IP源防护项目七大型企业网安全性优化网络系统安全技术64课.pptxVIP

第四节IPsourceprotection主讲人：周栋山东轻工职业学院IP源防护网络设备配置与管理项目七大型企业网安全性优化—网络系统安全技术

1IP源防护IP源防护（IPSourceGuard，IPSG）可以防止局域网内的IP地址欺骗攻击。和DAI类似，IPSG也是基于DHCPSnooping进行工作，DHCPSnooping绑定表包括了IP地址与MAC地址的绑定信息，并将其与VLAN、交换机端口相关联，交换机根据DHCPSnooping绑定表的内容来过滤IP报文。客户端发送的IP数据包，只有其源IP地址、MAC地址、VLAN和DHCPSnooping绑定表相符才会被发送，其他IP数据包都将被丢弃。IP源地址欺骗是黑客进行DoS攻击时经常同时使用的一种手段，黑客发送具有虚假源IP地址的数据包。

1IP源防护常见的IP源攻击类型

IP地址欺骗源路由攻击攻击者伪造源IP地址，发送带有虚假源IP的数据包，以隐藏真实身份或进行恶意攻击，如DDoS攻击时可通过伪造大量源IP来发动洪水攻击。

攻击者利用IP数据包中的源路由选项，篡改数据包的传输路径，使数据包绕过正常安全检测，到达目标网络内部进行攻击。

2IPSG基本配置设备使能DHCPSnooping功能后，当DHCP用户上线时，设备会自动生成DHCPSnooping绑定表。对于静态配置IP地址的用户，设备不会生成DHCPSnooping绑定表，所以需要手动添加静态绑定表，在系统视图下执行【user-bindstatic{{ip-address|}*[interface][vlan】命令。进入接口视图或者进入VLAN视图，执行【ipsourcecheckuser-bindenable】命令，使能IP报文检查功能。默认情况下，接口或VLAN未使能对IP报文的检查功能。进入接口视图，执行【ipsourcecheckuser-bindcheck-item{ip-address|mac-address|vlan}*】命令；或者VLAN视图下执行【ipsourcecheckuser-bindcheck-item{ip-address|mac-address|interface}*】命令，配置IP报文检查项。

2IPSG基本配置使用【displaydhcpstaticuser-binduser-bindall[verbose]】命令查看静态绑定表信息。使用【displayipsourcecheckuser-bindinterfaceinterface-typeinterface-number】命令查看接口下IPSourceGuard相关的配置信息。使用【displaydhcpstaticuser-bind{interfaceinterface-typeinterface-number|ip-addressip-address|mac-addressmac-address|vlanvlan-id}*[verbose]】命令查看静态绑定表信息。

2IPSG基本配置[S1]dhcpenable[S1]dhcpsnoopingenable[S1]vlan1[S1-vlan1]dhcpsnoopingenable[S1-vlan1]user-bindstaticip-address192.168.1.100mac-address5489-9389-03BDinterfaceg0/0/4vlan1//以上启用DHCPSnooping，并配置静态绑定表，绑定在g0/0/4接口[S1]interfaceGigabitEthernet0/0/1[S1-GigabitEthernet0/0/1]dhcpsnoopingtrusted//以上配置接口为可信任接口下面看一个IPSG配置案例

2IPSG基本配置[S1]dhcpenable[S1]dhcpsnoopingenable[S1]vlan1[S1-vlan1]dhcpsnoopingenable[S1-vlan1]user-bindstaticip-address192.168.1.100mac-address5489-9389-03BDinterfaceg0/0/4vlan1//以上启用DHCPSnooping，并配置静态绑定表，绑定在g0/0/4接口[S1]interf