探讨接入交换机中常见的攻击和防范

网络 通信技术
如果报文的源IP地址、接收报文的接入交换机端口号与DHCP Snooping动态表项或手工配置的IP静态绑定表项一致,则认为该报文是合法的报文,允许其通过;否则认为是非法报文,直接丢弃。

接入交换机还有很多值得我们学习的地方,这里我们主要介绍接入交换机中常见的攻击和防范。由于实际组网中,接入交换机的上行口会接收其他设备的请求和应答的ARP报文,这些 ARP报文的源IP地址和源MAC地址并没有在DHCP Snooping表项或者静态绑定表中。

为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题,接入交换机支持通过配置ARP信任端口,灵活控制ARP报文检测功能。对于来自信任端口的所有ARP报文不进行检测,对其它端口的ARP报文通过查看DHCP Snooping表或手工配置的IP静态绑定表进行检测。

IP过滤功能

IP过滤功能是指交换机可以通过DHCP Snooping表项和手工配置的IP静态绑定表,对非法IP报文进行过滤的功能。在端口上开启该功能后,接入交换机首先下发ACL规则,丢弃除DHCP报文以外的所有 IP报文。(同时,需要考虑DHCP Snooping信任端口功能是否启动。如果没有启动,则丢弃DHCP应答报文,否则,允许DHCP应答报文通过。)接着,下发ACL规则,允许源IP地址为DHCP Snooping表项或已经配置的IP静态绑定表项中的IP地址的报文通过。

交换机对IP报文有两种过滤方式

根据报文中的源IP地址进行过滤。如果报文的源IP地址、接收报文的接入交换机端口号与DHCP Snooping动态表项或手工配置的IP静态绑定表项一致,则认为该报文是合法的报文,允许其通过;否则认为是非法报文,直接丢弃。

根据报文中的源IP地址和源MAC地址进行过滤。如果报文的源IP地址、源MAC地址、接收报文的交换机端口号,与DHCP Snooping动态表项或手工配置的IP静态绑定表项一致,则认为该报文是合法的报文,允许其通过;否则认为是非法报文,直接丢弃。

DHCP/ARP报文限速功能

为了防止DHCP报文泛洪攻击,接入交换机支持配置端口上对DHCP/ARP报文的限速功能。开启该功能后,接入交换机对每秒内该端口接收的DHCP/ARP报文数量进行统计,如果每秒收到的报文数量超过设定值,则认为该端口处于超速状态(即受到攻击)。此时,交换机将关闭该端口,使其不再接收任何报文,从而避免设备受到大量报文攻击而瘫痪。

同时,设备支持配置端口状态自动恢复功能,对于配置了报文限速功能的端口,在其因超速而被接入交换机关闭后,经过一段时间可以自动恢复为开启状态。
 

责任编辑:王晓东 来源: NET130
相关推荐

2009-11-02 17:45:16

2010-01-05 14:57:57

2010-01-18 09:55:44

2010-01-05 15:31:10

2009-03-05 10:25:00

2009-01-15 09:50:00

2010-01-25 13:13:11

2009-02-06 09:42:47

2014-07-30 09:48:23

OpenflowSDN

2010-01-14 14:38:49

交换机常见术语

2013-04-26 09:29:00

2009-12-25 09:05:12

2010-09-30 16:33:59

2010-01-14 10:43:18

交换机配置交换机种类

2010-01-21 14:03:30

千兆接入交换机

2009-11-10 15:45:55

路由交换机

2010-03-19 14:45:00

2010-03-19 09:58:54

普通交换机

2012-11-21 20:11:12

交换机MACIP

2010-01-14 16:48:29

交换机故障
点赞
收藏

51CTO技术栈公众号