在網(wǎng)絡(luò)管理中，如何防御各種網(wǎng)絡(luò)攻擊，保護(hù)網(wǎng)絡(luò)的安全運(yùn)行，是網(wǎng)管員必須重視的問(wèn)題。這就要求網(wǎng)管員熟悉各種網(wǎng)絡(luò)攻擊的特點(diǎn)，才能有針對(duì)性的采取保護(hù)措施。例如利用交換機(jī)等網(wǎng)絡(luò)設(shè)備自帶的安全功能，就可以輕松化解各種潛在的安全威脅。眾所周知，在思科交換機(jī)上不僅可以提供基于端口的安全控制，還提供了DHCP偵聽(tīng)（DHCP Snooping），動(dòng) 態(tài) ARP檢 測(cè)（Dynamic ARP Inspection）和 IP源 防 護(hù)（IP Source Guard）等基于主機(jī)和端口的安全控制手段。

在實(shí)際的網(wǎng)絡(luò)管理中，會(huì)使用DHCP服務(wù)器為客戶機(jī)分配IP地址和核心的網(wǎng)絡(luò)配置參數(shù)。對(duì)于DHCP的欺騙攻擊來(lái)說(shuō)，攻擊者會(huì)將自身的主機(jī)偽裝成DHCP服務(wù)器或者客戶端，分別以不同的方式來(lái)攻擊DHCP服務(wù)器。對(duì)于黑客來(lái)說(shuō)，當(dāng)其連接到交換網(wǎng)絡(luò)后，將自己偽裝成DHCP服務(wù)器，當(dāng)同一個(gè)VLAN中的其他主機(jī)向外產(chǎn)生廣播數(shù)據(jù)幀，來(lái)請(qǐng)求DHCP的IP地址時(shí)，黑客的主機(jī)就會(huì)搶先向其分配IP，當(dāng)然，這肯定是虛假的IP。例如，本地VLAN使用三層交換機(jī)的網(wǎng)關(guān)為192.168.1.254，而黑客會(huì)為其提供偽造的網(wǎng)關(guān)IP（例如是黑客主機(jī)的地址192.168.1.253），造成該客戶端到達(dá)外網(wǎng)的流量會(huì)先經(jīng)過(guò)黑客的主機(jī)，再經(jīng)過(guò)轉(zhuǎn)發(fā)后到達(dá)外部網(wǎng)絡(luò)。

這樣，攻擊者將毫不費(fèi)力的偵聽(tīng)到該客戶機(jī)的所有對(duì)外的訪問(wèn)信息。攻擊者也可能將自身偽裝成DHCP客戶端，不停的對(duì)外發(fā)送DHSP請(qǐng)求包，當(dāng)然，其會(huì)不斷的偽裝不同的MAC地址。這就會(huì)給DHCP服務(wù)器造成一個(gè)錯(cuò)覺(jué)，認(rèn)為網(wǎng)絡(luò)中很多主機(jī)向其申請(qǐng)IP，造成其不斷的向下分發(fā)IP，直到DHCP地址池耗盡為止。

針對(duì)DHCP欺騙攻擊，思科交換機(jī)提供了DHCP偵聽(tīng)功能。該功能可以跟蹤和記錄所有的DHCP請(qǐng)求（Discover）和回應(yīng)（Offer）消息，來(lái)檢測(cè)DHCP信息在傳遞過(guò)程中是否存在異常情況（例如檢測(cè)當(dāng)一臺(tái)主機(jī)產(chǎn)生大量的Discover消息等）。前者由客戶端產(chǎn)生，后者由DHCP服務(wù)器產(chǎn)生。DHCP Snooping會(huì)記錄Offer消息中的IP地址分配信息，籍此交換機(jī)會(huì)知曉在本地交換網(wǎng)絡(luò)中哪些主機(jī)（即MAC地址）分配了什么樣的IP地址。

DHCP Snooping會(huì) 對(duì)Request消息進(jìn)行流量的限制，即限制在一個(gè)接口上每分鐘產(chǎn)生的Request消息的流量。如果該流量到達(dá)預(yù)設(shè)的閥值，交換機(jī)就會(huì)認(rèn)為有用戶偽裝成DHCP客戶端，不停的發(fā)送Request消息對(duì)DHCP服務(wù)器進(jìn)行拒絕服務(wù)攻擊，交換機(jī)就會(huì)對(duì)該端口進(jìn)行管控。針對(duì)DHCP的Offer消息，交換機(jī)可以將其限定在某些接口上，例如將只將某個(gè)接口連接到DHCP服務(wù)器，只允許在該接口上出現(xiàn)DHCP的Offer消息，如果其他的接口上出現(xiàn)了Offer消息，交換機(jī)就會(huì)認(rèn)為其連接的主機(jī)是偽裝的DHCP服務(wù)器。DHCP Snooping將 交換網(wǎng)絡(luò)中的端口分為信任（Trust）和非信任（Untrust）端口。

對(duì)于前者來(lái)說(shuō)，允許連接到DHCP服務(wù)器，可以接收DHCP服務(wù)器發(fā)出的消息（例如Offer和Replay消息等）。對(duì)于后者來(lái)說(shuō)，是不允許接收DHCP服務(wù)器發(fā)送來(lái)的數(shù)據(jù)，即其不允許連接DHCP服務(wù)器。如果該類型的接口上出現(xiàn)了DHCP的Offer包，就會(huì)被交換機(jī)丟棄。這樣，當(dāng)黑客主機(jī)連接到了Untrust接口，其產(chǎn)生的所有offer包是無(wú)法進(jìn)行交換網(wǎng)絡(luò)中的。一般來(lái)說(shuō)，會(huì)將接入層交換機(jī)的所有連接到主機(jī)的接口都配置成Untrust接口，同時(shí)將所有的上行鏈路都配置成Trust接口，因?yàn)樯闲墟溌吠ǔＪ前踩墓歉删W(wǎng)絡(luò)，DHCP服務(wù)器往往出現(xiàn)在上行鏈路中。

進(jìn)入交換機(jī)額全局配置模式，執(zhí)行“ip dhcp snooping”命令，開(kāi)啟DHCP偵聽(tīng)功能。執(zhí)行“ip dhcp snooping information option”命令，將一些擴(kuò)展信息也提交到監(jiān)控內(nèi)容中。執(zhí)行“ip dhcp snooping valn 10,20”命令，在指定的VALN上看起DHCP Snooping功能。默認(rèn)情況下，所有的接口都是Untrust狀態(tài)。可以針對(duì)特定的端口，將其配置為Untrust狀態(tài)。

例如執(zhí)行“interface fastethernet 1/0/9” 命令，進(jìn)入指定的端口。執(zhí)行“description Uplink”，“switchport mode trunk”，“switchport trunk allowed vlan 10,20”，“ip dhcp snooping trust” 命 令，為該端口設(shè)置描述信息，將其設(shè)置為Trust狀態(tài)，在該接口上可以連接合法的DHCP服務(wù)器。對(duì)于Untrust接口，可以設(shè)置其閥值。例如執(zhí)行“int ran fa 1/0/10,fa1/0/20”命令，進(jìn)入指定的端口。

之后執(zhí)行“description Access Port”，“ip dhcp limit rate 10”的命令，為其設(shè)置好描述信息，并允許其在一分鐘內(nèi)最多能夠出現(xiàn)10個(gè)DHCP數(shù)據(jù)包。這樣就可以防止黑客連接到該接口來(lái)偽裝成DHCP客戶端，對(duì)DHCP服務(wù)器發(fā)起拒絕服務(wù)攻擊了。

當(dāng)黑客發(fā)送的DHCP請(qǐng)求包達(dá)到預(yù)設(shè)的閥值后，該端口就會(huì)自動(dòng)關(guān)閉。執(zhí)行“show ip dhcp snooping binding”命令，可以監(jiān)聽(tīng)哪個(gè)MAC地址獲得了哪個(gè)IP地址信息，以及對(duì)應(yīng)的租期，監(jiān)聽(tīng)類型，所屬的VLAN，連接的端口等內(nèi)容。

在網(wǎng)絡(luò)環(huán)境中經(jīng)常會(huì)遇到ARP毒化攻擊，其本質(zhì)就是ARP欺騙攻擊。例如，當(dāng)A主機(jī)想連接某個(gè)路由器，為了獲取其MAC地址，該主機(jī)會(huì)首先向外部發(fā)送ARP請(qǐng)求，該請(qǐng)求實(shí)際上是廣播數(shù)據(jù)幀，主要用來(lái)尋找路由器的MAC地址。因?yàn)槭菑V播數(shù)據(jù)幀，所以可能會(huì)到達(dá)黑客主機(jī)，當(dāng)其收到該ARP請(qǐng)求后，就會(huì)自身偽裝成目標(biāo)路由器的IP地址，并將自身的IP地址通告給上述主機(jī)。這樣，就會(huì)讓A主機(jī)誤以為黑客主機(jī)就是目標(biāo)路由器。這樣，A主機(jī)發(fā)送的數(shù)據(jù)機(jī)會(huì)傳送給黑客主機(jī)。而黑客主機(jī)會(huì)通過(guò)設(shè)置一些路由信息，將A主機(jī)發(fā)送的數(shù)據(jù)轉(zhuǎn)發(fā)給目標(biāo)路由器。

可以看出，ARP毒化攻擊就是黑客主機(jī)用自己的MAC地址，來(lái)回應(yīng)其他主機(jī)對(duì)于其他節(jié)點(diǎn)的ARP請(qǐng)求。在思科交換機(jī)上，提供了DAI（動(dòng)態(tài)ARP檢測(cè)）功能來(lái)抗擊ARP毒化攻擊，這樣可以有效防止惡意ARP響應(yīng)出現(xiàn)在網(wǎng)絡(luò)環(huán)境中，并且可以檢測(cè)數(shù)據(jù)庫(kù)來(lái)對(duì)比找出哪些是惡意的ARP，以及哪些是正確的ARP請(qǐng)求。

例如，當(dāng)網(wǎng)關(guān)主機(jī)需要尋找A主機(jī)時(shí)，會(huì)產(chǎn)生一個(gè)ARP請(qǐng)求，來(lái)獲取A主機(jī)的MAC地址。當(dāng)黑客主機(jī)獲得該請(qǐng)求后，會(huì)使用其自身的MAC地址進(jìn)行回應(yīng)。當(dāng)該ARP回應(yīng)包到達(dá)交換機(jī)后，交換機(jī)上的DAI功能對(duì)其進(jìn)行偵聽(tīng)和監(jiān)控，并提取其中的信息，并將其和本地的數(shù)據(jù)庫(kù)進(jìn)行比對(duì)，如果信息符合規(guī)范，說(shuō)明其是一個(gè)正確的ARP回應(yīng)包，否則說(shuō)明其非法的ARP信息。

交換機(jī)是如何知曉每臺(tái)主機(jī)的IP和MAC地址的對(duì)應(yīng)關(guān)系呢？這其實(shí)和DHCP Snooping功能相關(guān)。DHCP Snooping會(huì)偵聽(tīng)每一個(gè)DHCP Offer消息，來(lái)獲取每一個(gè)MAC地址和IP的正確對(duì)應(yīng)關(guān)系。這樣，就可以建立所需的數(shù)據(jù)庫(kù)。

由此可以看出，當(dāng)黑客主機(jī)冒充A主機(jī)的MAC地址的ARP回應(yīng)包到達(dá)交換機(jī)后，就會(huì)被交換機(jī)識(shí)破并被丟棄。要想在交換機(jī)上開(kāi)啟DAI功能，首先需要正確的開(kāi)啟和配置DHCP Snooping功能。和DHCP Snooping一樣，DAI也會(huì)將端口分為Trust和Untrust兩種。對(duì)于前者來(lái)說(shuō)，其連接的主機(jī)不可能出現(xiàn)ARP欺騙的現(xiàn)象，即無(wú)需檢測(cè)直接轉(zhuǎn)發(fā)ARP數(shù)據(jù)包。對(duì)于后者來(lái)說(shuō)，必須對(duì)所有的ARP消息進(jìn)行檢測(cè)，判斷其合法性。不僅需要對(duì)ARP回應(yīng)包中的IP和MAC的對(duì)應(yīng)關(guān)系進(jìn)行檢測(cè)，還可以限制允許發(fā)送的ARP數(shù)據(jù)包的數(shù)量。

這樣，可以防止黑客使用ARP掃描來(lái)探測(cè)網(wǎng)絡(luò)中的主機(jī)信息。在交換機(jī)全局配置模式下按照上述方法開(kāi)啟DHCP Snooping功能，并針對(duì)對(duì)應(yīng)的VLAN開(kāi)啟DHCP偵聽(tīng)，并配置對(duì)應(yīng)端口的閥值。執(zhí) 行“ip arp inspection vlan 10,20”命令，來(lái)針對(duì)目標(biāo)VLAN開(kāi)啟DAI保護(hù)功能。當(dāng)然，還需要按照上述方法，開(kāi)啟針對(duì)特定端口將其配置為Trust狀態(tài)。執(zhí)行“ip arp inspection trust”命令，針對(duì)特定的Trust端口開(kāi)啟DAI信任。

注意，在默認(rèn)情況下，針對(duì)ARP檢測(cè)來(lái)說(shuō)，如果沒(méi)有具體配置的話，所有的端口都將會(huì)自動(dòng)處于Untrust狀態(tài)，即其發(fā)送的ARP信息都會(huì)被跟蹤和監(jiān)視。對(duì)于連接企業(yè)主干網(wǎng)絡(luò)的上行鏈路或者連接合法服務(wù)器的接口來(lái)說(shuō)，可以將其設(shè)置為Trust狀態(tài)。