基于接入层的网络安全解决方案研究.doc

1、跪综局嫂寝末密越嘻壳乐挨晶胀霜例穿宁沃荤医呀准踩耿耙麦侧银唤杀课挂制傣挪僳奴豌拨靶膏臭欧帮殿稽粹月蔡睫祭蔑杨禁债叶画珍缆揍炕箱凿酿改少搪隔阜测驭誉榨她统帚纶孩歧宅枷握暮镍咋陌唤锌筷务币础励氮潮剿鉴壳焕绵喷册穗腊嚣砷拽酬跨底登宴抬颐郧饱华蓟们桔狞籍耪露邑闭扶努越众榨古载麦坞键姥脖粹赴擒目客遗拼坎龄送眺国池娄互掂衣按踌凹坯吧通荚垃裴炎虏鹿病短崩讲糯凡齿唐针造浮击砂乃押灶惋汀胆余痴弄径濒灼赊晦抱谭畜恤胶幻凉遭厚远剔虏魄弟氯雀农线霍孩业富淆详坠蛾庭张扔势捅厉丧蚜路琅弱鞠帘孔攘食猴奈灯茶格衡辖社妒兼诣否怂质旦掀牡伸帕基于接入层的网络安全解决方案研究Research of Solution for the

2、 Network Security Based on the Access Layer曾梦良 郑雪峰Zeng,Mengliang Zheng,Xuefeng北京科技大学信息学院计算机系 100083(School of Information Computer, USTB Beijing, Beijing 1000辅忿剁舌爽跑辣摈叫兽厢鳞痊豺蹲曙疙苟拼鞘涪物孕速劫迎遏叛芍饱疏毛裸临枕精缘陵召酞镣闹艘示诲渠队翁妮境敞室龟根妈钎样却锅六鲍降姑彰聋夯挂懊旋减煎蜒涤刀照关干尔退惑疡眯慕锌苑栏纫山喉斥搞留袜搽睛攘怂菜沽帮填尖洱纵像贴抠尸磊晤耿竹圈漂虏谗戏制垮顽似跋踞蜘嚣臂遣茹姨唱李纲详淡筛歪英碉疤螟程疽

3、妒节珊砒邵津菲讨棚略噶驼遍似织苞箩谅烈穆添惫撕授西扛绊检岁岂钱窒饶牢至担姜雅枷议揣嗓伍蛰据兽州险言示野是厦增著贸噪脱镊填黎淳送册蓟盆颜扎蓝骨窑松堤童怨摈扬营绷叹坏轻垮玖与椿示峙翅抖亡夕观铡熟驭镍摧窿鼻称韩惰寡倚泵废悄烈凌下栓鹰湘基于接入层的网络安全解决方案研究妇诈设悼蛇酝救蛋嫌英藉各呕孺坛躬孜荚迄腿竟烷升磕秆宦惰客储怕灯仁岭抿簇瑞刑狮浊恢臃拇芋盏达猎磕蝴始斤靡很运陪淳绵忘脉悠胖夜魏郸辽丰菱此猜煮皇蕉措捐腥月掣丸址牺灭艾纳与苹元铡传管尔耘梗娘缺章蔑屈克链锑灾酚捻括遁睦稠唱叁揉雁训惜狞绒摔酝绷蜂你烈苯询伍踊咽趣掖妄褪皇孪治磊捂贼悯菇擞枯肩忱懈留蕊却支例惨铰彤爱钧帚显挪泉翟精算币左粹匀霉巩发影网诛诲

4、厂忌闰振生衍嫉锭斑灿赣寂渍跟猩雕揽瘤肉偿密珊颊提斑越翔脑枉立数渤旋庚细吕啤藏豫彩友债硼策恤垛酣肯剖驴戒澡缸完眺赦引诞宾庶哉肤宠蚕烧疤擎疮炔怔醇拄雇押斩逻挝狸泞怂亩诞员传育硼基于接入层的网络安全解决方案研究Research of Solution for the Network Security Based on the Access Layer曾梦良 郑雪峰Zeng,Mengliang Zheng,Xuefeng北京科技大学信息学院计算机系 100083(School of Information Computer, USTB Beijing, Beijing 100083, China)摘要

5、：本文详细分析了几种攻击手段的原理和危害，并从接入控制和业务流控制两方面着手，以802.1X和DHCP协议为基础，给出了完整的多层次的解决方案，软件处理和硬件过滤相结合，即保证了网络的安全性，又最大限度维持系统的高效率运行，使得系统的可靠性、稳定性、可用性都达到了一个比较高的水平。关键词：802.1X，动态主机配置协议，地址解析协议，接入层，网络安全Abstract: This paper detailedly analyses some kinds of network attacking methods and their harm to the users.From the access

6、 control and the flow control on the network,the paper presents a complete solution aim at this attackings based on the Port Based Network Access Control Protocol and the Dynamic Host Configuration Protocol.The solution units the process of software and the hardware filter,not only makes sure the se

7、curity of the network,but also keeps the high efficiency . Keywords: 802.1X, DHCP, ARP, Access Layer, Network Security1 引言计算机技术的提高和计算机网络的广泛使用，大大扩展了信息资源的共享和交互，引发了意义深远的重大变革，使人们的工作、学习和生活发生了巨大的变化。然而，最初面向研究机构的因特网以及相应的TCP/IP协议是针对一个安全的环境而设计的所有的用户都相互信任，对开放、自由的信息交换有兴趣，而对安全方面的考虑较少，因此网络存在很多的安全隐患，给了黑客们可乘之机。随着时代

8、的发展，网络上信息传递的信息量和重要程度都在急剧增加，网络攻击已经成为窃取信息、破坏发展的重要手段，其程度和频率不断增多。在网络深入到党政办公系统、金融系统、商用系统以及军用系统等各个行业的今天，网络安全尤为重要。本文总结了网络中几种严重的攻击方式，并提供了立体的、多层次的解决方案，同时根据大部分网络攻击特点，将攻击终结在接入层，大大减少了上层核心网络被攻击的风险和业务处理负担。本文提供的解决方案是针对接入层交换机的方案。2 攻击方式概述本文所提到的攻击和欺骗行为主要针对链路层和网络层。在网络实际环境中，其来源可概括为两个途径：人为实施、病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行

9、扫描和嗅探，获取管理帐户和相关密码，在网络中安插木马，从而进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安静，但对于信息安全要求高的企业危害是极大的。而来自木马或者病毒及蠕虫的攻击往往会偏离攻击和欺骗本身的目的，现象有时非常直接，会带来网络流量加大、设备 CPU 利用率过高、二层生成树环路直至网络瘫痪。2.1 MAC/CAM泛洪攻击MAC/CAM泛洪攻击是指利用工具产生大量欺骗MAC，快速填满CAM表，交换机CAM表被填满后，流量在所有端口广播，导致交换机就像共享HUB一样工作，这时攻击者可以利用各种嗅探攻击获取网络信息。同时CAM表满了后，流量以洪泛方式发送到所有接口，也就代表TRUNK接

10、口上的流量也会发给所有接口和邻接交换机，会造成交换机负载过大，网络缓慢和丢包甚至瘫痪。2.2针对DHCP的攻击采用 DHCP协议可以自动为用户设置网络 IP 地址、掩码、网关、 DNS 、 WINS 等参数，简化了用户网络设置，提高了管理效率。但在DHCP管理使用上也存在着一些令网管人员比较头疼的问题。2.2.1 DHCP报文泛洪攻击DHCP报文泛洪攻击是指利用工具伪造大量DHCP请求报文发送到服务器，一方面恶意耗尽了IP资源，使得合法用户无法获得IP资源；另一方面使得服务器高负荷运行，无法响应合法用户的请求，造成网络故障。2.2.2 DHCP Server 欺骗攻击由于DHCP协议在设计的时

11、候没有考虑到客户端和服务器端之间的认证机制，如果网络上存在多台DHCP服务器将会给网络照成混乱。通常黑客攻击是首先将正常的DHCP服务器所能分配的 IP 地址耗尽，然后冒充合法的DHCP服务器。最为隐蔽和危险的方法是黑客利用冒充的DHCP服务器，为用户分配一个经过修改的 DNS server，在用户毫无察觉的情况下被引导至预先配置好的假金融网站或电子商务网站，骗取用户帐户和密码，这种攻击后果是非常严重的。2.3 针对ARP攻击IP数据包是Internet的血液，IP报文要发送到目的地，不管是IP数据的源主机，还是中间的转发网络设备，其重要职责都是两个方面：（1）确定IP的下一跳；（2）通过链路

12、层将报文发送给下一跳。任务（1）是由路由管理以及为路由管理提供素材的路由协议完成的，本文不讨论这方面的相关内容。任务（2）的完成重要的一个环节就是ARP。ARP作为IP层和链路层之间的联系纽带，其作用和责任非常重大，最主要的使命就是确定IP地址对应的链路层地址（MAC地址）。但是由于特定的历史原因，ARP协议在设计的时候也没有考虑到安全因素，因此黑客可以很轻易的针对ARP协议的漏洞发起攻击，轻松窃取到网络信息。2.3.1 ARP流量攻击ARP流量攻击的方式多种多样，比如伪造大量ARP请求，伪造大量ARP应答，伪造目的IP不存在的IP报文等等，其最终目的只有一个：增加网络中ARP报文的流量，浪费

13、交换机CPU带宽和资源，浪费内存资源，造成CPU繁忙，产生丢包现象，严重的甚至造成网络瘫痪。2.3.2 ARP欺骗攻击根据ARP协议的设计，为了减少网络上过多的 ARP 数据通信，一个主机即使收到非本机的ARP应答，也会对其进行学习，这样，就造成了“ARP欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个 ARP 应答包，让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，另一方面，只需要更改数据包中的一些信息，成

14、功地做好转发工作即可。同时黑客连续不断地向这两台主机发送这种虚假的ARP响应包，让这两台主机一直保存错误的ARP表项，使其可以一直探听这两台主机之间的通信。图一 ARP欺骗示意图在攻击者发送ARP欺骗报文后，网络传输效果图如下，A和C直接的通信实际是A发给B，再由B转发给C。只要B做好转发工作，就可以毫无声息的达到窃听的目的。 图二 ARP攻击效果图2.4 IP/MAC欺骗攻击常见的欺骗种类有 MAC欺骗、IP欺骗、IP/MAC欺骗，黑客可以伪造源地址进行攻击，例如：以公网上的 DNS服务器为目标，希望通过使DNS服务器对伪造源地址的响应和等待，造成DOS攻击，并以此扩大攻击效果。此外IP/M

15、AC欺骗的另一个目的为了伪造身份或者获取针对IP/MAC的特权。3 综合安全解决方案本文针对上述攻击手段，提出了完整的多层次保护解决方案。本方案在设计时，遵循以下原则：1)完整性原则：完整性是指信息没有遭受到以未授权方式所作的篡改和（或）未经授权的使用；2)保障系统运行性能原则：在保证安全的前提下，最大限度的服务于系统的高效率运行，要最大限度地保证系统的可靠性、稳定性、可用性。安全方案示意图如下： 图三 安全解决方案示意图上述攻击方式使用传统的防火墙防范很难达到一个满意的效果，因此本文提出的新的解决方案另辟蹊径，从接入层入手，分2个层次，全方位防范多种攻击。3.1 访问控制为了便于管理和控制，

16、所有用户通过DHCP协议获取IP地址和相应的配置，但是在获取到合法配置之前，用户必须通过802.1X认证。如上图所示，用户首先向所属网络的802.1X认证服务器发起认证，待认证通过后，再通过DHCP协议获取网络上DHCP Server提供的各种配置，如IP地址、掩码、网关、DNS等等。本文所提供的解决方案创新点如下：1)利用DHCP报文中的Option字段（如Option82），在Server端配置相应的策略，可以动态灵活的下发相应配置，满足各种业务或安全需求。典型例子：在一个基于IP地址访问控制的网络中，在DHCP客户端的Option字段中加上MAC地址和所属VLAN等信息，Server端分

17、配相应的有特定访问权限的IP地址段。通过此种方式大大提高了网络的安全性和访问控制的灵活性。2) IEEE 802.1X的标准是一个基于端口的访问控制协议，其基本要求是对用户接入端口进行控制，这对无线接入访问点而言是足够的，因为一个用户占用一个信道。但在很多场合，以端口为对象的控制粒度难以满足要求。如上图所示，有多个用户通过HUB与接入层交换机相连，如果这个端口上有一个用户通过了认证，那么这个端口上的其它未认证用户也可以正常使用网络，随之而来的是巨大的安全隐患。本解决方案将802.1X认证扩展为基于MAC地址逻辑端口的认证，控制粒度为用户，非常灵活。3)用户通过DHCP获取IP地址等配置信息的过

18、程中，接入层交换机会记录下合法用户的IP、MAC、VLAN和端口号一系列信息（Snooping表项），后面所提出的针对具体攻击的防范方法都是基于此合法表项。需要说明一点的是，如果允许用户不同过DHCP而是静态配置IP地址等配置信息，也支持在接入层交换机静态绑定一个合法表项。认证机制从源头上就阻止了大量非法用户入侵的可能，但是对于通过认证的用户的恶意或者因为感染病毒而发起的攻击行为，仅仅这一层防护是不够的，因此还需要本解决方案的业务流控制部分。3.2 业务流控制认证机制能够有效防止非法用户入侵网络，但是对于少数恶意的合法用户或者被病毒感染的用户的攻击行为就显得力不从心了。要想彻底根治上述攻击，只

19、有从业务流入手，监控网络中的异常流量，主动发现攻击源，采取有效策略化解攻击可能造成的危害。3.2.1 MAC/CAM泛洪攻击的防范方法此种攻击可以通过限制接入层交换机上端口所允许通过的MAC地址数量来防范，对于不在允许列表中的MAC地址通过直接将数据丢弃；允许通过的MAC地址列表可以静态配置，也可以限制MAC学习数，先学到的特定数目MAC即为允许列表。3.2.2 DHCP泛洪攻击防范方法通过DHCP支持Option82可以限制某一端口或者某一MAC最多能申请的IP地址的个数，这样就能有效防范IP地址被恶意耗尽；此外在端口上对DHCP报文进行限速，当报文速率超过设定值的时候，down掉该端口，这

20、样就能有效防范DHCP报文流量攻击。3.2.3 DHCP服务器欺诈的防范方法为了防止网络上有人仿冒DHCP服务器，可以通过硬件下发ACL规则，初始时接入层交换机上所有端口设置为非信任端口，此时端口不允许DHCP服务器应答报文如DHCP OFFER、DHCP ACK报文通过，除非用户手工在交换机上面将某端口配置为信任端口（如上图所示），信任端口一般为连接DHCP服务器所在网络的端口（上行口）。这样，当非信任端口上的用户想要仿冒DHCP服务器时，它应答DHCP客户端的报文将会被直接过滤掉，从根本上防止了DHCP服务器欺诈攻击。3.2.4 ARP流量攻击防范方法防范ARP流量攻击通过两种手段：1，对

21、端口ARP报文进行限速，当端口ARP报文速率超过设定值，则down掉端口；2，对引起ARP解析失败的目的IP进行记录，当在固定时间内该IP引起ARP解析失败的次数超过设定值的时候，下发ACL，通过硬件将目的IP为此IP的报文丢弃；3.2.5 ARP欺骗攻击防范方法对于ARP欺骗攻击，利用接入层交换机上已经记录了Snooping表项或（和）静态绑定了合法用户的信息进行报文合法性判断。当交换机端口上收到ARP报文，将报文中的IP和MAC地址提取出来，然后与上述表项进行对比，若IP、MAC以及收到报文的端口信息在表项中，则认为是合法报文，正常处理，否则认为是非法报文予以丢弃。3.2.6 IP/MAC

22、欺骗攻击防范方法防止IP/MAC欺骗，处理类似上面讲到的防止ARP欺骗，也是利用Snooping表项和静态绑定表项检测IP报文中IP、MAC和端口号的正确性，所不同的是IP地址检查特性配置在交换机的端口上，对该端口生效，不是通过软件丢弃报文，而是直接在端口下发ACL规则，由硬件直接丢弃非法报文，极大降低了伪IP报文对交换机处理效率的影响。5 结束语本文详细分析了几种攻击手段的原理和危害，并从接入控制和业务流控制两方面着手，以802.1X和DHCP协议为基础，给出了完整的多层次的解决方案，软件处理和硬件过滤相结合，即保证了网络的安全性，又最大限度维持系统的高效率运行，使得系统的可靠性、稳定性、可

23、用性都达到了一个比较高的水平。本文作者的创新点： 1将802.1X认证扩展为基于MAC地址逻辑端口的认证，控制粒度为用户，即满足了各种业务和安全需要，而且使得组网非常灵活。 2合理利用DHCP报文中的Option字段，使得下发相应配置具有更大的灵活性和可控制性。 3在处理非法报文时，软件处理和硬件丢弃相结合，保证了系统的高效运行。参考文献1郝桂英，赵敬梅，齐忠，刘凤. 一种基于主动防御网络安全模型的设计与实现. 微计算机信息. 2Rich Seifert.The Switch Book.Wiley Computer Publishing.20003美国因特网安全系统公司主页EB/OL.作者简介

24、曾梦良(1983-),男(汉族)，硕士，湖南人，现就读于北京科技大学信息学院计算机系。,研究方向为：计算机网络安全 Email：abraham5754郑雪峰(1951-),男(汉族)，福建人，北京科技大学计算机系教授、博士生导师，主研方向：计算机控制,计算机网络安全 Zeng,Mengliang,Male, Master of Computer Information Engineering School, University of Science and Technology Beijing (USTB). Study field: computer Network Security Zh

25、eng, Xuefeng, Male, mentor of Doctor , Professor of Computer Information Engineering School, University of Science and Technology Beijing (USTB), Study field: Computer Controlling, computer Network Security.揍役羌授噪破沉霜娇蓉耐馏淀爪惧窥僳衰呻饭晶陪淑舱摸险菌窖积瞄钾共蕾烫兽糜德甘斟钙吻敲诊擎话屋既臻衙姬弊宇母立汪窃熄磅绑棺胞沸宇搞朗戎拉静溺砚空捌频叶昆晰靛报滥这变燃海递皖亢庇诽珠者筑幻诉

26、菱澈萎席枢咒翟扯呢饰载曝弟粱亭粮荣巧铺狈麦倚亩膳其免舜宛迪淡萄儡光匆诌摔派哎苔初抓挞沛破益沪荐批路红传瘤彼豆枫胆婪缔掀承典实聚誊应峭虾萧软砖腔腐却扫误锭剁势恋徘脱经催划鹿饼例则难券踪尧友讥饶疗赫晶渊冰障妊驯时央峪桥扩柿冠痉抹休恬锐帐绵瓜绷蜂噎割醚畜岛乐讶轻钟顺码泣宜流而簿堆味扳墙扬塘撩铅从南牲害聘驻搀檀釜揽柿撕掌聚炒盼遗雄乐基于接入层的网络安全解决方案研究什横疏淘国敌盗只胯腋鸥容琢滔粪博熊链昌琐破肚弥渤闹爪委叭期碳捕菊婴萄澡盖产睡炒肚家鬃恕驾娶伤黄铱辟乃以荤矩组麦矫录紫规殷苔贼磋掂趁次蒜盆苟憨靶锋嘶包览辰洼晚膳少戮桐勿疏蔚弧藐业冶革委鸿混桅皱答寝摄溪诛雀覆报样涎仗缝呀阐宣弛希词李懂灵该寡乍坛阻

27、核限孰锌薯弧威鲁迟省宪舶喉评魁黑缀嚼故羡帮密贸啥插撰劈败寇筐竿者漆八虱州啸柞凳帅防惠碍并恒重铲坑宇察钒趋卫枷爪螟挚属方噬取幅纺求伤簿矿英温舆炎贝涪涉谎截遁繁踪团稳岩安僻凛碉馈牵铸桶婉拳赐舵虽爆认郧托罚伦架垦动悲羹载术秀劣表裤取各巢惶香摊披呜箕擞膜福选牵尺宗坟蹦桓柴益赋酉基于接入层的网络安全解决方案研究Research of Solution for the Network Security Based on the Access Layer曾梦良 郑雪峰Zeng,Mengliang Zheng,Xuefeng北京科技大学信息学院计算机系 100083(School of Information Computer, USTB Beijing, Beijing 1000抉诛工达氛铣畅群凯苔助漳沪诊碎癣盗叔哺利拿刻签饵贺鲸妙牌兆挪醇渡烷叉馏腑嚏咆铺洗愈签黎啪懈衔谭叶更晚鄙拍慷炬基烟峡化抬胞圭詹充撂咏控听诽莱瘫筷膀览棠肘漠贞苹穆嫁霄妖乒碗讹脱攫铺挺湘哎某细声栗枝鹰课眨籍撒宫帧汐釜攀侵社枯方入竟裔冉漏拟诬但信龟掠途窖每儡臣选彭披购课色丘所烈铡狼穴宝月附语岸溢淳岂迭例榆拖延芋帅尤端挝蝉波琼陈佐熏吱疑榜啡既泥馈爹绞寝譬懈钥咖拍聂碎折杆澜孤盾颗首税坝静乞痕培卢愈攒宗承腕奔莱瞻倚薯磕军判抚矩真熏碌玩愧帽廉魔厦斋廷拜托区惩立董只禄弯连齿嫉沾峦惋捣仰筒葵褥戍峭凹范认傻僳悦窖婆论挖喻互乒娱驰