某烟草公司配送中心智能化系统设计方案.doc

xxxxx公司卷烟配送中心智能化系统建设设计方案三、常见的网络安全攻击与防范 在诸多的局域网安全问题中，令网络管理员感到最头痛的问题就是IP地址的管理；最担心的问题就是账号、密码的盗取以及信息的失窃和篡改；而最棘手的问题就是木马、蠕虫病毒爆发对网络造成的危害本文将详细阐述如何利用Cisco Catalyst交换机内部集成的安全特性，采用创新的方式在局域网上有效地进行IP的地址管理、阻止网络的攻击并减少病毒的危害关键词：Port Security、DHCP Snooping、Dynamic ARP Inspection（DAI）、IP Source Guard3.1、网络安全威胁发展趋势由于历史的原因企业内部网络都被设计成一个公用设施，其结果就是使今天所有企业网络的端口对于内部都处于“开放”状态开放”的网络和共享的资源可以很轻易地得到访问，只需要将一台电脑插入一个网络接口并获取一个IP地址CSI/FBI计算机犯罪与安全调查显示，信息失窃已经成为当前最主要的犯罪在造成经济损失的所有攻击中，有75％都是来自于公司内部这样，企业网络内部就必须采用更多创新方式来防止攻击，如果我们将网络中的所有端口看成潜在敌对实体获取通道的“端口防线”，网络管理员就必须知道这些潜在威胁都有那些，以及需要设置哪些安全功能来锁定这些端口并防止这些潜在的来自网络第二层的安全攻击。

3.2、局域网安全存在的普遍问题任何对网络安全的破坏都会扰乱企业的正常运转，伤害合作伙伴和用户的信心，并给企业带来不可弥补的损失目前企业在内部局域网中遇到的问题主要有以下几种： IP地址的管理问题，包括IP地址非法使用、IP地址冲突和IP地址欺骗 利用ARP欺骗获取账号、密码、信息，甚至恶意篡改信息内容、嫁祸他人问题 木马、蠕虫病毒攻击导致的信息失窃、网络瘫痪问题 攻击或病毒源机器的快速定位、隔离问题IP的地址管理一直是长期困扰企业局域网安全稳定运行的首要问题在局域网上任何用户使用未经授权的IP地址都应视为IP非法使用由于终端用户可以自由修改IP地址，从而产生了IP地址非法使用问题改动后的IP地址在局域网中运行时可能出现以下情况 非法的IP地址即IP地址不在规划的局域网范围内 重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突，使合法用户无法上网 冒用合法用户的IP地址当合法用户不时，冒用其IP地址联网，使合法用户的权益受到侵害无论是有意或无意地使用非法IP地址都可能会给企业带来严重的后果，如重复的IP地址会干扰、破坏网络服务器和网络设备的正常运行，甚至导致网络的不稳定，从而影响业务；拥有被非法使用的IP地址所拥有的特权，威胁网络安全；利用欺骗性的IP地址进行网络攻击，如富有侵略性的TCP SYN洪泛攻击来源于一个欺骗性的IP地址，它是利用TCP三次握手会话对服务器进行颠覆的一种攻击方式，一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。

为了防止非法使用IP地址，增强网络安全，最常见的方法是采用静态的ARP命令捆绑IP地址和MAC地址，从而阻止非法用户在不修改MAC地址的情况下冒用IP地址进行的访问，同时借助交换机的端口安全即MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题但这种方法由于要事先收集所有机器的MAC地址及相应的IP地址，然后还要通过人工输入方法来建立IP地址和MAC地址的捆绑表，不仅工作量繁重，而且也难以维护和管理另一个显著的问题就是带有攻击特性的ARP欺骗地址解析协议（ARP，Address Resolution Protocol）最基本的功能是用来实现MAC地址和IP地址的绑定，这样两个工作站才可以通讯，通讯发起方的工作站以MAC广播方式发送ARP请求，拥有此IP地址的工作站给予ARP应答，并附上自己的IP和MAC地址ARP协议同时支持一种无请求ARP功能，局域网段上的所有工作站收到主动ARP，会将发送者的MAC地址和其宣布的IP地址保存，覆盖以前的同一IP地址和对应的MAC地址术语“ARP欺骗”或者说“ARP中毒”就是指利用主动ARP来误导通信数据传往一个恶意计算机的黑客技术，该计算机就能成为某个特定局域网网段上的两台终端工作站之间IP会话的“中间人”了。

如果黑客想探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个ARP 应答包，让两台主机都“误”认为对方的MAC地址是第三方黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的黑客一方面得到了想要的通信内容，并可以通过工具破译账号、密码、信息，另一方面，还可以恶意更改数据包中的一些信息同时，这种ARP欺骗又极具隐蔽性，攻击完成后再恢复现场，所以不易发觉、事后也难以追查，被攻击者往往对此一无所知病毒入侵问题也是所有企业普遍关心的问题这些病毒，可以在极短的时间内迅速感染大量系统，甚至造成网络瘫痪和信息失窃，给企业造成严重损失木马病毒往往会利用ARP的欺骗获取账号和密码，而蠕虫病毒也往往利用IP地址欺骗技术来掩盖它们真实的源头主机如“网吧传奇杀手” （Trojan.PSW.LMir.qh）木马病毒就是一个专门窃取“传奇”游戏密码的恶性木马病毒，其工作原理是对局域网中的机器进行ARP欺骗，虚拟内部的网关地址，以此来收集局域网中传奇游戏登录信息，通过解析加密方式从而得到用户信息的破坏性软件在局域网中运行这个病毒后，就可以获得整个局域网中“传奇”玩家的帐户和密码等信息。

例如“局域网终结者”（Win32.Hack.Arpkill）病毒，通过伪造ARP包来欺骗网络主机，使指定的主机网络中断，严重影响到网络的运行最后，令网络管理员头痛的问题是如何准确定位当出现IP地址被非法使用、IP地址冲突，或网络出现异常流量包括由于网络扫描、病毒感染和网络攻击产生的流量，为了查找这些IP地址的机器，一般采用如下步骤： 　　1. 确定出现问题的IP地址　　2. 查看当前网络设备的ARP表，从中获得网卡的MAC地址 　　3. 检查交换机的MAC地址列表，确定机器位置 这个过程往往要花费大量的时间才能够定位机器具体连接的物理端口，而对于伪造的源IP地址要查出是从哪台机器产生的就更加困难了如果不能及时对故障源准确地定位、迅速地隔离，将会导致严重的后果，即使在网络恢复正常后隐患依然存在3.3、阻止来自网络第二层攻击的重要性以上所提到的攻击和欺骗行为主要来自网络的第二层在网络实际环境中，其来源可概括为两个途径：人为实施，病毒或蠕虫人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探，获取管理帐户和相关密码，在网络上中安插木马，从而进行进一步窃取机密文件攻击和欺骗过程往往比较隐蔽和安静，但对于信息安全要求高的企业危害是极大的。

木马、蠕虫病毒的攻击不仅仅是攻击和欺骗，同时还会带来网络流量加大、设备CPU利用率过高、二层生成树环路、网络瘫痪等现象网络第二层的攻击是网络安全攻击者最容易实施，也是最不容易被发现的安全威胁，它的目标是让网络失效或者通过获取诸如密码这样的敏感信息而危及网络用户的安全因为任何一个合法用户都能获取一个以太网端口的访问权限，这些用户都有可能成为黑客，同时由于设计OSI模型的时候，允许不同通信层在相互不了解情况下也能进行工作，所以第二层的安全就变得至关重要如果这一层受到黑客的攻击，网络安全将受到严重威胁，而且其他层之间的通信还会继续进行，同时任何用户都不会感觉到攻击已经危及应用层的信息安全 　所以，仅仅基于认证（如IEEE 802.1x）和访问控制列表（ACL，Access Control Lists）的安全措施是无法防止本文中提到的来自网络第二层的安全攻击一个经过认证的用户仍然可以有恶意，并可以很容易地执行本文提到的所有攻击目前这类攻击和欺骗工具已经非常成熟和易用归纳前面提到的局域网目前普遍存在的安全问题，根据这些安全威胁的特征分析，这些攻击都来自于网络的第二层，主要包括以下几种： MAC地址泛滥攻击 DHCP服务器欺骗攻击 ARP欺骗 IP/MAC地址欺骗Cisco Catalyst 智能交换系列的创新特性针对这类攻击提供了全面的解决方案，将发生在网络第二层的攻击阻止在通往内部网的第一入口处，主要基于下面的几个关键的技术。

Port Security DHCP Snooping Dynamic ARP Inspection (DAI) IP Source Guard下面主要针对目前这些非常典型的二层攻击和欺骗说明如何在思科交换机上组合运用和部署上述技术，从而防止在交换环境中的“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等，更具意义的是通过上面技术的部署可以简化地址管理，直接跟踪用户IP和对应的交换机端口，防止IP地址冲突同时对于大多数具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离3.4 、MAC地址泛滥攻击的防范3.4.1、 MAC泛滥攻击的原理和危害交换机主动学习客户端的MAC地址，并建立和维护端口和MAC地址的对应表以此建立交换路径，这个表就是通常我们所说的CAM表CAM表的大小是固定的，不同的交换机的CAM表大小不同MAC/CAM攻击是指利用工具产生欺骗MAC，快速填满CAM表，交换机CAM表被填满黑客发送大量带有随机源MAC地址的数据包，这些新MAC地址被交换机CAM学习，很快塞满MAC地址表，这时新目的MAC地址的数据包就会广播到交换机所有端口，交换机就像共享HUB一样工作，黑客可以用sniffer工具监听所有端口的流量。

此类攻击不仅造成安全性的破坏，同时大量的广播包降低了交换机的性能3.4.2、攻击实例用MACOF工具进行的MAC泛滥攻击案例当交换机的CAM表被填满后，交换机以广播方式处理通过交换机的报文，这时攻击者可以利用各种嗅探攻击获取网络信息更为严重的是，这种攻击也会导致所有邻接的交换机CAM表被填满，流量以洪泛方式发送到所有交换机的所有含有此VLAN的接口，从而造成交换机负载过大、网络缓慢和丢包甚至瘫痪典型的病毒利用MAC泛滥攻击案例曾经对网络照成非常大威胁的SQL蠕虫病毒就利用组播目标地址，构造假目标MAC来填满交换机CAM表3.4.3、防范方法限制单个端口所连接MAC地址的数目可以有效防止类似macof工具和SQL蠕虫病毒发起的攻击，macof可被网络用户用来产生随机源MAC地址和随机目的MAC地址的数据包，可以在不到10秒的时间内填满交换机的CAM表Cisco Catalyst交换机的端口安全（Port Security）和动态端口安全功能可被用来阻止MAC泛滥攻击例如交换机连接单台工作站的端口，可以限制所学MAC地址数为1；连接IP和工作站的端口可限制所学MAC地址数为3：IP、工作站和IP内的交换机。

通过端口安全功能，网络管理员也可以静态设置每个端口所允许连接的合法MAC地址，实现设备级的安全授权动态端口安全则设置端口允许合法MAC地址的数目，并以一定时间内所学习到的地址作为合法MAC地址通过配置Port Security可以控制： 端口上最大可以通过的MAC地址数量 端口上学习或通过哪些MAC地址 对于超过规定数量的MAC处理进行违背处理端口上学习或通过哪些MAC地址，可以通过静态手工定义，也可以在交换机自动学习交换机动态学习端口MAC，直到指定的MAC地址数量，交换机关机后重新学习目前较新的技术是Sticky Port Security，交换机将学到的mac地址写到端口配置中，交换机重启后配置仍然存在。