DHCP安全
dhcp-snooping
原理:二层交换机上开机dhcp-snooping的接口不允许发送dhcp request和dhcpack 等DHCP交互报文,在真正接dhcp server的接口开启trust ,则允许dhcp报文收发。防止攻击者仿冒DHCP服务器给用户提供虚假信息,从而攻击用户
dhcp-snooping的基本监听功能可以记录dhcp客户端ip地址和mac地址的对应关系,生成dhcp-snooping绑定表。
ARP安全
动态arp检测(DAI)
利用dhcp-snooping绑定表来进行检测,收到arp报文时会将报文的源IP、源mac、接口、vlan等信息与dhcp-snooping绑定表里的信息比对,信息匹配则为合法用户。否则认为arp攻击,丢弃报文
ARP限速
处理arp报文会消耗设备cpu资源,当收到大量的arp报文时会导致cpu负荷过重,对其他业务的处理产生影响,一般二层交换都支持针对arp限速的功能
ARP Miss消息限速
网络中用户向设备发送大量目标IP无法解析的IP报文,将导致设备出发大量ARP Miss消息,这种消息会上报主控板处理,设备会根据ARP Miss消息生成和下发大量临时ARP 表项并发出大量ARP请求报文,消耗CPU资源和网络带宽,一般交换机可以针对此消息进行限速
免费ARP主动丢弃
当有新用户接入网络时,用户主机会以广播方式主动发送免费ARP报文,确认广播域中是否有IP与自己的IP冲突;当用户mac地址改变时,用户也会发送免费ARP报文,在其他主机的ARP表项老化之前通告自己的新mac。这样会造成网络中有大量的免费ARP报文,同时也可能有攻击者伪造免费ARP,造成ARP表项错误更新,从而使用户流量中断。我们可以在网关设备上开启免费ARP丢弃功能
ARP表项严格学习
只有本设备发出的ARP请求的应答ARP包才能触发学习ARP表项,其他设备主动发出的ARP报文不能触发本设备学习ARP表项,这样可以拒绝发部分ARP报文攻击
ARP表项限制
指定接口下可以学习的动态ARP最大数量
ARP表项固化
第一次学习到ARP表项后,不再允许用户更新此ARP表项或者只允许更新部分信息,或者通过单播ARP请求更新ARP表项
攻击防范
畸形报文攻击防范
没有IP载荷的泛洪:只有IP包头的数据包,设备处理时可能报错或崩溃
IGMP空报文:处理IGMP空报文时,设备可能报错或者崩溃
Smurf攻击:向网络中发送源地址为目标主机地址,目的地址为广播地址的ICMP报文,网络中所有的主机会发送响应报文,导致目标主机收到大量icmp reply,消耗cpu和网络带宽
分片报文攻击防范
ping of death :死亡之ping,发送尺寸较大的icmp报文对设备进行攻击
泛洪攻击防范
TCP SYN泛洪
UDP泛洪
ICMP泛洪
231
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
