防止ARP攻击,DOS攻击,非法DHCPSever
|
|
防止ARP攻击,DOS攻击,非法DHCPSever |
作者:冰盾防火墙 网站:www.bingdun.com 日期:2008-01-07 |
|
1. 防止ARP攻击 防止ARP攻击可以使用ip捆绑技术。 动态捆绑IP地址,可以使用DHCP服务器来绑定用户网卡MAC地址和IP地址,再根据不同IP设定权限。 静态捆绑IP地址“192.168.120.59”与MAC地址为“00-50-ff-6c-08-75”,单击“开始→运行”并在打开的“运行”窗口中敲入“cmd”打开命令行窗口,然后输入以下命令: 捆绑:arp -s 192.168.10.59 00-50-ff-6c-08-75 解除捆绑:arp -d 192.168.10.59 2. 防止DOS攻击 逆向转发(RPF),该功能用来检查路由器接口所接收到的每一个数据包。如果路由器接收到一个源IP地址为10 10.10.1的数据包,但是CEF(Cisco Express Forwarding)路由表中没有为该IP地址提供任何路由信息,路由器就会丢弃该数据包,因此逆向转发能够阻止Smurf攻击和其他基于IP地址伪装的攻击。使用RPF功能需要将路由器设为快速转发模式(CEF switching),并且不能将启用RPF功能的接口配置为CEF交换。 3. 防止非法DHCPServer 将交换机上的信任接口和非信任的分开。信任的被允许响应DHCP请求,非信任则不然。交换机跟踪非信任端口的DHCP绑定,并将DHCP消息限制在一定速率内 启用DHCP偷窥 Switch(config)#ip dhcp snooping 针对VLAN必须启用DHCP偷窥 Switch(config-if)#ip dhcp snooping vlan number 在接口级设置信任端口 Switch(config-if)#ip dhcp snooping trust 对非信任端口速率限制 Switch(config-if)#ip dhcp snoping limit rate [rate] 在交换机端口有多个系统(通过交换机等)DHCP偷窥不是很有用 DHCP VACL可规定那些地址能发送DHCP回复,过滤其他的DHCP回复 配置命令: set security acl ip ROGUE-DHCP permit udp host 192.0.2.1 any eq 68 set security acl ip ROGUE-DHCP permit udp host 10.1.1.99 any eq 68 set security acl ip ROGUE-DHCP deny udp any eq 68 set security acl ip ROGUE-DHCP permit ip any eq 68 该配置192.0.2.1 10.1.1.99 可通过。 |
|
|
|
|
|
|