CISCO DAI 防ARP攻击

来源:百度文库 编辑:神马文学网 时间:2024/04/29 14:00:25

配置局域网的安全特性,防止地址乱配,ARP攻击等弊病!

    1、启用DHCP SNOOPING

    全局命令:

    ip dhcp snooping vlan 10,20,30

    no ip dhcp snooping information option

    ip dhcp snooping database flash:dhcpsnooping.text  //将snooping表保存到单独文档中,防止掉电后消失。

    ip dhcp snooping

    接口命令:

    ip dhcp snooping trust //将连接DHCP服务器的端口设置为Trust,其余unTrust(默认)

    2、启用DAI,防止ARP欺骗和中间人攻击!通过手工配置或者DHCP监听snooping,交换机将能够确定正确的端口。如果ARP应答和snooping不匹配,那么它将被丢弃,并且记录违规行为。违规端口将进入err-disabled状态,攻击者也就不能继续对网络进行进一步的破坏了!

    全局命令

    ip arp inspection vlan 30

    接口命令(交换机之间链路配置DAI信任端口,用户端口则在默认的非信任端口):

    ip arp inspection trust

    ip arp inspection limit rate 100

    3、启用IPSG

    前提是启用IP DHCP SNOOPING,能够获得有效的源端口信息。IPSG是一种类似于uRPF(单播反向路径检测)的二层接口特性,uRPF可以检测第三层或路由接口。

    接口命令:

    switchport mode acc

    switchport port-security

    ip verify source vlan dhcp-snooping port-security


    4、关于几个静态IP的解决办法

    可通过ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1 interface gi0/8

    通过arp access-list添加静态主机:

    arp access-list static-arp

    permit ip host 192.168.1.1 mac host 0000.0000.0003

    ip arp inspection filter static-arp vlan 30

    DHCP 中绑定固定IP:

    ip dhcp pool test

    host 192.168.1.18 255.255.255.0 (分给用户的IP)

    client-identifier 0101.0bf5.395e.55(用户端mac)

    client-name test

    开展及总结:

    思科交换机在全局配置模式下开启IP DHCP SNOOPING后,所有端口默认处于DHCP SNOOPINGUNTRUSTED模式下,但DHCP SNOOPING INFORMATIONOPTION功能默认是开启的,此时DHCP报文在到达一个SNOOPING UNTRUSTED端口时将被丢弃。因此,必须在4506配置IPDHCP SNOOPING INFORMATION OPTION ALLOW-UNTRUSTED命令(默认关闭),以允许4506从DHCPSNOOPING UNTRUSTED端口接收带有OPTION 82的DHCP REQUEST报文。建议在交换机上关闭DHCPINFORMATION OPTION,即全局配置模式下NO IP DHCP SNOOPING INFORMATION OPTION。

    7、对于允许手工配置IP地址等参数的客户端,可以手工添加绑定条目到DHCP SNOOPING BINDING数据库中。ip dhcp snooping binding00d0.2bd0.d80a vlan 100 222.25.77.100 interface gig1/1 expiry600表示手工添加一条MAC地址为00d0.2bd0.d80a,IP地址为222.25.77.100,接入端口为GIG1/1,租期时间为600秒的绑定条目。

    8、IPSG即IP SOURCE GUARD是在DHCP SNOOPING功能的基础上,形成IPSOURCEBINDING表,只作用在二层端口上。启用IPSG的端口,会检查接收到所有IP包,只转发与此绑定表的条目相符合的IP包。默认IPSG只以源IP地址为条件过滤IP包,如果加上以源MAC地址为条件过滤的话,必须开启DHCP SNOOPING INFORMAITON OPTION 82功能。

    9、DAI即DYNAMIC ARP INSPECTION也是以DHCP SNOOPINGBINDING DATABASE为基础的,也区分为信任和非信任端口,DAI只检测非信任端口的ARP包,可以截取、记录和丢弃与SNOOPINGBINDING中IP地址到MAC地址映射关系条目不符的ARP包。如果不使用DHCP SNOOPING,则需要手工配置ARP ACL。

CISCO DAI 防ARP攻击 什么是ARP攻击?如何防止ARP攻击? ARP攻击原理及解决方法 为什么会出现ARP攻击 ARP防火墙(AntiARP)--专业防御ARP欺骗和攻击????????????????... 以牙还牙,对付ARP攻击有招 解决ARP欺骗和攻击的方法 linux下arp攻击的实现 Linux服务器如何防御ARP攻击 关于网吧ARP攻击,MAC地址欺骗的解决方法 ARP攻击原理及解决方法 - 技术应用子站 - 赛迪网 如何定位ARP攻击? - CSAI.cn网络频道 局域网安全:解决ARP攻击的方法和原理 浅谈局域网ARP攻击的危害及防范方法 应对ARP攻击有绝招:合理利用VLAN优化网络 局域网ARP攻击的危害及防范方法 防范ARP攻击策略面面观及技巧一则 arp cisco路由器上巧用tcp/IP防止dos攻击 防arp简单方法-静态绑定网关 掘客时dai 三字经dai 服务器防溢出提权攻击解决办法 防被黑客攻击的技巧