防火墙的区域划分+来自公网、内网的ip欺骗攻击+防御

news2024/11/16 4:31:54

在这里插入图片描述

一、适用场景:

1、某些企业的WIFI覆盖不全面的情况下,企业职工想通过自己购置的无线路由器实现使用无线WIFI时,无意间接入无线路由器,导致ip欺骗攻击形成。
2、当企业对某个网段中的某些ip地址,限制其不能连外网,但是为了连外网,用户手动修改自己设备的ip地址为网关ip地址时,ip欺骗攻击形成。
3、某些企业中懂网络工作原理的工作人员,恶作剧时,修改某设备的ip地址为网关或路由器接口的ip地址,ip欺骗攻击形成。

解决方案:在链路中的关键设备上进行ip地址与MAC地址的ARP静态绑定。配置IPSG技术、DHCP snooping技术,本例通过实验的方式来完成无意或有意的攻击,以及如何防御。拓扑图中红色框的路由器用于模拟攻击的设备。

二、拓扑图:

请添加图片描述

三、配置打通网络(除红色框中的路由器,其余为正常运行中的网络设备)

(一)AR1:

sysname AR1
dhcp enable
interface GigabitEthernet0/0/1
ip address 192.168.100.253 255.255.255.0
dhcp select relay
dhcp relay server-ip 192.168.100.254

interface GigabitEthernet0/0/2
ip address 192.168.101.254 255.255.255.0
dhcp select relay
dhcp relay server-ip 192.168.100.254

rip 1
version 2
network 192.168.101.0
network 192.168.100.0

(二)AR2:

sysname AR2
dhcp enable
ip pool yanfa
gateway-list 192.168.101.254
network 192.168.101.0 mask 255.255.255.0
dns-list 192.168.2.1

ip pool bangong
gateway-list 192.168.100.254
network 192.168.100.0 mask 255.255.255.0
excluded-ip-address 192.168.100.253
dns-list 192.168.2.1
interface GigabitEthernet0/0/1
ip address 192.168.1.253 255.255.255.0

interface GigabitEthernet0/0/2
ip address 192.168.100.254 255.255.255.0
dhcp select global

rip 1
version 2
network 192.168.1.0
network 192.168.100.0

(三)AR3:

sysname AR3
interface GigabitEthernet0/0/1
ip address 203.203.1.1 255.255.255.248

interface GigabitEthernet0/0/2
ip address 203.204.100.254 255.255.255.0
dhcp select interface
dhcp server excluded-ip-address 203.204.100.1
dhcp server excluded-ip-address 203.204.100.252

rip 1
version 2
network 203.203.1.0
network 203.204.100.0

(四)FW1:

sysname USG6000V1

interface GigabitEthernet1/0/0
undo shutdown
ip address 192.168.2.254 255.255.255.0

interface GigabitEthernet1/0/1
undo shutdown
ip address 203.203.1.2 255.255.255.248

interface GigabitEthernet1/0/2
undo shutdown
ip address 192.168.1.254 255.255.255.0

firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/2

firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1

firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/0

rip 1
version 2
network 203.203.1.0
network 192.168.2.0
network 192.168.1.0

security-policy
rule name trustdmztountrust
source-zone dmz
source-zone trust
source-zone untrust
destination-zone dmz
destination-zone trust
destination-zone untrust
action permit

(五)DNS Server1

在这里插入图片描述
在这里插入图片描述

(六)FTP Server2

在这里插入图片描述

(七)Https Server3

在这里插入图片描述
在这里插入图片描述

(八)测试网络的连通性:

1、验证AR2的DHCP功能,基于全局的地址池是否能被PC2获取到正确的ip地址、网关、DNS信息,与预期一致,如下图:
请添加图片描述

2、验证AR2的DHCP功能,基于全局的地址池在DHCP中继后,是否能被PC1获取到正确的ip地址、网关、DNS信息,与预期一致,如下图:
请添加图片描述

3、trust区域的PC2访问DMZ区域的dns server,测试连通性
(1)PC2 192.168.100.252 ping dns server 192.168.2.1,连通正常,如下图:
请添加图片描述

(2)PC2跟踪到dns server的路由
请添加图片描述

4、trust区域的PC1 访问DMZ区域的dns server,测试连通性
(1)PC1 ping dns server
请添加图片描述

(2)PC1跟踪到dns server的路由
请添加图片描述

5、trust区域的PC2与client2访问untrust区域的https server3,测试连通性
(1)PC2跟踪到http server3的路由
请添加图片描述

(2)client2访问www.baidu.com网站
请添加图片描述

6、trust区域的PC1与client1访问untrust区域的https server3,测试连通性
(1)PC1跟踪到https server3的路由
请添加图片描述

(2)client1访问www.baidu.com网站
请添加图片描述

四、验证攻击与防御过程:

(一)在trust内网区域,接入一个新路由器AR4,模拟内网网关的ip欺骗

1、未配置AR4之前,PC2通过DNS server正常解析www.baidu.com的路径,如下图:
请添加图片描述

2、配置AR4的G0/0/1接口ip地址与AR2的G0/0/2接口相同,都为192.168.100.254
(1)AR4上操作:
interface GigabitEthernet0/0/1
ip address 192.168.100.254 255.255.255.0
请添加图片描述

查看AR4的G0/0/2接口MAC地址为00e0-fce2-739e
3、查看AR2上的G0/0/2接口MAC地址为:00e0-fc0a-362a
请添加图片描述

4、在PC2上验证网络的连通性,并验证网关到底是哪个,从下图可以看出,很明显,此时虽然ping通了192.168.100.254,却是由AR4这台攻击路由器回复的数据包,如下图:
请添加图片描述

5、PC1释放ip地址后,再重新获取ip地址时,由于AR4的接入,网关MAC地址变化,所以获取不到ip地址了,分别在AR2的G0/0/2接口与AR4的G 0/0/1接口抓包,均有DHCP的discover中继请求,但回复数据包是AR2还是AR4无法确定,因为AR2与AR4此时有接口的ip地址完全相同,都是192.168.100.254/24,导致DHCP客户端无法正常获取到ip地址,如下图:
请添加图片描述

(二)LSW2上接入的192.168.100.254网关ip欺骗导致DHCP客户端无法正常获取ip地址,解决方案

1、数据包的分歧是在LSW2发生的,所以要在LSW2上确认有DHCP地址池的192.168.100.254的正确MAC地址,并把192.168.100.254与该mac地址绑定,LSW2具体操作如下:
interface Vlanif1
ip address 192.168.100.251 255.255.255.0
arp static 192.168.100.254 00e0-fc0a-362a vid 1 interface GigabitEthernet0/0/2
2、排除非法接入LSW2的设备对网络数据包转发形成干扰,所以本例配置IPSG技术来完成,LSW2具体操作如下:
user-bind static ip-address 192.168.100.254 mac-address 00e0-fc0a-362a interface G0/0/1 vlan 1
user-bind static ip-address 192.168.100.1 mac-address 5489-98cf-510e interface G0/0/2 vlan 1
user-bind static ip-address 192.168.100.252 mac-address 5489-987f-3d65 interface G0/0/3 vlan 1
user-bind static ip-address 192.168.100.253 mac-address 00e0-fc14-58b6 interface G0/0/4 vlan 1
vlan 1
ip source check user-bind enable
3、在LSW2的各接口配置dhcp snooping,防伪DHCP的攻击,并配置dhcp server的信任接口,所以LSW2的具体操作如下:
dhcp enable
dhcp snooping enable
port-group 1
group-member GigabitEthernet0/0/2 to GigabitEthernet0/0/5
dhcp snooping enable
quit
int g 0/0/1
dhcp snooping trusted
4、完成以上攻击防御的配置后,再从PC1重新获取ip地址正常,如下图:
请添加图片描述

5、在pc1上ping网关192.168.100.254,此时只有AR2有icmp的回应包了,说明刚才的ARP静态绑定+IPSG技术+DHCP snooping技术起到了作用,防御了外接路由器的ip欺骗,外接路由器使用了网关ip地址,由IPSG技术来反向隔离,只有被绑定的ip与MAC地址及接口对应关系正确的情况下,数据包才得以转发。外接路由器是不会存在于LSW2交换机上的用户绑定列表的。所以无论接在交换机哪个口,或是更换了ip地址,都无法使用网络中的资源,从PC1上ping网关,抓包确认正确,如下图:
请添加图片描述

(三)LSW4上接入的203.204.100.254网关ip欺骗导致www.baidu.com域名无法解析,解决方案如下:

在LSW4上完成以下配置:
dhcp enable
dhcp snooping enable
user-bind static ip-address 203.204.100.254 mac-address 00e0-fc7b-354a interface G0/0/2 vlan 1
user-bind static ip-address 203.204.100.253 mac-address 5489-98a5-368b interface G0/0/4 vlan 1
user-bind static ip-address 203.204.100.1 mac-address 5489-987c-4989 interface G0/0/3 vlan 1
vlan 1
ip source check user-bind enable
interface Vlanif1
ip address 203.204.100.252 255.255.255.0
arp static 203.204.100.254 00e0-fc7b-354a vid 1 interface G0/0/2
port-group 1
group-member GigabitEthernet0/0/1
group-member GigabitEthernet0/0/3
group-member GigabitEthernet0/0/4
dhcp snooping enable
quit
interface GigabitEthernet0/0/2
dhcp snooping trusted

五、验证防御结果:

(一)跟踪pc1到www.baidu.com域名的路由,正确,如下图:

请添加图片描述

(二)PC2打开www.baidu.com域名时,到DNS server解析正确后,再跟踪访问网站站点的路径正确,如下图:

请添加图片描述

本文至此结束,希望能为无意攻击与恶作剧有意攻击提个醒,也能针对这类数据包进行有效的防御。不足之处敬请批评指正。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2169155.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

玩转指针(3)

一、字符指针变量 字符指针变量(如char* p)的两种赋值方式 ①将字符类型地址赋值给字符指针变量 int main() {char a w;char* p &a;*p m;return 0; }②将常量字符串赋值给字符指针变量 常量字符串的介绍:用" "引起来的就…

【有啥问啥】大型语言模型的涌现能力(Emergent Abilities):新一代AI的曙光

大型语言模型的涌现能力(Emergent Abilities):新一代AI的曙光 随着人工智能技术的飞速发展,大型语言模型(Large Language Model,LLM)展现出了令人惊叹的涌现能力。这种能力并非模型规模简单线性…

OJ在线评测系统 后端 判题机模块预开发 架构分析 使用工厂模式搭建

判题机模块预开发(架构师)(工厂模式) 判题机模块 是为了把代码交个代码沙箱去处理 得到结果返回 代码沙箱 梳理判题模块和代码沙箱的关系 判题模块:调用代码沙箱 把代码和输入交给代码沙箱去执行 代码沙箱:只负责接受代码和输入 返回编译的结果 不负…

mat (Eclipse Memory Analyzer Tool)使用以及详解

前言 在Java开发中,内存问题往往不易被发现,但它们可能导致应用性能下降甚至崩溃。Eclipse Memory Analyzer Tool(MAT)是一个强大的开源工具,专门用于分析Java堆转储(heap dumps)文件&#xff…

【含文档】基于Springboot+Vue的高校竞赛管理系统(含源码+数据库+lw)

1.开发环境 开发系统:Windows10/11 架构模式:MVC/前后端分离 JDK版本: Java JDK1.8 开发工具:IDEA 数据库版本: mysql5.7或8.0 数据库可视化工具: navicat 服务器: SpringBoot自带 apache tomcat 主要技术: Java,Springboot,mybatis,mysql,vue 2.视频演示地址 系统定义了三个…

2024四川省赛 The 2024 Sichuan Provincial Collegiate Programming Contest补题记录

B - Link Summon(补) 题意 每一组样例给定五个数字,分别对应1 2 3 4 5的数量,问能凑出多少个6(每个数字都可以当对应数字或者1使用) 思路 由于数字的数量固定,所以为了尽可能凑出多个6,贪心优先选择数量最少的数字配对方式 首…

【移植】标准系统方案之瑞芯微RK3568移植案例(二)

往期知识点记录: 鸿蒙(HarmonyOS)应用层开发(北向)知识点汇总 鸿蒙(OpenHarmony)南向开发保姆级知识点汇总~ 持续更新中…… Camera 基本概念 OpenHarmony 相机驱动框架模型对上实现相机 HDI …

Windows安装Vim,并在PowerShell中直接使用vim

大家好啊,我是豆小匠。 这期介绍下怎么在windows的PowerShell上使用vim,方便在命令行里修改配置文件等。 先上效果图: 1、下载Vim GitHub传送门:https://github.com/vim/vim-win32-installer/releases 选择win-64的版本下载即可&…

【C++篇】深度剖析C++ STL:玩转 list 容器,解锁高效编程的秘密武器

文章目录 C list 容器详解:从入门到精通前言第一章:C list 容器简介1.1 C STL 容器概述1.2 list 的特点 第二章:list 的构造方法2.1 常见构造函数2.1.1 示例:不同构造方法2.1.2 相关文档 第三章:list 迭代器的使用3.1 …

[大语言模型] 情感认知在大型语言模型中的近期进展-2024-09-26

[大语言模型] 情感认知在大型语言模型中的近期进展-2024-09-26 论文信息 Title: Recent Advancement of Emotion Cognition in Large Language Models Authors: Yuyan Chen, Yanghua Xiao https://arxiv.org/abs/2409.13354 情感认知在大型语言模型中的近期进展 《Recent A…

ElasticSearch安装分词器与整合SpringBoot

ElasticSearch安装分词器与整合SpringBoot 如果还没安装的点击安装ElasticSearch查看怎么安装 分词器 1.分词器 在Elasticsearch中,分词器(Tokenizer)是分析器(Analyzer)的一部分,它的主要职责是将文本输入…

MySql简介及发展

MySql简介及发展 1、MySql起源和分支 MySQL 是最流行的关系型数据库软件之一,由于其体积小、速度快、开源免费、简单易用、维护成本 低等,在集群架构中易于扩展、高可用,因此深受开发者和企业的欢迎。 Oracle和MySQL是世界市场占比最高的两…

C#图像处理学习笔记(屏幕截取,打开保存图像、旋转图像、黑白、马赛克、降低亮度、浮雕)

1、创建Form窗体应用程序 打开VS,创建新项目-语言选择C#-Window窗体应用(.NET Framework) 如果找不到,检查一下有没有安装.NET 桌面开发模块,如果没有,需要下载,记得勾选相关开发工具 接上一步,…

【ARM 嵌入式 编译系列 10.4 -- GNU Binary Utilies】

文章目录 GNU Binary Utilities 详细介绍常用工具介绍1. arm-none-eabi-objcopy2. arm-none-eabi-readelf3. arm-none-eabi-size4. arm-none-eabi-objdump5. arm-none-eabi-nm6. arm-none-eabi-strip7. arm-none-eabi-ld8. arm-none-eabi-as9. arm-none-eabi-addr2line10. arm-…

linux内核双向链表使用list klist

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言一、list和klist是什么?二、代码示例1.list2.klist 总结 前言 提示:这里可以添加本文要记录的大概内容: linux内核中大量使…

Spring Boot打造甘肃非遗文化传承网站

摘 要 现代经济快节奏发展以及不断完善升级的信息化技术,让传统数据信息的管理升级为软件存储,归纳,集中处理数据信息的管理方式。本甘肃非物质文化网站就是在这样的大环境下诞生,其可以帮助管理者在短时间内处理完毕庞大的数据信…

如何像专家一样修复任何 iPhone 上的“iPhone 已禁用”错误

“我忘记了密码,并且我的 iPhone 在多次输入错误密码后就被禁用了,如何再次访问我的手机?” 作为最安全的数字设备之一,iPhone 必须使用正确的密码解锁。即使您可以使用 Face ID 或 Touch ID 访问您的设备,在充电或重…

交警车辆通入城行证管理建设方案和必要性-———未来之窗行业应用跨平台架构

一、系统目标 建立一个高效、便捷、规范的车辆入城通行证管理系统,提高交警部门的管理效率,优化城市交通流量,减少交通拥堵,保障城市交通安全。 二、系统功能模块 1. 通行证申请模块 - 提供在线申请入口,申请人填…

【MySQL】聚合函数、group by子句

目录 聚合函数 count([distinct] column) sum([distinct] column) avg([distinct] column) max([distinct] column) min([distinct] column) group by子句 1.如何显示每个部门的平均薪资和最高薪资 2.显示每个部门每种岗位的平均薪资和最低薪资 3.显示平均工资低于200…

maven给springboot项目打成jar包 maven springboot打包配置

基于maven的spring boot 打包分离依赖及配置文件 使用springCloud或springboot的过程中,发布到生产环境的网速受限,如果每次将60,70M甚至更大的jar包上传,速度太慢了,采取jar包和配置文件分离的方式可以极大的压缩jar包大小&#…