- 请说明dhcp snooping可以防止的攻击有哪些?能用实验证明的就用实验证明!不能用实验证明的就用文字说明。
1. 饿死攻击:攻击者持续大量地向DHCP server申请IP地址,直到耗尽DHCP server地址池中的IP地址,导致DHCP server不能给正常的用户进行分配。
本质:不断修改DHCP报文中的chaddr【client hard address】字段
解决:能够区分出非法DHCP 报文
依据:二层的源MAC地址与5层DHCP报文中的chaddr地址一致,才是合法DHCP 协议报文
命令:在连接终端主机的端口上 dhcp snooping check dhcp-chaddr enable
- 仿冒DHCP server攻击:攻击者仿冒DHCP server,向客户端分配错误的ip地址及提供错误的网关地址等参数,导致客户端无法正常访问网络。
本质: 客户端不知道合法DHCP服务器是谁
解决: 区分出合法DHCP服务器和非法DHCP服务器
依据: 人为指定,将连接合法DHCP服务器的端口设置为信任端口,默认是不信任
原则:非信任端口是不可以转发DHCP协议报文
3. DHCP中间人攻击:攻击者利用ARP机制,让客户端A学习到IP与MAC的映射关系,又让服务器C学习到IP与MAC的映射关系。如此一来,客户端与服务器之间交互的IP报文都会经过攻击者中转。
2.镜像技术使用
要求:通过端口镜像 抓取PC1 去往PC2的流量
通过流镜像抓取PC1去往PC2和 PC2去往PC1的特定流量
AR1
[AR1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[AR1-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[AR1-GigabitEthernet0/0/2]ip add 192.168.3.254 24
[AR1]observe-port interface g0/0/2
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]mirror to observe-port inbound
通过流镜像抓取PC1去往PC2和 PC2去往PC1的特定流量
删除之前的端口镜像配置
AR1
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]undo mirror inbound
[AR1]observe-port int g0/0/2
[AR1]acl 3000
[AR1-acl-adv-3000]rule permit ip source 192.168.1.1 0.0.0.0
[AR1-acl-adv-3000]q
[AR1]traffic classifier MIRROR1
[AR1-classifier-MIRROR1]if-match acl 3000
[AR1-classifier-MIRROR1]q
[AR1]traffic behavior TO-TRROR1
[AR1-behavior-TO-TRROR1]mirror to observe-port
[AR1-behavior-TO-TRROR1]q
[AR1-trafficpolicy-mirror1]q
[AR1]traffic policy MIRROR1
[AR1-trafficpolicy-MIRROR1]classifier MIRROR1 behavior TO-TRROR1
[AR1-trafficpolicy-MIRROR1]q
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]traffic-policy MIRROR1 inbound
ACL
[AR1]acl
[AR1]acl 3001
[AR1-acl-adv-3001]rule permit ip source 192.168.2.1 0.0.0.0
[AR1-acl-adv-3001]q
[AR1]traffic classifier MIRROR2
[AR1-classifier-MIRROR2]if-match acl 3001
[AR1-classifier-MIRROR2]q
[AR1]traffic behavior TO-MRROR2
[AR1-behavior-TO-MRROR2]mirror to observe-port
[AR1-behavior-TO-MRROR2]q
[AR1]traffic policy MIRROR2
[AR1-trafficpolicy-MIRROR2]classifier MIRROR2 behavior TO-MRROR2
[AR1-trafficpolicy-MIRROR2]q
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]traffic-policy MIRROR2 inbound