防止ARP攻击，DOS攻击，非法DHCPSever


		关于冰盾 \| 使用条款 \| 网站地图

防止ARP攻击，DOS攻击，非法DHCPSever

作者：冰盾防火墙　网站：www.bingdun.com　日期：2008-01-07

1．防止ARP攻击
    防止ARP攻击可以使用ip捆绑技术。
    动态捆绑IP地址，可以使用DHCP服务器来绑定用户网卡MAC地址和IP地址，再根据不同IP设定权限。
    静态捆绑IP地址“192.168.120.59”与MAC地址为“00-50-ff-6c-08-75”，单击“开始→运行”并在打开的“运行”窗口中敲入“cmd”打开命令行窗口，然后输入以下命令：
　　捆绑：arp -s 192.168.10.59 00-50-ff-6c-08-75
解除捆绑：arp -d 192.168.10.59
2．防止DOS攻击
    逆向转发（RPF），该功能用来检查路由器接口所接收到的每一个数据包。如果路由器接收到一个源IP地址为10 10.10.1的数据包，但是CEF（Cisco Express Forwarding）路由表中没有为该IP地址提供任何路由信息，路由器就会丢弃该数据包，因此逆向转发能够阻止Smurf攻击和其他基于IP地址伪装的攻击。使用RPF功能需要将路由器设为快速转发模式（CEF switching），并且不能将启用RPF功能的接口配置为CEF交换。
3．防止非法DHCPServer
    将交换机上的信任接口和非信任的分开。信任的被允许响应DHCP请求,非信任则不然。交换机跟踪非信任端口的DHCP绑定,并将DHCP消息限制在一定速率内
启用DHCP偷窥
Switch(config)#ip dhcp snooping
针对VLAN必须启用DHCP偷窥
Switch(config-if)#ip dhcp snooping vlan number
在接口级设置信任端口
Switch(config-if)#ip dhcp snooping trust
对非信任端口速率限制
Switch(config-if)#ip dhcp snoping limit rate [rate]
在交换机端口有多个系统(通过交换机等)DHCP偷窥不是很有用
DHCP VACL可规定那些地址能发送DHCP回复,过滤其他的DHCP回复
配置命令:
set security acl ip ROGUE-DHCP permit udp host 192.0.2.1 any eq 68
set security acl ip ROGUE-DHCP permit udp host 10.1.1.99 any eq 68
set security acl ip ROGUE-DHCP deny udp any eq 68
set security acl ip ROGUE-DHCP permit ip any eq 68
该配置192.0.2.1 10.1.1.99 可通过。