HCIP-4.8 DHCP安全防护
一、DHCP Snooping用于防止DHCP饿死攻击
所有接入交换机接用户的接口:
int g0/0/x
dhcp snooping check dhcp-chaddr enable二、DHCP Snooping用于防止DHCP中间人攻击
(1)如果需要开启Spoofing IP/MAC攻击防护(进而防止中间人攻击)的方法,
在系统视图
[Huawei]arp dhcp-snooping-detect enable(2)调试命令
[Huawei]dis dhcp snooping user-bind all(3)手工静态配置IP映射记录,手动建立
[Huawei]user-bind static ip-address 192.168.8.8 mac-address H-H-H interface e0/0/4 vlan 8三、DHCP Snooping与IPSG技术联动
网络中经常会存在针对源IP地址进行欺骗的攻击行为,例如,攻击者仿冒合法用户IP地址向服务器发送IP报文,针对这类攻击,相应的防范技术成为IPSG(IPSource Guard)技术。交换机使能IPSG后,会对进入交换机端口的报文进行合法性减产,并对报文进行过滤,如果合法则转发,如果非法则丢弃。
报文的检查项可以是源IP地址,源MAC地址,vlan和物理端口号的若干种组合,例如:
在交换机端口视图下支持:
在交换机vlan视图下支持:
配置命令:
在接口视图或VLAN视图下:
ip source check user-bind enable
// 默认对MAC、IP等全部开启合法性检查
ip source check user-bind check-item ? // 可选项检查四、真机实验
eNSP模拟器无法支持实验
(1)禁止用户手工配置静态IP,防止IP地址冲突
(2)利用DHCP Snooping建立 IP-MAC-接口 的检查表项(动态获取IP地址)
接入交换机:
[SW1]dis version // 查看版本
dis dhcp snooping user-bind all
// 旧系统或真机使用以下命名查看
dis user-bind all- 该表项是一个动态表项,插拔接口或重新获取地址,该表会被刷新。
- 该映射表时交换机通过窥探DHCP报文而建立
dhcp enable
dhcp snooping enable
int e0/0/1 // 接用户的接口
ip source check user-bind enable // 开启IP源地址检查功能此时如果用户手动配置静态IP地址,用于接口没有映射,此时交换机会直接将报文丢弃。
[SW2]int g0/0/1
dhcp snooping trusted // 上连接口配置为信任口
[SW2]dhcp enable
dhcp snooping enable
vlan 6
dhcp snooping enable
#
dis dhcp snooping user-bind all // 查看自动建立的表项
#
int e0/0/8
ip source check user-bind enable // 开启IP源防护此时手动修改IP地址,则无法正常通过交换机,表中没有记录
[SW2]user-bind static ip-address 192.168.6.44 mac-address 000c-1991-f2a9 interface e0/0/8 vlan 6
#
dis user-bind all手动添加表项后,可以联网。
五、dhcp snooping user-bind autosave
dhcp snooping user-bind autosave
设备在生成DHCP用户的DHCP Snooping表项时,若要设备重启,不丢失表项,可以使用此命令使能DHCP Snooping绑定表的本地自动备份功能。
备份时后缀名必须是 .tbl
配置在flash下自动备份绑定表,文件名是backup.tbl,自动备份周期5000秒
[Huawei]dhcp enable
dhcp snooping enable
dhcp snooping user-bind autosave flash:/backuo.tbl write-delay 5000| 参数 | 说明 | 取值 |
|---|---|---|
| file-name | 指定DHCP Snooping 绑定表自动备份文件路径及文件名 | 字符串形式,不支持空格,不区分大小写,长度1 ~ 51 |
| write-delay | 指定DHCPSnooping绑定表自动备份周期 | 整数形式,6024294967295秒,缺省86400秒 |
六、补充内容
1.DHCP客户端续租,向DHCP Server发送 DHCPRequest报文
2.DHCP常见攻击:DHCP饿死攻击、仿冒DHCP Server攻击、DHCP中间人攻击
3.企业静态给用户分配IP地址,防止用户私自修改IP地址
使用user-bind static 静态建立ip-mac-接口 检查表项
[SW]user-bind static ip-address 192.168.31.7 mac-address 0021-cccf-1d28 int e0/0/2
int e0/0/2
ip source check user-bind enable接在e0/0/2口的PC只能是IP 192.168.31.7 MAC 0021-cccf-1d28 才可以通过,若IP、MAC不匹配则报文将被直接丢弃。
4.
5.DHCP绑定表可以包含: MAC地址、IP地址、租约时间
本文链接:https://www.orcy.net.cn/3695.html
广告:HCIE-Security认证课程辅导资料(付费)
发表评论