企業網接入安全研究

劉珍億 蘇崢嶸

摘? ?要：文章介紹了企業網接入層交換機所面臨的安全威脅，分析了常見防范技術的原理，并對不同的應用環境給出了兩種解決方案，并對這些方案進行了優劣比較。

關鍵詞：MAC地址;ARP協議;DHCP協議;端口安全

企業網絡的接入層交換機工作在數據鏈路層，它連接的是終端用戶，基于介質訪問控制（Media Access Control，MAC）地址表進行數據轉發。由于傳統局域網協議的設計得不夠嚴謹，對數據報文來源的合法性缺乏足夠的安全檢查機制，導致局域網中經常出現拒絕服務、動態主機設置協議（Dynamic Host Configuration Protocol，DHCP）服務器仿冒、ARP欺騙等安全威脅。解決企業網接入層安全問題，可以將網絡安全造成的損失大大降低，意義十分重大。

1? ? 接入交換機常見安全威脅

1.1? MAC地址泛洪攻擊

MAC地址，也叫物理地址，是全球唯一的48 bit的標識地址。在網絡底層的比特流傳輸過程，是通過該地址來識別網絡設備的。交換機在緩存中維護著一張計算機輔助制造（Computer Aided Manufacturing，CAM）表，它衍生自MAC地址表，它是交換機在做基于硬件的快速轉發時要查找的一張二層轉發表，表中記錄了MAC地址與端口、VLAN的映射關系，表項內容自動老化。交換機的端口能夠自動學習MAC地址，每收到一個幀時，都會檢查該幀中的源MAC，并從CAM表查找對應條目，如果找到則直接轉發，否則就將該MAC地址和端口的對應關系存入CAM表，以便當下一次往該MAC地址發送數據時，可以確定向哪個端口轉發數據[1]。

交換機CAM表的容量是有限的，它能存儲的行數取決于交換機的內存大小。如果攻擊者發送大量偽造數據包，且源MAC不斷改變，交換機的CAM表將很快被填滿，再也無法接受新的條目，導致合法用戶的數據流到達交換機時被擠出去，交換機的轉發效率極其低下，影響到網絡整體性能，攻擊者還可以竊取合法用戶的數據流量。

1.2? DHCP服務器攻擊

DHCP服務器提供IP地址租用服務，當內網的PC設置為自動獲取IP地址時，就會在開機后發送DHCP Request廣播請求租用地址。DHCP服務器會分配一個可用IP給該計算機，請求IP地址的客戶端計算機會得到一個IP地址，同時也獲取到默認網關、DNS服務器地址等信息[2]。

最初的網絡設計者主要考慮的是保證網絡的連通性，而對網絡的安全性考慮得不夠周全。如果企業網內部有多臺提供IP分配服務的Server，將會給網絡管理帶來麻煩。攻擊者可以大量偽造DHCP Request請求包，耗盡合法DHCP Server的IP地址池。當有PC請求IP的時候，合法的DHCP服務器就無法為其分配地址，這就是DHCP服務器DoS攻擊。

攻擊者還可以非法搭建一個DHCP服務器供內網PC租用IP，并人為配置一個惡意的DNS地址。這時，用戶可能獲取到一個錯誤的IP地址導致不能上網，或者能上網但卻被惡意的DNS地址引導到仿冒的網站。這就是DHCP服務器仿冒攻擊。

1.3? ARP欺騙攻擊

ARP協議工作在數據鏈路層，數據在以太網鏈路上是以幀的形式進行傳輸，要在以太網中傳輸IP數據包，必須知道目標IP所對應的MAC地址信息，ARP的基本功能就是根據目標IP來查找目標MAC地址，以確保通信的正常進行。網絡中的主機、交換機和路由器上，都有一張ARP緩存表，表中記錄了IP地址與MAC地址的一一對應關系[3]。

根據ARP協議的工作機制，為了降低網絡上過多的ARP流量，一臺設備哪怕收到的ARP Response報文并非自己請求的，它也會將其存入到自己的ARP緩存表中。例如，攻擊者向PC1發送一個偽造的ARP響應報文，告訴PC1：地址172.16.1.2（PC2的IP）對應的MAC是D4-3A-7E-C6-D3-E2（攻擊者的MAC），PC1將這個映射關系寫入自己的ARP緩存，以后發送數據時，將本該發往PC2的數據發送給了攻擊者。攻擊者就截獲了PC1發往PC2的通信。攻擊者不但可以欺騙主機，還可以欺騙網關[4]。

2? ? 應對安全威脅的技術手段

2.1? 風暴控制（Storm? Control）

合理細分VLAN可以減小局域網廣播風暴的影響范圍，但光這樣還不夠。當交換機的某個端口接收大量的broadcast，multiast或未知unicast報文時，仍會引發廣播風暴。攻擊者發動DoS攻擊、協議棧的錯誤實現、網絡設備的錯誤配置均可能導致局域網廣播風暴的發生。在接入交換機上配置的Storm Control功能，可以成功地避免二層廣播風暴導致的網絡性能下降或網絡故障。Storm Control功能監視進棧的流量狀態，通過一定時間內的比較和測量，預先設定閾值的方法來管理流量，當某種類型流量的閾值到達時，這種流量就會被丟棄。

2.2? 端口安全（Port? Security）

通過配置端口安全，可以只允許特殊MAC或IP的PC接入網絡，還可以限制交換機端口接入設備的數量。為了提高安全性，可將MAC地址和對應的端口綁定起來（綁定的地址稱為安全地址），當然也可以把指定的IP地址和相應的端口綁定起來，或者是兩者都綁定。對某端口啟用端口安全功能后，當其安全地址的數目達到最大允許數目后，若該端口再接收一個源地址不屬于安全地址的數據包時，將產生一個安全違例，此時管理人員可以根據需要，采用不同的安全違例處理方式，主要有protect，restrict和shutdown 3種[5]。

2.3? DHCP監聽（DHCP? Snooping）

通過配置DHCP Snooping，交換機能夠阻攔DHCP報文。DHCP Snooping將交換機的所有端口劃分成兩種類型：trust和untrust。交換機限定untrust端口只能夠發送DHCP Request報文，丟棄來自untrust端口的所有其他DHCP報文。trust端口可以接收所有的DHCP報文。一般把連接到真實DHCP Server的端口設置為trust端口，其他端口設置為untrust端口。

DHCP Snooping還有一個附帶的功能就是創建了一個DHCP監聽數據庫。一旦某臺PC成功獲取了一個IP，交換機便會自動在監聽數據庫中添加一條綁定項，該綁定條項可作為其他應用的依據。

2.4? 動態ARP檢測

部署動態ARP檢測（Dynamic ARP Detection，DAI）的前提是要部署DHCP Snooping，在DHCP環境下，通過部署DHCP Snooping將會生成一個監聽綁定數據庫，這個數據庫包含的信息可以作為ARP合法性檢驗的依據。DAI技術將交換機的物理接口分為trust和untrust兩種狀態，對trust端口直接放行（不做檢測），而對于untrust接口，收到ARP報文后會進行合法性檢驗。

DAI功能會消耗交換機的CPU資源的，開啟DAI后有可能會成為DoS攻擊的目標。所以我們有必要再對端口配置ARP報文限速。untrust端口的默認速度限制是15 pps，trust端口則是無限制。當untrust端口收到的ARP報文數量超出配置的閥值，端口將會進入errdisable狀態[6]。

2.5? ARP報文校驗（ARP? Check）

在PC發送ARP報文前獲得PC真實的IP和MAC，然后進行ARP Check：校驗ARP報文中發送者MAC與真實的MAC是否相同，不同則丟棄;校驗ARP報文中發送者IP與真實的IP是否相同，不同則丟棄。

除了以上技術手段，還有環路檢測、保護端口、端口阻塞、系統保護、CPU保護策略（CPP）、STP安全機制、dot1X等措施可以提高接入交換機的安全性。

3? ? 應對安全威脅的綜合解決方案

3.1? 靜態IP環境解決方案

3.1.1? 端口安全+ARP報文校驗

對接入交換機上連接PC的二層端口開啟Port Security功能，將合法PC的IP地址和MAC地址（安全地址）寫入交換機的硬件表項;在接入交換機連接終端用戶的端口開啟ARP-Check功能，通過使用ARP-Check技術校驗ARP報文的正確性。如果非法的IP/MAC接入網絡，ARP校驗將失敗，這樣的用戶將不能正常使用網絡。

該方案的優點是采用硬件的方式直接校驗ARP報文，控制十分嚴格，不消耗CPU資源。缺點是端口安全必須逐一進行配置，需收集所有終端的IP和MAC信息，對于用戶可能要頻繁變動端口的環境不太適合。

3.1.2? 全局地址綁定+ARP報文校驗

在接入交換機上全局開啟address-bind功能，全局綁定IP與對應MAC，將安全地址寫入交換機的硬件表項，在下聯口開啟ARP-Check功能，對于未綁定或匹配錯誤的用戶都不能正常使用網絡。

該方案的優點是控制相對嚴格（但比端口安全要寬松），因為其地址不綁定到具體端口。采用硬件校驗方式，效率較高。缺點是必須逐一配置并收集所有用戶IP地址和MAC地址，但比前一方案要靈活，不需確認IP所對應的端口，適用于用戶需頻繁變動交換機端口的場景[7]。

3.2? DHCP環境解決方案

3.2.1? DHCP? Snooping+IP? Source? Guard+ARP報文校驗

提取DHCP Snooping數據庫中的IP和MAC信息，然后通過IP Source Guard特性將數據庫中的IP和MAC信息寫入交換機的硬件表項，最后使用ARP報文校驗功能檢驗所有ARP報文的合法性。如果用戶通過DHCP獲取到IP后試圖發動ARP欺騙攻擊，或者是用戶私設靜態IP，他們的ARP報文校驗都將失敗，這樣的用戶將不能正常使用網絡[8]。

該方案的優點是不必逐一去做每個終端的地址綁定，硬件方式檢查安全表項。缺點是在安全功能上，對交換機的要求比較嚴格，交換機需同時具備DHCP監聽、IP源防護和ARP報文檢驗這3種安全特性，會消耗交換機的硬件資源表項。

3.2.2? DHCP? Snooping +DAI

提取DHCP Snooping綁定數據庫中的IP與MAC，然后通過DAI特性檢驗進入的ARP報文，將ARP報文中的發送者IP及發送者 MAC字段與DHCP Snooping綁定數據庫里面的對應信息進行對比，如果相同則允許通過，否則將丟棄該報文。

該方案的優點是不必逐一去做每個用戶的地址綁定，配置和維護管理相對簡單;和方案（1）相比，可以節省設備所需的硬件安全資源表項。缺點是DAI是CPU檢查ARP報文，這將會額外消耗交換機的CPU資源，當交換機上連接的用戶較少時可以使用（例如低于30），如果交換機連接的用戶數量較多時，方案（1）比較適合。

4? ? 結語

接入層交換機的安全威脅主要是由于ARP協議和DHCP協議自身的缺陷造成的，在流量控制的前提下，做好防ARP攻擊尤為重要，防止ARP攻擊的關鍵在于對ARP報文進行合法性校驗。單一的安全技術往往無法解決問題，實際應用中往往綜合多種技術進行防范。

在靜態IP環境下，用戶接入端口如果不經常變動，可以選擇較為嚴格的端口安全+ARP報文校驗方案;如果用戶經常變動接入端口，可以選擇全局地址綁定+ARP報文校驗方案。

在動態IP環境下，推薦使用DHCP Snooping + IP Source Guard + ARP報文校驗方案，因為該方案不消耗CPU資源，能承載更多的用戶數量。

[參考文獻]

[1]林圣杰.校園網絡安全接入技術與應用[J].硅谷，2009（11）：82-83.

[2]謝希仁.計算機網絡[M].4版.北京：電子工業出版社，2003.

[3]史壽樂.ARP病毒與校園網絡安全研究[J].信息安全與技術，2014（9）：33-35.

[4]趙罡.簡單網絡管理協議的ARP欺騙防御機制[J].武漢工程大學學報，2011（4）：103-105.

[5]汪雙頂，余明輝.網絡組建與維護技術[M].2版.北京：人民郵電出版社，2014.

[6]張文庫.企業網絡搭建及應用（銳捷版）[M].3版.北京：電子工業出版社，2013.

[7]張文杰.你不可忽視的園區網ARP安全防護[EB/OL].（2010-04-03）[2019-05-20].http：//www.ruijie.com.cn/fa/xw-hlw/83468.

[8]湯小康.基于DHCP Snooping技術的校園網非法DHCP服務器的接入[J].網絡安全技術與應用，2015（7）：48-51.