防火墙的区域划分+来自公网、内网的ip欺骗攻击+防御

一、适用场景：

1、某些企业的WIFI覆盖不全面的情况下，企业职工想通过自己购置的无线路由器实现使用无线WIFI时，无意间接入无线路由器，导致ip欺骗攻击形成。
2、当企业对某个网段中的某些ip地址，限制其不能连外网，但是为了连外网，用户手动修改自己设备的ip地址为网关ip地址时，ip欺骗攻击形成。
3、某些企业中懂网络工作原理的工作人员，恶作剧时，修改某设备的ip地址为网关或路由器接口的ip地址，ip欺骗攻击形成。

解决方案：在链路中的关键设备上进行ip地址与MAC地址的ARP静态绑定。配置IPSG技术、DHCP snooping技术，本例通过实验的方式来完成无意或有意的攻击，以及如何防御。拓扑图中红色框的路由器用于模拟攻击的设备。

二、拓扑图：

三、配置打通网络（除红色框中的路由器，其余为正常运行中的网络设备）

（一）AR1：

sysname AR1
dhcp enable
interface GigabitEthernet0/0/1
ip address 192.168.100.253 255.255.255.0
dhcp select relay
dhcp relay server-ip 192.168.100.254

interface GigabitEthernet0/0/2
ip address 192.168.101.254 255.255.255.0
dhcp select relay
dhcp relay server-ip 192.168.100.254

rip 1
version 2
network 192.168.101.0
network 192.168.100.0

（二）AR2：

sysname AR2
dhcp enable
ip pool yanfa
gateway-list 192.168.101.254
network 192.168.101.0 mask 255.255.255.0
dns-list 192.168.2.1

ip pool bangong
gateway-list 192.168.100.254
network 192.168.100.0 mask 255.255.255.0
excluded-ip-address 192.168.100.253
dns-list 192.168.2.1
interface GigabitEthernet0/0/1
ip address 192.168.1.253 255.255.255.0

interface GigabitEthernet0/0/2
ip address 192.168.100.254 255.255.255.0
dhcp select global

rip 1
version 2
network 192.168.1.0
network 192.168.100.0

（三）AR3：

sysname AR3
interface GigabitEthernet0/0/1
ip address 203.203.1.1 255.255.255.248

interface GigabitEthernet0/0/2
ip address 203.204.100.254 255.255.255.0
dhcp select interface
dhcp server excluded-ip-address 203.204.100.1
dhcp server excluded-ip-address 203.204.100.252

rip 1
version 2
network 203.203.1.0
network 203.204.100.0

（四）FW1：

sysname USG6000V1

interface GigabitEthernet1/0/0
undo shutdown
ip address 192.168.2.254 255.255.255.0

interface GigabitEthernet1/0/1
undo shutdown
ip address 203.203.1.2 255.255.255.248

interface GigabitEthernet1/0/2
undo shutdown
ip address 192.168.1.254 255.255.255.0

firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/2

firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1

firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/0

rip 1
version 2
network 203.203.1.0
network 192.168.2.0
network 192.168.1.0

security-policy
rule name trustdmztountrust
source-zone dmz
source-zone trust
source-zone untrust
destination-zone dmz
destination-zone trust
destination-zone untrust
action permit

（五）DNS Server1

（六）FTP Server2

（七）Https Server3

（八）测试网络的连通性：

1、验证AR2的DHCP功能，基于全局的地址池是否能被PC2获取到正确的ip地址、网关、DNS信息，与预期一致，如下图：

2、验证AR2的DHCP功能，基于全局的地址池在DHCP中继后，是否能被PC1获取到正确的ip地址、网关、DNS信息，与预期一致，如下图：

3、trust区域的PC2访问DMZ区域的dns server，测试连通性
（1）PC2 192.168.100.252 ping dns server 192.168.2.1，连通正常，如下图：

（2）PC2跟踪到dns server的路由

4、trust区域的PC1 访问DMZ区域的dns server，测试连通性
（1）PC1 ping dns server

（2）PC1跟踪到dns server的路由

5、trust区域的PC2与client2访问untrust区域的https server3，测试连通性
（1）PC2跟踪到http server3的路由

（2）client2访问www.baidu.com网站

6、trust区域的PC1与client1访问untrust区域的https server3，测试连通性
（1）PC1跟踪到https server3的路由

（2）client1访问www.baidu.com网站

四、验证攻击与防御过程：

（一）在trust内网区域，接入一个新路由器AR4，模拟内网网关的ip欺骗

1、未配置AR4之前，PC2通过DNS server正常解析www.baidu.com的路径，如下图：

2、配置AR4的G0/0/1接口ip地址与AR2的G0/0/2接口相同，都为192.168.100.254
（1）AR4上操作：
interface GigabitEthernet0/0/1
ip address 192.168.100.254 255.255.255.0

查看AR4的G0/0/2接口MAC地址为00e0-fce2-739e
3、查看AR2上的G0/0/2接口MAC地址为：00e0-fc0a-362a

4、在PC2上验证网络的连通性，并验证网关到底是哪个，从下图可以看出，很明显，此时虽然ping通了192.168.100.254，却是由AR4这台攻击路由器回复的数据包，如下图：

5、PC1释放ip地址后，再重新获取ip地址时，由于AR4的接入，网关MAC地址变化，所以获取不到ip地址了，分别在AR2的G0/0/2接口与AR4的G 0/0/1接口抓包，均有DHCP的discover中继请求，但回复数据包是AR2还是AR4无法确定，因为AR2与AR4此时有接口的ip地址完全相同，都是192.168.100.254/24，导致DHCP客户端无法正常获取到ip地址，如下图：

（二）LSW2上接入的192.168.100.254网关ip欺骗导致DHCP客户端无法正常获取ip地址，解决方案

1、数据包的分歧是在LSW2发生的，所以要在LSW2上确认有DHCP地址池的192.168.100.254的正确MAC地址，并把192.168.100.254与该mac地址绑定，LSW2具体操作如下：
interface Vlanif1
ip address 192.168.100.251 255.255.255.0
arp static 192.168.100.254 00e0-fc0a-362a vid 1 interface GigabitEthernet0/0/2
2、排除非法接入LSW2的设备对网络数据包转发形成干扰，所以本例配置IPSG技术来完成，LSW2具体操作如下：
user-bind static ip-address 192.168.100.254 mac-address 00e0-fc0a-362a interface G0/0/1 vlan 1
user-bind static ip-address 192.168.100.1 mac-address 5489-98cf-510e interface G0/0/2 vlan 1
user-bind static ip-address 192.168.100.252 mac-address 5489-987f-3d65 interface G0/0/3 vlan 1
user-bind static ip-address 192.168.100.253 mac-address 00e0-fc14-58b6 interface G0/0/4 vlan 1
vlan 1
ip source check user-bind enable
3、在LSW2的各接口配置dhcp snooping，防伪DHCP的攻击，并配置dhcp server的信任接口，所以LSW2的具体操作如下：
dhcp enable
dhcp snooping enable
port-group 1
group-member GigabitEthernet0/0/2 to GigabitEthernet0/0/5
dhcp snooping enable
quit
int g 0/0/1
dhcp snooping trusted
4、完成以上攻击防御的配置后，再从PC1重新获取ip地址正常，如下图：

5、在pc1上ping网关192.168.100.254，此时只有AR2有icmp的回应包了，说明刚才的ARP静态绑定+IPSG技术+DHCP snooping技术起到了作用，防御了外接路由器的ip欺骗，外接路由器使用了网关ip地址，由IPSG技术来反向隔离，只有被绑定的ip与MAC地址及接口对应关系正确的情况下，数据包才得以转发。外接路由器是不会存在于LSW2交换机上的用户绑定列表的。所以无论接在交换机哪个口，或是更换了ip地址，都无法使用网络中的资源，从PC1上ping网关，抓包确认正确，如下图：

（三）LSW4上接入的203.204.100.254网关ip欺骗导致www.baidu.com域名无法解析，解决方案如下：

在LSW4上完成以下配置：
dhcp enable
dhcp snooping enable
user-bind static ip-address 203.204.100.254 mac-address 00e0-fc7b-354a interface G0/0/2 vlan 1
user-bind static ip-address 203.204.100.253 mac-address 5489-98a5-368b interface G0/0/4 vlan 1
user-bind static ip-address 203.204.100.1 mac-address 5489-987c-4989 interface G0/0/3 vlan 1
vlan 1
ip source check user-bind enable
interface Vlanif1
ip address 203.204.100.252 255.255.255.0
arp static 203.204.100.254 00e0-fc7b-354a vid 1 interface G0/0/2
port-group 1
group-member GigabitEthernet0/0/1
group-member GigabitEthernet0/0/3
group-member GigabitEthernet0/0/4
dhcp snooping enable
quit
interface GigabitEthernet0/0/2
dhcp snooping trusted

五、验证防御结果：

（一）跟踪pc1到www.baidu.com域名的路由，正确，如下图：

（二）PC2打开www.baidu.com域名时，到DNS server解析正确后，再跟踪访问网站站点的路径正确，如下图：

本文至此结束，希望能为无意攻击与恶作剧有意攻击提个醒，也能针对这类数据包进行有效的防御。不足之处敬请批评指正。

原文地址：https://blog.csdn.net/weixin_43075093/article/details/142548272

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！