<b>4.1</b><b>常見的欺騙攻擊的種類和目的</b>
常見的欺騙種類有 MAC欺騙、IP欺騙、IP/MAC欺騙,其目的一般為僞造身份或者擷取針對IP/MAC的特權。當目前較多的是攻擊行為:如Ping Of Death、syn flood、ICMP unreacheable Storm,另外病毒和木馬的攻擊也具有典型性,下面是木馬攻擊的一個例子。
<b>4.2IP/MAC</b><b>欺騙的防範</b>
IP Source Guard 技術配置在交換機上僅支援在 2 層端口上的配置,通過下面機制可以防範 IP/MAC 欺騙:
• IP Source Guard 使用 DHCP sooping 綁定表資訊。
• 配置在交換機端口上,并對該端口生效。
• 運作機制類似 DAI,但是 IP Source Guard檢查所有經過定義IP Source Guard檢查的端口的封包。
• IP Source Guard檢查接口所通過的流量的IP位址和MAC位址是否在DHCP sooping綁定表,如果不在綁定表中則阻塞這些流量。
通過在交換機上配置 IP Source Guard:
• 可以過濾掉非法的 IP位址,包含使用者故意修改的和病毒、攻擊等造成的。
• 解決 IP位址沖突問題。
• 提供了動态的建立 IP+MAC+PORT的對應表和綁定關系,對于不使用DHCP的伺服器和一些特殊情況機器可以采用利用全局指令靜态手工添加對應關系到綁定表中。
• 配置 IP Source Guard的接口初始阻塞所有非DHCP流量。
• 不能防止“中間人攻擊”。
<b>4.3</b><b>配置示例:</b>
IOS 全局配置指令:
ip dhcp snooping vlan 12,200
ip dhcp snooping information option
ip dhcp snooping
ip source binding 0009.6b88.d387 vlan 212 10.66.227.5 interface Gi4/5/*不使用 DHCP 的靜态配置
接口配置指令:
ip verify source vlan dhcp-snooping
本文轉自hexianguo 51CTO部落格,原文連結:http://blog.51cto.com/xghe110/90877,如需轉載請自行聯系原作者
![nmap –script 使用:nmap-vulners 和 vulscan出現錯誤 ‘/usr/bin/../share/nmap/scripts/vulscan’ found, but will[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)