防火墙的区域划分+来自公网、内网的ip欺骗攻击+防御

一、适用场景:

1、某些企业的WIFI覆盖不全面的情况下,企业职工想通过自己购置的无线路由器实现使用无线WIFI时,无意间接入无线路由器,导致ip欺骗攻击形成。

2、当企业对某个网段中的某些ip地址,限制其不能连外网,但是为了连外网,用户手动修改自己设备的ip地址为网关ip地址时,ip欺骗攻击形成。

3、某些企业中懂网络工作原理的工作人员,恶作剧时,修改某设备的ip地址为网关或路由器接口的ip地址,ip欺骗攻击形成。

解决方案:在链路中的关键设备上进行ip地址与MAC地址的ARP静态绑定。配置IPSG技术、DHCP snooping技术,本例通过实验的方式来完成无意或有意的攻击,以及如何防御。拓扑图中红色框的路由器用于模拟攻击的设备。

二、拓扑图:

三、配置打通网络(除红色框中的路由器,其余为正常运行中的网络设备)

(一)AR1:

sysname AR1

dhcp enable

interface GigabitEthernet0/0/1

ip address 192.168.100.253 255.255.255.0

dhcp select relay

dhcp relay server-ip 192.168.100.254

interface GigabitEthernet0/0/2

ip address 192.168.101.254 255.255.255.0

dhcp select relay

dhcp relay server-ip 192.168.100.254

rip 1

version 2

network 192.168.101.0

network 192.168.100.0

(二)AR2:

sysname AR2

dhcp enable

ip pool yanfa

gateway-list 192.168.101.254

network 192.168.101.0 mask 255.255.255.0

dns-list 192.168.2.1

ip pool bangong

gateway-list 192.168.100.254

network 192.168.100.0 mask 255.255.255.0

excluded-ip-address 192.168.100.253

dns-list 192.168.2.1

interface GigabitEthernet0/0/1

ip address 192.168.1.253 255.255.255.0

interface GigabitEthernet0/0/2

ip address 192.168.100.254 255.255.255.0

dhcp select global

rip 1

version 2

network 192.168.1.0

network 192.168.100.0

(三)AR3:

sysname AR3

interface GigabitEthernet0/0/1

ip address 203.203.1.1 255.255.255.248

interface GigabitEthernet0/0/2

ip address 203.204.100.254 255.255.255.0

dhcp select interface

dhcp server excluded-ip-address 203.204.100.1

dhcp server excluded-ip-address 203.204.100.252

rip 1

version 2

network 203.203.1.0

network 203.204.100.0

(四)FW1:

sysname USG6000V1

interface GigabitEthernet1/0/0

undo shutdown

ip address 192.168.2.254 255.255.255.0

interface GigabitEthernet1/0/1

undo shutdown

ip address 203.203.1.2 255.255.255.248

interface GigabitEthernet1/0/2

undo shutdown

ip address 192.168.1.254 255.255.255.0

firewall zone trust

set priority 85

add interface GigabitEthernet0/0/0

add interface GigabitEthernet1/0/2

firewall zone untrust

set priority 5

add interface GigabitEthernet1/0/1

firewall zone dmz

set priority 50

add interface GigabitEthernet1/0/0

rip 1

version 2

network 203.203.1.0

network 192.168.2.0

network 192.168.1.0

security-policy

rule name trustdmztountrust

source-zone dmz

source-zone trust

source-zone untrust

destination-zone dmz

destination-zone trust

destination-zone untrust

action permit

(五)DNS Server1


(六)FTP Server2

(七)Https Server3


(八)测试网络的连通性:

1、验证AR2的DHCP功能,基于全局的地址池是否能被PC2获取到正确的ip地址、网关、DNS信息,与预期一致,如下图:

2、验证AR2的DHCP功能,基于全局的地址池在DHCP中继后,是否能被PC1获取到正确的ip地址、网关、DNS信息,与预期一致,如下图:

3、trust区域的PC2访问DMZ区域的dns server,测试连通性

(1)PC2 192.168.100.252 ping dns server 192.168.2.1,连通正常,如下图:

(2)PC2跟踪到dns server的路由

4、trust区域的PC1 访问DMZ区域的dns server,测试连通性

(1)PC1 ping dns server

(2)PC1跟踪到dns server的路由

5、trust区域的PC2与client2访问untrust区域的https server3,测试连通性

(1)PC2跟踪到http server3的路由

(2)client2访问www.baidu.com网站

6、trust区域的PC1与client1访问untrust区域的https server3,测试连通性

(1)PC1跟踪到https server3的路由

(2)client1访问www.baidu.com网站

四、验证攻击与防御过程:

(一)在trust内网区域,接入一个新路由器AR4,模拟内网网关的ip欺骗

1、未配置AR4之前,PC2通过DNS server正常解析www.baidu.com的路径,如下图:

2、配置AR4的G0/0/1接口ip地址与AR2的G0/0/2接口相同,都为192.168.100.254

(1)AR4上操作:

interface GigabitEthernet0/0/1

ip address 192.168.100.254 255.255.255.0

查看AR4的G0/0/2接口MAC地址为00e0-fce2-739e

3、查看AR2上的G0/0/2接口MAC地址为:00e0-fc0a-362a

4、在PC2上验证网络的连通性,并验证网关到底是哪个,从下图可以看出,很明显,此时虽然ping通了192.168.100.254,却是由AR4这台攻击路由器回复的数据包,如下图:

5、PC1释放ip地址后,再重新获取ip地址时,由于AR4的接入,网关MAC地址变化,所以获取不到ip地址了,分别在AR2的G0/0/2接口与AR4的G 0/0/1接口抓包,均有DHCP的discover中继请求,但回复数据包是AR2还是AR4无法确定,因为AR2与AR4此时有接口的ip地址完全相同,都是192.168.100.254/24,导致DHCP客户端无法正常获取到ip地址,如下图:

(二)LSW2上接入的192.168.100.254网关ip欺骗导致DHCP客户端无法正常获取ip地址,解决方案

1、数据包的分歧是在LSW2发生的,所以要在LSW2上确认有DHCP地址池的192.168.100.254的正确MAC地址,并把192.168.100.254与该mac地址绑定,LSW2具体操作如下:

interface Vlanif1

ip address 192.168.100.251 255.255.255.0

arp static 192.168.100.254 00e0-fc0a-362a vid 1 interface GigabitEthernet0/0/2

2、排除非法接入LSW2的设备对网络数据包转发形成干扰,所以本例配置IPSG技术来完成,LSW2具体操作如下:

user-bind static ip-address 192.168.100.254 mac-address 00e0-fc0a-362a interface G0/0/1 vlan 1

user-bind static ip-address 192.168.100.1 mac-address 5489-98cf-510e interface G0/0/2 vlan 1

user-bind static ip-address 192.168.100.252 mac-address 5489-987f-3d65 interface G0/0/3 vlan 1

user-bind static ip-address 192.168.100.253 mac-address 00e0-fc14-58b6 interface G0/0/4 vlan 1

vlan 1

ip source check user-bind enable

3、在LSW2的各接口配置dhcp snooping,防伪DHCP的攻击,并配置dhcp server的信任接口,所以LSW2的具体操作如下:

dhcp enable

dhcp snooping enable

port-group 1

group-member GigabitEthernet0/0/2 to GigabitEthernet0/0/5

dhcp snooping enable

quit

int g 0/0/1

dhcp snooping trusted

4、完成以上攻击防御的配置后,再从PC1重新获取ip地址正常,如下图:

5、在pc1上ping网关192.168.100.254,此时只有AR2有icmp的回应包了,说明刚才的ARP静态绑定+IPSG技术+DHCP snooping技术起到了作用,防御了外接路由器的ip欺骗,外接路由器使用了网关ip地址,由IPSG技术来反向隔离,只有被绑定的ip与MAC地址及接口对应关系正确的情况下,数据包才得以转发。外接路由器是不会存在于LSW2交换机上的用户绑定列表的。所以无论接在交换机哪个口,或是更换了ip地址,都无法使用网络中的资源,从PC1上ping网关,抓包确认正确,如下图:

(三)LSW4上接入的203.204.100.254网关ip欺骗导致www.baidu.com域名无法解析,解决方案如下:

在LSW4上完成以下配置:

dhcp enable

dhcp snooping enable

user-bind static ip-address 203.204.100.254 mac-address 00e0-fc7b-354a interface G0/0/2 vlan 1

user-bind static ip-address 203.204.100.253 mac-address 5489-98a5-368b interface G0/0/4 vlan 1

user-bind static ip-address 203.204.100.1 mac-address 5489-987c-4989 interface G0/0/3 vlan 1

vlan 1

ip source check user-bind enable

interface Vlanif1

ip address 203.204.100.252 255.255.255.0

arp static 203.204.100.254 00e0-fc7b-354a vid 1 interface G0/0/2

port-group 1

group-member GigabitEthernet0/0/1

group-member GigabitEthernet0/0/3

group-member GigabitEthernet0/0/4

dhcp snooping enable

quit

interface GigabitEthernet0/0/2

dhcp snooping trusted

五、验证防御结果:

(一)跟踪pc1到www.baidu.com域名的路由,正确,如下图:

(二)PC2打开www.baidu.com域名时,到DNS server解析正确后,再跟踪访问网站站点的路径正确,如下图:

本文至此结束,希望能为无意攻击与恶作剧有意攻击提个醒,也能针对这类数据包进行有效的防御。不足之处敬请批评指正。

相关推荐
weixin_4426434214 分钟前
数据跨网传输无忧:FileLink打造内外网文件传输的安全桥梁
服务器·网络·安全·filelink内外网文件传输
raysync88816 分钟前
优化文档安全外发做到灵活定义审批流程
网络·安全
命里有定数19 分钟前
Ubuntu问题 -- 通过远程修改文件配置ubuntu服务器的静态IP (不需要到服务器现场) (通过NetworkManager)
运维·服务器·tcp/ip·ubuntu·网卡
AI青年志19 分钟前
【linux】服务器加装硬盘后如何将其设置为独立硬盘使用
linux·运维·服务器
安科瑞刘鸿鹏21 分钟前
光伏运维监测系统在“双碳”环境中的应用
运维·服务器·网络·物联网·能源
2301_7757655225 分钟前
网络编程day2.2~day3——TCP并发服务器
运维·服务器
Mango00000027 分钟前
SEO网站都用哪里的服务器
运维·服务器
运维老司机1 小时前
Jenkins迁移数据目录
运维·jenkins
奈斯ing1 小时前
【Oracle篇】SQL性能优化实战案例(从15秒优化到0.08秒)(第七篇,总共七篇)
运维·数据库·sql·oracle·性能优化
小林熬夜学编程1 小时前
【Linux系统编程】第四十九弹---日志系统构建指南:从基础结构到时间处理与Log类实现
linux·运维·服务器·c语言·开发语言·c++