风暴控制
不停的发广播,产生广播风暴,超过阈值可以将端口关掉,对广播帧进行控制的,超过阈值实行惩罚措施(关闭端口或者error-down)
storm-control whitelist protocol {arp-request bpdu | dhcp |igmp | ospf}*
流量抑制是把流量压到阈值进行转发,而广播风暴是流量超过阈值会阻塞或者error-down
DHCP Snooping
中继配置两个命令:要别人知道他是中继服务器,指定DHCP服务器
中继把客户机的广播报文转成单播发给服务器,服务器单播回给中继
dhcp snooping
dhcp本身是有缺陷的,因为如果有两个dhcp服务器,他会选择最先收到的地址使用,这就是一个bug。
客户机会选择最先回复的地址
把端口分为信任端口和非信任端口 信任接口可以处理dhcp的四种报文,接PC的端口可以设置非信任接口,只能处理discover和request报文。
因为要看是什么报文所以需要解封装,解封装把IP地址,MAC地址,VLAN和接口,租期,都进行记录形成一个snooping表。
预防DHCP饿死攻击
我是黑客,源源不断的去模拟新的MAC地址申请IP地址,把IP地址都占用,服务器地址池里面就没有地址可用了(饿死攻击)
DHCP Snooping防饿死攻击
对于饿死攻击,可以通过DCHP Snooping的MAC地址限制功能来防止。该功能通过限制交换机上允许学习到的最多MAC地址数目,防止通过变换MAC地址,大量发送DHCP请求。
改变CHADDR值的DOS攻击
因为dhcp server中的chaddr字段记录的MAC地址来看MAC地址是否被分配为IP地址,所以黑客持续更改chaddr字段里面的值,但是MAC地址还是同样的来绕过交换机防御。
DHCP Snooping防改变CHADDR值的DoS攻击
为了避免收到攻击者改变CHADDR值的攻击,可以在设备上配置DHCP Snooping功能,检查dhcp request报文中的CHADDR字段。如果该字段根数据帧头部的源MAC相匹配,转发报文;否则,丢弃报文。从而保证合法用户可以正常使用网络服务。
DHCP中间人攻击
利用ARP机制,让客户机与服务器之间数据交互时需要经过黑客的设备
利用了虚假的IP地址与MAC地址之间的映射关系来同时欺骗DHCP客户端和服务器
DHCP Snooping防DHCP中间人攻击
解决方法:为防御中间人攻击,可使用DHCP snoooping的绑定工作模式,当接口接收到ARP或者IP报文,使用ARP或者IP报文中的“源IP+源MAC”匹配DHCP Snooping绑定表。如果匹配就进行转发,如果不匹配就丢弃。
开启snooping功能之后,所以接口默认都是非信任接口
dis dhcp snooping user-bind all,有状态的表项
IPSG
IP Source Guard,针对IP判断源主机是否合法。
- IP地址欺骗攻击中,攻击者通过伪造合法用户的IP地址获取网络访问权限,非法访问网络,甚至造成合法用户无法访问网络,或者信息泄露。IPSG针对IP地址欺骗攻击提供了一种防御机制,可以阻止此类网络攻击行为
- lIP源防攻击(IPSG,IP Source Guard)是一种基于二层接口的源IP地址过滤技术。它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。
工作原理
- IPSG利用绑定表(源IP地址、源MAC地址、所属VLAN、入接口的绑定关系)去匹配检查二层接口上收到的IP报文,只有匹配绑定表的报文才允许通过,其他报文将被丢弃。常见的绑定表有静态绑定表和DHCP Snooping动态绑定表。
