fā)出的ARP應(yīng)答后,就將主機(jī)B的IP地址與MAC地址的對(duì)應(yīng)條目添加自己的ARP表中,以便后續(xù)報(bào)文的轉(zhuǎn)發(fā)。

掃描綁定功能即通過(guò)交換機(jī)向局域網(wǎng)或VLAN發(fā)送指定IP段的ARP請(qǐng)求報(bào)文,當(dāng)收到相應(yīng)的ARP應(yīng)答報(bào)文時(shí),將分析ARP應(yīng)答報(bào)文來(lái)獲得四元信息。由此可見(jiàn),通過(guò)掃描綁定功能可以很方便的將局域網(wǎng)用戶的四元信息進(jìn)行綁定。

DHCP偵聽(tīng)

隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和網(wǎng)絡(luò)復(fù)雜度的提高,經(jīng)常出現(xiàn)計(jì)算機(jī)的數(shù)量超過(guò)可供分配的IP地址的情況。同時(shí)隨著便攜機(jī)及無(wú)線網(wǎng)絡(luò)的廣泛使用,計(jì)算機(jī)的位置也經(jīng)常變化,相應(yīng)的IP地址也必須經(jīng)常更新,從而導(dǎo)致網(wǎng)絡(luò)配置越來(lái)越復(fù)雜。DHCP(Dynamic Host Configuration Protocol,動(dòng)態(tài)主機(jī)配置協(xié)議)是在BOOTP協(xié)議基礎(chǔ)上進(jìn)行了優(yōu)化和擴(kuò)展而產(chǎn)生的一種網(wǎng)絡(luò)配置協(xié)議,并有效解決了上面這些問(wèn)題。

DHCP工作原理

DHCP采用“客戶端/服務(wù)器”通信模式,由客戶端向服務(wù)器提出配置申請(qǐng),服務(wù)器返回為客戶端分配的IP地址等配置信息,以實(shí)現(xiàn)網(wǎng)絡(luò)資源的動(dòng)態(tài)配置。通常一臺(tái)服務(wù)器可以為多臺(tái)客戶端分配IP,如圖所示:

 

針對(duì)DHCP客戶端的需求不同,DHCP服務(wù)器提供三種IP地址分配策略:

1) 手工分配地址:由管理員為少數(shù)特定客戶端(如WWW服務(wù)器等)靜態(tài)綁定IP地址。通過(guò)DHCP將固定IP地址分配給客戶端。

2) 自動(dòng)分配地址:DHCP服務(wù)器為客戶端分配租期為無(wú)限長(zhǎng)的IP地址。

3) 動(dòng)態(tài)分配地址:DHCP服務(wù)器為客戶端分配具有一定有效期限的IP地址,當(dāng)使用期限到期后,客戶端需要重新申請(qǐng)地址。

絕大多數(shù)客戶端均通過(guò)動(dòng)態(tài)分配地址的方式獲取IP地址,其獲取IP地址的過(guò)程如下圖所示:

 

1) 發(fā)現(xiàn)階段,客戶端以廣播方式發(fā)送DHCP-DISCOVER報(bào)文尋找DHCP服務(wù)器。

2) 提供階段,DHCP服務(wù)器接收到客戶端發(fā)送的DHCP-DISCOVER報(bào)文后,根據(jù)IP地址分配的優(yōu)先次序從地址池中選出一個(gè)IP地址,與其它參數(shù)一起通過(guò)DHCP-OFFER報(bào)文發(fā)送給客戶端(發(fā)送方式根據(jù)客戶端發(fā)送的DHCP-DISCOVER報(bào)文中的flag字段決定,具體請(qǐng)見(jiàn)DHCP報(bào)文格式的介紹)。

3) 選擇階段,如果有多臺(tái)DHCP服務(wù)器向該客戶端發(fā)來(lái)DHCP-OFFER報(bào)文,客戶端只接受第一個(gè)收到的DHCP-OFFER報(bào)文,然后以廣播方式發(fā)送DHCP-REQUEST報(bào)文,該報(bào)文中包含DHCP服務(wù)器在DHCP-OFFER報(bào)文中分配的IP地址。

4) 確認(rèn)階段,DHCP服務(wù)器收到DHCP客戶端發(fā)來(lái)的DHCP-REQUEST報(bào)文后,只有DHCP客戶端選擇的服務(wù)器會(huì)進(jìn)行如下操作:如果確認(rèn)地址分配給該客戶端,則返回DHCP-ACK報(bào)文;否則將返回DHCP-NAK報(bào)文,表明地址不能分配給該客戶端。

Option 82

DHCP報(bào)文格式基于BOOTP的報(bào)文格式,共有8種類型的報(bào)文,每種報(bào)文的格式相同。DHCP和BOOTP消息的不同主要體現(xiàn)在選項(xiàng)(Option)字段,并利用Option字段來(lái)實(shí)現(xiàn)功能擴(kuò)展。例如DHCP可以利用Option字段傳遞控制信息和網(wǎng)絡(luò)配置參數(shù),實(shí)現(xiàn)地址的動(dòng)態(tài)分配,為客戶端提供更加豐富的網(wǎng)絡(luò)配置信息。更多DHCP Option選項(xiàng)的介紹,請(qǐng)參見(jiàn)RFC 2132。

Option 82選項(xiàng)記錄了DHCP客戶端的位置信息,交換機(jī)接收到DHCP客戶端發(fā)送給DHCP服務(wù)器的請(qǐng)求報(bào)文后,在該報(bào)文中添加Option 82,并轉(zhuǎn)發(fā)給DHCP服務(wù)器。管理員可以從Option 82中獲得DHCP客戶端的位置信息,以便定位DHCP客戶端,實(shí)現(xiàn)對(duì)客戶端的安全和計(jì)費(fèi)等控制。支持Option 82的服務(wù)器還可以根據(jù)該選項(xiàng)的信息制訂IP地址和其它參數(shù)的分配策略,提供更加靈活的地址分配方案。

Option 82最多可以包含255個(gè)子選項(xiàng)。若定義了Option 82,則至少要定義一個(gè)子選項(xiàng)。目前本交換機(jī)支持兩個(gè)子選項(xiàng):Circuit ID(電路ID子選項(xiàng))和Remote ID(遠(yuǎn)程ID子選項(xiàng))。由于Option 82的內(nèi)容沒(méi)有統(tǒng)一規(guī)定,不同廠商通常根據(jù)需要進(jìn)行填充。目前本交換機(jī)對(duì)子選項(xiàng)的填充內(nèi)容如下,電路ID子選項(xiàng)的填充內(nèi)容是接收到DHCP客戶端請(qǐng)求報(bào)文的端口所屬VLAN的編號(hào)以及端口號(hào),遠(yuǎn)程ID子選項(xiàng)的填充內(nèi)容是接收到DHCP客戶端請(qǐng)求報(bào)文的DHCP Snooping設(shè)備的MAC地址。

DHCP服務(wù)欺騙攻擊

在DHCP工作過(guò)程中,通常服務(wù)器和客戶端沒(méi)有認(rèn)證機(jī)制,如果網(wǎng)絡(luò)上存在多臺(tái)DHCP服務(wù)器,不僅會(huì)給網(wǎng)絡(luò)造成混亂,也對(duì)網(wǎng)絡(luò)安全造成很大威脅。這種網(wǎng)絡(luò)中出現(xiàn)非法的DHCP服務(wù)器,通常分為兩種情況:

1) 用戶不小心配置的DHCP服務(wù)器,由此引起的網(wǎng)絡(luò)混亂非常常見(jiàn)。

2) 黑客將正常的DHCP服務(wù)器中的IP地址耗盡,然后冒充合法的DHCP服務(wù)器,為客戶端分配IP地址等配置參數(shù)。例如黑客利用冒充的DHCP服務(wù)器,為用戶分配一個(gè)經(jīng)過(guò)修改的DNS服務(wù)器地址,在用戶毫無(wú)察覺(jué)的情況下被引導(dǎo)至預(yù)先配置好的假的金融網(wǎng)站或電子商務(wù)網(wǎng)站,騙取用戶的帳戶和密碼,如圖所示。

 

DHCP偵聽(tīng)是運(yùn)行在交換機(jī)上的一種DHCP安全特性。通過(guò)設(shè)置DHCP服務(wù)器的連接端口為授信端口,只處理授信端口發(fā)來(lái)的DHCP響應(yīng)報(bào)文;通過(guò)監(jiān)聽(tīng)DHCP報(bào)文,記錄用戶從DHCP服務(wù)器獲取局域網(wǎng)用戶的四元信息,進(jìn)行綁定后與ARP攻擊防護(hù)、IP源防護(hù)等安全功能配合使用;同時(shí)也可以過(guò)濾不可信任的DHCP信息,防止局域網(wǎng)中發(fā)生DHCP服務(wù)欺騙攻擊,提高網(wǎng)絡(luò)的安全性。

ARP防護(hù)

根據(jù)所述的ARP地址解析過(guò)程可知,利用ARP協(xié)議,可以實(shí)現(xiàn)相同網(wǎng)段內(nèi)的主機(jī)之間正常通信或者通過(guò)網(wǎng)關(guān)與外網(wǎng)進(jìn)行通信。但由于ARP協(xié)議是基于網(wǎng)絡(luò)中的所有主機(jī)或者網(wǎng)關(guān)都為可信任的前提制定的,因此在實(shí)際復(fù)雜的網(wǎng)絡(luò)中,此過(guò)程存在大量的安全隱患,從而導(dǎo)致針對(duì)ARP協(xié)議的欺騙攻擊非常常見(jiàn)。網(wǎng)關(guān)仿冒、欺騙網(wǎng)關(guān)、欺騙終端用戶和ARP泛洪攻擊均是在學(xué)校等大型網(wǎng)絡(luò)中常見(jiàn)的ARP攻擊,以下簡(jiǎn)單介紹這幾種常見(jiàn)攻擊:

網(wǎng)關(guān)仿冒

攻擊者發(fā)送錯(cuò)誤的網(wǎng)關(guān)MAC給受害者,而網(wǎng)絡(luò)中的受害者收到這些ARP響應(yīng)報(bào)文時(shí),自動(dòng)更新ARP表,導(dǎo)致不能正常訪問(wèn)網(wǎng)絡(luò)。如圖所示。

 

如圖,攻擊者發(fā)送偽造的網(wǎng)關(guān)ARP報(bào)文給局域網(wǎng)中的正常用戶,相應(yīng)的局域網(wǎng)用戶收到此報(bào)文后更新自己的ARP表項(xiàng)。當(dāng)局域網(wǎng)中正常用戶要與網(wǎng)關(guān)進(jìn)行通信時(shí),將數(shù)據(jù)包封裝上錯(cuò)誤的目的MAC地址,導(dǎo)致通信中斷。

欺騙網(wǎng)關(guān)

攻擊者發(fā)送錯(cuò)誤的終端用戶的IP/MAC的對(duì)應(yīng)關(guān)系給網(wǎng)關(guān),導(dǎo)致網(wǎng)關(guān)無(wú)法和合法終端用戶正常通信。如圖所示。

 

如圖,攻擊者發(fā)送偽造的用戶A的ARP報(bào)文給網(wǎng)關(guān),網(wǎng)關(guān)收到此報(bào)文后更新自己的ARP表項(xiàng),當(dāng)網(wǎng)關(guān)與局域網(wǎng)中用戶A進(jìn)行通信時(shí),將數(shù)據(jù)包封裝上錯(cuò)誤的目的MAC地址,導(dǎo)致通信中斷。

欺騙終端用戶

攻擊者發(fā)送錯(cuò)誤的終端用戶/服務(wù)器的IP/MAC的對(duì)應(yīng)關(guān)系給受害的終端用戶,導(dǎo)致同網(wǎng)段內(nèi)兩個(gè)終端用戶之間無(wú)法正常通信。如圖所示。

如圖,攻擊者發(fā)送偽造的用戶A的ARP報(bào)文給用戶B,用戶B收到此報(bào)文后更新自己的ARP表項(xiàng),當(dāng)用戶B與用戶A進(jìn)行通信時(shí),將數(shù)據(jù)包封裝上錯(cuò)誤的目的MAC地址,導(dǎo)致通信中斷。

中間人攻擊

攻擊者不斷向局域網(wǎng)中計(jì)算機(jī)發(fā)送錯(cuò)誤的ARP報(bào)文,使受害主機(jī)一直維護(hù)錯(cuò)誤的ARP表項(xiàng)。當(dāng)局域網(wǎng)主機(jī)互相通信時(shí),將數(shù)據(jù)包發(fā)給攻擊者,再由攻擊者將數(shù)據(jù)包進(jìn)行處理后轉(zhuǎn)發(fā)。在這個(gè)過(guò)程中,攻擊者竊聽(tīng)了通信雙方的數(shù)據(jù),而通信雙方對(duì)此并不知情。這就是中間人攻擊。如圖所示。

 

假設(shè)同一個(gè)局域網(wǎng)內(nèi),有3臺(tái)主機(jī)通過(guò)交換機(jī)相連:

A主機(jī):IP地址為192.168.0.101,MAC地址為00-00-00-11-11-11;

B主機(jī):IP地址為192.168.0.102,MAC地址為00-00-00-22-22-22;

攻擊者:IP地址為192.168.0.103,MAC地址為00-00-00-33-33-33。

1. 首先,攻擊者向主機(jī)A和主機(jī)B發(fā)送偽造的ARP應(yīng)答報(bào)文。

2. A主機(jī)和B主機(jī)收到此ARP應(yīng)答后,更新各自的ARP表。

3. A主機(jī)和B主機(jī)通信時(shí),將數(shù)據(jù)包發(fā)送給錯(cuò)誤的MAC地址,即攻擊者。

4. 攻擊者竊聽(tīng)了通信數(shù)據(jù)后,將數(shù)據(jù)包處理后再轉(zhuǎn)發(fā)到正確的MAC地址,使A主機(jī)和B主機(jī)保持正常的通信。

5. 攻擊者連續(xù)不斷地向A主機(jī)和B主機(jī)發(fā)送偽造的ARP響應(yīng)報(bào)文,使二者的始終維護(hù)錯(cuò)誤的ARP表。

在A主機(jī)和B主機(jī)看來(lái),彼此發(fā)送的數(shù)據(jù)包都是直接到達(dá)對(duì)方的,但在攻擊者看來(lái),其擔(dān)當(dāng)?shù)木褪?ldquo;第三者”的角色。這種嗅探方法,也被稱作“中間人”的方法。

ARP泛洪攻擊

攻擊者偽造大量不同ARP報(bào)文在同網(wǎng)段內(nèi)進(jìn)行廣播,消耗網(wǎng)絡(luò)帶寬資源,造成網(wǎng)絡(luò)速度急劇降低;同時(shí),網(wǎng)關(guān)學(xué)習(xí)此類ARP報(bào)文,并更新ARP表,導(dǎo)致ARP表項(xiàng)被占滿,無(wú)法學(xué)習(xí)合法用戶的ARP表,導(dǎo)致合法用戶無(wú)法訪問(wèn)外網(wǎng)。

在本交換機(jī)中,通過(guò)四元綁定功能在用戶接入交換機(jī)時(shí)即對(duì)用戶的四元信息進(jìn)行綁定;而在ARP防護(hù)功能中則利用在交換機(jī)中綁定的四元信息對(duì)ARP報(bào)文進(jìn)行檢查,過(guò)濾非法ARP報(bào)文。通過(guò)上述兩步可以很好的對(duì)局域網(wǎng)中ARP攻擊進(jìn)行防御。


相關(guān)技術(shù)支持
 相關(guān)產(chǎn)品