亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费

　　常見的欺騙種類有MAC欺騙、IP欺騙、IP/MAC欺騙，黑客可以偽造報(bào)文的源地址進(jìn)行攻擊，其目的一般為偽造身份或者獲取針對IP/MAC的特權(quán)，另外此方法也被應(yīng)用于DoS( Deny of Service，拒絕服務(wù))攻擊，嚴(yán)重的危害了網(wǎng)絡(luò)安全。

　　為了防止IP/MAC欺騙攻擊，H3C低端以太網(wǎng)交換機(jī)提供了IP過濾特性，開啟該功能后，交換機(jī)可以強(qiáng)制經(jīng)過某一端口流量的源地址符合動(dòng)態(tài)獲取的DHCP Snooping表項(xiàng)或靜態(tài)配置的IP與MAC綁定表項(xiàng)的記錄，防止攻擊者通過偽造源地址來實(shí)施攻擊。此外，該功能也可以防止用戶隨便指定IP地址，造成的網(wǎng)絡(luò)地址沖突等現(xiàn)象。

　　DHCP報(bào)文泛洪攻擊

　　DHCP報(bào)文泛洪攻擊是指：惡意用戶利用工具偽造大量DHCP報(bào)文發(fā)送到服務(wù)器，一方面惡意耗盡了IP資源，使得合法用戶無法獲得IP資源;另一方面,如果交換機(jī)上開啟了DHCP Snooping功能，會將接收到的DHCP報(bào)文上送到CPU。因此大量的DHCP報(bào)文攻擊設(shè)備會使DHCP服務(wù)器高負(fù)荷運(yùn)行，甚至?xí)��?dǎo)致設(shè)備癱瘓。

　　ARP報(bào)文泛洪攻擊

　　ARP報(bào)文泛洪類似DHCP泛洪，同樣是惡意用戶發(fā)出大量的ARP報(bào)文，造成L3設(shè)備的ARP表項(xiàng)溢出，影響正常用戶的轉(zhuǎn)發(fā)。

　　安全防范

　　對于上述的幾種攻擊手段，H3C接入網(wǎng)解決方案在用戶接入側(cè)利用DHCP SNOOPING，提供相應(yīng)的防范手段。

　　DHCP Snooping表項(xiàng)的建立

　　開啟DHCP Snooping功能后，H3C接入交換機(jī)根據(jù)設(shè)備的不同特點(diǎn)可以分別采取監(jiān)聽DHCP-REQUEST廣播報(bào)文和DHCP-ACK單播報(bào)文的方法來記錄用戶獲取的IP地址等信息。目前，交換機(jī)的DHCP Snooping表項(xiàng)主要記錄的信息包括：分配給客戶端的IP地址、客戶端的MAC地址、VLAN信息、端口信息、租約信息。

　　ARP入侵檢測功能

　　ARP入侵檢測功能工作機(jī)制

　　為了防止ARP中間人攻擊，接入交換機(jī)支持將收到的ARP(請求與回應(yīng))報(bào)文重定向到CPU，結(jié)合DHCP Snooping安全特性來判斷ARP報(bào)文的合法性并進(jìn)行處理，具體如下。

　　l 當(dāng)ARP報(bào)文中的源IP地址及源MAC地址的綁定關(guān)系與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)匹配，且ARP報(bào)文的入端口及其所屬VLAN與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)一致，則為合法ARP報(bào)文，進(jìn)行轉(zhuǎn)發(fā)處理。

　　l 當(dāng)ARP報(bào)文中的源IP地址及源MAC地址的綁定關(guān)系與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)不匹配，或ARP報(bào)文的入端口，入端口所屬VLAN與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)不一致，則為非法ARP報(bào)文，直接丟棄，并通過Debug打印出丟棄信息提示用戶。

　　

　　手工配置IP靜態(tài)綁定表項(xiàng)

　　DHCP Snooping表只記錄了通過DHCP方式動(dòng)態(tài)獲取IP地址的客戶端信息，如果用戶手工配置了固定IP地址，其IP地址、MAC地址等信息將不會被DHCP Snooping表記錄，因此不能通過基于DHCP Snooping表項(xiàng)的ARP入侵檢測，導(dǎo)致用戶無法正常訪問外部網(wǎng)絡(luò)。