dhcp 欺骗
dhcp snooping
原理:
一启用后,可以将交换机的端口分为trusted接口和untrusted接口,默认在交换机上启用后,所有接口变为untrusted接口,需要手工设置trunsted接口。对于untrusted接口,只能收到dhcp请求消息,drop掉dhcp的相应消息,并且也不会向这个接口发送出dhcp的请求消息。对于trusted接口没有任何限制。
dhcp监听会在交换机上建立dhcp碧昂定标,其中包括客户端的ip地址,mac地址,端口号,vlan编号,租用和绑定类型信息。
配置
ip dhcp snooping
ip dhcp snooping informatcion option(产生信息选项,默认开启)
ip dhcp snooping vlan 10,20
int f0/1
description access port
ip dhcp limit rate 50
int f0/24
description uplink
swichport mode trunk
swichport trunk allowed vlan 10,20
ip dhcp snooping trust
第一步:
ip dhcp snooping 必须先开启这命令,相当于总开关
ip dhcp snooping vlan 1再制定vlan,这一步也必须要
第二步:制定一个接口为trusted接口
ip dhcp snooping trust
第三步:还要在被信息的dchp服务器上打上下列命令:(如果是用路由器做服务器的话)
ip dchp relay informationn trust-all(在路由器上敲)
show ip dhcp snooping
show ip dhcp snooping bingding
arp攻击a
dai动态arp监控
是一种能够验证网络中arp数据包的安全特性,可以防止中间人攻击
通常需要和dhcp的snooping结合使用,也可静态写ip和mac的绑定表
原理:启用dai后,将接口分为trusted和untrusted.对于untrusted接口,要进行arp检查。
ip arp inspection vlan 1
ip arp inspection trust指定arp检测的trust接口,一定要做
ip arp inspection limit rate 100 限制每秒所接受的arp包个数
show iparp in spection interfaces
show ip arp inspection vlan 1
配置命令:
ip dhcp snooping
ip dhcp snooping vlan 10,20
int f0/1
ip dhcp limit rate 50
int f0/24
description uplink
swichport mode trunk
swichport trunk allowed vlan 10,20
ip dhcp snooping trust
ip arp inspection trust
ip souece guard ip源保护
源保护特修行可防止非法设备盗用合法设备的ip接入网络,只能用于二层端口
需要用到ip绑定表,有两种方式获得绑定条目
1、静态绑定Ip源地址
2、使用dhcp snooping技术中动态生成的源ip绑定表
规则:一旦在一个接口启用了源保护,这个接口默认拒绝所有ip,除非在ip绑定表中有对这个接口对应的绑定条目。
除了dhcp请求包
ip source binging aaaa.bbbb.cccc vlan 1 100.1.1.1 interface f0/1静态绑定
ip dhcp snooping
ip dhcp snooping vlan 1
int f0/10
ip verify source 开启源保护,只给予ip进行检查,在3560和3750上这样配。
ip verify source port-security 开启源保护,基于ip和mac进行检查3560
ip verify source vlan dhcp-snooping port-security 好像4500以上才这样开启
show ip verity source 查看所允许的ip地址
show ip source bingding