交换网络安全防范系列四之IP/MAC欺骗防范
4.1 常见的欺骗攻击的种类和目的 常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗,其目的一般为伪造身份或者获取针对IP/MAC的特权。当目前较多的是攻击行为:如Ping Of Death、syn flood、ICMP unreacheable Storm,另外病毒和木马的攻击也具有典型性,下面是木马攻击的一个例子。 4.2IP/MAC 欺骗的防范 IP Source Guard技术配置在交换机上仅支持在2层端口上的配置,通过下面机制可以防范IP/MAC欺骗: • IP Source Guard使用DHCP sooping绑定表信息。 •配置在交换机端口上,并对该端口生效。 •运作机制类似DAI,但是IP Source Guard检查所有经过定义IP Source Guard检查的端口的报文。 • IP Source Guard检查接口所通过的流量的IP地址和MAC地址是否在DHCP sooping绑定表,如果不在绑定表中则阻塞这些流量。 通过在交换机上配置IP Source Guard: •可以过滤掉非法的IP地址,包含用户故意修改的和病毒、攻击等造成的。 •解决IP地址冲突...
