企业网ARP欺骗网关攻击与伪DHCP分析与处理
一、ARP網關欺騙引起的問題(以校園網為例)
(一)同一個二層沖突域(可理解為同一個局域網)中的網絡卡頓、緩慢、網絡時有時無。
(二)無心操作(如學生不懂原理的情況下)是為了要上網,嘗試網關ip的特殊性,導致整個班級正常的網絡流量不能找到正確的網關出口,全班網絡慢、ping關鍵設備時數據掉包,或導致外網癱瘓不可用。
(三)有意為之用專業術語描述,即為ARP網關欺騙攻擊,原理:網關是整個局域網訪問其他網段的核心(其他網段如校園服務器、三層設備、外網等),若將自己的終端手機或私人電腦的ip地址配置為該網段的網關ip,將使該局域網中的所有出口網絡流量都指向終端手機或私人電腦,表現為要訪問的網站或服務器、三層設備、外網等找不到出口,網絡流量一直在局域網范圍內打轉,體驗感則為網絡效果差、網不好、無法正常使用。
二、實戰環境與規劃思路
(一)部分班級只用講臺的1根網線,只要該網線有外網即可,同一個班每天有3-4位老師上課
1、為防止這部分班級私接路由器,在三層交換機與二層交換機上配置DHCP snooping可防多個DHCP存在而影響整個班級的使用。
(1)使用無線AP的班級,用于大量用戶同時接入,既要配置管理AP的VLAN透傳,也要允許業務VLAN透傳,此處的128與158為服務器與管理VLAN,35為班級的業務VLAN。如下圖所示:
(2)上圖中,有部分班級僅需要講臺使用,所以配置業務VLAN即可,并在每個端口開啟dhcp snooping功能,防止這些班級私接路由器,大家都知道路由器一般都自帶DHCP服務功能,能給各終端分配ip地址,若不開啟dhcp snooping功能,會導致班級中的同學私接上路由器后,從最近的網絡環境中獲取ip地址,因為dhcp discover報文是廣播的形式發出,任何DHCP服務的設備均可回復,難免會讓用戶獲得一個非學校DHCP服務器分配的ip地址,從而無法正常使用網絡。
(3)在交換機的上聯端口則配置如下,開啟dhcp snooping trusted信任,則本交換機內,開啟了dhcp snooping功能的端口只從信任端口trusted獲取ip地址。忽略附近別的DHCP服務功能設備。如下圖:
2、為每天3-4位老師分配ip地址,DHCP服務器的ip租期規劃與防火墻對多間教室的ip外網安全策略配置
(1)僅講臺有一根網線,防私接路由器后,多人同時連接,從而影響網絡整體使用效果;又要確保每個老師正常上1-2節課內能正常使用,所以每天6節課,最多3-4位老師使用,所以DHCP服務器的地址池,僅分配29位掩碼的ip范圍即可,DHCP服務器地址池范圍如下圖:
上圖中,租期為2小時,足夠老師上2節課的時間,當第一個老師使用完2小時后,該ip還能釋放出來,給第二天上課的老師使用,不用默認租期8天,那樣8天下來,需要48個ip地址,與完全放開沒什么區別,而我們只給1根網線的教室分6個ip主要是為了防私接路由器,節省網絡帶寬;地址池為241-246,共6個ip,足夠3-4位老師每天的使用量。
(2)雖為一根網線,服務器分配的僅為內網ip,外網的安全策略需要配置,如下圖:
(3)上圖的源地址池配置如下圖:
(4)安全策略指令配置如下,(以各教室6個ip為例):
rule name 辦公網
source-zone trust
destination-zone untrust
source-address address-set bangong
source-address address-set 各教室6ip
action permit
……
(二)部分班級需要全班用外網,則需要部署無線環境,做QOS流量控制
1、使用無線的優勢
(1)教室及桌面整潔,沒有線路的雜亂,如下圖:
(2)上千人使用網線的話,一到上課時間總有水晶頭問題,幾個人專門負責還不夠
(3)無線可統一管理,避免線路故障的排查,遇問題后的復雜性降低
使用AC控制器后臺,可清晰觀察到網絡數據流量的大致情況,如下圖:
還可以一眼看出,哪些AP在線或離線的狀態,如下圖:
2、使用無線的弊端
(1)安全性降低,網絡可覆蓋的范圍無法做到完全精確到某教室范圍
(2)隔離班級或樓下、樓上的班級同學可通過了解中間班級的WIFI密碼后,接入到非本班的網絡中
(3)中間班級若未開外網的情況下,會試探性連接周圍的班級的WIFI,想嘗試上網,讓部分同學分心
3、QOS流量控制
(1)根據外網鏈路的實際情況,配置帶寬通道,進行QOS的流量控制,配置指令如下:
traffic-policy
profile 辦公上8下12(以辦公網為例)
bandwidth maximum-bandwidth whole upstream 450000
bandwidth guaranteed-bandwidth whole upstream 420000
bandwidth maximum-bandwidth whole downstream 450000
bandwidth guaranteed-bandwidth whole downstream 420000
bandwidth maximum-bandwidth per-ip upstream 8000
bandwidth guaranteed-bandwidth per-ip upstream 6000
bandwidth maximum-bandwidth per-ip downstream 10000
bandwidth guaranteed-bandwidth per-ip downstream 6000
……
(2)查看策略,如下圖:
(2)根據實際需求,做出帶寬策略,綁定帶寬通道,如下圖:
(3)把帶寬通道與策略并用,指令如下圖:
rule name 教學
source-zone trust
destination-zone untrust
source-address address-set jiaoxue
action qos profile 特殊實訓
……
需要定義好安全區域、源地址、帶寬通道,在上圖中,進行引用
(3)定義地址池,如下圖:
(三)辦公區域與教學區域白天工作時間為主使用外網,生活區域晚上業余時間使用外網
1、辦公與教學區域以工作時間段為基準,進行路由策略的配置,走專線網絡;生活區域則白天工作時間走撥號光纖網絡。
(1)以辦公區為例,策略路由的配置,如下:
rule name 辦公區
source-zone trust
source-address address-set bangong
source-address address-set 各教室6ip
action pbr egress-interface GigabitEthernet1/0/5 next-hop 61.XXX.187.XXX
……
(2)以辦公區網段為例,地址組配置,如下:
ip address-set bangong type object
description 各辦公網段
address 0 192.168.85.0 mask 24
address 1 192.168.129.0 mask 24
address 2 192.168.130.0 mask 24
address 3 192.168.131.0 mask 24
address 4 192.168.132.0 mask 24
address 5 192.168.133.0 mask 24
address 6 192.168.134.0 mask 24
address 7 192.168.135.0 mask 24
address 8 192.168.136.0 mask 24
address 9 192.168.137.0 mask 24
address 10 192.168.37.0 mask 24
address 11 192.168.45.0 mask 24
address 12 192.168.44.0 mask 24
address 13 192.168.148.0 mask 24
……
3、以工作時間段為例,劃分時間段指令如下:
(1)建立工作時間
time-range worktime
period-range 14:30:00 to 20:30:00 daily
period-range 08:00:00 to 12:00:00 daily
time-range 宿舍區業余時間
period-range 12:00:00 to 14:15:00 daily
period-range 20:30:00 to 23:59:59 daily
period-range 00:00:00 to 08:00:00 daily
……
(2)配置ACL匹配規則
acl number 2001
rule 5 permit source 192.168.136.0 0.0.0.255
rule 10 permit source 192.168.134.0 0.0.0.255
rule 15 permit source 192.168.132.0 0.0.0.255
rule 20 permit source 192.168.143.0 0.0.0.255
rule 30 permit source 192.168.80.0 0.0.0.255
rule 40 permit source 192.168.0.0 0.0.0.255
rule 45 deny
……
(3)應用策略
2、物理接口上多ip配置,以備后面的服務器外網映射,如下:
interface GigabitEthernet1/0/5
undo shutdown
ip address 61.XXX.XXX.XXX 255.255.255.248
ip address 61.XXX.XXX.XXX 255.255.255.248 sub
ip address 61.XXX.XXX.XXX 255.255.255.248 sub
ip address 61.XXX.XXX.XXX 255.255.255.248 sub
ip address 61.XXX.XXX.XXX 255.255.255.248 sub
anti-ddos flow-statistic enable
alias 電口450Mbps
gateway 61.XXX.187.XXX
service-manage https permit
service-manage ssh permit
bandwidth ingress 450000 threshold 90
bandwidth egress 450000 threshold 90
firewall defend ipcar destination session-rate-limit enable
redirect-reverse next-hop 61.144.187.177
undo negotiation auto
……
3、部分班級在外網使用服務器時,比如居家上網課時,配置如下:
nat server server01_奧派 protocol tcp global 61.xxx.xxx.xxx 8000 inside 192.168.128.128 8000 no-reverse unr-route
nat server server01_博星商務 protocol tcp global 61.xxx.xxx.xxx 8888 inside 192.168.128.128 8888 no-reverse unr-route
nat server server01_網絡營銷 protocol tcp global 61.xxx.xxx.xxx 8889 inside 192.168.128.128 8889 no-reverse unr-route
nat server server02_FTP protocol tcp global 61.xxx.xxx.xxx ftp 22 inside 192.168.0.128 ftp 22 no-reverse unr-route
……
為加強安全性,所以校園的外網FTP采用加密的SFTP協議,采用端口為22,其余的服務器映射根據你的實際情況配置,此處我只簡寫了幾條,并未完全。
4、多外網鏈路選路
(1)把各端口分區域配置,如下:
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/0
add interface Virtual-Template0
add interface Eth-Trunk1
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
add interface Dialer0
add interface Dialer1
add interface Dialer2
add interface GigabitEthernet1/0/4
add interface GigabitEthernet1/0/6
add interface GigabitEthernet1/0/5
add interface GigabitEthernet1/0/2
add interface GigabitEthernet1/0/10
add interface GigabitEthernet1/0/11
……
(2)多鏈路外網全局配置指令,如下:
policy-based-route
rule name 商貿實訓1
description 605-608
source-zone trust
source-address address-set 商貿實訓1
source-address address-set 商貿實訓2
action pbr egress-interface multi-interface
mode proportion-of-weight
add interface GigabitEthernet1/0/10
add interface GigabitEthernet1/0/5
add interface GigabitEthernet1/0/11 weight 2
……
5、單內網鏈路出外網時,帶寬不夠,采用三層模式的ETH-trunk,如下:
interface Eth-Trunk1
ip address 192.168.152.254 255.255.255.0
alias Eth-Trunk1
service-manage https permit
service-manage ping permit
service-manage ssh permit
6、防勒索病毒,配置策略如下:
(1)配置勒索病毒的端口號與協議
ip service-set 445 type object
service 0 protocol tcp source-port 0 to 65535 destination-port 445
(2)配置安全策略,拒絕外網到內網的445端口訪問
traffic-policy
rule name btb
source-zone untrust
destination-zone trust
service 445
action deny
7、防Ddos攻擊策略如下:
ddos-mode detect-only
bandwidth-limit destination-ip type udp max-speed 50
bandwidth-limit destination-ip type icmp max-speed 582
anti-ddos syn-flood source-detect alert-rate 2668
anti-ddos dns-request-flood source-detect mode basic alert-rate 6
anti-ddos dns-reply-flood source-detect alert-rate 1473
anti-ddos sip-flood source-detect alert-rate 3583
anti-ddos udp-flood dynamic-fingerprint-learn alert-speed 75
anti-ddos udp-frag-flood dynamic-fingerprint-learn alert-speed 31
anti-ddos https-flood source-detect alert-rate 43911
anti-ddos http-flood defend alert-rate 34201
anti-ddos http-flood source-detect mode redirect
anti-ddos baseline-learn start
anti-ddos baseline-learn apply
anti-ddos baseline-learn mode loop
anti-ddos baseline-learn learn-duration 7200
(四)一卡通設備的充值與ip規劃
1、一卡通設備要求使用靜態ip地址,不超過50個,單獨分網段出來
2、接入一卡通設備的區域要求使用無線網絡,有手機之類接入
3、DHCP分配ip地址池規劃時,為避免靜態ip與手機終端ip沖突,再細分段處理
根據以上要求,將某24位的網段,中間的100個ip給靜態一卡通設備使用,為避免靜態與動態ip的沖突,ip段頭與尾給手機終端使用。至于DHCP的地址池規劃,此處不再給圖。
三、ARP欺騙的分析與處理
(一)查看有哪些網關ip被欺騙攻擊:
1、使用指令:
display arp ip-conflict track
命令結果如下:
2、教室區域的網關ip沖突如下:
3、辦公區域網關ip沖突如下:
(二)下面以某一個MAC地址沖突為例,進行分解
1、根據2天不同時間查到的結果,同一個MAC地址出現在2個不同的區域,且都與該區域的網關ip沖突,如下圖:
2、從上圖中可看出,是154網段與132網段,現在我們從DHCP服務器查看一下,是否ip地址池已滿
(1)查看154網段的ip地址域,如下圖:
(2)結論,24位的ip地址池中最大使用量為1-254,明顯圖中最大為49,且DHCP服務器已經給第1步中的MAC地址設備分配過一個動態ip,但他并未使用,堅持手動將自己的設備ip更改為網關ip。
(3)初步根據網段與實際物理位置的匹配,查出該用戶在20棟使用過,且設備為手機,型號是realme V5
(4)繼續查看132網段,如下圖:
(5)結論,在132網段中,DHCP服務器同樣也分配過一個ip給該用戶的手機,該區域為辦公區域,基本鎖定該用戶的范圍
(三)為防網關ip欺騙攻擊影響到以上2個區域的用網情況,作出如下規劃處理:
1、在三層設備上禁止欺騙網關ip上網
2、在二層設備上禁止欺騙設備的MAC地址發任何數據包
3、在同局域網的PC上進行正確網關ip與MAC的靜態綁定
四、防網關ip欺騙攻擊三層與二層設備上的處理
(一)防網關沖突,防火墻上屏蔽網關ip上網
1、建立網關地址組,指令如下:
ip address-set 254 type object
address 0 192.168.2.252 mask 30
address 1 192.168.3.252 mask 30
address 2 192.168.4.252 mask 30
address 3 192.168.5.252 mask 30
address 4 192.168.6.252 mask 30
address 5 192.168.7.252 mask 30
address 6 192.168.8.252 mask 30
address 7 192.168.9.252 mask 30
address 8 192.168.10.252 mask 30
address 9 192.168.11.252 mask 30
address 10 192.168.12.252 mask 30
address 11 192.168.13.252 mask 30
address 12 192.168.14.252 mask 30
address 13 192.168.15.252 mask 30
address 14 192.168.16.252 mask 30
……
2、配置安全策略,指令如下:
security-policy
rule name 網關沖突
source-zone trust
destination-zone untrust
source-address address-set 254
action deny
3、查看策略啟用后的結果,如下圖:
命中次數居然那么多,說明該策略攔截了不少使用網關ip作為自己設備ip的用戶數據包。該策略使用3天后,發現仍然還有用戶繼續進行ARP欺騙網關攻擊,于是進行下一步,在二層設備上進一步限制。
4、網關ip地址組254,為了不使用32位的掩碼,發出的廣播幀太多,影響網絡的體驗效果,所以我們采用30位掩碼,如下圖:
(二)在二層設備上處理(禁止ARP欺騙網關設備發送任何數據幀)
1、創建ACL訪問控制列表、流分類、流行為、綁定流分類與流行為形成流策略,如下圖:
2、從前面第三步中查詢到的網關ip沖突結果中,可看出MAC地址的數據流出口,現在該接口上應用流策略,如下圖:
(1)154網段所在接口,如下圖:
(2)132網段所在接口,如下圖:
(三)在同局域網的終端電腦設備上的處理
為了不影響到其他人辦公或生活用網,則在同局域網的終端電腦設備上完成以下操作:
1、使用display arp all 命令,找到正確的網關IP與MAC的對應關系
2、在二層交換機上進行正確的網關ip與mac地址的綁定,并綁定主要的三層設備IP與mac地址的對應關系,如下圖:
3、在終端電腦設備上建立一個批處理文件,如下圖:
4、將TXT文本文件擴展名改為批處理文件的bat,按win+R,彈出運行,粘貼shell:Common Startup 會打開 “啟動” 文件夾
,把批處理.bat放到“啟動”文件夾中,確保每次開機能把正確的網關與主要外網設備出口綁定。重啟電腦,OK
至此,ARP網關的欺騙攻擊與偽DHCP的防御處理完成,敬請批評指正!
上面的ACL列表,目前已接到2個辦公人員的電話,電子取證,無可抵賴,驗證了以上操作的可行性。
總結
以上是生活随笔為你收集整理的企业网ARP欺骗网关攻击与伪DHCP分析与处理的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 在linux内核3.14.43添加自己的
- 下一篇: React中添加注释