News
发布日期:2022-04-04 浏览次数:2194 来源:崔志鹏
园区网安全-IP欺骗攻击与解决方案-HCIP Datacom考试学习文档
官方微信同电话:17316362402,联系WOLF-LAB(沃尔夫)实验室获取HCIP培训免费学习资料视频
随着网络规模越来越大,通过伪造源IP地址实施的网络攻击(简称IP地址欺骗攻击)也逐渐增多。一些攻击者通过伪造合法用户的IP地址获取网络访问权限,非法访问网络,甚至造成合法用户无法访问网络,或者信息泄露。IPSG针对IP地址欺骗攻击提供了一种防御机制,可以有效阻止此类网络攻击行为。
:
基本原理
功能是基于绑定表(DHCP动态和静态绑定表)对IP报文进行匹配检查。当设备在转发IP报文时,将此IP报文中的源IP、源MAC、端口、VLAN信息和绑定表的信息进行比较,如果信息匹配,表明是合法用户,则允许此报文正常转发,否则认为是攻击报文,并丢弃该IP报文。
IPSG绑定表可以通过DHCP动态绑定,静态IP需要手工进行绑定(user-bind static命令用来配置静态绑定表)。
命令用来使能IP报文检查功能。
命令用来配置基于VLAN或接口的IP报文检查项,该命令只对动态绑定表生效。
方法一:
怎么跟IPSG做的联动:利用dhcp snooping形成的绑定表
可以在接口下或者vlan下去做
ip source check user-bind enable
只针对动态形成的绑定表生效
适用于终端设备动态获取ip地址,并且交换机支持dhcp snooping
方法二:
)静态的配置一张bind表象
23-------------------------------------------------------------
<span style="font-size:10.5pt;font-family:"">适用于网络当中的终端设备都使用静态配置ip地址的时候,或者采用动态dhcp方式获取地址,但是交换机不支持dhcp snooping。
联系WOLF-LAB(沃尔夫)实验室获取免费学习资料视频
官方微信同电话:17316362402
官方QQ:2569790740
http://www.wolf-lab.com/