赞
踩
今天给大家介绍一下局域网内的网络攻击手段的防范手段。主要是依托华为交换机和路由器配置,介绍MAC地址攻击、ARP攻击、DHCP攻击等攻击的防范。本文会把华为交换机系列防御配置命令进行介绍,适合对局域网攻击和防御技术感兴趣的同学,阅读文本,您需要对局域网交换和通信过程有基本的认识和了解。
阅读本文前,您可以先查阅这篇文章——网络安全——局域网内网络攻击手段(MAC地址攻击、ARP攻击、DHCP攻击)本文就是以该文章为脉络,针对上述文章中提到的攻击技术手段进行防御方面的介绍。
MAC地址攻击主要目的是攻击交换机MAC地址表,使其学习到错误的MAC地址,从而造成数据包的错误转发,或者是对其进行流量攻击,瘫痪其正常功能,进而中断网络链接。
MAC地址攻击主要有MAC地址欺骗攻击和MAC地址洪范攻击。
要防范MAC地址攻击,可以借助华为交换机中端口安全相关命令。
在交换机接口上,执行命令:
port-security enable
可以打开端口下端口安全功能,该命令是其他后续命令的基础。
执行命令:
port-security max-mac-num 2
可以限制该端口学习到的MAC地址数量,在上述命令中,该端口只能学习到2条MAC地址,如果还有其他MAC地址的报文,则不会对其进行学习和处理。
执行命令:
port-security mac-address sticky
可以将学习到的MAC地址粘贴到配置上,在保存后,即使设置掉电重启依然存在,该命令适合于交换机端口总是接固定主机的情景。
执行命令:
port-security protect-action shutdown
可以配置在接口上收到违反上述配置的数据包的处理方式,一共有三种处理方式,shutdown表示关闭端口,protect表述丢弃数据包,restrict表示丢弃数据包并且告警。
除了这些配置之外,还可以配置静态MAC地址表,设置IPSG等,也会对MAC地址攻击有有一定的效果。
针对IP欺骗攻击,主要是检查数据包源IP地址是否是合法的IP地址。什么样子的是合法的IP地址呢?如果网络内运行了DHCP服务,那么通过DHCP服务申请的IP地址就是合法的IP地址,如果网络中没有DHCP服务,华为系列交换机也支持通过手工的方式配置IP地址。
IP欺骗攻击,可以采用IPSG手段来进行防护,所谓IPSG,就是IP Source Gaurd,IP源防护的简称。IPSG配置相关命令如下:
在接口模式下,执行命令:
ip source check user-bind enable
可以开启接口的IPSG功能,该命令是下面所有配置和命令的基础。
在全局模式下,执行命令:
user-bind static ip-address 192.168.1.1 mac-address aabb-3344-5566 interface GigabitEthernet0/0/1 vlan 20
就可以配置一条静态的IPSG表项,凡是符合该表项的数据包就认为合法,不符合该表项的数据包就认为不合法。上述配置会生成一个MAC地址、IP地址、VLAN和入接口的肆元表项,也支持配置其中部分内容。
在全局模式下,执行命令:
dhcp
dhcp snooping enable
然后在接口上执行命令:
dhcp snooping enable
可以将该接口使能DHCP绑定,根据DHCP报文内容,自动生成上述绑定表项。
在上一章节中,已经介绍了一部分DHCP攻击防范的内容了,除了上述内容之外,还可以配置DHCP信任端口,该端口一般配置在与DHCP服务器之间相连的端口,该端口不会对报文进行检查,并且非信任端口如果收到DHCP OFFER和DHCP REQUEST报文后也会直接丢弃,这样就避免了其他端口的机器冒充DHCP服务器发起攻击了。
DHCP信任端口配置需要执行下列命令:
在全局模式上:
dhcp
dhcp snooping enable
在端口模式上:
dhcp snooping trusted
ARP攻击也是局域网中常见的攻击手段,针对ARP攻击的防范手段,也是华为系列设备的常用配置命令之一。
针对ARP洪范攻击,可以采取ARP限速的方式进行防范
执行命令:
arp anti-attack rate-limit enable
arp anti-attack rate-limit 100 5
arp anti-attack rate-limit alarm enable
arp anti-attack rate-limit alarm threshold 200
可以配置ARP限速,上述第一条命令是开启ARP限速,第二条命令限制了ARP在5s内最多发送100个,第三条命令开启了超过ARP限速阈值后,会开启预警,第四条命令则规定了只有在收到200条后开进行告警。
上述命令如果配置在接口上,将在接口上开启ARP限速功能,如果配置在全局模式上,将在全局模式下开启限速功能。
针对ARP欺骗攻击,可以采取检查ARP报文中源MAC地址和ARP报文链路层源MAC地址的方式进行防御。
执行命令:
arp anti-attack packet-check sender-mac
该命令的执行也可以在接口或者全局模式下,并且执行后的效果与上相同。
针对局域网内的网络攻击方式,本文介绍了局域网内常见的防御手段,须知,还有很多其他的手段和配置,本文更多的是介绍防御的思想和原理。
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/118528684
赞
踩
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。