交换机防范欺骗攻击
恶意用户可能会发送伪造的信息,骗取交换机或主机将不可靠的机器做为网关。攻击者的目标是成为中间人,让无判断的用户将其做为路由器,向其发送分组,这样攻击者能够在将发送给他的分组正常转发前,收集其中的信息。数据库
1)DHCP探测安全
假定攻击者在客户PC所在的子网的一台机器上运行伪造的DHCP服务器。当客户广播其DHCP请求时,伪造服务器将发送精心伪造的DHCP应答,将其IP地址做为默认网关。服务器
客户收到应答后,将开始使用伪造的网关地址。前往子网外的分组将首先通过攻击者的机器。攻击者可能将分组转发到正确的目的地,但同时可能查看其拦截的每一个分组。网络
Cisco Catalyst 交换机能够使用DHCP探测功能,帮助防范这种攻击。DHCP 探测被启用时,交换机端口被分为可信任和不可信任两种。合法的DHCP服务器位于可信任端口上,而其余全部主机位于不可信任端口上。oop
交换机拦截来自不可信任端口的全部DHCP请求,而后向整个 VLAN 泛洪。任何来自不可信任端口的DHCP 应答都将被丢弃,由于他们确定来自伪造的DHCP服务器。同时,相应的交换机端口将自动关闭,进入 errdsable 状态。blog
DHCP 探测的配置以下:接口
1.启用 DHCP 探测。ip
switch(config)#ip dhcp snooping
2.指定要实现 DHCP 探测的 VLAN 。路由
switch(config)#ip dhcp snooping vlan vlan-id [vlan-id]
在该命令中,可指定单个VLAN 号,也能够指定 VLAN 号范围。it
3.配置端口信任。
默认状况下,全部交换机端口都被视为不可信任的,所以不指望或容许 DHCP 应答。只有可信任端口被容许发送 SHCP 应答,所以应将已知 DHCP 服务器所在的端口指定为可信的。
switch(config)#interface type mode/num switch(config-if)#ip dhcp snooping trust
对于不可信任端口,能够限制 DHCP 请求的分组速率。
switch(config)#ip dhcp snooping rate rate
其中,rate 的取值范围为1~2048 DHCP 分组 /秒
4.显示 DHCP 探测的状态
switch(config)#sh ip dhcp snooping
2)源 IP 地址防御
Cisco Catalyst 交换机可以使用源 IP 地址防御来检并挫败地址伪造攻击,即便攻击是在伪造地址所属的了网中发起的。二层交换机一般会获悉并存储 MAC 地址,交换机必须采起某种方式查阅 MAC 地址,并肯定与之相关的 IP 地址。
源IP 地址防御经过使用 DHCP 欺骗数据库以及静态源 IP 地址绑定项来完成这项工做。若是配置并启用了 DHCP 欺骗,交换机就将得到使用 DHCP 主机的 MAC 地址和 IP 地址。分组到达交换机端口后,能够检测它是否符合下述条件之一。
- 源 IP 地址是否与 DHCP 欺骗获悉的或静态项指出的 IP 地址相同。使用一个动态端口ACL 来过滤数据流。,交换机自动建立该 ACL ,将获悉的 IP 地址加入其中,并将其应用于获悉该地址的接口。
- 源 MAC 必须与交换机端口和 DHCP 欺骗获悉的 MAC 相同。使用端口安全性来过滤数据流。
若是地址不一样于获悉或动态配置的地址,交换机就将分组丢弃。
配置过程以下:
1地址获取。
要配置源 IP 地址防御,首先须要配置并启用 DHCP 欺骗。
对于不使用 DHCP 的主机,须要配置静态的源 IP 地址绑定:
switch(config)ip source bingding mac-address vlan vlan-id ip-address interface type/num
2启用源 IP 地址防御。
switch(config)#interface type mode/num switch(config-if)#ip verify source [port-security]
3查看运行状况
switch#show ip verity source [ interface type/num ]
若是要查看源 IP 地址绑定数据库中的信息(动态获悉或静态配置的),命令以下:
switch#show ip source bingding [ip-address] [mac-address ] [dhcp-snooping | static] [interface type mode/num] [vlan vlan-id]
3)动态ARP检测
动态 ARP 检测(DAI)可用来验证网络中的 ARP 包,会拦截、记录并丢弃带有无效 IP-MAC 地址映射的 ARP 包,能够保护网络免受中间人攻击的影响。动态 ARP 检测课确保只容许有效的 ARP 请求和回应被转发。
配置步骤为:
1在一个或多客户VLAN 上启用:
switch(config)#ip arp inspection vlan vlan-range
在该命令中,可指定单个 VLAN ID ,用连字符分隔的 VLAN ID 范围或用逗号分隔的 VLAN ID 列表。
2将端口指定为可信。
switch(config)#interface type mod/num switch(config-if)#ip arp inspection trust
3验证配置
switch#show ip arp inspection vlan vlan-id
- 1. ARP欺骗之——ARP攻击防范
- 2. 交换网络安全防范系列三之ARP欺骗攻击防范
- 3. 在思科交换机上防范典型的欺骗和二层攻击
- 4. 防范ARP欺骗:交换机环境下使用EvilFoca进行ARP欺骗,要求防范ARP欺骗。
- 5. ARP欺骗攻击
- 6. TCP欺骗攻击
- 7. ARP攻击/欺骗
- 8. DNS欺骗攻击
- 9. DNS欺骗攻击及如何防护
- 10. 服务器ARP的欺骗攻击与防范
- 更多相关文章...
- • C# 交错数组 - C#教程
- • SVN 提交操作 - SVN 教程
- • 漫谈MySQL的锁机制
- • 算法总结-归并排序
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. ARP欺骗之——ARP攻击防范
- 2. 交换网络安全防范系列三之ARP欺骗攻击防范
- 3. 在思科交换机上防范典型的欺骗和二层攻击
- 4. 防范ARP欺骗:交换机环境下使用EvilFoca进行ARP欺骗,要求防范ARP欺骗。
- 5. ARP欺骗攻击
- 6. TCP欺骗攻击
- 7. ARP攻击/欺骗
- 8. DNS欺骗攻击
- 9. DNS欺骗攻击及如何防护
- 10. 服务器ARP的欺骗攻击与防范