园区网安全-IP欺骗攻击与解决方案-HCIP Datacom考试学习文档

官方微信同电话：17316362402，联系WOLF-LAB（沃尔夫）实验室获取HCIP培训免费学习资料视频

随着网络规模越来越大，通过伪造源IP地址实施的网络攻击（简称IP地址欺骗攻击）也逐渐增多。一些攻击者通过伪造合法用户的IP地址获取网络访问权限，非法访问网络，甚至造成合法用户无法访问网络，或者信息泄露。IPSG针对IP地址欺骗攻击提供了一种防御机制，可以有效阻止此类网络攻击行为。

：

基本原理

功能是基于绑定表(DHCP动态和静态绑定表)对IP报文进行匹配检查。当设备在转发IP报文时,将此IP报文中的源IP、源MAC、端口、VLAN信息和绑定表的信息进行比较,如果信息匹配,表明是合法用户,则允许此报文正常转发,否则认为是攻击报文,并丢弃该IP报文。

IPSG绑定表可以通过DHCP动态绑定,静态IP需要手工进行绑定(user-bind static命令用来配置静态绑定表)。

命令用来使能IP报文检查功能。

命令用来配置基于VLAN或接口的IP报文检查项,该命令只对动态绑定表生效。

方法一：

怎么跟IPSG做的联动：利用dhcp snooping形成的绑定表

可以在接口下或者vlan下去做

 ip source check user-bind enable

只针对动态形成的绑定表生效

适用于终端设备动态获取ip地址，并且交换机支持dhcp snooping

方法二：

）静态的配置一张bind表象

23-------------------------------------------------------------

<span style="font-size:10.5pt;font-family:"">适用于网络当中的终端设备都使用静态配置ip地址的时候，或者采用动态dhcp方式获取地址，但是交换机不支持dhcp snooping。

联系WOLF-LAB（沃尔夫）实验室获取免费学习资料视频
官方微信同电话：17316362402
官方QQ：2569790740
http://www.wolf-lab.com/