IP 源防护
一、 IP 欺骗攻击:
IP 欺骗攻击是指行动产生的IP数据包为伪造的源IP地址,以便冒充其他系统或发件人的身份。这是一种骇客的攻击形式,骇客使用一台计算机上网,而借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道。
按照Internet Protocol(IP)网络互联协议,数据包头包含来源地和目的地信息。 而IP地址欺骗,就是通过伪造数据包包头,使显示的信息源不是实际的来源,就像这个数据包是从另一台计算机上发送的。
二、 IP欺骗攻击应用:
在网络安全领域,隐藏自己的一种手段就是IP欺骗——伪造自身的IP地址向目标系统发送恶意请求,造成目标系统受到攻击却无法确认攻击源,或者取得目标系统的信任以便获取机密信息。
这两个目的对应着两种场景:
场景一,常用于DDoS攻击(分布式拒绝攻击),在向目标系统发起的恶意攻击请求中,随机生成大批假冒源IP,如果目标防御较为薄弱,对收到的恶意请求也无法分析攻击源的真实性,从而达到攻击者隐藏自身的目的。
这类场景里一种很有意思的特殊情景来自于“反射”式DDoS攻击,它的特点来自于利用目标系统某种服务的协议缺陷,发起针对目标系统输入、输出的不对称性——向目标发起吞吐量相对较小的某种恶意请求,随后目标系统因其协议缺陷返回大量的响应,阻塞网络带宽、占用主机系统资源。这时如果攻击者的请求使用真实源地址的话,势必要被巨大的响应所吞没,伤及自身。这样,攻击者采取IP欺骗措施就势在必行了。
场景二,原本A主机信任B主机,也就是B可以畅通无阻地获取A的数据资源。而恶意主机C为了能同样获取到A的数据,就需要伪装成B去和A通信。这样C需要做两件事:第一、让B“把嘴堵上”,不再向A吐请求,比如向B主机发起DoS攻击(拒绝服务攻击),占用B的连接使其无法正常发出网络包;第二、伪装成B的IP和A交互。
三、 IP源防护技术:
IP源防护主要是防止IP地址欺骗,以DHCP监听为基础,根据DHCP监听绑定表产生一个IP源绑定表,根据IP源绑定表IP。源防护自动在端口加载相应的策略对流量进行检测,符合的数据允许发送,不符合的数据被丢弃。对于使用固定IP地址的服务器,需要使用静态IP源绑定将静态绑定的条目加入到IP源绑定表中IP源防护只支持二层借口,包括接入借口或干道接口,对于非信任端口,IP源防护有两种过滤策略

1、源IP地址过滤
2、源IP和源MAC地址过滤

使用源IP地址过滤时,IP源防护和端口安全是相互独立的。使用源IP和源MAC地址过滤时,二者合并为一,数据包源IP和源MAC地址必须符合IP源绑定表中的条目才能转发,并且为了确保DHCP工作正常,启用DHCP监听时必须启用option 82。

四、IP 源防护配置:
源IP地址过滤:
switch(config-if)#ip verify source
//Cisco 35系列交换机命令
switch(config-if)#ip verify source vlan dhcp-snooping
//Cisco 45、65系列交换机命令
源IP和源MAC地址过滤:
首先要启用端口安全(switchport port-security),然后启用IP源防护
switch(config-if)#ip verify source port-security
//Cisco 35系列交换机命令
switch(config-if)#ip verify source vlan dhcp-snooping port-security
//Cisco 45、65系列交换机命令
静态IP源绑定命令
switch(config)#ip source binding mac-address vlan vlan-number ip-address interface interface-type interface-number