IP 源防護
一、 IP 欺騙***:
IP 欺騙***是指行動產生的IP數據包爲僞造的源IP地址,以便冒充其他系統或發件人的身份。這是一種駭客的***形式,駭客使用一臺計算機上網,而借用另外一臺機器的IP地址,從而冒充另外一臺機器與服務器打交道。
按照Internet Protocol(IP)網絡互聯協議,數據包頭包含來源地和目的地信息。 而IP地址欺騙,就是通過僞造數據包包頭,使顯示的信息源不是實際的來源,就像這個數據包是從另一臺計算機上發送的。
二、 IP欺騙***應用:
在網絡安全領域,隱藏自己的一種手段就是IP欺騙——僞造自身的IP地址向目標系統發送惡意請求,造成目標系統受到***卻無法確認***源,或者取得目標系統的信任以便獲取機密信息。
這兩個目的對應着兩種場景:
場景一,常用於DDoS***(分佈式拒絕***),在向目標系統發起的惡意***請求中,隨機生成大批假冒源IP,如果目標防禦較爲薄弱,對收到的惡意請求也無法分析***源的真實性,從而達到***者隱藏自身的目的。
這類場景裏一種很有意思的特殊情景來自於“反射”式DDoS***,它的特點來自於利用目標系統某種服務的協議缺陷,發起針對目標系統輸入、輸出的不對稱性——向目標發起吞吐量相對較小的某種惡意請求,隨後目標系統因其協議缺陷返回大量的響應,阻塞網絡帶寬、佔用主機系統資源。這時如果***者的請求使用真實源地址的話,勢必要被巨大的響應所吞沒,傷及自身。這樣,***者採取IP欺騙措施就勢在必行了。
場景二,原本A主機信任B主機,也就是B可以暢通無阻地獲取A的數據資源。而惡意主機C爲了能同樣獲取到A的數據,就需要僞裝成B去和A通信。這樣C需要做兩件事:第一、讓B“把嘴堵上”,不再向A吐請求,比如向B主機發起DoS***(拒絕服務***),佔用B的連接使其無法正常發出網絡包;第二、僞裝成B的IP和A交互。
三、 IP源防護技術:
IP源防護主要是防止IP地址欺騙,以DHCP監聽爲基礎,根據DHCP監聽綁定表產生一個IP源綁定表,根據IP源綁定表IP。源防護自動在端口加載相應的策略對流量進行檢測,符合的數據允許發送,不符合的數據被丟棄。對於使用固定IP地址的服務器,需要使用靜態IP源綁定將靜態綁定的條目加入到IP源綁定表中IP源防護只支持二層藉口,包括接入藉口或幹道接口,對於非信任端口,IP源防護有兩種過濾策略
1、源IP地址過濾
2、源IP和源MAC地址過濾
使用源IP地址過濾時,IP源防護和端口安全是相互獨立的。使用源IP和源MAC地址過濾時,二者合併爲一,數據包源IP和源MAC地址必須符合IP源綁定表中的條目才能轉發,並且爲了確保DHCP工作正常,啓用DHCP監聽時必須啓用option 82。
四、IP 源防護配置:
源IP地址過濾:
switch(config-if)#ip verify source
//Cisco 35系列交換機命令
switch(config-if)#ip verify source vlan dhcp-snooping
//Cisco 45、65系列交換機命令
源IP和源MAC地址過濾:
首先要啓用端口安全(switchport port-security),然後啓用IP源防護
switch(config-if)#ip verify source port-security
//Cisco 35系列交換機命令
switch(config-if)#ip verify source vlan dhcp-snooping port-security
//Cisco 45、65系列交換機命令
靜態IP源綁定命令
switch(config)#ip source binding mac-address vlan vlan-number ip-address interface interface-type interface-number