二層攻擊與防范技術(shù)DHCPSnooping：DHCP攻擊類型：一DHCP服務(wù)器偽造

信任端口和非信任端口(trust和untrust)只有trust接口才能回應(yīng)offer和ack報(bào)文DHCP服務(wù)器耗盡（DOS）

DHCP請求限速

解決方案：

dhcpsnoopingcheckdhcp-rateenable

dhcpsnoopingcheckdhcp-rate90DHCP中間人攻擊與IP/MACSpoofing攻擊通過IP/MAC欺騙，攻擊者讓客戶端端認(rèn)為自己就是DHCP服務(wù)器，然后攻擊者代替客戶端向DHCP服務(wù)器申請IP地址，讓DHCP服務(wù)器認(rèn)為攻擊者就是客戶端。改變CHADDR值的DoS攻擊

intxxxx

dhcpsnoopingcheckdhcp-chaddrenable

dhcpsnoopingcheckdhcp-requestenable解決方案：

DHCPSnooping動態(tài)生成綁定表(IP地址MAC地址VLAN接口）使用防火墻作為DHCP中繼，配置三層DHCPSNOOPING中繼配置：interfaceGigabitEthernet0/0/1dhcpselectrelay配置思路：第一步:配置DHCPSnoopingdhcpsnoopingenableintXXXdhcpsnoopingenable第二步：去連接DHCP服務(wù)器的接口配置為信任端口intXXXinterfaceGigabitEthernet0/0/2dhcpsnoopingtrusted第三步：客戶端獲取地址[DHCPRelay]displaydhcpsnoopingbind-tableall注意綁定表問題如果是不在綁定表中，可以正常通過如果在綁定表中，必須配置正確，如果不正確也通過不了解決方案：手工綁定dhcpsnoopingbind-tablestaticip-addressX.X.X.Xmac-addressXXXX-XXXX-XXXX防火墻作為DHCP服務(wù)器，交換機(jī)配置DHCPSNOOPING配置交換機(jī)第一步：開啟DHCPSnooping功能dhcpenabledhcpsnoopingenabledhcpsnoopingenablevlan10第二步：配置信任端口interfaceEthernet0/0/1dhcpsnoopingtrusted第三步：客戶端重新地址，查看交換機(jī)的綁定表端口安全端口安全詳細(xì)內(nèi)容可參考：端口安全域端口隔離。端口安全；interfaceEthernet0/0/13portlink-typeaccessportdefaultvlan10port-securityenable---------------------啟動端口安全port-securityprotect-actionshutdown------超過MAC的地址以后的動作.默認(rèn)是restrict（丟棄并統(tǒng)計(jì)）port-securitymax-mac-num2------------定義最大學(xué)習(xí)MAC地址的數(shù)量port-securitymac-addresssticky---------綁定MACARPSpoofingARPSpoofing(ARP欺騙)是一種單包攻擊。攻擊者為了改變網(wǎng)關(guān)設(shè)備上的ARP表項(xiàng)，會向網(wǎng)關(guān)設(shè)備發(fā)送虛假ARP請求報(bào)文。如果設(shè)備將該報(bào)文中的IP地址與MAC地址對應(yīng)關(guān)系學(xué)習(xí)至ARP表項(xiàng)，則會誤將其他主機(jī)的報(bào)文轉(zhuǎn)發(fā)給攻擊源。防御方式：啟用ARP欺騙攻擊防范后，只在自己主動向其他主機(jī)發(fā)起ARP請求并得到回應(yīng)的情況下才更改ARP表項(xiàng)，而不會學(xué)習(xí)主機(jī)主動發(fā)來的ARP請求報(bào)文。配置命令：firewalldefendarp-spoofingenableDAIARP中間人攻擊：圖：ARP中間人攻擊示意圖ARP中間人攻擊過程：如圖，攻擊者向用戶A發(fā)送ARP更新，將用戶A上存儲的用戶B的mac改為攻擊者的mac地址。同樣，攻擊者向用戶B發(fā)送ARP更新，將用戶B上存儲的用戶A的mac改為攻擊者的mac地址。會造成，當(dāng)用戶A和用戶B通信時，流量都會發(fā)給攻擊者。容易造成數(shù)據(jù)泄露。DAI：DAI（DynamicARPInspection）動態(tài)ARP檢查。為了防御中間人攻擊，避免合法用戶的數(shù)據(jù)被中間人竊取，可以使能動態(tài)ARP檢測功能。設(shè)備會將ARP報(bào)文對應(yīng)的源IP、源MAC、接口、VLAN信息和綁定表中的信息進(jìn)行比較，如果信息匹配，說明發(fā)送該ARP報(bào)文的用戶是合法用戶，允許此用戶的ARP報(bào)文通過，否則就認(rèn)為是攻擊，丟棄該ARP報(bào)文。配置命令：[接口視圖]arpanti-attackcheckuser-bindenable//使能檢查綁定表功能[接口視圖]arpanti-attackcheckuser-bindalarmenable//使能告警功能本功能僅適用于DHCPSnooping場景。設(shè)備使能DHCPSnooping功能后，當(dāng)DHCP用戶上線時，設(shè)備會自動生成DHCPSnooping綁定表；對于靜態(tài)配置IP地址的用戶，設(shè)備不會生成DHCPSnooping綁定表，所以需要手動添加靜態(tài)綁定表。user-bindstatic1-1-1vlan10，配置靜態(tài)用戶綁定表項(xiàng)。IPSG隨著網(wǎng)絡(luò)規(guī)模越來越大，基于源IP的攻擊也逐漸增多，一些攻擊者利用欺騙的手段獲取到網(wǎng)絡(luò)資源，取得合法使用網(wǎng)絡(luò)的能力，甚至造成被欺騙者無法訪問網(wǎng)絡(luò)，或者信息泄露，造成不可估量的損失。**IPSG(IPSourceGuard），是指設(shè)備在作為二層設(shè)備使用時，利用綁定表來防御IP源欺騙的攻擊。**當(dāng)設(shè)備在轉(zhuǎn)發(fā)IP報(bào)文時，將此IP報(bào)文中的源IP、源MAC、端口、VLAN信息和綁定表的信息進(jìn)行比較，如果信息匹配，說明是合法用戶，則允許此用戶正常轉(zhuǎn)發(fā)，否則認(rèn)為是攻擊者，丟棄該用戶發(fā)送的IP報(bào)文。圖：IP/MAC欺騙攻擊典型場景IPSG防御原理：IP地址包括IPv4地址和IPv6地址，即使能IPSG功能后，設(shè)備將對用戶IP報(bào)文的源IPv4地址和源IPv6地址都進(jìn)行檢查。IPSG功能只對IP類型的報(bào)文有效。對其他類型的報(bào)文，如PPPoE（Point-to-PointProtocoloverEthernet）報(bào)文無法生效。

IP:

/24

MAC:3-3-3配置命令：[接口視圖]ipsour