DAI、IPSG與園區(qū)網IP地址管理

薛 建 曲守寧

（濟南大學信息網絡中心，山東 濟南 250022）

DAI、IPSG與園區(qū)網IP地址管理

薛 建 曲守寧

（濟南大學信息網絡中心，山東 濟南 250022）

本文首先介紹了DHCP Snooping、DAI和IPSG的工作原理，然后闡述如何利用這些技術提高園區(qū)網IP地址管理的安全性和有效性。

DHCP Snooping；DAI；IPSG

1 引言

隨著DHCP（動態(tài)主機配置協(xié)議）在園區(qū)網中越來越廣泛的應用，伴隨而來的IP地址安全性問題也越來越多：私自修改IP或MAC地址、私自架設或冒充DHCP服務器、DHCP耗竭攻擊等，還有園區(qū)網原來就固有的ARP欺騙攻擊、中間人攻擊等。這些問題有些是人為的，而有些是電腦中類似ARP木馬導致的。這些問題給園區(qū)網的DHCP動態(tài)IP地址管理帶來了挑戰(zhàn)。

各網絡廠商都開發(fā)了許多技術來避免這些問題，其中最有效的當屬DHCP snooping、DAI（Dynamic ARP Inspection）和IPSG（IP Source Guard）合理地組合使用這些技術，將有效地遏制這些攻擊給園區(qū)網IP地址管理帶來的困擾。

2 ARP欺騙及中間人攻擊的原理

ARP(Address Resolution Protocol)在以太網環(huán)境中，用于解析通訊雙方的MAC地址，即將IP“解析”到對應的MAC地址。

ARP協(xié)議基于廣播，在設計上有許多漏洞：ARP響應報文無需請求即可直接發(fā)送；沒有確認機制，任何人都可以發(fā)起ARP請求或response，這都給攻擊者留下巨大漏洞。

2.1 ARP欺騙原理

圖1中PC1和PC2在一個VLAN，其網關為192.168.0.254，正常情況下通過show arp（路由器上）和arpa（PC上）命令顯示的各設備的ARP表項如圖1，各ARP表都提供了IP地址和MAC地址正確的對應關系。

PC1要欺騙PC2(通常情況下PC1是被種ARP欺騙木馬)，它在沒有收到ARP request的情況下，直接發(fā)出一個“192.168.0.254 is at 00dd.f800.0001”的ARP reply，PC2收到這個ARP消息后，將更新自己的ARP表項，如圖2所示，它的ARP表里網關192.168.0.254的MAC地址已經被改成PC1的 MAC地址，這樣PC2所有發(fā)往網關的流量都會發(fā)往了PC1；同樣，PC1會發(fā)出一個“192.168.0.2 is at 00dd.f800.0001”的ARP reply，網關收到后更新自己的ARP表，這樣網關所有本應該發(fā)往PC2的流量就發(fā)往了PC1，這樣PC2和外部網絡的所有通訊就都會經過PC1。

圖1 正常情況下的ARP表

這時如果PC1同時在本地運行一個報文分析工具窺探PC2發(fā)過來的數據，那么就可以在PC2不斷網的情況下，窺探PC2的上網流量，這就是the man in the middle，中間人攻擊。

典型的發(fā)生了ARP欺騙的局域網，其三層交換機的ARP表會出現(xiàn)大量IP地址對應一個MAC地址的現(xiàn)象，這個MAC地址就是發(fā)起arp欺騙的PC的MAC地址。

圖2 發(fā)生arp欺騙情況下的arp表

3 DHCP Snooping原理及對DHCP攻擊的防御

DHCP監(jiān)聽（DHCP Snooping）是一種DHCP安全特性，目前各大廠商的2層智能交換機普遍提供對DHCP Snooping的支持。通過啟用DHCP監(jiān)聽特性，交換機能夠過濾通過交換機的DHCP報文。

在開啟了DHCP監(jiān)聽功能的交換機上，可以將交換機的端口劃分為信任端口（trusted port）和非信任端口（untrusted port）。通常我們將DHCP服務器所在的端口（也可能是DHCP服務器所在在方向的trunk端口）設置為信任端口，而將其它的用戶端口都設置成非信任端口,如圖3所示：

圖3 DHCP Snooping的端口劃分

交換機限制用戶端口（非信任端口）只能夠發(fā)送DHCP請求，丟棄來自用戶端口的所有其它DHCP報文，例如DHCP Offer報文等。而且，并非所有來自用戶端口的DHCP請求都被允許通過，交換機還會比較DHCP請求報文的（報文頭里的）源MAC地址和（報文內容里的）DHCP客戶機的硬件地址（即CHADDR字段），只有這兩者相同的請求報文才會被轉發(fā)，否則將被丟棄，這樣就防止了DHCP耗竭攻擊。

信任端口可以接收所有的DHCP報文。通過只將交換機連接到合法DHCP服務器的端口設置為信任端口，其它端口設置為非信任端口，就可以防止用戶私自偽造DHCP服務器對網絡造成的影響。這個特性還可以防止路由器反接對網絡造成的影響。網絡接入層經常會發(fā)生用戶將寬帶路由反接的情況，這時寬帶路由器上默認啟動的DHCP服務就會對同一個網段內的其它用戶造成影響，而啟用了DHCP Snooping的交換機將阻止這臺路由器的DHCP Offer報文，從而避免對其它用戶造成影響。

DHCP監(jiān)聽特性還可以對端口的DHCP報文進行限速。通過在每個非信任端口下進行限速，這將可以阻止利用合法DHCP請求報文進行的廣播攻擊。

DHCP監(jiān)聽還有一個非常重要的作用就是建立一張DHCP監(jiān)聽綁定表（DHCP Snooping Binding）。一旦一個連接在非信任端口的客戶端獲得一個合法的DHCP Offer，交換機就會自動在DHCP監(jiān)聽綁定表里添加一個綁定條目，內容包括了該非信任端口的客戶端IP地址、MAC地址、端口號、VLAN編號、租期等信息。對于靜態(tài)指定的服務器地址，可以手工添加靜態(tài)綁定。

這個綁定表將非常有用，下面提到的通過DAI來防止arp欺騙和利用IPSG防止IP及MAC地址盜用就是利用這個綁定表。

4 DAI原理及其對arp欺騙的防御

Dynamic ARP Inspection(DAI)DAI以DHCP Snooping綁定表為基礎。配置啟用了DAI的交換機在更新自己ARP表或將收到的ARP報文轉發(fā)出去之前先進行合法性校驗，主要看ARP報文中的IP及MAC對應關系是否合法，對于那些不滿足IP和MAC地址對應關系的ARP報文進行丟棄，DAI同時也會丟棄那些以太網幀頭源MAC與ARP body里的MAC不一致的非法ARP。

根據前述的ARP欺騙的原理，我們看到無論何種類型的ARP欺騙，其ARP報文中的IP和其聲稱MAC地址肯定不一致，無法通過根據DHCP Snooping綁定表進行的對應關系合法性檢查，其報文將被丟棄，其從而阻止了ARP欺騙的發(fā)生，而中間人攻擊是依賴于ARP欺騙的，ARP欺騙無法實施，中間人攻擊就更無計可施了。

需要說明的是，和DHCP Snooping得到主流廠商的普遍支持不同，DAI是思科公司的私有技術，其它廠家的交換設備會采用其它的方案來解決ARP欺騙的問題。通常配置了DAI的交換機在丟棄非法的ARP報文后將會進行日志記錄。

圖4 DAI根據DHCP Snooping綁定表進行ARP報文合法性檢查

ARP inspection只用來檢測ARP請求的，防止非法的ARP請求，對其它請求不進行檢查，如果要檢查其它請求，需要使用下述的IP Source Guard。

5 IPSG應對私自修改IP地址和MAC地址

IPSG(IP Source Guard)使用DHCP Snooping綁定表的信息，對端口、IP地址和MAC地址的一致性進行校驗，如果三者不統(tǒng)一則丟棄這些數據包。簡而言之，IPSG就是把PORT-MAC-IP這三者綁定起來，通過IPSG可以過濾非法IP地址、解決IP地址沖突的問題,還能確保非授權設備不能通過自己指定IP地址的方式來訪問網絡或攻擊網絡導致。

配置了IPSG的交換機內部有一個IP源綁定表（IP Source Binding Table）作為每個端口接收到的數據包的檢測標準，IP源綁定表會將PORT-MAC-IP三者綁定起來。只有在兩種情況下，交換機會轉發(fā)數據：

（1）所接收到的IP包滿足IP源綁定表中Port/IP/MAC的對應關系；

（2）所接收到的是DHCP數據包，其余數據包將被交換機做丟棄處理。

IP源綁定表（IP Source Binding Table）的生成依據是DHCP Snooping綁定表。配置了IPSG的交換機根據DHCP監(jiān)聽綁定表的內容自動生成IP源綁定表，然后根據IP源綁定表里面的內容自動在接口加載基于端口的VLAN ACL（PVACL），由該ACL（可以稱之為源IP地址過濾器）來過濾所有IP流量?？蛻舳税l(fā)送的IP數據包中，只有其源IP地址和源MAC滿足源IP綁定表才會被發(fā)送，對于具有源IP綁定表之外的其它源IP地址的流量，都將被過濾，從而杜絕了IP地址盜用和私自修改MAC地址。

PC沒有發(fā)送DHCP請求時，其連接的交換機端口默認拒絕除了DHCP請求之外的所有數據包，因此PC使用靜態(tài)IP是無法連接網絡的，從而也杜絕了DHCP環(huán)境中用戶擅自設置靜態(tài)IP地址的問題。

6 結語

以DHCP Snooping為基礎，通過在匯聚和接入交換機上配置DAI和IPSG，將基本上可以杜絕IP地址盜用、私自架設DHCP服務器、ARP欺騙和中間人攻擊的產生，從而避免其對網絡穩(wěn)定性和網絡安全造成的影響。

當然上述方案也有局限性：所有配置都要在為數眾多的匯聚層和接入層設備上實現(xiàn)，配置要有一定的工作量；且像DAI這樣的技術還要依賴特定廠家的設備等。我們已經看到許多高校校園網在將電信級解決方案比如PPPOE、網絡扁平化等技術應用于校園網方面做出的嘗試和成功案例，我們也期待這些新的解決方案能給園區(qū)網IP地址管理的安全性、有效性帶來新的提升。

[1]華為公司中文站點[EB/OL]．http://www．huawei．com/cn/．

[2]史罕初，彭毓?jié)贗P DHCP Snooping的大型局域物安全策略研究[J]．網絡安全技術與應用，2009，(11)：20-22．．

[3]思科公司英文站點[EB/OL]．http://www．cisco．com．

TheApplication of DAI and IPSG in LAN IPAddress Management

Xue Jian Qu Shouning
(Information Network Center of Jinan University,Jinan 250022,Shandong)

act】This paper introduces the principles of DHCP Snooping、DAI and IPSG first,then explains how to improve the safety and effectiveness of IP address management with these technologies.

DHCP Snooping；DAI；IPSG

TP393.18

：A

：1008-6609(2015)03-0071-03

薛建，男，山東蒙陰人，工程師，本科，研究方向：計算機網絡