電信級IP技術的發展成熟使得話音、數據、視頻和移動等應用的融合成為必然， 統一通訊已成為發展的趨勢。 以IP技術為核心進行網絡改造并承載多種新型業務以提升競爭力， 是固網運營商的發展方向。 而以太網技術由于標準化程度高、應用廣泛、帶寬提供能力強、擴展性良好、技術成熟， 設備性價比高， 對IP的良好支持， 成為城域網和接入網的發展趨勢。 但是， 由于以太網技術的開放性和其應用廣泛， 也帶來了一些安全上的問題。 特別是當網絡由原有的單業務承載轉為多業務承載時， 安全問題帶來的影響愈發明顯， 已經逐步影響到業務的開展和部署。

　　目前接入網常見的攻擊包括ARP“中間人”攻擊、IP/MAC欺騙攻擊、DHCP/ARP報文泛洪攻擊等。

　　網絡攻擊

　　ARP“中間人”攻擊

　　按照ARP協議的設計， 一個主機即使收到的ARP應答并非自身請求得到的， 也會將其IP地址和MAC地址的對應關系添加到自身的ARP映射表中。 這樣可以減少網絡上過多的ARP數據通信， 但也為“ARP欺騙”創造了條件。

　　如下圖示， Host A和Host C通過Switch進行通信。 此時， 如果有黑客(Host B)想探聽Host A和Host C之間的通信， 它可以分別給這兩臺主機發送偽造的ARP應答報文， 使Host A和Host C用MAC_B更新自身ARP映射表中與對方IP地址相應的表項。 此后， Host A 和Host C之間看似“直接”的通信， 實際上都是通過黑客所在的主機間接進行的， 即Host B擔當了“中間人”的角色， 可以對信息進行了竊取和篡改。 這種攻擊方式就稱作“中間人(Man-In-The-Middle)攻擊”。

　　常見的欺騙種類有MAC欺騙、IP欺騙、IP/MAC欺騙， 黑客可以偽造報文的源地址進行攻擊， 其目的一般為偽造身份或者獲取針對IP/MAC的特權， 另外此方法也被應用于DoS( Deny of Service， 拒絕服務)攻擊， 嚴重的危害了網絡安全。

　　ARP入侵檢測功能

　　ARP入侵檢測功能工作機制

　　為了防止IP/MAC欺騙攻擊， H3C低端以太網交換機提供了IP過濾特性， 開啟該功能后， 交換機可以強制經過某一端口流量的源地址符合動態獲取的DHCP Snooping表項或靜態配置的IP與MAC綁定表項的記錄， 防止攻擊者通過偽造源地址來實施攻擊。 此外， 該功能也可以防止用戶隨便指定IP地址， 造成的網絡地址沖突等現象。

　　DHCP報文泛洪攻擊

　　DHCP報文泛洪攻擊是指：惡意用戶利用工具偽造大量DHCP報文發送到服務器， 一方面惡意耗盡了IP資源， 使得合法用戶無法獲得IP資源;另一方面， 如果交換機上開啟了DHCP Snooping功能， 會將接收到的DHCP報文上送到CPU.因此大量的DHCP報文攻擊設備會使DHCP服務器高負荷運行， 甚至會導致設備癱瘓。

　　ARP報文泛洪攻擊

　　ARP報文泛洪類似DHCP泛洪， 同樣是惡意用戶發出大量的ARP報文， 造成L3設備的ARP表項溢出， 影響正常用戶的轉發。

　　安全防范

　　對于上述的幾種攻擊手段， H3C接入網解決方案在用戶接入側利用DHCP SNOOPING， 提供相應的防范手段。

　　DHCP Snooping表項的建立

　　開啟DHCP Snooping功能后， H3C接入交換機根據設備的不同特點可以分別采取監聽DHCP-REQUEST廣播報文和DHCP-ACK單播報文的方法來記錄用戶獲取的IP地址等信息。 目前， 交換機的DHCP Snooping表項主要記錄的信息包括：分配給客戶端的IP地址、客戶端的MAC地址、VLAN信息、端口信息、租約信息。

　　為了防止ARP中間人攻擊， 接入交換機支持將收到的ARP(請求與回應)報文重定向到CPU， 結合DHCP Snooping安全特性來判斷ARP報文的合法性并進行處理， 具體如下。

　　當ARP報文中的源IP地址及源MAC地址的綁定關系與DHCP Snooping表項或者手工配置的IP靜態綁定表項匹配， 且ARP報文的入端口及其所屬VLAN與DHCP Snooping表項或者手工配置的IP靜態綁定表項一致， 則為合法ARP報文， 進行轉發處理。

　　當ARP報文中的源IP地址及源MAC地址的綁定關系與DHCP Snooping表項或者手工配置的IP靜態綁定表項不匹配， 或ARP報文的入端口， 入端口所屬VLAN與DHCP Snooping表項或者手工配置的IP靜態綁定表項不一致， 則為非法ARP報文， 直接丟棄， 并通過Debug打印出丟棄信息提示用戶。

　　手工配置IP靜態綁定表項

　　DHCP Snooping表只記錄了通過DHCP方式動態獲取IP地址的客戶端信息， 如果用戶手工配置了固定IP地址， 其IP地址、MAC地址等信息將不會被DHCP Snooping表記錄， 因此不能通過基于DHCP Snooping表項的ARP入侵檢測， 導致用戶無法正常訪問外部網絡。

　　為了能夠讓這些擁有合法固定IP地址的用戶訪問網絡， 交換機支持手工配置IP靜態綁定表的表項， 即：用戶的IP地址、MAC地址及連接該用戶的端口之間的綁定關系。 以便正常處理該用戶的報文。

　　ARP信任端口設置

　　由于實際組網中， 交換機的上行口會接收其他設備的請求和應答的ARP報文， 這些ARP報文的源IP地址和源MAC地址并沒有在DHCP Snooping表項或者靜態綁定表中。 為了解決上行端口接收的ARP請求和應答報文能夠通過ARP入侵檢測問題， 交換機支持通過配置ARP信任端口， 靈活控制ARP報文檢測功能。 對于來自信任端口的所有ARP報文不進行檢測， 對其它端口的ARP報文通過查看DHCP Snooping表或手工配置的IP靜態綁定表進行檢測。