DHCP高阶应用系列之《dhcp-snooping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址》

VIP文章 已于 2022-07-18 19:50:32 修改
阅读量2.3k 收藏 16
点赞数 5
分类专栏: DHCP高阶应用系列 文章标签: 运维 网络安全
于 2022-07-18 16:06:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44645270/article/details/125299314
版权

DHCP高阶应用系列之《dhcp-snoping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址》

前言

  为什么想写这个系列的文章呢?人生在世过半时间都在与网络打交道,一直热爱甚至有点沉迷,沉淀积累了许多年也掌握不少经验和技巧,而这些经验和技巧的获得离不开互联网上各路网友发布过的经验技术文章和行内网友的启发,而对于我自己的积累却从来没整理过,也不热衷发论文。但人总得有点BT精神,不能一味地索取不分享。暑假遇上疫情,无所事事那就写吧,有时会想万一某天睡着睡着就起不来了是不是就可惜了呢?

  第一章 《dhcp-snoping + ipsg 拒绝非法DHCP服务器、拒绝用户随意修改IP地址》
  第二章 《dhcp snooping + DAI(arp detection)杜绝ARP攻击》
  第三章 《dhcp snooping + dhcp option 82获取设备接入信息》
  第四章 《dhcp vander class按终端类型分配地址》
  第四章 《dhcp option 识别终端类型》
  第五章 《dhcp option 249,121,33下发路由》
  第六章 《IPoE认证与 dhcp option 60》

概述 DHCP Snooping + IPSG

  DHCP服务器给客户端分配IP地址,接入交换机开启DHCP Snooping后可以拒绝非法DHCP服务器并 嗅探并记录IP地址分配情况以及客户端的接入信息,在交换机接口开启IPSG源地址防护后,交换机根据嗅探记录表中的IP-MAC关系检查进入交换机接口的报文的IP和MAC是否匹配,匹配则转发,否则丢弃,强制客户端只有通过DHCP服务器获取到的IP地址才能正常通过交换机,拒绝用户随意修改IP地址造成冲突。

  展示应用前先简单介绍所涉及的知识,帮助读者理解。

DHCP(动态主机配置协议)

  DHCP作为古老的网络协议,可用作自动为网内的设备制动分配IP地址,但它的应用绝不仅限于分配IP地址,绝大不部分人对DHCP的认知仅停留在分配IP地址、网关和DNS,当然大部分网络设备提供的DHCP服务功能也就这个水平了。往后的章节会配合Miktotik RouterOS 的DHCP服务实现各种功能。

最低0.47元/天 解锁文章
weixin_44645270
关注
  • 5
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DHCP原理含dhcpsnoopingPPT课件.pptx
10-10
DHCP原理含dhcpsnoopingPPT课件.pptx
如何防御DHCP攻击
weixin_73134956的博客
02-02 876
2. 使用DHCP SnoopingDHCP Snooping是一种网络安全机制,可以在交换机上设置,用于验证和过滤通过交换机DHCP消息。它可以验证DHCP消息的源IP地址和MAC地址信息,确保只有合法的DHCP服务器才能提供IP地址分配。DHCP(动态主机配置协议)攻击是一种网络攻击方式,攻击者通过篡改或伪造DHCP请求和响应消息,来获取目标网络中的IP地址、网关和DNS服务器等配置信息,甚至获取到未经授权的网络连接。这样可以确保只有经过授权的设备可以接入网络,防止未经授权的设备进行DHCP攻击。
华为交换机配置IPSG防止DHCP动态主机私自更改IP地址
玩电脑的辣条哥的博客
06-16 3703
IPSG简介 IPSG是一种基于二层接口的源IP地址过滤技术,它利用交换机上的绑定表对IP报文进行过滤。绑定表由IP地址、MAC地址、VLAN ID和接口组成,包括静态和动态两种。静态绑定表是用户手工创建的,动态绑定表即DHCP Snooping绑定表,它是在主机动态获取IP地址时,交换机根据DHCP回复报文自动生成的。绑定表生成后,在使能IPSG的接口收到报文后,交换机会将报文中的信息和绑定表匹配,匹配成功则允许报文通过,匹配失败则丢弃报文。匹配的内容可以是IP地址、MAC地址、VLAN ID和接口的任意
内网非法DHCP服务器查找
05-10
Q 内网存在两台DHCP ,其中有一台时非法DHCP ,导致内网部分机器从非法DHCP上自动获取IP,无法上网,无法访问内网共享。找出幕后黑手 和 彻底解决此问题
DHCP安全及防范
ssslq的博客
02-10 4099
攻击以及安全防范
非法DHCP server 检测?开玩笑~
qq_28984317的博客
12-27 2594
近期有个项目,负责为某单位建设态势感知平台,项目中除基本态势感知功能外还有3个定制需求,今天就针对其中的一个进行分享~ 需求:检测接入到网络当中的非法DHCP server(这里的DHCP server主要针对无线路由器,当然还可以预防一定的中间人攻击) 为什么要有这样的需求呢? 客户现场某内网终端统一采用DHCP方式获取IP,且网络规模较大,且分散,网络结构为核心层、汇聚层、接入层,因客户现场都为不懂技术的普通员工,私接无线路由器的事时有发生。 据了解DHCP server配置在汇聚交换机上.
DHCP Snooping
631799的专栏
11-22 2611
DHCP Snooping DHCP监听(DHCP Snooping)是一种DHCP安全特性,通常在接入层交换机上采用。Cisco交换机支持在每个VLAN基础上启用DHCP监听,通过这种特性,交换机能够拦截第二层VLAN域内的所有DHCP报文。DHCP监听通过建立和维护DHCP Snooping Binding Table(DHCP监听绑定表)过滤来自不信任区域的DHCP信息。DHCP Sn
H3C_DHCP_snooping的配置
zsisle的博客
07-07 9118
DHCP SnoopingDHCP的一种安全特性,主要应用交换机上,作用是屏蔽接入网络中的非法DHCP服务器。即开启DHCP Snooping功能后,网络中的客户端只有从管理员指定的DHCP服务器获取IP地址
配置IPSG防止主机私自更改IP地址上网(动态绑定)
m0_60444349的博客
09-29 1615
另外配置ARP表项严格学习(只有本设备主动发送的请求报文的应答报文才能触发本设备学习ARP)可以有效防止网络中的ARP欺骗(因学习伪造的ARP报文而错误更新设备ARP表项,造成合法用户无法正常通信)或ARP攻击(因处理大量的ARP报文导致CPU资源负荷过重,ARP表项资源被耗尽)、ARP表项固化(网关防护,有效防止中间人欺骗,需在全局或VLAN视图下使能此功能)、ARP MISS消息限速、禁止接口ARP学习等等。所以,为了避免IP地址冲突,可以在部署IPSG的同时配置DAI。后,接打印机设备的无法连通。
ip动态分配痕迹会保留多久_快速完成华为IPSG配置一分钟看完即会,网工知识每天进步一点点...
weixin_42626599的博客
01-05 308
IPSG功能需要对IP报文进行绑定,可以基于DHCP动态和静态绑定表进行匹配检查。设备在转发IP报文时,会对比IP报文中的源IP、源MAC、接口、 VLAN的信息和绑定表的信息,如果信息比对成功,则认为是合法信息,则放行此报文,并且正常转发,否则认为是攻击报文,并丢弃该IP报文。配置IPSG功能,对接收到的IP报文进行绑定表匹配检查,可以有效的防止基于源地址欺骗的网络攻击行为。在配置IPSG之前,...
DHCP SNOOPING + IPSG配置示例.docx
11-17
DHCP SNOOPING + IPSG配置示例
DHCP snooping解决私接DHCP服务器问题.doc
02-17
特别是对于做桌面运维的童鞋应该深有体会,你又不可能不让他接,让他接又可能会导致其他的终端设备不能正确的获取到DHCP服务器分配的ip地址,这是一件令人头疼的事儿,不过,有了DHCP snooping以后,可以很好的解决...
DHCP Snooping解决DHCP服务器问题.doc
01-07
网络的普及与网络技术的成熟,现在的人越离不开网络,个人的手、电脑、智能家居设备等都需要网络,我们的这些用网的设备无论是在在访问Internet网,还是局域网内部通信都离开不了IP地址的支持,IP地址就是这些硬件在...
解决IP地址冲突的完美方法--DHCP SNOOPING
03-26
解决IP地址冲突的完美方法--DHCP SNOOPING 使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING功能。 例子: ...
Linux配置腾讯云yum源(保姆级教学)
m0_67457606的博客
04-21 254
这里以 CentOS 7 为例,如果是其他版本的系统,可以将上述命令中的 `centos7` 替换为相应的版本号。
Git & TortoiseGit 详细安装使用教程
m0_37383484的博客
04-20 1005
Git 工具详细安装教程,TortoiseGit 工具详细安装使用教程。
【kettle001】访问国产达梦数据库并处理数据至execl文件
最新发布
kngines
04-22 256
一直以来想写下基于kettle的系列文章,作为较火的数据ETL工具,也是日常项目开发中常用的一款工具,最近刚好挤时间梳理、总结下这块儿的知识体系。熟悉、梳理、总结下达梦(DM)关系型数据库相关知识体系。
远程服务连接
aihua002的博客
04-19 355
root@client 桌面]# ssh-copy-id -i /root/.ssh/id_rsa.pub timing[email protected]。[root@client 桌面]# ssh-copy-id -i /root/.ssh/id_rsa.pub [email protected]。[root@client 桌面]# ssh-keygen -f /root/.ssh/id_rsa -P ""[root@server 桌面]# vim /etc/ssh/sshd_config。
如何解决Nginx的“413 Request Entity Too Large”错误
一勺菠萝丶的博客
04-18 455
当你尝试上传一个大文件到你的服务器时,你可能会遇到一个Nginx错误,提示“413 Request Entity Too Large”。这意味着客户端请求的数据量大于服务器愿意或能够处理的量。幸运的是,有一个简单的解决方案来处理这个问题。
华为交换机dhcp-snooping
03-16
华为交换机dhcp-snooping是一种网络安全功能,它可以防止未经授权的DHCP服务器在网络中提供服务,从而保护网络的安全性。DHCP Snooping会对网络中的DHCP消息进行监控和过滤,只允许授权的DHCP服务器提供服务,防止...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值