DHCP snooping 有哪些功能?
当攻击者私自安装并运行 DHCP Server 程序后,可以将自己伪装成DHCP Server,这就是仿冒 DHCP Server。它的工作原理与正常的 DHCP Server 一模一样,所以当PC机接收到来自 DHCP Server的DHCP报文时,无法区分是哪个DHCP Server发送过来的,如果PC机第一个接收到的是来自仿冒DHCP Server发送的 DHCP 报文,那么仿冒 DHCP Server 则会给 PC 机分配错误的 IP 地址参数,导致 PC 客户端无法访问网络。
DHCP snooping 配置在什么地方? 仿冒服务器攻击怎么攻击的?有什么方法防止?应该怎么配置?默认情况为信任端口还是非信任端口?
拒绝服务攻击又怎么攻击的?会导致什么结果?什么叫拒绝服务攻击?怎么防止?在什么地方配置?
DHCP 报文攻击是怎么回事?导致什么结果?怎么防止?
DHCP 中间人攻击从原理上我们可以知道它其实是一种 Snoofing IP/MAC攻击(ARP 欺骗),所以要防止 DHCP 中间人攻击,就是要防止 ARP 欺骗 使用 DAI 技术防止
从信任接口收到的报文会不会检测? 在现网中,DHCP snooping 应该在哪些设备上配置?哪些端口配置为信任端口?哪些端口配置为非信任端口?为什么?
信任端口收到的报文会不会检测?
信任端口可以正常接收并转发 DHCP Offer 报文,而不信任端口会将接 收到的 DHCP Offer 报文丢弃。这样,可以完成交换机对假冒 DHCP Server 的屏 蔽作用,确保客户端从合法的 DHCP Server 获取 IP 地址;
DAI 和 IPSG 什么意思?有什么功能?
DAI:Dynamic ARP Inspection 根据客户端发出来的 ARP 报文,检查ARP报文中 Sender IP 和sender MAC是否和 DHCP Snooping 表项中记录的 IP和 MAC 是否一致,如果不一致检查失败,丢弃该 ARP 报文。如果合法则转发。可以避免 ARP 的 DOS 攻击和 ARP 欺骗。
IPSG:针对网络中经常存在对源 IP 地址进行欺骗的攻击行为,攻击者仿冒合法用户的 IP 地址来向服务器发送IP报文,我们可以使用 IPSG 技术来防范这种攻击。在交换机使用 IPSG 功能后,会对进入交换机端口的报文进行合法性的检查,然后对报文进行过滤,检查合法则转发,检查非法则丢弃。