交換網路安全防範系列四之IP MAC欺騙防範

2021-09-21 03:33:19 字數 1114 閱讀 8420

4.1常見的欺騙攻擊的種類和目的

常見的欺騙種類有mac欺騙、ip欺騙、ip/mac欺騙,其目的一般為偽造身份或者獲取針對ip/mac的特權。當目前較多的是攻擊行為:如ping of death、syn flood、icmp unreacheable storm,另外病毒和木馬的攻擊也具有典型性,下面是木馬攻擊的乙個例子。

4.2ip/mac欺騙的防範

ip source guard 

技術配置在交換機上僅支援在2 層埠上的配置,通過下面機制可以防範ip/mac 欺騙:

• ip source guard 

使用dhcp sooping 繫結表資訊。

• 配置在交換機埠上,並對該埠生效。

• 運作機制類似dai,但是ip source guard檢查所有經過定義ip source guard檢查的埠的報文。

• ip source guard

檢查介面所通過的流量的ip位址和mac位址是否在dhcp sooping繫結表,如果不在繫結表中則阻塞這些流量。

通過在交換機上配置 ip source guard: • 

可以過濾掉非法的ip位址,包含使用者故意修改的和病毒、攻擊等造成的。

• 解決ip位址衝突問題。

• 提供了動態的建立ip+mac+port的對應表和繫結關係,對於不使用dhcp的伺服器和一些特殊情況機器可以採用利用全域性命令靜態手工新增對應關係到繫結表中。

• 配置ip source guard的介面初始阻塞所有非dhcp流量。

• 不能防止「中間人攻擊」。

4.3配置示例:

ios 

全域性配置命令:

ip dhcp snooping vlan 12,200

ip dhcp snooping information option

ip dhcp snooping

ip source binding 0009.6b88.d387 vlan 212 10.66.227.5 inte***ce gi4/5/*

不使用dhcp 的靜態配置

介面配置命令:

ip verify source vlan dhcp-snooping

交換網路安全防範系列三之ARP欺騙攻擊防範

3.1 mitm man in the middle 攻擊原理 按照arp協議的設計,為了減少網路上過多的arp資料通訊,乙個主機,即使收到的arp應答並非自己請求得到的,它也會將其插入到自己的arp快取表中,這樣,就造成了 arp 欺騙 的可能。如果黑客想探聽同一網路中兩台主機之間的通訊 即使是通...

網路安全防範

所屬課程 網路攻防實踐 作業要求 第六次作業 實踐內容 學習總結 其中的五個規則鏈對應者netfilter在tcp ip協議中的五個hook檢查點 上下兩部分分別對應外內資料通道 prerouting 對應檢查點 1,檢查進入主機的資料報,用於源位址nat轉換 input對應檢查點2,檢查發往本地網...

帶你學系列之Redis 安全防範

我們可以通過 redis 的配置檔案設定密碼引數,這樣客戶端連線到 redis 服務就需要密碼驗證,這樣可以讓你的 redis 服務更安全。我們可以通過以下命令檢視是否設定了密碼驗證 127.0.0.1 6379 config get requirepass 1 requirepass 2 預設情況...