HCIE-RS 论述题 DHCP

最新推荐文章于 2024-07-11 03:29:05 发布
最新推荐文章于 2024-07-11 03:29:05 发布
阅读量951 收藏 4
点赞数
分类专栏: hcie论述 文章标签: 网络 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_45364989/article/details/124892177
版权

题目需求

1、网络中部分终端不能访问网关,终端ARP表频繁变化。网络中部分终端获取不到地址,获取的地址为169.254.X.X。请定位故障原因并解决
2、如何防止非法有线设备接入,写出你的方案

一、网络中部分终端不能访问网关,终端ARP表频繁变化。网络中部分终端获取不到地址,获取的地址为169.254.X.X。请定位故障原因并解决

针对部分终端无法访问网关,且存在大量ARP表项翻动,同时部分终端设备无法通过DHCP服务器正常获取IP地址。
结合上述拓扑,分析可能原因、排障思路如下:

1、物理层链路翻动导致故障
如果交换机之间互联链路频繁up/down导致震荡的情况,可能会导致上述现象,可以通过设备日志信息快速判断是否存在链路翻动情况,
上述故障可以通过替换线缆或者端口模块进行故障排除。

2、欺骗攻击导致上述故障
(1)ARP中间人攻击
在网关设备上通过display arp all观察ARP表项,存在ARP表项翻,初步判断存在ARP欺骗攻击,攻击者会伪造ARP应答消息,导致网关设备或者其他终端频繁更新表项,数据流量错误发送至攻击者。
上述攻击可以通过ARP表项固化 、ARP严格学习、DAI动态ARP检测等技术解决。
(2)网关欺骗攻击
在终端设备上通过arp -a观察网关设备对应的ARP表项,如果发现终端设备的ARP表项翻动,则考虑出现针对网关的欺骗攻击。上述攻击可以通过ARP防网关冲突 、网关发送免费ARP 等技术解决。
(3)DHCP服务器欺骗攻击
可能存在攻击者仿冒DHCP服务器,导致客户端无法通过合法服务器正确获得IP地址。
上述攻击可以利用DHCP Snooping的信任功能,配置连接合法DHCP Server的接口为信任接口即可。

3、泛洪攻击导致上述故障
(1)ARP泛洪攻击
可以在网关设备上通过display cpu-defend statistics packet-type arp-request / arp-reply all命令观察是否存在大量ARP报文丢弃。
若存在大量ARP报文丢弃,说明存在ARP泛洪攻击导致无法通信。
上述攻击可以通过配置ARP报文限速来解决,而如果针对ARP表项空间的攻击则可以通过ARP表项限制解决。
(2)DHCP报文泛洪攻击
如果存在攻击者伪造大量DHCP发现消息、DHCP请求消息,也会造成交换机无法处理合法报文的故障。我们可以通过命令display cpu-defend statistics packet
type dhcp-client观察是否存在大量DHCP请求报文被丢弃。上述攻击通过DHCP Snooping报文限速功能进行防范。
(3)DHCP拒绝服务攻击
存在DHCP饿死攻击,攻击者通过伪造DHCP请求消息中的CHADDR字段不断向DHCP服务器申请IP地址,导致服务器地址池被耗空,无法为合法用户分配地址。 上述攻击可配置DHCP snooping功能,限制端口允许接入的最大用户数量,同时开启DHCP snooping 检测CHADD 功能,防止非法接入。
(4)TC泛洪攻击
上述拓扑中交换机接收到TC报文后,会执行MAC地址表项和ARP表项的删除操作,如果攻击者伪造TC消息并频繁发送,会导致交换机表项翻动,造成上述故障。 上述攻击可以通过配置STP TC保护来进行防范。

4、设备性能规格或者配置问题
如果网络规模超出当前设备性能及表项空间规格,也可能出现上述故障,则建议对设备进行升级;
如果存在人为配置错误的可能,可以通过display history-command观察设备近期配置,如果存在该问题,建议对设备进行管理层面加固。

二、如何防止非法有线设备接入,写出你的方案

考虑到上述园区网的拓扑设计和业务类型,针对该园区网络的非法接入,主要从以下几个角度进行防范:

1、NAC
通过在接入交换机上部署NAC网 络接入控制来拒绝非法接入,从而实现企业网络安全,通过Imaster NCE- Campus控制器来实现用户的准入,有线部分采用802.1X 认证/MAC认证和混合认证的方式,基于我们的控制器(认证服务功能)实现用户的准入; 用户终端可以通过802.1X认证实现认证接入网络;
哑终端(打印机)等基于MAC地址认证实现网络接入; 如果有限制用户互访的需求,可以配置业务随行方案,基于安全组来实现用户之间的隔离。
2、端口安全:
绑定端口下的MAC和限制MAC地址学习功能;绑定合法用户的MAC地址,限制最大学习数量
例如该端口下只有一个合法用户,通过静态方式绑定,然后设置最大学习数量为1

3、MAC地址安全:
静态配置MAC地址表,关闭MAC地址学习的功能;针对部分固定MAC地址的攻击可以通过配置黑洞MAC地址条目来实现安全防护。

4、DAI动态ARP检测
针对非法客户端接入后可能造成的ARP欺骗攻击,开启DAI动态ARP检测之后,借助形成的DHCP Snooping绑定表项完成对ARP消息的合法性检测,从而防止ARP 中间人等欺骗攻击。

5、IPSG IP源防护
针对非法客户端接入后造成的IP地址欺骗攻击,也可以在开启DHCP Snooping功能之后利用DHCP Snooping绑定表项进行IP 报文的合法性检测,防止非法客户端静态修改IP地址,进行IP欺骗攻击等行为。针对部分手工分配IP地址的打印机或者客户端 ,可以手工创建静态用户绑定表项,从而通过IPSG的检测。

6、边缘端口配合保护机制
非法客户端接入后如果伪造STP报文诸如TC BPDU也会导致整个交换网络因为拓扑变更而产生震荡,此时通过边缘端口的部署 可以解决上述问题,边缘端口可以加速接口的收敛,同时不会因为端口状态迁移触发拓扑变更,配置BPDU防护等技术可以防 范针对STP的恶意攻击。

旧人可安、
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
arp攻击与防范
fanbb_jane的博客
03-30 4029
arp攻击与防范 一 攻击方式 ARP协议有简单、易用的优点,但是也因为其没有任何安全机制,容易被攻击者利用。在网络中,常见的ARP攻击方式主要包括: ARP泛洪攻击,也叫拒绝服务攻击DoS(Denial of Service),主要存在这样两种场景: 设备处理ARP报文和维护ARP项都需要消耗系统资源,同时为了满足ARP项查询效率的要求,一般设备都会对ARP项规模有规格限制。攻击者就利用这一点,通过伪造大量源IP地址变化ARP报文,使得设备ARP资源被无效的ARP条目耗尽,合法用户的ARP报文
华为HCIE论述之DHCP
DigaulesTF的博客
10-08 802
华为HCIE数通论述
HCIE论述题 .pdf
12-21
HCIE论述题
局域网arp攻击_ARP攻击原理
weixin_39775910的博客
11-18 394
前言地址解析协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存。由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。我们通过案例来认识一下ARP攻击原理。案例回顾故障:部分办公终端无法访问服务器,另一部分办公终端能正常访问...
android 获取网线ip_pc的ip变成169.254.x.x的过程分析
weixin_39955829的博客
12-03 285
网卡ip变成169.254.x.x是pc的网卡启动时,检测到环境中存在ip冲突,操作系统为保护起见分配的保留ip地址。此地址不是合法的地址,因此无法获取的网关的mac地址,无法实现上网等操作。 windows操作系统,当发生dhcp获取ip或者插拔网线后,windows操作系统会用确定的ip进行ip冲突的检测,发出三次广播的arp包(源ip目的mac为空,此时尚未确定ip可...
DHCP概述
qq_42941888的博客
12-07 4405
DHCP解释 DHCP(Dynamic Host Conf iguration Protocol,动态主机配置协议)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途: 1、给内部网络网络服务供应商自动分配IP地址 2、给用户或者内部网络管理员作为对所有计算机作中央管理的手段 使用DHCP 的好处 减少管理员的工作量 避免输入错误的可能 避免IP地址冲突 当更改IP地址段时,不需要重新配置每个用户的IP地址 提高了IP地址冲突 方便客户端的配置 DHCP的典型应用模式
hcie-rs论述题(12.20更新).docx
01-13
HCIE-RS 论述题大纲解析 HCIE-RS 论述题是华为公司认证的 Routing & Switching 考试的一部分,旨在评估考生的路由和交换技术知识和实践能力。本文将对 HCIE-RS 论述题的目录和部分内容进行解析,旨在帮助考生更好地...
HCIE-RS 论述题-路由选择和控制
07-01
HCIE-RS 论述题-路由选择和控制 本资源摘要信息主要关注HCIE-RS 论述题-路由选择和控制,涵盖路由策略、ACL 和前缀列等知识点。 1. 路由策略的基本原理 路由策略是一种路由控制机制,通过if-match子句定义匹配...
HCIE-RS论述题最新.docx
10-06
"HCIE-RS 论述题最新" 本文档主要讲述了 OSPF(Open Shortest Path First)协议在园区网中的应用和优化,涉及到 OSPF 网络设计、路由优化、业务连通性等方面的知识点。 OSPF 网络设计 在园区网中,OSPF 网络的...
HCIE-RS 论述题-园区网安全
07-01
HCIE-RS 论述题-园区网安全
HCIE-RS 论述题-园区网出口选路
07-01
HCIE-RS 论述题-园区网出口选路 HCIE-RS 论述题-园区网出口选路是指在园区网中,如何实现路由器出口的选路问题。在此问题中,我们需要解决两个问题:首先,如何在不运行路由协议的情况下,实现园区网用户访问 ...
arp miss攻击_S6700交换机出现大量arp-miss情况
weixin_39875028的博客
12-24 1586
问题描述S6700上联运营商核心路由设备,S6700位于核心交换,网关位于核心交换上,设备之间路由通过静态路由传递,下挂服务器全为公网地址,CE5800为两条ETH-TRUNK上联S6700,之间为二层透传。当S6700接入公网时,出现大量arp-miss包,导致cpu利用率高达94%,直连核心路由地址丢包严重。告警信息S6700-1 %%01DEFD/4/CPCAR_DROP_MPU(l)[56...
HCIE-Security网络安全-ARP攻击
qq_44667101的博客
03-16 671
文章目录信息安全几种常见的协议栈攻击一、ARP攻击 信息安全 信息安全是指通过采用计算机硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施,来保护信息在其神秘周期内产生、传输、交换、处理和存储的各个环节中,信息的机密性、完整性和可用性不被破坏。 几种常见的协议栈攻击 一、ARP攻击 原理: 它是在数据链路层进行的攻击(修改MAC地址),利用交换机Arp的更新特点:后来者会更新先来者,A...
ARP协议-***与欺骗分析-交换机工作原理--(精华全篇版)
weixin_34127717的博客
05-24 198
ARP协议***与欺骗分析-交换机工作原理 一:交换机的工作原理(一):实验拓扑1:主机A与主机B通信交换机的工作原理(1):主机A将一个带有主机A的的ip地址和MAC地址的数据进行封装成帧,向局域网中发送广播。(2):交换机1的接口G0/0/1接收到主机A发送来的数据帧,会立即将数据帧的源MA地址和接收数据帧的接口G0/0/1记录在它的MAC地址中。此时的源MAC地址是主机A。(3):交换机这...
HCIE论述题
m0_62017216的博客
02-08 508
HCIE论述题
华为HCIE-R&S(数通datacom)论述题(六)
weixin_54493444的博客
02-22 973
配置该功能后,只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP,这样可以拒绝大部分的ARP报文攻击。在ARP报文限速时间内,如果收到的ARP报文数目超过ARP报文限速值,设备会丢弃超出限速值的ARP报文。从而保证了网络通信业务的安全性。ARP泛洪攻击攻击者通过伪造大量源IP地址变化ARP报文,使得网关设备ARP资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致合法终端无法正常通信。
华为HCIE-R&S(数通datacom)论述题(十)
weixin_54493444的博客
03-02 899
而R2设备配置缺省路由设置优先级数值为160,作为备份链路。同时在R1和R2设备的OSPF进程下发布缺省路由到整个普通OSPF区域,保证全网的OSPF路由器都可以学习到O_ASE的缺省路由(特殊区域除外,Totally NSSA区域的缺省路由自动发布),值的注意的是全网普通OSPF区域学习到的O_ASE的路由都是来自于R1,而R2在OSPF进程下发布缺省路由并未成功,因为在OSPF进程下发布缺省路由时,本机必须存在激活的非本OSPF进程的缺省路由时才会产生并发布一个缺省路由的ASE LSA。
YOLOv10改进 | 特殊场景检测篇 | 轻量级的低照度图像增强网络IAT改进YOLOv10暗光检测(全网独家首发)
最新发布
Snu77的博客
07-11 246
本文给大家带来的改进机制是轻量级的变换器模型:Illumination Adaptive Transformer (IAT),用于图像增强和曝光校正。其基本原理是通过分解图像信号处理器(ISP)管道到局部和全局图像组件,从而恢复在低光或过/欠曝光条件下的正常光照sRGB图像。具体来说,IAT使用注意力查询来示和调整ISP相关参数,例如颜色校正、伽马校正。模型具有约90k参数和约0.004s的处理速度,能够在低光增强和曝光校正的基准数据集上持续实现优于最新技术(State-of-The-Art, SOTA)
hcie HCIE-RS论述题-思博版
05-09
本题主要涉及华为HCEI-RS(华为企业级网络专家路由器与交换机)认证中的接口认证、区域认证和路由域认证概念及应用场景。首先,认证类型分为三种: 1. **接口认证**:基于接口级别的认证,通过检查hello报文中的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值