二层攻击防范技术

DHCP 常见防范技术

DHCP原理

DHCP详细配置：详细配置

DHCP ----C/S架构
基于 UDP
67-----bootps ，服务端使用
68-----bootpc ， 客户端使用

工作原理：
发现-----广播
提供-----单播
请求-----广播
确认-----单播

DHCP Snooping

基本功能

1、信任功能：
作用：DHCP snooping的信任功能，就是为了让用户从合法的DHCP 服务器上获取到IP地址。
DHCP Snooping 信任功能允许将端口分为信任端口和非信任端口：

信任端口正常转发接收到的 DHCP 应答报文。
非信任端口在接收到 DHCP 服务器响应的 DHCP Ack、DHCP Nak、DHCP Offer 和 DHCP Decline 报文后，丢弃该报文。

说明：
管理员在部署网络时，一般将与合法 DHCP 服务器直接或间接连接的端口设置为信任端口，其他端口设置为非信任端口，从而保证 DHCP 客户端只能从合法的 DHCP 服务器获取 IP 地址，私自架设的伪 DHCP 服务器无法为DHCP 客户端分配 IP 地址。

dhcp snooping

2.基本监听功能：
作用：
DHCP Snooping 的基本监听功能，能够记录 DHCP 客户端 IP 地址与MAC地址等参数的对应关系。
由于 DHCP Snooping 绑定表记录了 DHCP 客户端 IP 地址与 MAC 地址等参数的对应关系，故通过对报文与 DHCP Snooping 绑定表进行匹配检查，能够有效的防止攻击者构造合法用户报文对网络进行的攻击。

3、DHCP Snooping 配置方式
动态生成绑定表(IP地址 MAC地址 VLAN 接口）

使用防火墙作为DHCP中继，配置三层DHCP SNOOPING
中继配置：
interface GigabitEthernet0/0/1
 dhcp select relay
配置思路：
第一步:配置DHCP Snooping
dhcp snooping enable 

int XXX
dhcp snooping enable  

第二步：去连接DHCP服务器的接口配置为信任端口
int XXX
interface GigabitEthernet0/0/2
 dhcp snooping trusted

第三步：客户端获取地址
[DHCP Relay]display  dhcp snooping  bind-table all 

注意绑定表问题
如果是不在绑定表中，可以正常通过
如果在绑定表中，必须配置正确，如果不正确也通过不了

手工绑定

dhcp snooping bind-table static ip-address X.X.X.X mac-address XXXX-XXXX-XXXX

防火墙作为DHCP服务器，交换机配置DHCP SNOOPING

配置
交换机
第一步：开启DHCP  Snooping功能
dhcp enable
dhcp snooping enable 
dhcp snooping enable  vlan 10

第二步：配置信任端口
interface Ethernet0/0/1
 dhcp snooping trusted

第三步：客户端重新地址，查看交换机的绑定表

DHCP相关攻击

1、DHCP服务器伪造
攻击原理
由于DHCP服务器和DHCP客户端之间没有认证机制，所以如果在网络上添加一台DHCP服务器，就可以为客户端分配IP地址和其他参数，使客户端不能正常上网或者通过DHCP分配的参数进行上网，导致上网的信息被窃取

防御原理
使用DHCP Snooping，将连接真实服务器的接口设置为trust接口，只有trust接口才能回应offer和ack报文。

2、ARP欺骗攻击与源IP欺骗
ARP欺骗攻击攻击原理
首先，中间人向客户端发送带有自己的MAC地址和服务器IP地址的arp报文，让客户端学到中间人的IP和MAC，达到仿冒DHCP Server的目的。达到目的后，客户端发到DHCP服务器的报文都会经过中间人；然后，中间人向服务器发送带有自己MAC和客户端IP的报文，让服务器学到中间人的IP和MAC，达到仿冒客户端的目的

防御原理
DAI（Dynamic ARP Inspection）动态ARP检查。为了防御中间人攻击，避免合法用户的数据被中间人窃取，可以使能动态ARP检测功能。设备会将ARP报文对应的源IP、源MAC、接口、VLAN信息和绑定表中的信息进行比较，如果信息匹配，说明发送该ARP报文的用户是合法用户，允许此用户的ARP报文通过，否则就认为是攻击，丢弃该ARP报文。

配置命令

[接口视图] arp anti-attack check user-bind enable //使能检查绑定表功能
[接口视图] arp anti-attack check user-bind alarm enable//使能告警功能

本功能仅适用于DHCP Snooping场景。设备使能DHCP Snooping功能后，当DHCP用户上线时，设备会自动生成DHCP Snooping绑定表；对于静态配置IP地址的用户，设备不会生成DHCP Snooping绑定表，所以需要手动添加静态绑定表。

user-bind static 10.1.1.1 1-1-1 vlan 10，配置静态用户绑定表项。

源IP欺骗攻击
攻击者向服务器发送带有合法用户IP报文，假扮成合法的用户来使用网络服务，让真正的合法用户不能从服务器获得服务

防范原理
对于源IP地址欺骗攻击，DHCP Snooping技术也可以与IPSG技术进行联动，即对于进入交换机端口的报文进行DHCP Snooping绑定表的匹配检查，如果报文的信息与绑定表一致，则允许通过，如果不一致则丢弃该报文。报文的检查项可以是源IP地址、源MAC地址、Vlan和物理端口号等若干组合。如在交换机的端口视图下可支持IP+MAC、IP+Vlan、IP+MAC+Vlan等组合检查，在交换机的Vlan视图下可支持：IP+MAC、IP+物理端口号、IP+MAC+物理端口号等组合检查。命令：ip source check user-bind enable

注意：
对于配置静态IP的用户，由于没有通过DHCP请求而获得IP，所以，没有对应的DHCP Snooping绑定表项，该用户发出的ARP、IP报文会被丢弃，从而防止该用户非法使用网络。只能通过配置静态DHCP Snooping绑定表来允许静态IP用户访问网络

3、DHCP报文泛洪攻击
攻击原理
若攻击者短时间内向设备发送大量的DHCP报文，将会对设备的性能造成巨大的冲击以导致设备无法正常的工作

防御原理
在使能dhcp snooping功能的同时检测DHCP报文的上传速率，可手工设置最大速率（
DHCP请求限速）

解决方案：

dhcp snooping check dhcp-rate enable
dhcp snooping check dhcp-rate 90

4.仿冒DHCP报文攻击
攻击原理
在DHCP服务提供过程中，已获得了IP地址（与非DHCP用户攻击区别开）的合法用户通过向服务器发送DHCP Request或DHCP Release报文续租或释放IP地址，导致IP到期后无法正常收回，也导致正常用户可能被迫下线

防御原理
对于DHCP Request报文
检测目的MAC地址是否全为F，如果是则认为是第一次请求的报文，直接通过；如果不全为F，则认为是续租报文，将根据DHCP Snooping绑定表进行匹配，匹配才能通过，否则会丢弃

HCP Release报文
直接检查报文中的VLAN，IP地址等信息和DHCP Snooping绑定表中的信息是否匹配，只有匹配才能允许通过

解决方案

int xxxx
dhcp snooping check dhcp-chaddr enable
dhcp snooping check dhcp-request enable

5.DHCP服务器拒绝服务攻击

攻击原理
如果DHCP服务器被大量的恶意申请IP地址，会导致DHCP服务器中IP地址快速耗尽而不能为其他设备提供IP地址，另外设备恶意通过修改DHCP Request报文中的chaddr字段来获取信息的IP地址（因为DHCP服务器是通过检查这个字端来确认客户端的MAC地址，来决定是否发放IP地址给设备，如果已经发放了不会发放，没有发放的会继续发放），这样同样会导致DHCP服务器的地址被耗尽

防御原理
开启检测DHCP Request报头帧头MAC地址与DHCP数据区中CHADDR字段是否相同的功能，相同则转发，不同则丢弃

解决方案：

int xxxx
dhcp snooping check dhcp-chaddr enable
dhcp snooping check dhcp-request enable

IPSG

随着网络规模越来越大，基于源IP的攻击也逐渐增多，一些攻击者利用欺骗的手段获取到网络资源，取得合法使用网络的能力，甚至造成被欺骗者无法访问网络，或者信息泄露，造成不可估量的损失。

IPSG(IP Source Guard），是指设备在作为二层设备使用时，利用绑定表来防御IP源欺骗的攻击。
当设备在转发IP报文时，将此IP报文中的源IP、源MAC、端口、VLAN信息和绑定表的信息进行比较，如果信息匹配，说明是合法用户，则允许此用户正常转发，否则认为是攻击者，丢弃该用户发送的IP报文。

IP地址包括IPv4地址和IPv6地址，即使能IPSG功能后，设备将对用户IP报文的源IPv4地址和源IPv6地址都进行检查。

IPSG功能只对IP类型的报文有效。对其他类型的报文，如PPPoE（Point-to-Point Protocol over Ethernet）报文无法生效。
IP:
1.1.1.3/24
MAC: 3-3-3

配置命令：

[接口视图] ip source check user-bind enable //使能IP报文检查功能。

结合DHCP Snooping使用。
IPSG可以基于VLAN对IP报文进行检查，也可以基于接口对IP报文进行检查。
本命令只对动态绑定表生效，对静态绑定表不生效。对于静态绑定表，IPSG按照静态绑定表配置的表项进行完全匹配。

DAI：针对于arp表项绑定
IPSG:针对于ip表象绑定
IP-Snooping：针对对端口划分为信任和非信任

端口安全

定义：端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址（包括安全动态MAC和Sticky MAC），阻止非法用户通过本接口接入网络，从而增强设备的安全性

定义：端口安全通过将接口学习到的动态MAC地址转换为安全MAC地址（包括安全动态MAC和Sticky MAC），阻止非法用户通过本接口接入网络，从而增强设备的安全性

安全动态MAC地址
定义：使能端口安全而未使能Sticky MAC功能时转换的MAC地址
特性
设备重启后表项会丢失，需要重新学习
缺省情况下不会被老化，只有在配置安全MAC的老化时间后才可以被老化

Sticky MAC地址
定义：使能端口安全后又同时使能Sticky MAC功能后转换到的MAC地址
特性
不会被老化，手动保存配置后重启设备不会丢失
可以手工配置的Sticky MAC地址，也可以自己学习为动态的Sticky MAC地址

工作原理
1.当接口上学习到了MAC地址，地址会转换为动态MAC地址、Sticky MAC地址或者是手工配置静态的Sticky MAC地址
2.如果当接口上学习的最大MAC地址数量达到上限以后不会再学习新的安全动态MAC地址，并且只允许原来学习到的地址的设备进行入交换机进行通信
3.开启端口后，默认学习到的最大地址数为1，也就是说只允许学习的第一个MAC地址进行通信，就算原来接口上有多个MAC地址，也只允许现在存在的安全地址进行通信
4.当收到了其他MAC地址的报文，有三种动作：分别是保护，限制和关闭，三种方式有一个共同点都是不转发报文，保护是系统不会做出任何提示，限制是系统会做出警告，让管理员发现，关闭是直接将相应的端口进行关闭，并做出相应的提示，让这个接口无法接收任何数据帧（可以手工恢复或者设置error-down的自动恢复时间）
端口隔离