科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道思科交换机如何防范欺骗和攻击(6)

思科交换机如何防范欺骗和攻击(6)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文所提到的攻击和欺骗行为主要针对链路层和网络层。在网络实际环境中,其来源可概括为两个途径:人为实施;病毒或蠕虫。

作者:51CTO.COM 2007年10月24日

关键字: 思科 交换机 CISCO 地址欺骗

  • 评论
  • 分享微博
  • 分享邮件

  4.1常见的欺骗攻击的种类和目的

  常见的欺骗种类有 MAC欺骗、IP欺骗、IP/MAC欺骗,其目的一般为伪造身份或者获取针对IP/MAC的特权。当目前较多的是攻击行为:如Ping Of Death、syn flood、ICMP unreacheable Storm,另外病毒和木马的攻击也具有典型性,下面是木马攻击的一个例子。

  

  

  4.2攻击实例

  下图攻击为伪造源地址攻击,其目标地址为公网上的 DNS服务器,直接目的是希望通使DNS服务器对伪造源地址的响应和等待,造成DDOS攻击,并以此扩大攻击效果。该攻击每秒钟上万个报文,中档交换机2分钟就瘫痪,照成的间接后果非常大。

  4.3IP/MAC欺骗的防范

  IP Source Guard 技术配置在交换机上仅支持在 2 层端口上的配置,通过下面机制可以防范 IP/MAC 欺骗:

  ?IP Source Guard 使用 DHCP sooping 绑定表信息。

  ?配置在交换机端口上,并对该端口生效。

  ?运作机制类似 DAI,但是 IP Source Guard不仅仅检查ARP报文,所有经过定义IP Source Guard检查的端口的报文都要检测。

  ?IP Source Guard检查 接口 所通过的流量的IP地址和MAC地址是否在DHCP sooping绑定表,如果不在绑定表中则阻塞这些流量。注意如果需要检查MAC需要DHCP服务器支持Option 82,同时使路由器支持Option 82信息。

  通过在交换机上配置 IP Source Guard:

  ?可以过滤掉非法的 IP地址,包含用户故意修改的和病毒、攻击等造成的。

  ?解决 IP地址冲突问题。

  ?提供了动态的建立 IP+MAC+PORT的对应表和绑定关系,对于不使用DHCP的服务器和一些特殊情况机器可以采用利用全局命令静态手工添加对应关系到绑定表中。

  ?配置 IP Source Guard的接口初始阻塞所有非DHCP流量。

  ?不能防止“中间人攻击”。

  对于 IP欺骗在路由器上也可以使用urpf技术。

  4.4配置示例:

  检测接口上的 IP+MAC

  IOS 全局配置命令:

  ip dhcp snooping vlan 12,200

  ip dhcp snooping information option

  ip dhcp snooping

  接口配置命令:

  ip verify source vlan dhcp-snooping port-security

  switchport mode access

  switchport port-security

  switchport port-security limit rate invalid-source-mac N

  /* 控制端口上所能学习源 MAC 的速率,仅当 IP+MAC 同时检测时有意义。

 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章