9.接入层安.pptVIP

Dhcp地址耗尽攻击比较少见 回顾dhcp协议及服务器的作用 对dhcp的攻击可能来自于服务器和客户端两个方面 由于非法dhcp服务器的存在,可能导致用户获得错误的ip、网关、dns服务器地址 8 * 回顾dhcp协议及服务器的作用 对dhcp的攻击可能来自于服务器和客户端两个方面 由于非法dhcp服务器的存在,可能导致用户获得错误的ip、网关、dns服务器地址 8 * * 如何防范用户私设IP 8 * 使用下面的命令可以查看在DHCP Snooping过程中接入交换机获取到的每个端口下的IP地址+MAC地址绑定信息 Ruijie#show ip dhcp snooping binding IPSG只能和dhcp snooping 的untrust口绑定 使用下面的命令可以查看在DHCP Snooping过程中接入交换机获取到的每个端口下的IP地址+MAC地址绑定信息 Ruijie#show ip dhcp snooping binding * * 在网络设备中，ARP表项除了传统的IP与MAC外，还主要包含了Age（存活时间）、Interface（接口）两个字段 Age表示至最后一次更新ARP到现在的时间，当时间到达超时时间后，ARP表项将被删除 默认情况下，网络设备的ARP超时时间为3600s，windows主机的超时时间为120s 8 * 8 * ARP表发生变化都是由于人为伪造Sender’S IP/MAC引起的 8 * 通过双向攻击后，PC发往网关的数据将被欺骗者截获 ARP欺骗的目的是截获数据，例如银行卡、游戏帐户等，巨大的经济利益驱动了ARP欺骗的发展 ARP欺骗实现原理简单，变种极多，通过病毒网页或木马程序即可传播，杀毒软件的更新不能及时跟上病毒的变种 ARP欺骗是由于协议缺陷造成的，业界鲜有良好的解决方案 8 * 8 * ACE相当于交换机端口前形成的挡板（槽位） ACE资源由交换机硬件决定，不能无限制增加，这就是为什么使用端口安全功能时，每个端口会有最大数量限制 以上端口策略只是举例而已，不能与交换机中的ACL等同 8 * ARP-check能正常使用的前提是ACE中已存在IP+MAC地址信息 8 * DAI和ARP-check最大的区别在于 arp-check使用硬件方式过滤ARP报文，DAI使用软件方式过滤ARP报文， 8 * interface FastEthernet 0/1 switchport port-security mac-address 00d0.0000.0001 ip-address switchport port-security arp-check auto ! interface FastEthernet 0/2 switchport port-security mac-address 00d0.0000.0002 ip-address switchport port-security arp-check auto 8 * RGOS交换机从10.4（1）版本支持IP Source guard功能，取消了原来的dhcp snooping address-bind功能。 S21系列交换机不支持该功能 如果不配IP source Guard,则 dhcp snooping binding表中的信息不会添加进 interface arp-check list 表中。 8 * 8 * 使用命令ip dhcp snooping trust，对应的端口则不再进行snooping 8 * 防ARP欺骗原理 ARP欺骗就是伪造ARP报文中的sender IP和sender MAC 安全地址 主机真实的IP与MAC地址 在主机发送ARP报文前获得 可以动态学习或者手工配置 ARP报文校验 检查ARP报文中Sender’s MAC与安全地址中的MAC是否一致，否则丢弃 检查ARP报文中Sender’s IP与安全地址中的IP是否一致，否则丢弃 * 防止ARP欺骗 骤轨士揍翠膳填儒译玫盟牲删壬卓嫁品注煌猴跪形什没迁诺康刃祷读淘丸9.接入层安9.接入层安 * 防ARP欺骗原理 安全地址获取 丢弃 转发 ARP报文校验 ARP报文SIP/SMAC字段是否与安全地址一致 ARP报文 是 否 安全地址的获取是防ARP欺骗的前提，ARP报文校验是防ARP欺骗的手段 防止ARP欺骗 例淹奄履霓鬃莎际锌仰些毫晌印鉴粹丹赤荆漫莎随过引皱钠田志涛蚜趟藏9.接入层安9.接入层安 安全地址获取方式 主机的真实信息，由IP+MAC地址组成 手工指定 port-security 自动获取 DHCP Snooping Dot1x认证 ARP报文校验方法 ARP-chec