3.1 mitm(man-in-the-middle)攻擊原理
按照arp協議的設計,為了減少網路上過多的arp資料通訊,乙個主機,即使收到的arp應答並非自己請求得到的,它也會將其插入到自己的arp快取表中,這樣,就造成了「 arp 欺騙」的可能。如果黑客想探聽同一網路中兩台主機之間的通訊(即使是通過交換機相連),他會分別給這兩台主機傳送乙個arp 應答包,讓兩台主機都「誤」認為第三方黑客的主機mac位址是對方的mac位址,這樣,雙方看似「直接」的通訊連線,實際上都是通過黑客所在的主機間接進行的。黑客一方面得到了想要的通訊內容,另一方面,只需要更改資料報中的一些資訊,成功地做好**工作即可。在這種嗅探方式中,黑客所在主機是不需要設定網絡卡的混雜模式的,因為通訊雙方的資料報在物理上都是傳送給黑客所在的中轉主機的。
這裡舉個例子,假定同乙個區域網內,有 3 臺主機通過交換機相連: a
主機:ip 位址為192.168.0.1 ,mac 位址為01:01:01:01:01:01 ;
b 主機:ip 位址為192.168.0.2 ,mac 位址為02:02:02:02:02:02 ;
c 主機:ip 位址為192.168.0.3 ,mac 位址為03:03:03:03:03:03 。
b 主機對a 和c 進行欺騙的前奏就是傳送假的arp 應答包,如圖所示:
在收到 b主機發來的arp應答後,a主機應知道: 到 192.168.0.3 的資料報應該發到 mac 位址為 020202020202 的主機; c 主機也知道:到 192.168.0.1 的資料報應該發到 mac 位址為 020202020202 的主機。這樣, a 和 c 都認為對方的 mac 位址是 020202020202 ,實際上這就是 b 主機所需得到的結果。當然,因為 arp 快取表項是動態更新的,其中動態生成的對映有個生命期,一般是兩分鐘,如果再沒有新的資訊更新, arp 對映項會自動去除。所以, b 還有乙個「任務」,那就是一直連續不斷地向 a 和 c 傳送這種虛假的 arp 響應包,讓其 arp快取中一直保持被毒害了的對映表項。
3.2防範方法
思科dynamic arp inspection (dai)在交換機上提供ip位址和mac位址的繫結,並動態建立繫結關係。dai 以dhcp snooping繫結表為基礎,對於沒有使用dhcp的伺服器個別機器可以採用靜態新增arp access-list實現。dai配置針對vlan,對於同一vlan內的介面可以開啟dai也可以關閉。通過dai可以控制某個埠的arp請求報文數量。通過這些技術可以防範「中間人」攻擊。
3.3配置示例
ios
全域性命令:
ip dhcp snooping vlan 100,200
no ip dhcp snooping information option
ip dhcp snooping
ip arp inspection vlan 100,200 /*
定義對哪些vlan 進行arp 報文檢測
ip arp inspection log-buffer entries 1024
ip arp inspection log-buffer logs 1024 interval 10
ios
介面命令:
ip arp inspection trust /*
定義哪些介面是信任介面,通常是網路裝置介面
ip arp inspection limit rate 15 (pps) /*
定義介面每秒arp 報文數量
對於沒有使用 dhcp 裝置可以採用下面辦法:
arp access-list static-arp
permit ip host 10.66.227.5 mac host 0009.6b88.d387
ip arp inspection filter static-arp vlan 201
3.4配置dai後的效果:
• 在配置dai技術的介面上,使用者端只能採用指定位址接入網路。
• 由於dai檢查dhcp snooping繫結表中的ip和mac對應關係,無法實施中間人攻擊,攻擊工具失效。下表為實施中間人攻擊是交換機的警告:
3w0d: %sw_dai-4-dhcp_snooping_deny: 1 invalid arps (req) on fa5/16, vlan 1.([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2 •
由於對arp請求報文做了速度限制,客戶端無法進行認為或者病毒進行的ip掃瞄、探測等行為,如果發生這些行為,交換機馬上報警或直接切斷掃瞄機器。如下表所示:
3w0d: %sw_dai-4-packet_rate_exceeded: 16 packets received in 184 milliseconds on fa5/30. ******報警
3w0d: %pm-4-err_disable: arp-inspection error detected on fa5/30, putting fa5/ 30 in err-disable state ******
切斷埠
i49-4500-1#.....sh int f.5/30
fastethernet5/30 is down, line protocol is down (err-disabled)
hardware is fast ethernet port , address is 0002.b90e .3f 4d (bia 0002.b90e .3f 4d)
mtu 1500 bytes, bw 100000 kbit, dly 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
i49-4500-1#...... •
使用者獲取ip位址後,使用者不能修改ip或mac,如果使用者同時修改ip和mac必須是網路內部合法的ip和mac才可,對於這種修改可以使用下面講到的ip source guard技術來防範。下表為手動指定ip的報警:
3w0d: %sw_dai-4-dhcp_snooping_deny: 1 invalid arps (req) on fa5/30, vlan 1.([000d.6078.2d95/192.168.1.100/0000.0000.0000/192.168.1.100/01:52:28 utc fri dec 29 2000 ])
交換網路安全防範系列四之IP MAC欺騙防範
4.1常見的欺騙攻擊的種類和目的 常見的欺騙種類有mac欺騙 ip欺騙 ip mac欺騙,其目的一般為偽造身份或者獲取針對ip mac的特權。當目前較多的是攻擊行為 如ping of death syn flood icmp unreacheable storm,另外病毒和木馬的攻擊也具有典型性,下...
網路安全防範
所屬課程 網路攻防實踐 作業要求 第六次作業 實踐內容 學習總結 其中的五個規則鏈對應者netfilter在tcp ip協議中的五個hook檢查點 上下兩部分分別對應外內資料通道 prerouting 對應檢查點 1,檢查進入主機的資料報,用於源位址nat轉換 input對應檢查點2,檢查發往本地網...
帶你學系列之Redis 安全防範
我們可以通過 redis 的配置檔案設定密碼引數,這樣客戶端連線到 redis 服務就需要密碼驗證,這樣可以讓你的 redis 服務更安全。我們可以通過以下命令檢視是否設定了密碼驗證 127.0.0.1 6379 config get requirepass 1 requirepass 2 預設情況...