DHCPSnooping&DAI&IPSG

DHCP Snooping

欺骗攻击
交换机设置信任和非信任接口防止私自非法DHCP服务器,让用户获得正确的服务器地址,默认交换机接口都是非信任的,生成DHCP Snooping绑定表,四元组IP、MAC、 VLAN、接口

饥饿攻击/饿死攻击
以太网报头MAC地址和DHCP字段的客户端硬件MAC地址默认是一样的,攻击者会不停更换客户端的硬件地址MAC地址字段从而使DHCP服务器一直分MAC地址,影响正常的用户分配。
交换机检查源MAC地址和客户端的硬件地址是否相同,是则通过,否则拒绝。

DHCP Snooping 速率控制
超速时shutdown

#

dhcp enable----全局使能dhcp

#

dhcp snooping enable----全局使能dhcp snooping

#

vlan 1

 dhcp snooping enable----dhcp snooping使能

 dhcp snooping check dhcp-chaddr enable----设置防御饿死攻击

#

interface GigabitEthernet0/0/X

 dhcp snooping trusted----设置信任区

 dhcp snooping check dhcp-rate enable----速率控制使能

 dhcp snooping check dhcp-rate 10----端口超过10个包时shutdown

导出绑定表到flash:
 


查看DHCP绑定表

display   dhcp snooping  user-bind  all

防御ARP欺骗中间人攻击DAI

ARP没有鉴别机制容易被攻击者发的arp所欺骗,错误的映射,导致PC1把数据包发给攻击者PC2
红为攻击












 

动态ARP检测前提必须构建DHCP绑定表
交换机会检查主机发送的ARP是否匹配绑定表,不匹配则视为攻击

针对固定IP的用户交换机可以手写静态的绑定表用来防御

防御IP、MAC地址欺骗----IPSG

交换机最多可以检查MAC IP VLAN 入端口,能匹配则通,否则视为攻击者
 

常用局域网加固技术

防IP欺骗----IPSG
防MAC欺骗----端口安全、IPSG

DHCP攻击-----DHCP Snooping
ARP攻击----DAI(动态ARP检测)

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值