WOLF-LAB沃尔夫网络实验室中国网络精英的发源地!
24小时咨询热线:173-1636-2402

新闻资讯

News

您当前位置: 新闻资讯 > 华为技术 > 详情

园区网安全-IP欺骗攻击与解决方案-HCIP Datacom考试学习文档

发布日期:2022-04-04 浏览次数:2194 来源:崔志鹏

园区网安全-IP欺骗攻击与解决方案-HCIP Datacom考试学习文档

官方微信同电话:17316362402,联系WOLF-LAB(沃尔夫)实验室获取HCIP培训免费学习资料视频


随着网络规模越来越大,通过伪造源IP地址实施的网络攻击(简称IP地址欺骗攻击)也逐渐增多。一些攻击者通过伪造合法用户的IP地址获取网络访问权限,非法访问网络,甚至造成合法用户无法访问网络,或者信息泄露。IPSG针对IP地址欺骗攻击提供了一种防御机制,可以有效阻止此类网络攻击行为。


基本原理

功能是基于绑定表(DHCP动态和静态绑定表)IP报文进行匹配检查。当设备在转发IP报文时,将此IP报文中的源IP、源MAC、端口、VLAN信息和绑定表的信息进行比较,如果信息匹配,表明是合法用户,则允许此报文正常转发,否则认为是攻击报文,并丢弃该IP报文。

IPSG绑定表可以通过DHCP动态绑定,静态IP需要手工进行绑定(user-bind static命令用来配置静态绑定表)

命令用来使能IP报文检查功能。

命令用来配置基于VLAN或接口的IP报文检查项,该命令只对动态绑定表生效。

方法一:

怎么跟IPSG做的联动:利用dhcp snooping形成的绑定表

可以在接口下或者vlan下去做

 ip source check user-bind enable

只针对动态形成的绑定表生效

适用于终端设备动态获取ip地址,并且交换机支持dhcp snooping

方法二:

)静态的配置一张bind表象

23-------------------------------------------------------------

<span style="font-size:10.5pt;font-family:"">适用于网络当中的终端设备都使用静态配置ip地址的时候,或者采用动态dhcp方式获取地址,但是交换机不支持dhcp snooping


联系WOLF-LAB(沃尔夫)实验室获取免费学习资料视频
官方微信同电话:17316362402
官方QQ:2569790740
http://www.wolf-lab.com/

返回目录
在线咨询