码迷,mamicode.com
首页 > 其他好文 > 详细

交换机防范欺骗攻击

时间:2019-04-06 09:19:46      阅读:136      评论:0      收藏:0      [点我收藏+]

标签:目标   中间人   cisc   class   条件   config   显示   主机位   div   

恶意用户可能会发送伪造的信息,骗取交换机或主机将不可靠的机器作为网关。攻击者的目标是成为中间人,让无判断的用户将其作为路由器,向其发送分组,这样攻击者可以在将发送给他的分组正常转发前,收集其中的信息。

1)DHCP探测

假定攻击者在客户PC所在的子网的一台机器上运行伪造的DHCP服务器。当客户广播其DHCP请求时,伪造服务器将发送精心伪造的DHCP应答,将其IP地址作为默认网关。

客户收到应答后,将开始使用伪造的网关地址。前往子网外的分组将首先经过攻击者的机器。攻击者可能将分组转发到正确的目的地,但同时可能查看其拦截的每个分组。

Cisco Catalyst 交换机可以使用DHCP探测功能,帮助防范这种攻击。DHCP 探测被启用时,交换机端口被分为可信任和不可信任两种。合法的DHCP服务器位于可信任端口上,而其他所有主机位于不可信任端口上。

交换机拦截来自不可信任端口的所有DHCP请求,然后向整个 VLAN 泛洪。任何来自不可信任端口的DHCP 应答都将被丢弃,因为他们肯定来自伪造的DHCP服务器。同时,相应的交换机端口将自动关闭,进入 errdsable 状态。

DHCP 探测的配置如下:

1.启用 DHCP 探测。

switch(config)#ip dhcp snooping

2.指定要实现 DHCP 探测的 VLAN 。

switch(config)#ip dhcp snooping  vlan  vlan-id  [vlan-id]

在该命令中,可指定单个VLAN 号,也可以指定 VLAN 号范围。

3.配置端口信任。

默认情况下,所有交换机端口都被视为不可信任的,因此不期望或允许 DHCP 应答。只有可信任端口被允许发送 SHCP 应答,因此应将已知 DHCP 服务器所在的端口指定为可信的。

switch(config)#interface type mode/num
switch(config-if)#ip dhcp snooping trust

对于不可信任端口,可以限制 DHCP 请求的分组速率。

switch(config)#ip dhcp snooping rate rate

其中,rate 的取值范围为1~2048 DHCP 分组 /秒

4.显示 DHCP 探测的状态

switch(config)#sh ip dhcp snooping

2)源 IP 地址防护

Cisco Catalyst 交换机能够使用源 IP 地址防护来检并挫败地址伪造攻击,即使攻击是在伪造地址所属的了网中发起的。二层交换机通常会获悉并存储 MAC 地址,交换机必须采取某种方式查阅 MAC 地址,并确定与之相关的 IP 地址。

源IP 地址防护通过使用 DHCP 欺骗数据库以及静态源 IP 地址绑定项来完成这项工作。如果配置并启用了 DHCP 欺骗,交换机就将获得使用 DHCP 主机的 MAC 地址和 IP 地址。分组到达交换机端口后,可以检测它是否符合下述条件之一。

  • 源 IP 地址是否与 DHCP 欺骗获悉的或静态项指出的 IP 地址相同。使用一个动态端口ACL 来过滤数据流。,交换机自动创建该 ACL ,将获悉的 IP 地址加入其中,并将其应用于获悉该地址的接口。
  • 源 MAC 必须与交换机端口和 DHCP 欺骗获悉的 MAC 相同。使用端口安全性来过滤数据流。

如果地址不同于获悉或动态配置的地址,交换机就将分组丢弃。

配置过程如下:

1地址获取。

要配置源 IP 地址防护,首先需要配置并启用 DHCP 欺骗。

对于不使用 DHCP 的主机,需要配置静态的源 IP 地址绑定:

switch(config)ip source bingding mac-address  vlan vlan-id ip-address interface  type/num

2启用源 IP 地址防护。

switch(config)#interface type mode/num
switch(config-if)#ip verify source [port-security]

3查看运行情况

switch#show ip verity source [ interface type/num ]

如果要查看源 IP 地址绑定数据库中的信息(动态获悉或静态配置的),命令如下:

switch#show ip source bingding [ip-address] [mac-address ] [dhcp-snooping | static] [interface type mode/num] [vlan vlan-id]

3)动态ARP检测

动态 ARP 检测(DAI)可用来验证网络中的 ARP 包,会拦截、记录并丢弃带有无效 IP-MAC 地址映射的 ARP 包,可以保护网络免受中间人攻击的影响。动态 ARP 检测课确保只允许有效的 ARP 请求和回应被转发。

配置步骤为:

1在一个或多客户VLAN 上启用:

switch(config)#ip arp inspection vlan vlan-range

在该命令中,可指定单个 VLAN ID ,用连字符分隔的 VLAN ID 范围或用逗号分隔的 VLAN ID 列表。

2将端口指定为可信。

switch(config)#interface type mod/num
switch(config-if)#ip arp inspection trust

3验证配置

switch#show ip arp inspection vlan vlan-id

 

  

  

  

  

交换机防范欺骗攻击

标签:目标   中间人   cisc   class   条件   config   显示   主机位   div   

原文地址:https://www.cnblogs.com/RzCong/p/6263601.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!