思科交换机如何防范典型和

　　本文所提到的和行为主要针对链层和网络层。在网络实际中，其来源可概括为两个途径：人为实施；病毒或蠕虫。人为实施通常是用一些黑客的工具对网络进行扫描和嗅探，获取管理帐户和相关密码，在网络上中安插木马，从而进行进一步窃取。和过程往往比较隐蔽和安静，但对于信息安全要求高的企业危害是极大的。而来自木马或者病毒及蠕虫的和往往会偏离和本身的目的，现象有时非常直接，会带来网络流量加大、设备CPU利用率过高、二层生成树环直至网络瘫痪。

　　下面部分主要针对目前非常典型的二层和说明如何在思科交换机上组合运用和部署上述技术，从而实现防止在交换中实施“中间人”、MAC/CAM、DHCP、地址等，更具意义的是通过技术的部署可以简化地址管理，直接用户IP和对应的交换机端口；防止IP地址冲突。同时对于大多数对二层网络造成很大危害的具有地址扫描、等特征的病毒可以有效的报警和隔离。

　　交换机主动学习客户端的MAC地址，并建立和端口和MAC地址的对应表以此建立交换径，这个表就是通常我们所说的CAM表。CAM表的大小是固定的，不同的交换机的CAM表大小不同。MAC/CAM是指利用工具产生MAC，快速填满CAM表，交换机CAM表被填满后，交换机以方式处理通过交换机的报文，这时者可以利用各种嗅探获取网络信息。CAM表满了后，流量以洪泛方式发送到所有接口，也就代表TRUNK接口上的流量也会发给所有接口和邻接交换机，会造成交换机负载过大，网络缓慢和丢包甚至瘫痪。

　　•对于超过数量的MAC处理进行处理

　　端口上学习或通过哪些MAC地址，可以通过静态手工定义，也可以在交换机自动学习。交换机动态学习端口MAC，直到指定的MAC地址数量，交换机关机后重新学习。目前较新的技术是StickyPortSecurity，交换机将学到的mac地址写到端口配置中，交换机重启后配置仍然存在。

　　对于超过数量的MAC处理进行处理一般有三种方式（针对交换机型号会有所不同）：

　　•Shutdown。这种方式能力最强，但是对于一些情况可能会为管理带来麻烦，如某台设备中了病毒，病毒间断性伪造源MAC在网络中发送报文。

　　•Restrict。丢弃非法流量，报警，对比会是交换机CPU利用率上升但是不影响交换机的正常使用。推荐使用这种方式。

　　采用DHCPserver可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数，简化了用户网络设置，提高了管理效率。但在DHCP管理使用上也存在着一些另网管人员比较问题，常见的有：

　　由于DHCP的运作机制，通常服务器和客户端没有认证机制，如果网络上存在多台DHCP服务器将会给网络照成混乱。由于用户不小心配置了DHCP服务器引起的网络混乱非常常见，足可见故意人为的简单性。通常黑客是首先将正常的DHCP服务器所能分配的IP地址耗尽，然后冒充的DHCP服务器。最为隐蔽和的方法是黑客利用冒充的DHCP服务器，为用户分配一个经过修改的DNSserver，在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站，骗取用户帐户和密码，这种常恶劣的。

　　对于DHCPserver的Dos可以利用前面将的PortSecurity和后面提到的DAI技术，对于有些用户随便指定地址，造成网络地址冲突也可以利用后面提到的DAI和IPSourceGuard技术。这部分着重介绍DHCP冒用的方法技术。

　　DHCPSnooping技术是DHCP安全特性，通过建立和DHCPSnooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCPSnooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID接口等信息，如下表所示：

　　基本配置示例如下表：

　　需要注意的是DHCP绑定表要存在本地存贮器(Bootlsh、slot0、ftp、tftp)或导出到指定TFTP服务器上，否则交换机重启后DHCP绑定表丢失，对于已经申请到IP地址的设备在租用期内，不会再次发起DHCP请求，如果此时交换机己经配置了下面所讲到的DAI和IPSourceGuard技术，这些用户将不能访问网络。

　　通过交换机的端口安全性设置每个DHCP请求指定端口上使用唯一的MAC地址，通常DHCP服务器通过DHCP请求的报文中的CHADDR段判断客户端MAC地址，通常这个地址和客户端的真是IP相同，但是如果者不修改客户端的MAC而修改DHCP报文中CHADDR，实施Dos，PortSecurity就不起作用了，DHCP嗅探技术可以检查DHCP请求报文中的CHADDR字段，判断该字段是否和DHCP嗅探表相匹配。这项功能在有些交换机是缺省配置的，有些交换机需要配置，具体需要参考相关交换机的配置文档。

　　按照ARP协议的设计，为了减少网络上过多的ARP数据通信，一个主机，即使收到的ARP应答并非自己请求得到的，它也会将其插入到自己的ARP缓存表中，这样，就造成了“ARP”的可能。如果黑客想探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个ARP应答包，让两台主机都“误”认为对方的MAC地址是第三方的黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，另一方面，只需要更改数据包中的一些信息，成功地做好转发工作即可。在这种嗅探方式中，黑客所在主机是不需要设置网卡的混杂模式的，因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。

　　在收到B主机发来的ARP应答后，A主机应知道：

　　到192.168.0.3的数据包应该发到MAC地址为020202020202的主机；C主机也知道：到192.168.0.1的数据包应该发到MAC地址为020202020202的主机。这样，A和C都认为对方的MAC地址是020202020202，实际上这就是B主机所需得到的结果。当然，因为ARP缓存表项是动态更新的，其中动态生成的映射有个生命期，一般是两分钟，如果再没有新的信息更新，ARP映射项会自动去除。所以，B还有一个“任务”，那就是一直连续不断地向A和C发送这种虚假的ARP响应包，让其ARP缓存中一直保持被了的映射表项。

　　ping 192.168.1.100现在，如果A和C要进行通信，实际上彼此发送的数据包都会先到达B主机，这时，如果B不做进一步处理，A和C之间的通信就无法正常建立，B也就达不到“嗅探”通信内容的目的，因此，B要对“错误”收到的数据包进行一番修改，然后转发到正确的目的地，而修改的内容，无非是将目的MAC和源MAC地址进行替换。如此一来，在A和C看来，彼此发送的数据包都是直接到达对方的，但在B来看，自己担当的就是“第三者”的角色。这种嗅探方法，也被称作“Man-In-The-Middle”的方法。如图所示。

　　目前利用ARP原理编制的工具十分简单易用，这些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超过30种应用的密码和传输内容。下面是测试时利用工具捕获的TELNET过程，捕获内容包含了TELNET密码和全部所传的内容：

　　不仅仅是以上特定应用的数据，利用中间人者可将到数据直接发给SNIFFER等嗅探器，这样就可以所有被用户的数据。

　　思科DynamicARPInspection(DAI)在交换机上提供IP地址和MAC地址的绑定，并动态建立绑定关系。DAI以DHCPSnooping绑定表为基础，对于没有使用DHCP的服务器个别机器可以采用静态添加ARPaccess-list实现。DAI配置针对VLAN，对于同一VLAN内的接口可以DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这些技术可以防范“中间人”。

　　•用户获取IP地址后，用户不能修改IP或MAC，如果用户同时修改IP和MAC必须是网络内部的IP和MAC才可，对于这种修改可以使用下面讲到的IPSourceGuard技术来防范。下表为手动指定IP的报警：

　　常见的种类有MAC、IP、IP/MAC，其目的一般为伪造身份或者获取针对IP/MAC的。当目前较多的是行为：如PingOfDeath、synflood、ICMPunreacheableStorm，另外病毒和木马的也具有典型性，下面是木马的一个例子。

　　下图为伪造源地址，其目标地址为公网上的DNS服务器，直接目的是希望通使DNS服务器对伪造源地址的响应和等待，造成DDOS，并以此扩大效果。该每秒钟上万个报文，中档交换机2分钟就瘫痪，照成的间接后果非常大。

　　•不容易定位IP地址和具体交换机端口对应表

　　使用静态地址的重要服务器和计算机，可以进行静态绑定IP+MAC、IP+MAC+PORT，手工配置DAI和IPSourceGuard绑定表项，来这些设备，同时也防止来自这些设备的。

　　目前对于网络病毒的不断爆发，越来越多的用户开始重视对PC的管理，用户关注谁能访问网络、访问以后能做什么、做了哪些事情、这就是我们常说的AAA认证，除了这些用户希望能够很快定位到用户在哪台交换机、哪个端口、以哪个IP和MAC登陆，这样有有了”AAA+A”(Authenticate,Authorize,Account,Address)的概念。

　　通过的配置我们在网络层面已经可以定位用户了，加上802.1X认证我们可以在网络层面根据用户的身份为用户授权，从而实现”AAA+A”。