数据中心解决方案安全技术白皮书(9)

4.    防IP伪装

病毒和非法用户很多情况会伪装IP来实现攻击。伪装IP有三个用处：

?          本身就是攻击的直接功能体。比如smurf攻击。

?          麻痹网络中的安全设施。比如绕过利用源IP做的接入控制。

?          隐藏攻击源

设备防止IP伪装的关键在于如何判定设备接收到的报文的源IP是经过伪装的。这种判定的方式有三种。分别在内网和内外网的边界使用。

l         在internet出口处过滤RFC3330和RFC1918所描述的不可能在内外网之间互访的IP地址。

由于现今internet上的大多数攻击者都不具备很高的网络技术水平，其攻击手段仅仅是比较机械利用现有的攻击工具。同时一些攻击工具虽然做到了使用方便，但其攻击方法设计也相对简单，没有办法根据网络实际状况进行调整。因此，网络中大多数的攻击方式是带有盲目性的。局域网在其internet出入口处过滤掉不可能出现的IP地址，可以缓解非法用户简单的随机伪装IP所带来的危害。

l         利用IP和MAC的绑定关系

?          网关防御

利用DHCP relay特性，网关可以形成本网段下主机的IP、MAC映射表。当网关收到一个ARP报文时，会先在映射表中查找是否匹配现有的映射关系。如果找到则正常学习，否则不学习该ARP。这样伪装IP的设备没有办法进行正常的跨网段通信。

?          接入设备防御

利用DHCP SNOOPING特性，接入设备通过监控其端口接收到的DHCP request、ACK、release报文，也可以形成一张端口下IP、MAC的映射表。设备可以根据IP、MAC、端口的对应关系，下发ACL规则限制从该端口通过的报文源IP必须为其从DHCP 服务器获取的IP地址。

l         UPRF

UPRF会检测接收到的报文中的源地址是否和其接收报文的接口相匹配。其实现机制如下：设备接收到报文后，UPRF会比较该报文的源地址在路由表中对应的出接口是否和接收该报文的接口一致。如果两者不一致，则将报文丢弃。

5.    路由协议认证

攻击者也可以向网络中的设备发送错误的路由更新报文，使路由表中出现错误的路由，从而引导用户的流量流向攻击者的设备。为了防止这种攻击最有效的方法就是使用局域网常用路由协议时，必须启用路由协议的认证。

?          OSPF协议，支持邻居路由器之间的明文/MD5认证和OSPF区域内的明文/MD5认证；

?          RIPv2协议，支持邻居路由器之间的明文/MD5认证