网络安全——局域网内网络防范手段(MAC地址攻击、ARP攻击、DHCP攻击)

发布时间:2023-10-16 14:30

今天给大家介绍一下局域网内的网络攻击手段的防范手段。主要是依托华为交换机和路由器配置,介绍MAC地址攻击、ARP攻击、DHCP攻击等攻击的防范。本文会把华为交换机系列防御配置命令进行介绍,适合对局域网攻击和防御技术感兴趣的同学,阅读文本,您需要对局域网交换和通信过程有基本的认识和了解。
阅读本文前,您可以先查阅这篇文章——网络安全——局域网内网络攻击手段(MAC地址攻击、ARP攻击、DHCP攻击)本文就是以该文章为脉络,针对上述文章中提到的攻击技术手段进行防御方面的介绍。

一、MAC地址攻击防范技术

MAC地址攻击主要目的是攻击交换机MAC地址表,使其学习到错误的MAC地址,从而造成数据包的错误转发,或者是对其进行流量攻击,瘫痪其正常功能,进而中断网络链接。
MAC地址攻击主要有MAC地址欺骗攻击和MAC地址洪范攻击。
要防范MAC地址攻击,可以借助华为交换机中端口安全相关命令。
在交换机接口上,执行命令:

port-security enable 

可以打开端口下端口安全功能,该命令是其他后续命令的基础。
执行命令:

port-security  max-mac-num  2

可以限制该端口学习到的MAC地址数量,在上述命令中,该端口只能学习到2条MAC地址,如果还有其他MAC地址的报文,则不会对其进行学习和处理。
执行命令:

port-security  mac-address sticky 

可以将学习到的MAC地址粘贴到配置上,在保存后,即使设置掉电重启依然存在,该命令适合于交换机端口总是接固定主机的情景。
执行命令:

port-security  protect-action shutdown

可以配置在接口上收到违反上述配置的数据包的处理方式,一共有三种处理方式,shutdown表示关闭端口,protect表述丢弃数据包,restrict表示丢弃数据包并且告警。
除了这些配置之外,还可以配置静态MAC地址表,设置IPSG等,也会对MAC地址攻击有有一定的效果。

二、IP欺骗攻击技术

针对IP欺骗攻击,主要是检查数据包源IP地址是否是合法的IP地址。什么样子的是合法的IP地址呢?如果网络内运行了DHCP服务,那么通过DHCP服务申请的IP地址就是合法的IP地址,如果网络中没有DHCP服务,华为系列交换机也支持通过手工的方式配置IP地址。
IP欺骗攻击,可以采用IPSG手段来进行防护,所谓IPSG,就是IP Source Gaurd,IP源防护的简称。IPSG配置相关命令如下:
在接口模式下,执行命令:

ip source check user-bind enable

可以开启接口的IPSG功能,该命令是下面所有配置和命令的基础。
在全局模式下,执行命令:

user-bind static ip-address 192.168.1.1 mac-address aabb-3344-5566 interface GigabitEthernet0/0/1 vlan 20

就可以配置一条静态的IPSG表项,凡是符合该表项的数据包就认为合法,不符合该表项的数据包就认为不合法。上述配置会生成一个MAC地址、IP地址、VLAN和入接口的肆元表项,也支持配置其中部分内容。
在全局模式下,执行命令:

dhcp
dhcp snooping  enable

然后在接口上执行命令:

dhcp snooping  enable

可以将该接口使能DHCP绑定,根据DHCP报文内容,自动生成上述绑定表项。

三、DHCP攻击防范技术

在上一章节中,已经介绍了一部分DHCP攻击防范的内容了,除了上述内容之外,还可以配置DHCP信任端口,该端口一般配置在与DHCP服务器之间相连的端口,该端口不会对报文进行检查,并且非信任端口如果收到DHCP OFFER和DHCP REQUEST报文后也会直接丢弃,这样就避免了其他端口的机器冒充DHCP服务器发起攻击了。
DHCP信任端口配置需要执行下列命令:
在全局模式上:

dhcp
dhcp snooping  enable

在端口模式上:

dhcp snooping trusted 

四、ARP攻击防范技术

ARP攻击也是局域网中常见的攻击手段,针对ARP攻击的防范手段,也是华为系列设备的常用配置命令之一。
针对ARP洪范攻击,可以采取ARP限速的方式进行防范
执行命令:

arp anti-attack rate-limit enable
arp anti-attack rate-limit 100 5
arp anti-attack rate-limit alarm enable
arp anti-attack rate-limit alarm threshold 200

可以配置ARP限速,上述第一条命令是开启ARP限速,第二条命令限制了ARP在5s内最多发送100个,第三条命令开启了超过ARP限速阈值后,会开启预警,第四条命令则规定了只有在收到200条后开进行告警。
上述命令如果配置在接口上,将在接口上开启ARP限速功能,如果配置在全局模式上,将在全局模式下开启限速功能。
针对ARP欺骗攻击,可以采取检查ARP报文中源MAC地址和ARP报文链路层源MAC地址的方式进行防御。
执行命令:

arp anti-attack packet-check sender-mac

该命令的执行也可以在接口或者全局模式下,并且执行后的效果与上相同。
针对局域网内的网络攻击方式,本文介绍了局域网内常见的防御手段,须知,还有很多其他的手段和配置,本文更多的是介绍防御的思想和原理。
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/118528684

ItVuer - 免责声明 - 关于我们 - 联系我们

本网站信息来源于互联网,如有侵权请联系:561261067@qq.com

桂ICP备16001015号