DHCPSnooping&DAI&IPSG

于 2023-09-09 08:42:18 发布
阅读量475 收藏 1
点赞数
文章标签: 网络 安全 tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BJH23/article/details/132773025
版权

DHCP Snooping

欺骗攻击
交换机设置信任和非信任接口防止私自非法DHCP服务器,让用户获得正确的服务器地址,默认交换机接口都是非信任的,生成DHCP Snooping绑定表,四元组IP、MAC、 VLAN、接口

饥饿攻击/饿死攻击
以太网报头MAC地址和DHCP字段的客户端硬件MAC地址默认是一样的,攻击者会不停更换客户端的硬件地址MAC地址字段从而使DHCP服务器一直分MAC地址,影响正常的用户分配。
交换机检查源MAC地址和客户端的硬件地址是否相同,是则通过,否则拒绝。

DHCP Snooping 速率控制
超速时shutdown

#

dhcp enable----全局使能dhcp

#

dhcp snooping enable----全局使能dhcp snooping

#

vlan 1

 dhcp snooping enable----dhcp snooping使能

 dhcp snooping check dhcp-chaddr enable----设置防御饿死攻击

#

interface GigabitEthernet0/0/X

 dhcp snooping trusted----设置信任区

 dhcp snooping check dhcp-rate enable----速率控制使能

 dhcp snooping check dhcp-rate 10----端口超过10个包时shutdown

导出绑定表到flash:
 


查看DHCP绑定表

display   dhcp snooping  user-bind  all

防御ARP欺骗中间人攻击DAI

ARP没有鉴别机制容易被攻击者发的arp所欺骗,错误的映射,导致PC1把数据包发给攻击者PC2
红为攻击












 

动态ARP检测前提必须构建DHCP绑定表
交换机会检查主机发送的ARP是否匹配绑定表,不匹配则视为攻击

针对固定IP的用户交换机可以手写静态的绑定表用来防御

防御IP、MAC地址欺骗----IPSG

交换机最多可以检查MAC IP VLAN 入端口,能匹配则通,否则视为攻击者
 

常用局域网加固技术

防IP欺骗----IPSG
防MAC欺骗----端口安全、IPSG

DHCP攻击-----DHCP Snooping
ARP攻击----DAI(动态ARP检测)

HUAWEI@123
关注
华为数通方向HCIP-DataCom H12-831题库(多选题:201-220)
didiplus
10-07 957
华为数通方向HCIP H12-831
DHCP高阶应用系列之《DHCP Snooping + DAI(ARP Detection)杜绝ARP攻击》
weixin_44645270的博客
07-22 2301
本系列第一章中介绍过DHCP Snooping + IPSG限制用户随意修改IP地址信息,既然用户只能使用由DHCP服务器分配的IP地址为什么还需要对ARP进行限制呢?源于IPSG是对IP协议的数据包进行合法性校验,而ARP协议的数据包不在IPSG的处理范围内,ARP协议作为以太网通信里的一个重要协议,决定主机发送的数据能不能被交换机正确转发。DAI可以通过DHCP Snooping生产的IP-MAC表项对进入交换机的ARP数据包进行合法性校验,保证LAN内所有主机及路由器网关等设备ARP缓存信息不被篡改.
DHCP-SnoopingDAI
weixin_33827590的博客
05-13 1590
DHCP-SnoopingDAI简介DHCP-SnoopingDHCP窥探):当交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Of...
HUAWEI DHCP Snooping-DAI-IPSG
qq_55707182的博客
03-30 2465
为了防御中间人攻击,可以在Switch上部署动态ARP检测DAI(Dynamic ARP Inspection)功能。动态ARP检测是利用绑定表来防御中间人攻击的。当设备收到ARP报文时,将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。 使能了DHCP Snooping的设备将用户(DHCP客户端)的DHCP请求报文通过信任接口发送给合法的DHCP服务器..
IPSGDAI的区别 防止非法DHCP
weixin_34351321的博客
03-28 1204
IPSGIP源保护,DAI即动态ARP检测这2项技术部署的前提是DHCPSnooping2种技术都是2层技术。区别可以从他们的名字中看出来,分别用于防范不同的***类型:IPSG用于同一个网络中,其他主机盗用自己的IP地址。如果配置了IPSG,那么每个端口只能有一个IP地址,就算你的主机关机了,但是只要别人没有占用你的端口,就不能用你的IP地址。这是一个很好的防止内部网络乱...
DHCP Snooping + DAI + IPSG
大任的网络专栏
05-03 5078
DHCP Snooping + DAI + IPSG   (2012-08-28 14:19:02) 转载▼ 标签:  监听   dhcp   snooping   dai   ipsg 分类: Cisco交换入门 DHCP Snooping + DAI + IPSG实验 因为DHCP
DAIIPSG完美结合保证办公室网络安全
weixin_34309435的博客
03-26 530
配置局域网的安全特性,防止地址乱配,ARP***等弊病! 1、启用DHCP SNOOPING 全局命令:ip dhcp snooping vlan 10,20,30no ip dhcp snooping information optionip dhcp snooping database flash:dhcpsnooping.text //将snoopin...
DHCP高阶应用系列之《dhcp-snooping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址》
weixin_44645270的博客
07-18 2686
DHCP高阶操作系列之《dhcp-snoping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址》
思科DHCPSnooping技术的网络安全管理方案.pdf
09-19
为了应对这些挑战,思科提出了DHCPSnoopingDHCP监听)、DAI(ARP检测)和IPSGIP源地址防护)等技术,旨在构建合理的网络安全管理体系。 1. **网络安全日常管理** 网络安全管理的基础在于日常维护。这包括: -...
配置IPSG:防止主机私自更改IP地址的网络安全策略
1. IPSG仅检查IP报文,不处理ARP报文,对于ARP欺骗防护不足,需配合DAI(Dynamic ARP Inspection)。 2. IPSG应尽量部署在靠近用户的接入层设备,以便更有效地控制网络接入。 3. 基于静态绑定表的IPSG不能有效防御...
DHCP的防御机制——DHCP Snooping(DHCP监听)
qq_40741808的博客
05-18 6505
这里写目录标题DHCP SnoopingDHCP监听)简介好处DHCP Snooping原理描述信任端口功能DHCP监听表DHCP 攻击及其防范DHCP Server仿冒者攻击攻击原理解决方法:仿冒DHCP报文攻击:攻击原理:解决方法:DHCP Server服务拒绝攻击:攻击原理:解决方法:配置DHCP Snooping的攻击防范功能:DHCP Snooping支持的Option82功能:概述:实现: DHCP SnoopingDHCP监听)简介 DHCP SnoopingDHCP(Dynamic H
DHCP Snooping + DAI原理
qq_48359654的博客
10-09 1465
1.交换机开户dhcp snooping后会维护一个IP地址与MAC地址的绑定信息表。 2.DAI基于dhcp snooping工作,DAI可以利用dhcp snooping的binding表来检查所有信任端口的ARP请求和响应,确保应答来自真正的MAC所有者。如果是虚拟的MAC则丢弃。 举例: 即假如DAI的数据表记录着PC1的mac是a.a.a.a 10.1.1.1 fa0/1的信息 如果交换机fa0/1收到一个ARP的信息说 是 b.b.b.b 10.1.1.3的话就会把这个arp包丢弃.
使用DHCP监听、IPSGDAI实现Cisco多层交换网络安全
weixin_34315665的博客
11-09 366
采用DHCP server可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数,简化了用户网络设置,提高了管理效率。但在DHCP管理使用上也存在着一些另网管人员比较问题,常见的有:   • DHCP server的冒充。   • DHCP server的Dos攻击。   •有些用户随...
DAIDHCP SNOOPINGip source guard、IPSG
weixin_34244102的博客
07-11 560
switch 3560上做安全: 模型:R1 and R2 (dhcp client )-->SW 3560-->R3(dhcp server)所有设备在同一个VLAN. R1 and R2上开 ip address dhcp R3上做dhcp pool 此时R1、R2可以拿到ip address 当SW开启ip dhcp snoo...
网络部署DHCP Snooping+DAI功能
weixin_74904641的博客
02-15 846
在S1、S2交换机部署DHCP Snooping+DAI功能。其中,DAI功能主要针对VLAN10与VLAN20启用ARP防御,要求关闭S1/S2上联口的NFPP功能,具体配置如下:
华为HCIP H12-223最新题库,高分必备
10. DHCPSnooping是一种安全机制,可以防止DHCP仿冒者攻击,并结合DAIIPSG功能来增强网络安全,防止MAC地址泛洪和对DHCP服务器的DOS攻击。 以上知识点涵盖了网络运维成本、项目管理、网络规划、IP地址规划、网络...
华为H12-223题库:2020年最新企业网络DHCP管理精华总结
同时,DAIIPSG功能也是网络安全防御的一部分,但题干只提到了SNOOPING的作用。 这个H12-223题库提供了深入理解企业网络配置、故障排除和安全管理的重要知识点,对于准备参加HCIP-Routing & Switching-IEEP认证...
思科模拟器DHCP snoopingDAI [动态ARP绑定]
Cisco Packet Tracer 思科模拟器知识分享
02-28 1922
本篇文章主要讲解了思科模拟器中DHCP snooping侦听 和DAI[动态ARP检测]
DHCP Snooping理论与配置
最新发布
m0_49864110的博客
03-06 5768
DHCP SnoopingDHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。设备收到arp报文时,将arp报文对应的源IP地址、源MAC地址、接口、Vlan等信息和绑定表的信息进行对比(如果信息匹配,则允许arp报文通过;1、配置静态绑定表,手动配置IP地址、MAC地址、Vlan等信息绑定DHCP Snooping IP源防攻击技术(IPSG)动态ARP检测技术(DAI
综合实验(DHCP snooping,DAI,IPSG
繁星流动天际
04-02 713
任务一: 启用DHCP监听 步骤1:在交换A和B上启用VLAN10的DHCP监听。因为cisco ios DHCP服务器不支持选项82,所以交换机A和B将禁用选项82的标记:// 82的标记----中继代理选项. SwitchA#configure terminal SwitchA(config)#ip dhcp snooping SwitchA(config)#i...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值