|
1. 防止ARP攻击
防止ARP攻击可以使用ip捆绑技术。
动态捆绑IP地址,可以使用DHCP服务器来绑定用户网卡MAC地址和IP地址,再根据不同IP设定权限。
静态捆绑IP地址“192.168.120.59”与MAC地址为“00-50-ff-6c-08-75”,单击“开始→运行”并在打开的“运行”窗口中敲入“cmd”打开命令行窗口,然后输入以下命令:
捆绑:arp -s 192.168.10.59 00-50-ff-6c-08-75
解除捆绑:arp -d 192.168.10.59
2. 防止DOS攻击
逆向转发(RPF),该功能用来检查路由器接口所接收到的每一个数据包。如果路由器接收到一个源IP地址为10 10.10.1的数据包,但是CEF(Cisco Express Forwarding)路由表中没有为该IP地址提供任何路由信息,路由器就会丢弃该数据包,因此逆向转发能够阻止Smurf攻击和其他基于IP地址伪装的攻击。使用RPF功能需要将路由器设为快速转发模式(CEF switching),并且不能将启用RPF功能的接口配置为CEF交换。
3. 防止非法DHCPServer
将交换机上的信任接口和非信任的分开。信任的被允许响应DHCP请求,非信任则不然。交换机跟踪非信任端口的DHCP绑定,并将DHCP消息限制在一定速率内
启用DHCP偷窥
Switch(config)#ip dhcp snooping
针对VLAN必须启用DHCP偷窥
Switch(config-if)#ip dhcp snooping vlan number
在接口级设置信任端口
Switch(config-if)#ip dhcp snooping trust
对非信任端口速率限制
Switch(config-if)#ip dhcp snoping limit rate [rate]
在交换机端口有多个系统(通过交换机等)DHCP偷窥不是很有用
DHCP VACL可规定那些地址能发送DHCP回复,过滤其他的DHCP回复
配置命令:
set security acl ip ROGUE-DHCP permit udp host 192.0.2.1 any eq 68
set security acl ip ROGUE-DHCP permit udp host 10.1.1.99 any eq 68
set security acl ip ROGUE-DHCP deny udp any eq 68
set security acl ip ROGUE-DHCP permit ip any eq 68
该配置192.0.2.1 10.1.1.99 可通过 |
