1、DMZ 非军事区
DMZ不能主动去访问外网
2、MAC层攻击
1)原理:发送大量虚假的MAC来冲击交换机的MAC表,导致交换机没有学习正常的MAC,
导致数据在交换机上采取flooding动作
2)解决:
(1)基于已知MAC允许
配置
sw port-security 启用,默认只学习1个MAC
若超时一个MAC,就会将端口置err-disable=shutdown
sw5#sh int f0/20
FastEthernet0/20 is down, line protocol is down (err-disabled)
sw5(config-if)#sw port-security ?
aging 老化
mac-address 指定授权的MAC
maximum 多少个MAC
violation 违反动作后如何处理
sw5(config-if)#sw mode acc
sw5(config-if)#sw port-security
sw5(config-if)#sw port-securit violation ?
protect drop
restrict 丢包+alarm
shutdown
sw5(config-if)#sw port-security mac-address ?
H.H.H 静态指定
sticky 动态学习-->粘贴 (需要粘贴),在配置中
动态学习
测试
R1(config-if)#mac-address 00e0.1e60.4f26
sw5(config)#errdisable recovery cause psecure-violation
sw5(config)#errdisable recovery interval 30
(2)基于已知MAC不允许
sw5(config)#mac address-table static 00e0.1e60.4f26 vlan 1 drop
来自源MAC是00e0.1e60.4f26数据包被丢掉
(3)拦截未知单播
sw5(config-if)#switchport block ?
multicast Block unknown multicast addresses
unicast Block unknown unicast addresses
未知的单播/组播不会往启用了port-security的端口发送
3、DHCP
1)DHCP工作原理
discovery
offer
request
ack
在cisco设备中都是以广播方式发送,在REDHAT WINDOWS上offer和ack是单播
2)DHCP攻击
DOS攻击--->耗光服务器IP
服务器冒充-->
3)几点解释
(1)DHCP服务器是根据网关的IP来判断分配那个地址池的地址给客户
(2)DHCP为什么不分配相同的IP:会通过ping测试,如果没有响应就表明没有人使用这个IP
4)DHCP snooping
(1)启用后把端口置为unstrust和trust
untrust:不能接收offer和ack--->用于连接pc
trust:所有 ---->连接服务器
配置:
R2(config)#ip dhcp pool p
R2(dhcp-config)#netw 12.1.1.0 /24
R2(dhcp-config)#default-router 12.1.1.2
R2(config)#ip dhcp excluded-address 12.1.1.2
R1(config-if)#ip add dhcp
sw5(config)#ip dhcp snooping 启用
sw5(config)#ip dhcp snooping vlan 1 对那个vlan(没有这条命令则不起作用)
sw5(config)#int f0/22
sw5(config-if)#ip dhcp snooping trust
-----------------------------------------------------------------
就算信任了也获取不了
问题分析:
· 当SW开启dhcp snooping功能后,会默认插入option 82字段
· Cisco IOS DHCP Server收到了含有option 82字段的DHCP请求包。但是发现该报文的giaddr字段为0.0.0.0(giaddr字段意思为该报文做经过的第一个DHCP中继代理的IP地址)。所以认为该报文是“非法”,从而将此DHCP请求报文丢弃。
解决方案:
· SW1(config)#no ip dhcp snooping information option
此时交换机不会再对DHCP请求报文插入option 82字段,这样IOS DHCP Server就会收到标准的DHCP请求报文,从而解决问题。但是不建议使用此方法。
· DHCP(config)#ip dhcp relay information trust-all(对路由器上所有接口都起作用)
或DHCP(config-if)#ip dhcp relay information trusted
此时IOS DHCP Server会允许giaddr字段为0.0.0.0的请求报文通过
-----------------------------------------------------------------
R2(config-if)#ip dhcp relay information trusted
relay information option exists, but giaddr is zero
sw5#show ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
-------------------------- ------------- ---- ---------
00:E0:1E:60:4F:25 12.1.1.1 86351 dhcp-snooping 1 FastEthernet0/20
如果没有DHCP,那么可以手工写snooping 表
sw5(config)#ip source binding aaa.aaa.aaa vlan 1 12.1.1.10 int f0/1
sw5#sh ip source binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- ---------
-----------
00:E0:1E:60:4F:25 12.1.1.1 86278 dhcp-snooping 1
FastEthernet0/20
0A:AA:0A:AA:0A:AA 12.1.1.10 infinite static 1
FastEthernet0/1
snooping表:
vlan+port+ip+mac
(1)限制DHCP包的速率
(2)DHCP 消息合法性非法释放其它主机的IP
(3)option 82 用户的MAC是从哪个交换机/port上来,方便做策略
(4)DOS
5)防止用户改MAC IP---ip source guard
(1)防止改IP
sw5(config-if)#ip verify source
(2)防止改IP+MAC
sw5(config-if)#switchport port-security
sw5(config-if)#ip verify source port-security
6)DAI 动态ARP检测检测非法的ARP包
DAI(动态ARP监控)
1、DHCP Snooping环境下
Switch (config-if)#ip arp inspection trust
Switch (config)#ip arp ipspection vlan 5-10
2、其他环境(自定义ARP ACL检查)
Switch (config)#arp access-list arpacl
Switch (config-arp-acl)#permit ip host 10.0.0.1 mac host 0011.0011.0011
Switch (config)#ip arp inspection filter arpacl vlan 5 //应用到vlan5
Switch (config-if)#ip arp inspection trust //把该接口设为信任接口,不受ARP监控
------------------------镜像接口----------------------------
monitor session 1 source interface Fa0/1 - 18 , Fa0/20 - 24
monitor session 1 destination interface Fa0/19
rx:入方向 tx:出方向 both
