DHCPSnooping&DAI&IPSG

于 2023-09-09 08:42:18 发布
阅读量339 收藏 1
点赞数
文章标签: 网络 安全 tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BJH23/article/details/132773025
版权

DHCP Snooping

欺骗攻击
交换机设置信任和非信任接口防止私自非法DHCP服务器,让用户获得正确的服务器地址,默认交换机接口都是非信任的,生成DHCP Snooping绑定表,四元组IP、MAC、 VLAN、接口

饥饿攻击/饿死攻击
以太网报头MAC地址和DHCP字段的客户端硬件MAC地址默认是一样的,攻击者会不停更换客户端的硬件地址MAC地址字段从而使DHCP服务器一直分MAC地址,影响正常的用户分配。
交换机检查源MAC地址和客户端的硬件地址是否相同,是则通过,否则拒绝。

DHCP Snooping 速率控制
超速时shutdown

#

dhcp enable----全局使能dhcp

#

dhcp snooping enable----全局使能dhcp snooping

#

vlan 1

 dhcp snooping enable----dhcp snooping使能

 dhcp snooping check dhcp-chaddr enable----设置防御饿死攻击

#

interface GigabitEthernet0/0/X

 dhcp snooping trusted----设置信任区

 dhcp snooping check dhcp-rate enable----速率控制使能

 dhcp snooping check dhcp-rate 10----端口超过10个包时shutdown

导出绑定表到flash:
 


查看DHCP绑定表

display   dhcp snooping  user-bind  all

防御ARP欺骗中间人攻击DAI

ARP没有鉴别机制容易被攻击者发的arp所欺骗,错误的映射,导致PC1把数据包发给攻击者PC2
红为攻击












 

动态ARP检测前提必须构建DHCP绑定表
交换机会检查主机发送的ARP是否匹配绑定表,不匹配则视为攻击

针对固定IP的用户交换机可以手写静态的绑定表用来防御

防御IP、MAC地址欺骗----IPSG

交换机最多可以检查MAC IP VLAN 入端口,能匹配则通,否则视为攻击者
 

常用局域网加固技术

防IP欺骗----IPSG
防MAC欺骗----端口安全、IPSG

DHCP攻击-----DHCP Snooping
ARP攻击----DAI(动态ARP检测)

HUAWEI@123
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DHCP-Snooping与DAI
weixin_33827590的博客
05-13 1544
DHCP-Snooping与DAI简介DHCP-Snooping(DHCP窥探):当交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Of...
DHCP Snooping + DAI原理
qq_48359654的博客
10-09 1343
1.交换机开户dhcp snooping后会维护一个IP地址与MAC地址的绑定信息表。 2.DAI基于dhcp snooping工作,DAI可以利用dhcp snooping的binding表来检查所有信任端口的ARP请求和响应,确保应答来自真正的MAC所有者。如果是虚拟的MAC则丢弃。 举例: 即假如DAI的数据表记录着PC1的mac是a.a.a.a 10.1.1.1 fa0/1的信息 如果交换机fa0/1收到一个ARP的信息说 是 b.b.b.b 10.1.1.3的话就会把这个arp包丢弃.
思科模拟器DHCP snooping和DAI [动态ARP绑定]
Cisco Packet Tracer 思科模拟器知识分享
02-28 1631
本篇文章主要讲解了思科模拟器中DHCP snooping侦听 和DAI[动态ARP检测]
DAI与IPSG完美结合保证办公室网络安全
weixin_34309435的博客
03-26 484
配置局域网的安全特性,防止地址乱配,ARP***等弊病! 1、启用DHCP SNOOPING 全局命令:ip dhcp snooping vlan 10,20,30no ip dhcp snooping information optionip dhcp snooping database flash:dhcpsnooping.text //将snoopin...
IPSG和DAI的区别 防止非法DHCP
weixin_34351321的博客
03-28 1137
IPSG即IP源保护,DAI即动态ARP检测这2项技术部署的前提是DHCPSnooping2种技术都是2层技术。区别可以从他们的名字中看出来,分别用于防范不同的***类型:IPSG用于同一个网络中,其他主机盗用自己的IP地址。如果配置了IPSG,那么每个端口只能有一个IP地址,就算你的主机关机了,但是只要别人没有占用你的端口,就不能用你的IP地址。这是一个很好的防止内部网络乱...
HUAWEI DHCP Snooping-DAI-IPSG
qq_55707182的博客
03-30 2292
为了防御中间人攻击,可以在Switch上部署动态ARP检测DAI(Dynamic ARP Inspection)功能。动态ARP检测是利用绑定表来防御中间人攻击的。当设备收到ARP报文时,将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。 使能了DHCP Snooping的设备将用户(DHCP客户端)的DHCP请求报文通过信任接口发送给合法的DHCP服务器..
DHCP三种配置方法及命令
m0_50818626的博客
03-21 5368
Huawei-Ethernet0/0/4]undo dhcp snooping trusted //设置非信任接口。[Huawei-ip-pool-vlan20]lease day 7 //租约时间。[Huawei]dhcp enab //开启路由器dhcp功能。增加PC3 连接至交换机的e0/0/4口,并将该接口加入vlan30。配置到dhcp地址池 网段范围为 :192.168.4.0/24。一、通过DHCP接口复制实现IP地址分配。
华为交换机DHCPsnooping配置教程.doc
09-26
华为交换机DHCPsnooping配置教程.doc
dhcpsnooping配置案例[归纳].pdf
10-11
dhcpsnooping配置案例[归纳].pdf
DHCP原理含dhcpsnooping学习教案.pptx
09-30
DHCP原理含dhcpsnooping学习教案.pptx
思科DHCPSnooping技术的网络安全管理方案.pdf
09-19
思科DHCPSnooping技术的网络安全管理方案.pdf
华为X7交换机DHCPSNOOPING强制终端自动获取地址接入网络应用实用.pdf
02-04
华为X7交换机DHCPSNOOPING强制终端自动获取地址接入网络应用实用.pdf
H3C 2种型号交换机防止非法DHPCP接入配置
05-05
H3C 交换 2种型号 DHCPSnOOPING设置.H3C有2种类型的交换机,配置方法不同,通过以上文档,可以轻松解决非法DHCP问题。此文档适用于核心交换机和可网管型二层交换机
于DHCP Snooping技术防御ARP病毒.pdf
10-22
于DHCP Snooping技术防御ARP病毒.pdf
DHCP snooping代码
08-05
在使用DHCP动态获取地址上网的环境中如何防止DOS服务攻击,DHCP snooping对DHCP 整个过程进行监控,防止恶意获取地址。
DHCP 协议
果子哥丶的博客
04-18 747
面对网络规模的扩大,DHCP是如何应对? DHCP 中继 面对网络汇总的攻击,DHCP是如何防护? DHCP Snooping DHCP原理 DHCP配置实现
交换安全:MAC、dhcp、DAI、IP源防护
weixin_34384557的博客
12-06 644
一、MAC洪泛原理:由于交换机具备自动学习能力,将数据帧中的源MAC与进入的端口形成映射形成MAC地址表,存放在内存中;若***者发送大量伪造的源MAC数据帧给交换机,那么交换机会产生大量的错误对应一个MAC;将这个端口对应的MAC静态绑定;1、//进入交换机接口接口MAC条目,最终导致内存溢出。2、防御方法:限制一个端口下能进入主机的数量——学习...
配置DHCP Snooping的攻击防范功能
最新发布
刘俊辉个人博客
09-05 303
如图所示,LSW1与LSW2是二层交换机,LSW3是用户网关,作为DHCP Relay向DHCP服务器转发DHCP报文,使得DHCP客户端可以从DHCP服务器上申请到IP地址等相关配置信息。为了为DHCP用户提供更优质的服务,网络管理员可以通过配置DHCP Snooping功能,实现DHCP攻击防范。
ensp (dhcp snooping配置实验)
qq_46258964的博客
08-21 2928
DHCP 安全 防治和保护 dhcp shooping 相当于交换机里面形成了一个无形的防火墙 如图 配置步骤 防止仿冒DHCP Server攻击方法**(在交换机上配置)** [Huawei]dhcp enable 交换机上开启DHCP [Huawei]dhcp snooping enable 交换机上开启DHCP snooping [Huawei]vlan 1 [Huawei-vlan1]dhcp snooping enable [Huawei]interfa
华为交换机配置dhcpsnooping新人端口
08-23
要在华为交换机上配置DHCPSnooping的新人端口,你需要按照以下步骤进行操作: 1. 首先,进入交换机的配置模式,通过以下命令切换到系统视图: [Switch] system-view 2. 然后,进入接口配置模式,使用以下命令选择要配置DHCPSnooping的新人端口: [Switch] interface GigabitEthernet0/0/3 3. 接下来,将该接口配置为信任状态,使用以下命令: [Switch-GigabitEthernet0/0/3] dhcp snooping trusted 4. 最后,退出接口配置模式并保存配置: [Switch-GigabitEthernet0/0/3] quit [Switch] save 这样,你就成功配置了华为交换机上的DHCPSnooping的新人端口。请注意,以上命令仅供参考,具体命令可能会因设备型号和软件版本而有所不同。建议你在实际操作时参考华为交换机的官方文档或咨询相关技术支持人员以确保正确配置。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [华为交换机DHCP snooping](https://blog.csdn.net/weixin_30781905/article/details/114165839)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值