恶意用户可能会发送伪造的信息, 骗取交换机或主机将不可靠的机器作为网关. 攻击者的目标是成为中间人, 让无判断的用户将其作为路由器, 向其发送分组, 这样攻击者可以在将发送给他的分组正常转发前, 收集其中的信息.
1)DHCP 探测
假定攻击者在客户 PC 所在的子网的一台机器上运行伪造的 DHCP 服务器. 当客户广播其 DHCP 请求时, 伪造服务器将发送精心伪造的 DHCP 应答, 将其 IP 地址作为默认网关.
客户收到应答后, 将开始使用伪造的网关地址. 前往子网外的分组将首先经过攻击者的机器. 攻击者可能将分组转发到正确的目的地, 但同时可能查看其拦截的每个分组.
Cisco Catalyst 交换机可以使用 DHCP 探测功能, 帮助防范这种攻击. DHCP 探测被启用时, 交换机端口被分为可信任和不可信任两种. 合法的 DHCP 服务器位于可信任端口上, 而其他所有主机位于不可信任端口上.
交换机拦截来自不可信任端口的所有 DHCP 请求, 然后向整个 VLAN 泛洪. 任何来自不可信任端口的 DHCP 应答都将被丢弃, 因为他们肯定来自伪造的 DHCP 服务器. 同时, 相应的交换机端口将自动关闭, 进入 errdsable 状态.
DHCP 探测的配置如下:
1. 启用 DHCP 探测.
switch(config)#ip dhcp snooping
2. 指定要实现 DHCP 探测的 VLAN .
switch(config)#ip dhcp snooping vlan vlan-id [vlan-id]
在该命令中, 可指定单个 VLAN 号, 也可以指定 VLAN 号范围.
3. 配置端口信任.
默认情况下, 所有交换机端口都被视为不可信任的, 因此不期望或允许 DHCP 应答. 只有可信任端口被允许发送 SHCP 应答, 因此应将已知 DHCP 服务器所在的端口指定为可信的.
- switch(config)#interface type mode/num
- switch(config-if)#ip dhcp snooping trust
对于不可信任端口, 可以限制 DHCP 请求的分组速率.
switch(config)#ip dhcp snooping rate rate
其中, rate 的取值范围为 1~2048 DHCP 分组 / 秒
4. 显示 DHCP 探测的状态
switch(config)#sh ip dhcp snooping
2) 源 IP 地址防护
Cisco Catalyst 交换机能够使用源 IP 地址防护来检并挫败地址伪造攻击, 即使攻击是在伪造地址所属的了网中发起的. 二层交换机通常会获悉并存储 Mac 地址, 交换机必须采取某种方式查阅 Mac 地址, 并确定与之相关的 IP 地址.
源 IP 地址防护通过使用 DHCP 欺骗数据库以及静态源 IP 地址绑定项来完成这项工作. 如果配置并启用了 DHCP 欺骗, 交换机就将获得使用 DHCP 主机的 Mac 地址和 IP 地址. 分组到达交换机端口后, 可以检测它是否符合下述条件之一.
源 IP 地址是否与 DHCP 欺骗获悉的或静态项指出的 IP 地址相同. 使用一个动态端口 ACL 来过滤数据流., 交换机自动创建该 ACL , 将获悉的 IP 地址加入其中, 并将其应用于获悉该地址的接口.
源 Mac 必须与交换机端口和 DHCP 欺骗获悉的 Mac 相同. 使用端口安全性来过滤数据流.
如果地址不同于获悉或动态配置的地址, 交换机就将分组丢弃.
配置过程如下:
1 地址获取.
要配置源 IP 地址防护, 首先需要配置并启用 DHCP 欺骗.
对于不使用 DHCP 的主机, 需要配置静态的源 IP 地址绑定:
switch(config)ip source bingding Mac-address vlan vlan-id ip-address interface type/num
2 启用源 IP 地址防护.
- switch(config)#interface type mode/num
- switch(config-if)#ip verify source [port-security]
3 查看运行情况
switch#show ip verity source [ interface type/num ]
如果要查看源 IP 地址绑定数据库中的信息 (动态获悉或静态配置的), 命令如下:
switch#show ip source bingding [ip-address] [Mac-address ] [dhcp-snooping | static] [interface type mode/num] [vlan vlan-id]
3) 动态 ARP 检测
动态 ARP 检测 (DAI) 可用来验证网络中的 ARP 包, 会拦截, 记录并丢弃带有无效 IP-Mac 地址映射的 ARP 包, 可以保护网络免受中间人攻击的影响. 动态 ARP 检测课确保只允许有效的 ARP 请求和回应被转发.
配置步骤为:
1 在一个或多客户 VLAN 上启用:
switch(config)#ip arp inspection vlan vlan-range
在该命令中, 可指定单个 VLAN ID , 用连字符分隔的 VLAN ID 范围或用逗号分隔的 VLAN ID 列表.
2 将端口指定为可信.
- switch(config)#interface type mod/num
- switch(config-if)#ip arp inspection trust
3 验证配置
switch#show ip arp inspection vlan vlan-id
来源: http://www.bubuko.com/infodetail-3012899.html