ARP入侵检测防御

为了防止黑客或攻击者通过ARP报文实施中间人攻击或会话劫持攻击，需要使用交换机网络(通过交换机传输)代替共享式网络(通过集线器传输)，此外还需要使用静态ARP、捆绑MAC地址+IP地址等ARP入侵检测功能来限制欺骗。用户可以通过配置信任端口，灵活控制ARP报文检测。对于来自信任端口的所有ARP报文不进行检测，对其他端口的ARP报文检测其源MAC地址、源IP地址等信息与DHCPSnooping表或手工配置的IP静态绑定表项是否一致，一致则认为是合法ARP报文，进行转发；否则直接丢弃。

IP过滤防御

为了防止拒绝服务攻击和I P 地址伪造，交换机可以通过DHCP Snooping表和IP静态绑定表，对非法IP 报文进行过滤。交换机对IP报文的过滤方式有两种：根据报文中的源IP 地址进行过滤和根据报文中的源IP 地址和源MAC地址进行过滤。如果报文中信息与DHCP Snooping表或手工配置的IP静态绑定表项一致，则认为是合法的报文，进行转发；否则认为是非法报文，直接丢弃。

ARP入侵检测+IP过滤防御

前文中提到802.1X认证虽然可以检测用户名、用户IP地址、用户MAC地址等信息，但其实是基于用户MAC地址+交换机端口绑定的，要想实现ARP入侵检测防御和IP过滤防御，就必需在接入认证交换机上做到“真实”的用户IP地址+用户MAC地址+交换机端口的绑定。这样不但可以防止中间人攻击和拒绝服务攻击等，还可以避免大部分网络接入盗用情况。但是仍存在一种盗用情况尚未解决：影子用户，即与合法用户完全相同的用户名、密码、IP 地址、MAC地址信息等。针对这种情况则需要更多的信息绑定来防止盗用，如VLAN或PC标识等。

对于DHCP动态分配IP模式，用户通过802.1X认证后，DHCP服务器下发IP地址，经过接入认证交换机时形成DHCPSnooping表绑定用户IP地址+用户MAC地址+交换机端口。然而动态分配IP模式，存在着非法用户伪造合法用户申请IP地址和网络参数，可能造成IP 地址浪费。

对于静态分配IP模式，用户可以手工配置IP静态绑定表项，但当网络规模较大时，手工配置工作量增加，显然不太现实。由于802.1X认证服务器存在一个数据库，数据库中包含用户名、用户IP地址、用户MAC 地址等对应信息表项，故可以通过802.1X认证服务器下发用户IP地址、用户MAC地址等表项到接入认证交换机，这样可避免手工配置的麻烦，降低网络维护成本，从而达到用户IP地址+用户MAC地址+交换机设备+交换机端口的绑定关系。

上一页  [1] [2] [3] [4]  下一页