3 IP/MAC
3.1
常見的欺騙種類有 MAC欺騙、IP欺騙、IP/MAC欺騙,其目的一般爲僞造身份或者獲取針對IP/MAC的特權。當目前較多的是***行爲:如Ping Of Death、syn flood、ICMP unreacheable Storm,另外病毒和***的***也具有典型性,下面是******的一個例子。
3.2
下圖***爲僞造源地址***,其目標地址爲公網上的 DNS服務器,直接目的是希望通使DNS服務器對僞造源地址的響應和等待,造成DDOS***,並以此擴大***效果。該***每秒鐘上萬個報文,中檔交換機2分鐘就癱瘓,照成的間接後果非常大。
3.3IP/MAC
IP Source Guard 技術配置在交換機上僅支持在 2 層端口上的配置,通過下面機制可以防範 IP/MAC 欺騙:
IP Source Guard
配置在交換機端口上,並對該端口生效。
運作機制類似 DAI,但是 IP Source Guard不僅僅檢查ARP報文,所有經過定義IP Source Guard檢查的端口的報文都要檢測。
IP Source Guard檢查 接口 所通過的流量的IP地址和MAC地址是否在DHCP sooping綁定表,如果不在綁定表中則阻塞這些流量。注意如果需要檢查MAC需要DHCP服務器支持Option 82,同時使路由器支持Option 82信息。
通過在交換機上配置 IP Source Guard:
可以過濾掉非法的 IP地址,包含用戶故意修改的和病毒、***等造成的。
解決 IP地址衝突問題。
提供了動態的建立 IP+MAC+PORT的對應表和綁定關係,對於不使用DHCP的服務器和一些特殊情況機器可以採用利用全局命令靜態手工添加對應關係到綁定表中。
配置 IP Source Guard的接口初始阻塞所有非DHCP流量。
不能防止“中間人***”。
對於 IP欺騙在路由器上也可以使用urpf技術。
3.4
檢測接口上的
IOS 全局配置命令:
接口配置命令:
/* 控制端口上所能學習源 MAC 的速率,僅當 IP+MAC 同時檢測時有意義。
檢測接口上的
IOS 全局配置命令
接口配置命令:
不使用 DHCP 的靜態配置
IOS 全局配置命令:
ip source binding 0009.6b88.d387 vlan 212 10.66.227.5 interface Gi4/5
4 IP
4.1IP
綜上所述通過配置思科交換機的上述特徵,不僅解決了一些典型***和病毒的防範問題,也爲傳統 IP地址管理提供了新的思路。
通過上面的幾項技術解決了傳統的利用DHCP服務器管理客戶端IP地址的問題:
故意不使用手工指定靜態 IP地址和DHCP分配地址衝突
配置 DHCP server
使用靜態指定 IP遇到的問題
不使用分配的 IP地址和服務器或其他地址衝突
不容易定位 IP地址和具體交換機端口對應表
使用靜態地址的重要服務器和計算機,可以進行靜態綁定 IP+MAC、IP+MAC+PORT,手工配置DAI和 IP Source Guard綁定表項, 來保護這些設備,同時也防止來自這些設備的***。
目前對於網絡病毒的不斷爆發,越來越多的用戶開始重視對 PC的管理,用戶關注誰能訪問網絡、訪問以後能做什麼、做了哪些事情、這就是我們常說的AAA認證,除了這些用戶希望能夠很快定位到用戶在哪臺交換機、哪個端口、以哪個IP和MAC登陸,這樣有有了”AAA+A”( Authenticate, Authorize,Account , Address )的概念。
通過上面的配置我們在網絡層面已經可以定位用戶了,加上 802.1X認證我們可以在網絡層面根據用戶的身份爲用戶授權,從而實現”AAA+A”。
[img]file:///C:/Documents%20and%20Settings/Administrator/My%20Documents/arp9.files/dsfsa10.jpg[/img]
更進一步要審計用戶所使用電腦具備的條件,如系統補丁、所裝殺毒軟件及補丁、等條件可以考慮採用思科網絡准入控制 NAC。
4.2
由於大多數對局域網危害較大的網絡病毒都具有典型的欺騙和掃描,快速發包,大量 ARP 請求等特徵,採用上述技術一定程度上可以自動切斷病毒源,及時告警,準確定位病毒源
cisco交換機IP/MAC***防範
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.