标签:目标 中间人 cisc class 条件 config 显示 主机位 div
恶意用户可能会发送伪造的信息,骗取交换机或主机将不可靠的机器作为网关。攻击者的目标是成为中间人,让无判断的用户将其作为路由器,向其发送分组,这样攻击者可以在将发送给他的分组正常转发前,收集其中的信息。
1)DHCP探测
假定攻击者在客户PC所在的子网的一台机器上运行伪造的DHCP服务器。当客户广播其DHCP请求时,伪造服务器将发送精心伪造的DHCP应答,将其IP地址作为默认网关。
客户收到应答后,将开始使用伪造的网关地址。前往子网外的分组将首先经过攻击者的机器。攻击者可能将分组转发到正确的目的地,但同时可能查看其拦截的每个分组。
Cisco Catalyst 交换机可以使用DHCP探测功能,帮助防范这种攻击。DHCP 探测被启用时,交换机端口被分为可信任和不可信任两种。合法的DHCP服务器位于可信任端口上,而其他所有主机位于不可信任端口上。
交换机拦截来自不可信任端口的所有DHCP请求,然后向整个 VLAN 泛洪。任何来自不可信任端口的DHCP 应答都将被丢弃,因为他们肯定来自伪造的DHCP服务器。同时,相应的交换机端口将自动关闭,进入 errdsable 状态。
DHCP 探测的配置如下:
1.启用 DHCP 探测。
switch(config)#ip dhcp snooping
2.指定要实现 DHCP 探测的 VLAN 。
switch(config)#ip dhcp snooping vlan vlan-id [vlan-id]
在该命令中,可指定单个VLAN 号,也可以指定 VLAN 号范围。
3.配置端口信任。
默认情况下,所有交换机端口都被视为不可信任的,因此不期望或允许 DHCP 应答。只有可信任端口被允许发送 SHCP 应答,因此应将已知 DHCP 服务器所在的端口指定为可信的。
switch(config)#interface type mode/num switch(config-if)#ip dhcp snooping trust
对于不可信任端口,可以限制 DHCP 请求的分组速率。
switch(config)#ip dhcp snooping rate rate
其中,rate 的取值范围为1~2048 DHCP 分组 /秒
4.显示 DHCP 探测的状态
switch(config)#sh ip dhcp snooping
2)源 IP 地址防护
Cisco Catalyst 交换机能够使用源 IP 地址防护来检并挫败地址伪造攻击,即使攻击是在伪造地址所属的了网中发起的。二层交换机通常会获悉并存储 MAC 地址,交换机必须采取某种方式查阅 MAC 地址,并确定与之相关的 IP 地址。
源IP 地址防护通过使用 DHCP 欺骗数据库以及静态源 IP 地址绑定项来完成这项工作。如果配置并启用了 DHCP 欺骗,交换机就将获得使用 DHCP 主机的 MAC 地址和 IP 地址。分组到达交换机端口后,可以检测它是否符合下述条件之一。
如果地址不同于获悉或动态配置的地址,交换机就将分组丢弃。
配置过程如下:
1地址获取。
要配置源 IP 地址防护,首先需要配置并启用 DHCP 欺骗。
对于不使用 DHCP 的主机,需要配置静态的源 IP 地址绑定:
switch(config)ip source bingding mac-address vlan vlan-id ip-address interface type/num
2启用源 IP 地址防护。
switch(config)#interface type mode/num switch(config-if)#ip verify source [port-security]
3查看运行情况
switch#show ip verity source [ interface type/num ]
如果要查看源 IP 地址绑定数据库中的信息(动态获悉或静态配置的),命令如下:
switch#show ip source bingding [ip-address] [mac-address ] [dhcp-snooping | static] [interface type mode/num] [vlan vlan-id]
3)动态ARP检测
动态 ARP 检测(DAI)可用来验证网络中的 ARP 包,会拦截、记录并丢弃带有无效 IP-MAC 地址映射的 ARP 包,可以保护网络免受中间人攻击的影响。动态 ARP 检测课确保只允许有效的 ARP 请求和回应被转发。
配置步骤为:
1在一个或多客户VLAN 上启用:
switch(config)#ip arp inspection vlan vlan-range
在该命令中,可指定单个 VLAN ID ,用连字符分隔的 VLAN ID 范围或用逗号分隔的 VLAN ID 列表。
2将端口指定为可信。
switch(config)#interface type mod/num switch(config-if)#ip arp inspection trust
3验证配置
switch#show ip arp inspection vlan vlan-id
标签:目标 中间人 cisc class 条件 config 显示 主机位 div
原文地址:https://www.cnblogs.com/RzCong/p/6263601.html