2023年6月29日发(作者：)

可编辑

常见的TCP/IP体系协议安全隐患和应对方法（ARP,DHCP,TCP,DNS）

一、 ARP

常见的ARP安全隐患和对应的预防方法

泛洪攻击

ARP泛洪攻击就是攻击者通过伪造大量源IP地址变化的ARP报文频繁向网络中发送，使得交换机端口在接收到这些请求包后，频繁地处理这些ARP报文，占用大量的系统资源和设备CPU资源。这样一一来，使设备的ARP表溢出（超出所能存储的容量范围），合法用户的ARP报文就不能生成有效的ARP表项，导致正常通信中断。另外，通过向设备发送大量目标IP地址不能解析的IP报文，使设备反复地对目标IP地址进行解析，导致CPU负荷过重，也是泛洪攻击的一种。

在H3C设备中，可以通过限制VLAN中学习到的ARP表项数量来预防ARP泛洪攻击。ARP报文限速功能来预防ARP泛洪攻击。在设备的指定VLAN接口，配置允许学习动态ARP表项的最大个数。当该VLAN接口动态学习到的ARP表项超过限定的最大值后，将不进行动态地址表项的学习，从而防止某一VLAN内的恶意用户发动ARP泛洪攻击造成的危害。

2． “中间人攻击”

按照ARP协议的设计，一个主机即使收到的ARP应答并非自身请求得到的，也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信，但也为“ARP 欺骗”创造了条件。

如图17-1所示，Host A和Host C通过Switch进行通信。此时，如果有黑客（Host B）想探听Host A和Host C之间的通信，它可以分别给这两台主机发送伪造的ARP应答报文，使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后，Host A 和Host C之间看似“直接”的通信，实际上都是通过黑客所在的主机间接进行的，即Host B担当了“中间人”的角色，可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人（Man-In-The-Middle）攻击。

为了防止黑客或攻击者通过ARP报文实施“中间人”攻击，在一些H3C交换机中（如S3100、S5600系列等）支持ARP入侵检测功能。启用了ARP入侵检测功能后，对于ARP信任端口，不进行用户合法性检查；对于ARP非信任端口，需要进行用户合法性检查，以防止仿冒用户的攻击。

用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在端口上的合法用户，包括基于IP Source Guard静态绑定表项的检查、基于DHCP Snooping安全表项的检查、基于802.1X安全表项的检查和OUI MAC地址的检查。

首先进行基于IP Source Guard静态绑定表项检查。如果找到了对应源IP地址和源MAC地址的静态绑定表项，认为该ARP报文合法，进行转发。如果找到了对应源IP地址的静态绑定表项但源MAC地址不符，认为该ARP报文非法，进行丢弃。如果没有找到对应源IP地址的静态绑定表项，继续进行DHCP Snooping安全表项、---------------------------------------------------------- 可编辑

802.1X安全表项和MAC地址检查。---------------------------------------------------------- 可编辑

在基于IP Source Guard静态绑定表项检查之后进行基于DHCP Snooping安全表项、802.1X安全表项和MAC地址检查，只要符合三者中任何一个，就认为该ARP报文合法，进行转发。其中，MAC地址检查指的是，只要ARP报文的源MAC地址为MAC地址，并且使能了Voice VLAN功能，就认为是合法报文，检查通过。

如果所有检查都没有找到匹配的表项，则认为是非法报文，直接丢弃。

开启ARP入侵检测功能以后，用户可以通过配置ARP严格转发功能，使从指定VLAN的非信任端口上接收的合法ARP请求报文只能通过已配置的信任端口进行转发；而从非信任端口上接收的合法ARP应答报文，首先按照报文中的目的MAC地址进行转发，若目的MAC地址不在MAC地址表中，则将此ARP应答报文通过信任端口进行转发。

但是开启了ARP入侵检测功能后，需要将ARP报文上送到CPU处理，如果攻击者恶意构造大量ARP报文发往交换机的某一端口，会导致CPU负担过重，从而造成其他功能无法正常运行甚至设备瘫痪。于是H3C又有另一种配合的解决方案，就是在端口上配置ARP报文限速功能。开启某个端口的ARP报文限速功能后，交换机对每秒内该端口接收的ARP报文数量进行统计，如果每秒收到的ARP报文数量超过设定值，则认为该端口处于超速状态（即受到ARP报文攻击）。此时，交换机将关闭该端口，使其不再接收任何报文，从而避免大量ARP报文攻击设备。同时，设备支持配置端口状态自动恢复功能，对于配置了ARP限速功能的端口，在其因超速而被交换机关闭后，经过一段时间可以自动恢复为开启状态。

3. 仿冒网关攻击

按照ARP协议的设计，网络设备收到目的IP地址是本接口IP地址的ARP报文（无论此ARP报文是否为自身请求得到的），都会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信，但也为“ARP欺骗”创造了条件。

实际网络环境，特别是校园网中，最常见的ARP攻击方式是“仿冒网关”攻击。即：攻击者伪造ARP报文，发送源IP地址为网关IP地址，源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机，使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来，主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。

因为主机A仿冒网关向主机B发送了伪造的网关ARP报文，导致主机B的ARP表中记录了错误的网关地址映射关系（本来正确的MAC地址应该是1-1-1，现在却被更新为2-2-2），这样主机在上网时发送给网关报文时会错误地发送到仿冒的网关中，从而正常的数据不能被网关接收，造成所有更新了错误的网关ARP表项的用户主机都上不了网。

仿冒网关攻击是一种比较常见的攻击方式，如果攻击源发送的是广播ARP报文，或者根据其自身所掌握的局域网内主机的信息依次地发送攻击报文，就可能会导致整个局域网通信的中断，是ARP攻击中影响较为严重的一种。

为了防御“仿冒网关”的ARP攻击，在一些H3C交换机中（如S3100、S5600等系列）中提供了基于网关IP/MAC的ARP报文过滤功能。为防御交换机下行端口（下行端口通常是直接连接用户的）可能收到的源IP地址为网关IP地址的ARP攻击报文，可将接入交换机下行端口和网关IP进行绑定。绑定后，该端口接收的源IP地址为网关IP地址的ARP报文将被丢弃，其他ARP报文允许通过。为防御交换机上行端口（通常是直接连接网关设备的）可能收到的源IP地址为网关IP地址，---------------------------------------------------------- 可编辑

源MAC地址为伪造的MAC地址的ARP攻击报文，可将接入交换机级联端口或上行端口和网关IP地址、网关MAC地址进行绑定。绑定后，该端口接收的源IP地址为指定的网关IP地址，源MAC地址为非指定的网关MAC地址的ARP报文将被丢弃，其他ARP报文允许通过。这样一来，这些仿冒网关的ARP报文就不起作用了。---------------------------------------------------------- 可编辑

【注意】ARP信任端口功能比端口支持基于网关IP/MAC的ARP报文过滤功能的优先级高，即：如果接入交换机级联端口或上行端口被配置为ARP信任端口，则该端口上对于网关IP地址、网关MAC地址的绑定不生效

4. 欺骗网关攻击

恶意用户可能通过工具软件，发送伪造网络中其他设备（或主机）的源IP或源MAC地址的ARP报文，从而导致途径网络设备上的ARP表项刷新到错误的端口上，导致正常主机的网络流量中断。

主机A以主机B的IP地址（10.10.01.3）为源IP地址和仿冒的MAC地址（5-5-5）为源MAC地址冒充主机B向网关发送了伪造的主机B的ARP报文，导致网关中关于主机B的ARP表中记录了错误的主机B地址映射关系，这来来自互联网发往主机B的的数据包就不能正确地被主机B接收。

为了防御这一类ARP攻击，H3C的一些交换机（如S3100、S5600系列）中提供了ARP报文源MAC一致性检查功能。通过检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致，来校验其是否为伪造的ARP报文。如果一致，则该ARP报文通过一致性检查，交换机进行正常的表项学习；如果不一致，则认为该ARP报文是伪造报文，交换机不学习动态ARP表项的学习，也不根据该报文刷新ARP表项。

5. 欺骗其他用户攻击

这种攻击方式与上面介绍的欺骗网关攻击一样，只不过，这里攻击者的仿冒报文不是发送给风关，而是发送给其他用户主机。如图17-4所示，主机A以主机B的IP地址（10.10.10.3）为源IP地址，仿冒的MAC地址（5-5-5）向主机C发送了伪造的主机B的ARP报文，导致主机C的ARP表中记录了错误的主机B地址映射关系，从而导致主机C发送给主机BR 正常的数据报文不能正确地被主机B接收。

防止欺骗其他用户的攻击方法也是采用前面介绍的ARP报文源MAC一致性检查功能，不再赘述。,

通常需要配置以上所介绍的ARP攻击防御功能的设备如下所示：

l 配置VLAN接口学习动态ARP表项的最大数目：网关设备

l 配置ARP报文源MAC一致性检查功能：网关设备、接入设备

l 配置基于网关IP/MAC的ARP报文过滤功能：接入设备

l 配置ARP入侵检测功能：网关设备、接入设备

l 配置ARP报文限速功能：网关设备、接入设备

二、 DHCP---------------------------------------------------------- 可编辑

通过“伪服务器检测”功防DHCP服务能在日志中记录DHCP服欺骗攻击 务器的信息，协助管理员发现伪DHCP服务器

防止非法用通过“DHCP中继安全地址户（或用户检查”功能与ARP模块的随意更换IP配合，防止局域网中的非地址）访问法用户访问外网

网络

通过“握手机制”进行表项老化机DHCP 中继用户地址表项制

的定时老化

通过“DHCP Snooping信任端口”功能，自动丢弃非信任端口的DHCP响应报文，防止伪DHCP服务器攻击

通过“ARP入侵检测”、“IP过滤”功能防止局域网中的非法用户访问外网

通过“租约定时器”实现根据客户端IP地址的租约对DHCP

Snooping表项进行老化

三、 TCP

TCP/IP协议的安全隐患有以下几点：

1 关于链路层存在的安全隐患

在以内网中，信息通道是共享的，一般地，CSMA/CD协议是以太网接口在检测到数据帧不属于自己时，就把它忽略，不会把其他送到上层协议。解决该漏洞的对策是：网络分段、利用交换器、动态集线器等设备对数据流进行限制，加密和禁用杂错节点。

2 关于ip漏洞

Ip包一旦从网络中发送出去，源ip地址就几乎不用，仅在中间路由器因某种原因丢弃它或达到目标端后，才被使用。如果攻击者把自己的主机伪装成目标主机信任的友好主机，即把发送的ip包中的源ip地址改成被信任的友好主机ip地址，利用主机间信任关系和这种信任关系的实际认证中存在的脆弱性，就可以对信任主机进行攻击。解决这个问题的一个办法是，让路由器拒接接受来自网络外部的ip地址与本地某一主机的ip地址相同的ip包的进入。

3 关于DNS欺骗

网络上的所有主机都信任DNS服务器，如果DNS服务器中的数据被攻击者破坏，就可以进行DNS欺骗。

SYN Flood是目前最流行的DoS（拒绝服务攻击）与DdoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。

防御方法：SYN-cookie技术

SYN-cookie是对TCP服务器端的三次握手协议作一些修改，专门用来防范SYN

Flood攻击的一种手段。一般情况下，当TCP服务器收到个TCP SYN报文后，马上为该连接请求分配缓冲区，然后返回一个SYN +ACK报文，这时形成一个半连接。SYN Flood正是利用了这一点，发送大量的伪造源地址的SYN 连接请求，而不完成连接，这样就大量的消耗服务器的资源。

---------------------------------------------------------- 可编辑

SYN –cookie技术针对标准TCP连接建立过程资源分配上的这一缺陷，改变了资源分配的策略。当服务器收到一个SYN 报文后，不立即分配一个专门的数据缓冲区，而是利用连接的信息生成一个临时文件（cookie），并将这个临时文件（cookie）作为将要返回的SYN +ACK报文的初始序列号。当客户端返回一个ACK报文时，根据包头信息计算临时文件（cookie），与返回的确认序列号（初始序列号+1）的前24位进行对比，如果相同，则是一个正常连接，然后，分配资源，建立连接

四、 DNS

五、

六、

七、 . .

----------------------------------------------------------