交換機防範欺騙攻擊
惡意用戶可能會發送僞造的信息,騙取交換機或主機將不可靠的機器做爲網關。攻擊者的目標是成爲中間人,讓無判斷的用戶將其做爲路由器,向其發送分組,這樣攻擊者能夠在將發送給他的分組正常轉發前,收集其中的信息。數據庫
1)DHCP探測安全
假定攻擊者在客戶PC所在的子網的一臺機器上運行僞造的DHCP服務器。當客戶廣播其DHCP請求時,僞造服務器將發送精心僞造的DHCP應答,將其IP地址做爲默認網關。服務器
客戶收到應答後,將開始使用僞造的網關地址。前往子網外的分組將首先通過攻擊者的機器。攻擊者可能將分組轉發到正確的目的地,但同時可能查看其攔截的每一個分組。網絡
Cisco Catalyst 交換機能夠使用DHCP探測功能,幫助防範這種攻擊。DHCP 探測被啓用時,交換機端口被分爲可信任和不可信任兩種。合法的DHCP服務器位於可信任端口上,而其餘全部主機位於不可信任端口上。oop
交換機攔截來自不可信任端口的全部DHCP請求,而後向整個 VLAN 泛洪。任何來自不可信任端口的DHCP 應答都將被丟棄,由於他們確定來自僞造的DHCP服務器。同時,相應的交換機端口將自動關閉,進入 errdsable 狀態。blog
DHCP 探測的配置以下:接口
1.啓用 DHCP 探測。ip
switch(config)#ip dhcp snooping
2.指定要實現 DHCP 探測的 VLAN 。路由
switch(config)#ip dhcp snooping vlan vlan-id [vlan-id]
在該命令中,可指定單個VLAN 號,也能夠指定 VLAN 號範圍。it
3.配置端口信任。
默認狀況下,全部交換機端口都被視爲不可信任的,所以不指望或容許 DHCP 應答。只有可信任端口被容許發送 SHCP 應答,所以應將已知 DHCP 服務器所在的端口指定爲可信的。
switch(config)#interface type mode/num switch(config-if)#ip dhcp snooping trust
對於不可信任端口,能夠限制 DHCP 請求的分組速率。
switch(config)#ip dhcp snooping rate rate
其中,rate 的取值範圍爲1~2048 DHCP 分組 /秒
4.顯示 DHCP 探測的狀態
switch(config)#sh ip dhcp snooping
2)源 IP 地址防禦
Cisco Catalyst 交換機可以使用源 IP 地址防禦來檢並挫敗地址僞造攻擊,即便攻擊是在僞造地址所屬的了網中發起的。二層交換機一般會獲悉並存儲 MAC 地址,交換機必須採起某種方式查閱 MAC 地址,並肯定與之相關的 IP 地址。
源IP 地址防禦經過使用 DHCP 欺騙數據庫以及靜態源 IP 地址綁定項來完成這項工做。若是配置並啓用了 DHCP 欺騙,交換機就將得到使用 DHCP 主機的 MAC 地址和 IP 地址。分組到達交換機端口後,能夠檢測它是否符合下述條件之一。
- 源 IP 地址是否與 DHCP 欺騙獲悉的或靜態項指出的 IP 地址相同。使用一個動態端口ACL 來過濾數據流。,交換機自動建立該 ACL ,將獲悉的 IP 地址加入其中,並將其應用於獲悉該地址的接口。
- 源 MAC 必須與交換機端口和 DHCP 欺騙獲悉的 MAC 相同。使用端口安全性來過濾數據流。
若是地址不一樣於獲悉或動態配置的地址,交換機就將分組丟棄。
配置過程以下:
1地址獲取。
要配置源 IP 地址防禦,首先須要配置並啓用 DHCP 欺騙。
對於不使用 DHCP 的主機,須要配置靜態的源 IP 地址綁定:
switch(config)ip source bingding mac-address vlan vlan-id ip-address interface type/num
2啓用源 IP 地址防禦。
switch(config)#interface type mode/num switch(config-if)#ip verify source [port-security]
3查看運行狀況
switch#show ip verity source [ interface type/num ]
若是要查看源 IP 地址綁定數據庫中的信息(動態獲悉或靜態配置的),命令以下:
switch#show ip source bingding [ip-address] [mac-address ] [dhcp-snooping | static] [interface type mode/num] [vlan vlan-id]
3)動態ARP檢測
動態 ARP 檢測(DAI)可用來驗證網絡中的 ARP 包,會攔截、記錄並丟棄帶有無效 IP-MAC 地址映射的 ARP 包,能夠保護網絡免受中間人攻擊的影響。動態 ARP 檢測課確保只容許有效的 ARP 請求和迴應被轉發。
配置步驟爲:
1在一個或多客戶VLAN 上啓用:
switch(config)#ip arp inspection vlan vlan-range
在該命令中,可指定單個 VLAN ID ,用連字符分隔的 VLAN ID 範圍或用逗號分隔的 VLAN ID 列表。
2將端口指定爲可信。
switch(config)#interface type mod/num switch(config-if)#ip arp inspection trust
3驗證配置
switch#show ip arp inspection vlan vlan-id
- 1. ARP欺騙之——ARP攻擊防範
- 2. 交換網絡安全防範系列三之ARP欺騙攻擊防範
- 3. 在思科交換機上防範典型的欺騙和二層攻擊
- 4. 防範ARP欺騙:交換機環境下使用EvilFoca進行ARP欺騙,要求防範ARP欺騙。
- 5. ARP欺騙攻擊
- 6. TCP欺騙攻擊
- 7. ARP攻擊/欺騙
- 8. DNS欺騙攻擊
- 9. DNS欺騙攻擊及如何防護
- 10. 服務器ARP的欺騙攻擊與防範
- 更多相關文章...
- • C# 交錯數組 - C#教程
- • SVN 提交操作 - SVN 教程
- • 漫談MySQL的鎖機制
- • 算法總結-歸併排序
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. ARP欺騙之——ARP攻擊防範
- 2. 交換網絡安全防範系列三之ARP欺騙攻擊防範
- 3. 在思科交換機上防範典型的欺騙和二層攻擊
- 4. 防範ARP欺騙:交換機環境下使用EvilFoca進行ARP欺騙,要求防範ARP欺騙。
- 5. ARP欺騙攻擊
- 6. TCP欺騙攻擊
- 7. ARP攻擊/欺騙
- 8. DNS欺騙攻擊
- 9. DNS欺騙攻擊及如何防護
- 10. 服務器ARP的欺騙攻擊與防範