- 论坛徽章:
- 0
|
一般管理员对自己的机器防范工作做的一定很好,但是有没有注意过网络或协议的攻击呢?简单举个例子,攻击者进入了内网,知道的管理员的IP,那么下一步会做什么呢?溢出,扫描,DDOS,网络攻击?\r\n 对于网络攻击,最简单有效的摸过于ARP攻击,只要攻击者对同网段机器有管理劝就可以对你展开攻击,那么有的网管员会说,我将ARP绑定就OK了,但是ARP绑定是动态的,重启后就消失,即使你做了脚本开机自动绑定但是如果管理员很多,机器很多难免会有疏忽,这时被攻击的话后果严重。一下就是对于ARP攻击的简单防御方法,但是需要用到3层交换。不过需要先起用DHCP监听\r\n ios 全局命令:\r\n \r\n ip dhcp snooping vlan 100,200\r\n \r\n no ip dhcp snooping information option\r\n \r\n ip dhcp snooping\r\n \r\n ip arp inspection vlan 100,200 /* 定义对哪些 vlan 进行 arp 报文检测\r\n \r\n ip arp inspection log-buffer entries 1024\r\n \r\n ip arp inspection log-buffer logs 1024 interval 10\r\n \r\n ios 接口命令:\r\n \r\n ip dhcp snooping trust\r\n \r\n ip arp inspection trust /* 定义哪些接口是信任接口,通常是网络设备接口, trunk 接口等\r\n \r\n ip arp inspection limit rate 15 (pps) /* 定义接口每秒 arp 报文数量\r\n \r\n 对于没有使用 dhcp 设备可以采用下面办法:\r\n \r\n arp access-list static-arp\r\n \r\n permit ip host 10.66.227.5 mac host 0009.6b88.d387\r\n \r\n ip arp inspection filter static-arp vlan 201\r\n \r\n 配置dai后的效果:\r\n \r\n 在配置 dai技术的接口上,用户端不能采用指定地址地址将接入网络。\r\n \r\n 由于 dai检查 dhcp snooping绑定表中的ip和mac对应关系,无法实施中间人攻击,攻击工具失效。下表为实施中间人攻击是交换机的警告:\r\n \r\n 3w0d: %sw_dai-4-dhcp_snooping_deny: 1 invalid arps (req) on fa5/16, vlan 1.([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2\r\n \r\n 由于对 arp请求报文做了速度限制,客户端无法进行认为或者病毒进行的ip扫描、探测等行为,如果发生这些行为,交换机马上报警或直接切断扫描机器。\r\n \r\n 3w0d: %sw_dai-4-packet_rate_exceeded: 16 packets received in 184 milliseconds on fa5/30. ******报警\r\n \r\n 3w0d: %pm-4-err_disable: arp-inspection error detected on fa5/30, putting fa5/ 30 in err-disable state ******切断端口\r\n \r\n i49-4500-1#.....sh int f.5/30\r\n \r\n fastethernet5/30 is down, line protocol is down (err-disabled)\r\n \r\n hardware is fast ethernet port , address is 0002.b90e .3f 4d (bia 0002.b90e .3f 4d)\r\n \r\n mtu 1500 bytes, bw 100000 kbit, dly 100 usec,\r\n \r\n reliability 255/255, txload 1/255, rxload 1/255\r\n \r\n i49-4500-1#...... |
|