今天我们将讨论两个重要主题:DHCP 侦听和“非默认”本地 VLAN。在继续学习本课程之前,我邀请您访问我们的其他 YouTube 频道,您可以观看有关如何提高记忆力的视频。我建议您订阅此频道,因为我们在那里发布了许多有用的自我提升技巧。
本课致力于研究 ICND1.7 主题的 1.7b 和 2c 小节。在开始使用 DHCP 侦听之前,让我们记住之前课程中的一些要点。如果我没记错的话,我们在第 6 天和第 24 天学习了 DHCP。会议讨论了有关 DHCP 服务器 IP 地址分配和相应消息交换的重要问题。
通常,当最终用户登录网络时,它会向网络发送广播请求,所有网络设备都会“听到”该请求。如果直接连接到 DHCP 服务器,则请求将直接发送到服务器。如果网络上有传输设备——路由器和交换机——那么对服务器的请求就会通过它们。 DHCP服务器收到请求后,响应用户,用户向用户发送获取IP地址的请求,然后服务器将该地址发布给用户的设备。这就是正常情况下获取 IP 地址的过程。根据图中的示例,最终用户将收到地址 192.168.10.10 和网关地址 192.168.10.1。此后,用户就可以通过该网关访问互联网或与其他网络设备进行通信。
我们假设网络上除了真实的DHCP服务器之外,还存在一个欺骗性的DHCP服务器,即攻击者只是在自己的计算机上安装了一个DHCP服务器。在这种情况下,用户进入网络后也会发送广播消息,路由器和交换机会将其转发到真实服务器。
然而,恶意服务器也会“监听”网络,并且在收到广播消息后,将用自己的报价而不是真正的 DHCP 服务器来响应用户。收到后,用户将表示同意,因此他将收到来自攻击者的IP地址192.168.10.2和网关地址192.168.10.95。
获取IP地址的过程缩写为DORA,由4个阶段组成:发现、提供、请求和确认。正如您所看到的,攻击者会给设备提供一个在可用网络地址范围内的合法IP地址,但他会使用虚假地址192.168.10.1来“隐藏”它,而不是真正的网关地址192.168.10.95,也就是他自己电脑的地址。
此后,所有定向到互联网的最终用户流量都将通过攻击者的计算机。攻击者将进一步重定向它,用户不会感觉到这种通信方法有任何区别,因为他仍然能够访问互联网。
同样,来自互联网的返回流量也会通过攻击者的计算机流向用户。这就是通常所说的中间人 (MiM) 攻击。所有用户流量都将通过黑客的计算机,黑客将能够读取他发送或接收的所有内容。这是 DHCP 网络上可能发生的一种攻击。
第二种类型的攻击称为拒绝服务 (DoS),或“拒绝服务”。会发生什么?黑客的计算机不再充当 DHCP 服务器,它现在只是一个攻击设备。它向真正的 DHCP 服务器发送 Discovery 请求并接收 Offer 消息作为响应,然后向服务器发送 Request 并从中接收 IP 地址。攻击者的计算机每隔几毫秒就会执行一次此操作,每次都会收到新的 IP 地址。
根据设置的不同,真正的 DHCP 服务器有一个包含数百个或数百个空闲 IP 地址的池。黑客的计算机将接收 IP 地址 .1、.2、.3 等,直到地址池完全耗尽。此后,DHCP 服务器将无法向网络上的新客户端提供 IP 地址。如果新用户进入网络,他将无法获得免费的IP地址。这就是 DHCP 服务器上 DoS 攻击的要点:阻止它向新用户发布 IP 地址。
为了应对此类攻击,使用了 DHCP 侦听的概念。这是 OSI 第 XNUMX 层功能,其作用类似于 ACL,并且仅适用于交换机。要理解 DHCP Snooping,需要考虑两个概念:可信交换机的可信端口和其他网络设备的不可信端口。
可信端口允许任何类型的 DHCP 消息通过。不可信端口是客户端连接到的端口,DHCP 侦听会丢弃来自这些端口的任何 DHCP 消息。
如果我们回忆一下DORA流程,消息D是从客户端到服务器,消息O是从服务器到客户端。接下来,客户端向服务器发送消息R,服务器向客户端发送消息A。
来自不安全端口的消息 D 和 R 被接受,O 和 A 等消息被丢弃。当启用 DHCP Snooping 功能时,默认情况下所有交换机端口都被视为不安全。此功能既可用于整个交换机,也可用于单个 VLAN。例如,如果某个端口连接的是VLAN10,则只能为VLAN10启用该功能,则该端口将变为不可信。
当您启用 DHCP 侦听时,作为系统管理员,您必须进入交换机设置并配置端口,以便只有与服务器类似的设备连接的端口才被视为不可信。这意味着任何类型的服务器,而不仅仅是 DHCP。
例如,如果另一个交换机、路由器或真实的 DHCP 服务器连接到某个端口,则该端口将被配置为可信。连接最终用户设备或无线接入点的其余交换机端口必须配置为不安全。因此,用户连接的任何设备(例如接入点)都通过不受信任的端口连接到交换机。
如果攻击者的计算机向交换机发送类型 O 和 A 的消息,它们将被阻止,即此类流量将无法通过不可信端口。这就是 DHCP 侦听如何防止上述类型的攻击。
此外,DHCP 侦听还会创建 DHCP 绑定表。客户端从服务器收到 IP 地址后,该地址以及接收该地址的设备的 MAC 地址将被输入到 DHCP Snooping 表中。这两个特征将与客户端连接的不安全端口相关联。
例如,这有助于防止 DoS 攻击。如果具有给定 MAC 地址的客户端已经收到 IP 地址,那么为什么需要新的 IP 地址呢?在这种情况下,在检查表中的条目后将立即阻止此类活动的任何尝试。
我们需要讨论的下一件事是非默认或“非默认”本地 VLAN。我们多次涉及 VLAN 主题,并为这些网络提供了 4 个视频课程。如果您忘记了这是什么,我建议您复习这些课程。
我们知道,在 Cisco 交换机中,默认的 Native VLAN 是 VLAN1。有一种称为 VLAN 跳跃的攻击。假设图中的计算机通过默认本机网络 VLAN1 连接到第一台交换机,最后一个交换机通过 VLAN10 网络连接到计算机。交换机之间建立中继。
通常,当来自第一台计算机的流量到达交换机时,它知道该计算机连接的端口是 VLAN1 的一部分。接下来,此流量进入两台交换机之间的主干,第一台交换机会这样想:“此流量来自本机 VLAN,因此我不需要标记它”,并沿主干转发未标记的流量,这到达第二个开关。
交换机 2 收到未标记的流量后,会这样想:“由于此流量未标记,这意味着它属于 VLAN1,因此我无法通过 VLAN10 发送它。”因此,第一台计算机发送的流量无法到达第二台计算机。
实际上,情况应该是这样的 - VLAN1 流量不应进入 VLAN10。现在让我们想象一下,在第一台计算机后面有一个攻击者,他创建一个带有 VLAN10 标记的帧并将其发送到交换机。如果您还记得 VLAN 的工作原理,那么您就会知道,如果标记的流量到达交换机,交换机不会对帧执行任何操作,而只是沿着主干进一步传输帧。因此,第二台交换机将接收带有攻击者创建的标签的流量,而不是第一台交换机创建的标签。
这意味着您要将本机 VLAN 替换为 VLAN1 以外的其他内容。
由于第二台交换机不知道谁创建了 VLAN10 标记,因此它只是将流量发送到第二台计算机。当攻击者渗透到他最初无法访问的网络时,VLAN 跳跃攻击就是这样发生的。
为了防止此类攻击,需要创建随机VLAN,或者随机VLAN,例如VLAN999、VLAN666、VLAN777等,这些VLAN根本无法被攻击者使用。同时,我们进入交换机的中继端口并将其配置为工作,例如使用本机 VLAN666。本例中,我们将Trunk端口的Native VLAN从VLAN1更改为VLAN66,即使用除VLAN1之外的任何网络作为Native VLAN。
Trunk 两侧的端口必须配置为相同的 VLAN,否则我们将收到 VLAN 号不匹配错误。
完成此设置后,如果黑客决定进行 VLAN 跳频攻击,他将不会成功,因为本机 VLAN1 未分配给交换机的任何中继端口。这是通过创建非默认本机 VLAN 来防御攻击的方法。
感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的内容? 通过下订单或推荐给朋友来支持我们, 在我们为您发明的独特的入门级服务器模拟上,Habr 用户可享受 30% 的折扣:
戴尔R730xd便宜2倍? 只有这里
来源: habr.com