今天我們將討論兩個重要主題:DHCP 偵聽和「非預設」本機 VLAN。在繼續學習本課程之前,我邀請您訪問我們的其他 YouTube 頻道,您可以觀看有關如何提高記憶力的影片。我建議您訂閱此頻道,因為我們在那裡發布了許多有用的自我提陞技巧。
本課程致力於研究 ICND1.7 主題的 1.7b 和 2c 小節。在開始使用 DHCP 偵聽之前,讓我們記住之前課程中的一些要點。如果我沒記錯的話,我們在第 6 天和第 24 天學習了 DHCP。會議討論了有關 DHCP 伺服器 IP 位址分配和相應訊息交換的重要問題。
通常,當最終用戶登入網路時,它會向網路發送廣播請求,所有網路設備都會「聽到」該請求。如果直接連接到 DHCP 伺服器,則請求將直接傳送到伺服器。如果網路上有傳輸設備——路由器和交換器——那麼對伺服器的請求就會通過它們。 DHCP伺服器收到請求後,響應用戶,用戶向用戶發送獲取IP位址的請求,然後伺服器將該位址發佈給用戶的裝置。這就是正常情況下取得 IP 位址的過程。根據圖中的範例,最終用戶將收到位址 192.168.10.10 和網關位址 192.168.10.1。此後,使用者就可以透過該網關存取網際網路或與其他網路設備進行通訊。
我們假設網路上除了真正的DHCP伺服器之外,還有一個詐騙的DHCP伺服器,也就是攻擊者只是在自己的電腦上安裝了一個DHCP伺服器。在這種情況下,用戶進入網路後也會發送廣播訊息,路由器和交換機會將其轉發到真實伺服器。
然而,惡意伺服器也會「監聽」網絡,並且在收到廣播訊息後,將用自己的報價而不是真正的 DHCP 伺服器來回應用戶。收到後,用戶將表示同意,因此他將收到來自攻擊者的IP位址192.168.10.2和網關位址192.168.10.95。
取得IP位址的過程縮寫為DORA,由4個階段組成:發現、提供、請求和確認。正如您所看到的,攻擊者會給設備提供一個在可用網路位址範圍內的合法IP位址,但他會使用虛假位址192.168.10.1來「隱藏」它,而不是真正的網關位址192.168.10.95,也就是他自己電腦的位址。
此後,所有定向到互聯網的最終用戶流量都將通過攻擊者的電腦。攻擊者將進一步重定向它,用戶不會感覺到這種通信方法有任何區別,因為他仍然能夠訪問互聯網。
同樣,來自網路的回傳流量也會透過攻擊者的電腦流向使用者。這就是通常所說的中間人 (MiM) 攻擊。所有用戶流量都將通過駭客的計算機,駭客將能夠讀取他發送或接收的所有內容。這是 DHCP 網路上可能發生的一種攻擊。
第二種類型的攻擊稱為拒絕服務 (DoS),或「拒絕服務」。會發生什麼事?駭客的電腦不再充當 DHCP 伺服器,它現在只是一個攻擊設備。它會向真正的 DHCP 伺服器發送 Discovery 請求並接收 Offer 訊息作為回應,然後向伺服器發送 Request 並從中接收 IP 位址。攻擊者的電腦每隔幾毫秒就會執行一次此操作,每次都會收到新的 IP 位址。
根據設定的不同,真正的 DHCP 伺服器有一個包含數百個或數百個空閒 IP 位址的池。駭客的電腦將接收 IP 位址 .1、.2、.3 等,直到位址池完全耗盡。此後,DHCP 伺服器將無法向網路上的新用戶端提供 IP 位址。如果新用戶進入網絡,他將無法獲得免費的IP位址。這就是 DHCP 伺服器上 DoS 攻擊的要點:阻止它向新用戶發布 IP 位址。
為了應對此類攻擊,使用了 DHCP 偵聽的概念。這是 OSI 第 2 層功能,其作用類似於 ACL,並且僅適用於交換器。要瞭解 DHCP Snooping,需要考慮兩個概念:可信任交換器的可信任連接埠和其他網路設備的不可信任連接埠。
可信任連接埠允許任何類型的 DHCP 訊息通過。不可信連接埠是用戶端連接到的端口,DHCP 偵聽會丟棄來自這些連接埠的任何 DHCP 訊息。
如果我們回憶一下DORA流程,訊息D是從客戶端到伺服器,訊息O是從伺服器到客戶端。接下來,客戶端向伺服器發送訊息R,伺服器向客戶端發送訊息A。
來自不安全連接埠的訊息 D 和 R 被接受,O 和 A 等訊息被丟棄。當啟用 DHCP Snooping 功能時,預設情況下所有交換器連接埠都被視為不安全。此功能既可用於整個交換機,也可用於單一 VLAN。例如,如果某個連接埠連接的是VLAN10,則只能為VLAN10啟用該功能,則該連接埠將變成不可信。
當您啟用 DHCP 偵聽時,作為系統管理員,您必須進入交換器設定並配置端口,以便只有與伺服器類似的設備連接的端口才被視為不可信。這意味著任何類型的伺服器,而不僅僅是 DHCP。
例如,如果另一個交換器、路由器或真實的 DHCP 伺服器連接到某個端口,則該端口將配置為可信任。連接最終用戶設備或無線存取點的其餘交換器連接埠必須配置為不安全。因此,使用者連接的任何裝置(例如存取點)都透過不受信任的連接埠連接到交換器。
如果攻擊者的電腦向交換器發送類型 O 和 A 的訊息,它們將被阻止,即此類流量將無法通過不可信連接埠。這就是 DHCP 偵聽如何防止上述類型的攻擊。
此外,DHCP 偵聽也會建立 DHCP 綁定表。用戶端從伺服器收到 IP 位址後,該位址以及接收該位址的裝置的 MAC 位址將輸入到 DHCP Snooping 表中。這兩個特徵將與客戶端連接的不安全連接埠相關聯。
例如,這有助於防止 DoS 攻擊。如果具有給定 MAC 位址的用戶端已經收到 IP 位址,那麼為什麼需要新的 IP 位址呢?在這種情況下,在檢查表中的條目後將立即阻止此類活動的任何嘗試。
我們需要討論的下一件事是非預設或「非預設」本地 VLAN。我們多次涉及 VLAN 主題,並為這些網路提供了 4 個視訊課程。如果您忘記了這是什麼,我建議您複習這些課程。
我們知道,在 Cisco 交換器中,預設的 Native VLAN 是 VLAN1。有一種稱為 VLAN 跳躍的攻擊。假設圖中的電腦透過預設本機網路 VLAN1 連接到第一台交換機,最後一個交換器透過 VLAN10 網路連接到電腦。交換器之間建立中繼。
通常,當來自第一台電腦的流量到達交換器時,它知道該電腦所連接的連接埠是 VLAN1 的一部分。接下來,此流量進入兩台交換器之間的主幹,第一台交換機會這樣想:“此流量來自本機 VLAN,因此我不需要標記它”,並沿主幹轉送未標記的流量,這到達第二個開關。
交換器 2 收到未標記的流量後,會這樣想:“由於此流量未標記,這意味著它屬於 VLAN1,因此我無法透過 VLAN10 發送它。”因此,第一台電腦發送的流量無法到達第二台電腦。
實際上,情況應該是這樣的 - VLAN1 流量不應進入 VLAN10。現在讓我們想像一下,在第一台電腦後面有一個攻擊者,他創建一個帶有 VLAN10 標記的訊框並將其發送到交換器。如果您還記得 VLAN 的工作原理,那麼您就會知道,如果標記的流量到達交換機,交換器不會對訊框執行任何操作,而只是沿著主幹進一步傳輸訊框。因此,第二台交換器將接收帶有攻擊者創建的標籤的流量,而不是第一台交換器建立的標籤。
這表示您要將本機 VLAN 替換為 VLAN1 以外的其他內容。
由於第二台交換器不知道誰建立了 VLAN10 標記,因此它只是將流量傳送到第二台電腦。當攻擊者滲透到他最初無法存取的網路時,VLAN 跳躍攻擊就是這樣發生的。
為了防止此類攻擊,需要建立隨機VLAN,或隨機VLAN,例如VLAN999、VLAN666、VLAN777等,這些VLAN根本無法被攻擊者使用。同時,我們進入交換器的中繼埠並將其配置為工作,例如使用本機 VLAN666。本例中,我們將Trunk連接埠的Native VLAN從VLAN1變更為VLAN66,即使用除VLAN1之外的任何網路作為Native VLAN。
Trunk 兩側的連接埠必須配置為相同的 VLAN,否則我們將收到 VLAN 號不符錯誤。
完成此設定後,如果駭客決定進行 VLAN 跳頻攻擊,他將不會成功,因為本機 VLAN1 未指派給交換器的任何中繼連接埠。這是透過建立非預設本機 VLAN 來防禦攻擊的方法。
感謝您與我們在一起。 你喜歡我們的文章嗎? 想看更多有趣的內容? 通過下訂單或推薦給朋友來支持我們, 在我們為您發明的獨特的入門級服務器模擬上,Habr 用戶可享受 30% 的折扣:
戴爾R730xd便宜2倍? 只有這裡
來源: www.habr.com