МЕТОДЫ ПРЕДОТВРАЩЕНИЯ СПУФИНГОВЫХ АТАК В СЕТЯХ РАСПРЕДЕЛЕННОГО ДОСТУПА

METHODS OF PREVENTING SPYING ATTACKS IN DISTRIBUTED ACCESS NETWORKS

Tuaev Azamat Valerianovich

Master's student, Faculty of Information Technologies and Electronic Engineering, North Caucasus Mining and Metallurgical Institute

Russia, Vladikavkaz

Andrey Khanmagomedov

Scientific supervisor, candidate of Technical Sciences, North Caucasus Mining and Metallurgical Institute

Russia, Vladikavkaz

АННОТАЦИЯ

В статье рассмотрена проблема подмены сетевых адресов (IP/ARP-спуфинг) в распределенных сетях операторов интернет-доступа. Проанализированы векторы атак на протоколы разрешения адресов и динамической конфигурации узлов. Подробно описан каскадный механизм применения технологий DHCP Snooping, Dynamic ARP Inspection (DAI) и IP Source Guard (IPSG) для фильтрации подмененного трафика на портах второго уровня. Приведены сценарии настройки доверенных интерфейсов и верификации привязки IP-MAC-адресов на основе базы данных DHCP-аренды, а также примеры конфигурации для оборудования Huawei под управлением VRP. Делается вывод о необходимости комплексного внедрения данных методов на абонентских портах агрегации для минимизации рисков перехвата трафика и нарушения доступности услуг.

ABSTRACT

The article discusses the problem of network address spoofing (IP/ARP spoofing) in the distributed networks of Internet access operators. The vectors of attacks on address resolution protocols and dynamic configuration of nodes are analyzed. The cascading mechanism of application of technologies DHCP Snooping, Dynamic ARP Inspection (DAI) and IP Source Guard (IPSG) for filtering of spoofed traffic on second-level ports is described in detail. The article provides scenarios for configuring trusted interfaces and verifying the binding of IP-MAC addresses based on the DHCP lease database, as well as configuration examples for Huawei equipment running VRP. The article concludes that it is necessary to comprehensively implement these methods on subscriber aggregation ports to minimize the risks of traffic interception and service disruptions.

Ключевые слова: распределенная сеть, оператор связи, IP-спуфинг, ARP-спуфинг, защита от атак, DHCP Snooping, Dynamic ARP Inspection, IP Source Guard, безопасность L2, конфигурация Huawei.

Keywords: distributed network, telecom operator, IP spoofing, ARP spoofing, attack protection, DHCP Snooping, Dynamic ARP Inspection, IP Source Guard, L2 security, Huawei configuration.

Задача обеспечения безопасности в сетях операторов интернет-доступа существенно отличается от защиты корпоративных сегментов. Основная сложность заключается в огромном количестве различных устройств абонентов, отсутствии единого административного контроля на стороне пользователя и высокой вероятности компрометации оконечного оборудования. В этих условиях классические методы атак, основанные на подмене сетевых идентификаторов, представляют собой одну из наиболее серьезных угроз как для самой инфраструктуры оператора, так и для его клиентов. Протоколы, лежащие в основе взаимодействия устройств в сетях Ethernet/IP, такие как ARP и DHCP, были разработаны в период, когда вопросы безопасности не являлись приоритетными, что создает благодатную почву для злоумышленников. ARP-спуфинг позволяет атакующему, находящемуся в одном широковещательном домене, ассоциировать свой MAC-адрес с IP-адресом шлюза оператора или другого абонента с целью перехвата трафика либо организации атаки типа "отказ в обслуживании". IP-спуфинг дает возможность злоумышленнику маскироваться под легальное устройство, используя его IP-адрес для обхода систем учета трафика и биллинга или для проведения атак на другие сегменты сети. Традиционные средства защиты, такие как межсетевые экраны на границе сети, часто бессильны против подобных атак, поскольку подмененный трафик для оборудования второго уровня выглядит легитимным до тех пор, пока не покинет пределы подсети, следовательно, механизмы противодействия спуфингу должны быть реализованы непосредственно на уровне доступа — на коммутаторах, к которым подключаются абоненты.

Наиболее эффективным подходом к решению данной проблемы является каскадное применение группы взаимосвязанных технологий защиты на портах второго уровня, причем ключевым элементом выступает технология DHCP Snooping, которая выполняет функцию фильтра между ненадежными клиентами и DHCP-серверами оператора. При включении данной функции на коммутаторе все порты по умолчанию считаются ненадежными, за исключением тех, которые ведут к легитимному DHCP-серверу и административно назначены доверенными, что блокирует возможность развертывания абонентом своего собственного поддельного DHCP-сервера, способного назначать ложные параметры сети. Важнейшим побочным эффектом работы DHCP Snooping является формирование базы данных привязки, в которой хранится информация обо всех успешно арендованных IP-адресах, а именно MAC-адрес абонента, выданный IP-адрес, идентификатор VLAN и порта коммутатора, а также время аренды. Именно эта база становится источником истины для остальных механизмов защиты, и при использовании DHCP-релея с опцией 82 база данных может пополняться информацией, приходящей от вышестоящих агрегирующих устройств, что требует настройки доверия к определенным опциям на оборудовании.

Сформированная база данных DHCP Snooping служит основой для работы двух других механизмов защиты. Dynamic ARP Inspection использует эту базу для валидации ARP-пакетов, когда все ARP-запросы и ответы, поступающие на ненадежные порты, перехватываются и проверяются. Коммутатор сопоставляет информацию из ARP-пакета с содержимым базы данных привязки, и если пакет содержит несоответствие, например IP-адрес абонента не соответствует его MAC-адресу или IP-адрес не был выдан легитимным DHCP-сервером, такой пакет классифицируется как поддельный и отбрасывается. Вторым уровнем защиты является IP Source Guard, который обеспечивает фильтрацию самого IP-трафика, когда на интерфейсе, где включен IPSG, коммутатор проверяет каждый IP-пакет, сравнивая адрес источника с записями в той же базе данных DHCP Snooping. Разрешается прохождение только тех пакетов, источник которых строго соответствует записи в базе данных для данного порта, причем IPSG может работать в режиме проверки только IP-адреса либо в режиме проверки связки IP-адреса и MAC-адреса, что полностью исключает возможность для абонента использовать чужой IP-адрес.

Практическая реализация данного комплекса мер на сетевом оборудовании Huawei оператора связи требует соблюдения определенной последовательности и учета ряда ограничений. В первую очередь необходимо глобально включить DHCP Snooping на коммутаторе и активировать его для требуемых VLAN, после чего важным шагом является конфигурация портов, соединяющих коммутатор с вышестоящим оборудованием или напрямую с DHCP-серверами, как доверенных, поскольку без этого легитимные DHCP-ответы будут отброшены, и абоненты не смогут получить сетевые настройки. Только после построения базы данных аренды можно включать DAI и IPSG на абонентских портах, причем для корректной работы всех механизмов необходимо учитывать особенности платформы VRP. Например, на коммутаторах Huawei серии S5700 базовая конфигурация защиты выглядит следующим образом: сначала включается глобальный сервис DHCP командой dhcp enable, затем активируется DHCP Snooping для конкретных VLAN командой dhcp snooping enable vlan 100,200, после чего uplink-порт настраивается как доверенный с помощью dhcp snooping trusted в режиме конфигурации интерфейса. Для включения DAI используется команда arp anti-attack check user-bind enable, которая активирует проверку ARP-пакетов на соответствие записям в базе привязок, и для конкретных VLAN добавляется arp anti-attack check user-bind vlan 100,200. Наконец, на абонентских портах включается IPSG командой ip source check user-bind enable, после чего коммутатор начинает фильтровать весь IP-трафик, пропуская только пакеты от устройств, чьи IP-MAC пары присутствуют в базе DHCP Snooping для данного порта.

Особого внимания требует ситуация с абонентами, использующими статическое назначение IP-адресов, поскольку такие устройства не проходят проверку IPSG и DAI из-за отсутствия их записей в динамической базе DHCP Snooping. На оборудовании Huawei эта проблема решается путем создания статических записей в user-bind таблице с помощью команды user-bind static ip-address 192.168.1.100 mac-address 00aa-bbcc-ddee interface gigabitethernet 0/0/1 vlan 100, что позволяет внести легитимное статическое устройство в белый список и обеспечить его беспрепятственную работу. Другим сложным случаем является использование DHCP-релея с опцией 82 в крупных сетях операторов, где DHCP-сервер находится в центре обработки данных, а запросы ретранслируются через оборудование агрегации. Для корректной работы DHCP Snooping на коммутаторах доступа необходимо, чтобы опция 82 добавлялась и проверялась, при этом на оборудовании Huawei требуется дополнительная настройка доверия к входящим пакетам с опцией 82 на вышестоящих устройствах, а также контроль за тем, чтобы порты в сторону абонентов оставались ненадежными. Также следует учитывать, что в сетях с PPPoE-доступом механизмы DHCP Snooping напрямую не работают, так как IP-адрес назначается через IPCP, однако в сегменте между абонентом и BRAS все еще актуальна защита от ARP-спуфинга, которая может быть реализована с помощью тех же механизмов DAI при условии, что в сети используется общая среда Ethernet.

Рассмотренные методы защиты имеют ряд ограничений, которые необходимо учитывать при проектировании сети оператора. Прежде всего, DAI и IPSG требуют процессинга пакетов на уровне CPU коммутатора, и на устаревших моделях оборудования Huawei массовое включение этих функций может привести к росту загрузки процессора, особенно во время ARP-штормов или целенаправленных атак. Кроме того, количество записей в binding-таблице ограничено аппаратными ресурсами коммутатора, а именно объемом TCAM-памяти, поэтому в сетях с тысячами абонентов на одном коммутаторе агрегации может потребоваться увеличение размера таблицы или переход на более производительные платформы серии S12700 с распределенной архитектурой обработки. При внедрении защиты возможны ложные срабатывания и блокировка легитимного трафика из-за несоответствия времени аренды или неправильной настройки доверенных портов, поэтому на оборудовании Huawei рекомендуется поэтапное внедрение с использованием режима логирования без блокировки, который позволяет анализировать потенциально опасные пакеты без прерывания сервиса. Для включения такого режима используются команды arp anti-attack check user-bind alarm enable и arp anti-attack check user-bind alarm-threshold, которые настраивают отправку предупреждений при обнаружении подозрительных ARP-пакетов без их фактической блокировки.

Таким образом, проблема спуфинговых атак в распределенных сетях доступа может быть эффективно решена путем применения архитектурного подхода, основанного на проверке идентификаторов на границе сети непосредственно на абонентских портах коммутаторов Huawei. Комплексное использование технологий DHCP Snooping, Dynamic ARP Inspection и IP Source Guard позволяет создать защищенную периметральную среду, в которой любой пакет с невалидной парой IP-MAC отбрасывается еще на этапе входа в сеть. Представленные примеры конфигурации для оборудования Huawei под управлением VRP демонстрируют практическую реализуемость данного подхода в условиях реального оператора связи, однако успешное внедрение требует учета аппаратных ограничений, корректной настройки доверенных границ и наличия механизмов обработки статических адресов. При соблюдении этих условий достигается высокий уровень защиты как инфраструктуры оператора от перегрузок и атак, так и безопасности самих абонентов, исключая возможность перехвата их трафика внутри сегмента доступа.

Список литературы:

1. Баранов, А.Н. Сетевая атака ARP-спуфинг, методология обнаружения и меры по её предотвращению / А.Н. Баранов, В.Г. Степанов, Е.Д. Коржавина // Морская стратегия и политика России в контексте обеспечения национальной безопасности и устойчивого развития в XXI веке: сборник научных трудов. – Севастополь: ЧВВМУ им. П.С. Нахимова, 2022. – Вып. 4 (44). – С. 185-191.
2. Гончар, Е.А. Угрозы и проектирование безопасности информационно-ориентированных сетей / Е.А. Гончар, Ю.А. Чистякова, А.С. Пахолко // Информационные технологии: сборник научных трудов. – Минск: БГТУ, 2022. – С. 78-81.
3. Конфигурация отслеживания DHCP : NE20E-S2 V800R022C00SPC600 / Huawei Technologies Co., Ltd. – Шэньчжэнь, 2023. – (Руководство по настройке). – URL: https://support.huawei.com/enterprise/en/doc/EDOC1100282189/6381dd1/dhcp-snooping-configuration (дата обращения: 15.03.2026).
4. Русецкая, Т.Б. Анализ методов защиты от угроз IP Spoofing с использованием GNS3 // Информационная безопасность: сборник материалов 61-й научной конференции БГУИР. – Минск: БГУИР, 2025. – С. 68-72.
5. Шаньгин, В.Ф. Защита информации в компьютерных системах и сетях: учебное пособие. – М.: ДМК Пресс, 2024. – 593 с.