snooping安全技术分析

DHCP简化了配置,提高了管理效率。但是也带来安全隐患。

常见的有:

无赖(rouge)DHCP服务器

l DHCP耗竭攻击

l Ip地址冲突

一  无赖(rouge)DHCP服务器

由于DHCP服务器和客户端之间没有认证机制,网络上随意架设一台无赖DHCP服务器,给客户分配错误的IP地址,那就会对网络造成非常大的危害。

二 DHCP耗竭攻击

通常DHCP服务器通过检查客户端发送的DHCP报文中的CHADDR(客户主机MAC地址)字段来判断客户的MAC的。一般情况下应该和发送报文的客户端真实MAC地址相同。

虽然可以利用端口安全(Port Security)限制每个端口只使用唯一的MAC地址。但是如果攻击者不修改DHCP请求报文的源MAC地址,而是修改DHCP报文中的CHADDR字段来实施攻击,那就可以绕过端口安全的检查了。

Yersinia和gobble都能实施这种攻击

三 Ip地址冲突

客户端并非一定要使用DHCP服务获取IP,也可使用静态指定的方式来设置IP地址。这将会大大提高网络IP地址冲突的可能性。

DHCP SNOOPING技术介绍

DHCP spanning 是一个控制平面特性。能在一个VLAN上严密监视并限制DHCP的操作。

这就意味着可以做深度检查,查看DHCP内部的字段。

交换机端口划分为两类:

非信任端口:通常为连接终端设备的端口,如PC,网络打印机等

返回栏目页:http://www.bianceng.cnhttp://www.bianceng.cn/Network/Security/

交换机限制用户非信任端口,只能够发送DHCP请求,丢弃来自非信任端口的所有其它DHCP报文。交换机限制用户非信任端口,只能够发送DHCP请求,丢弃来自非信任端口的所有其它DHCP报文.而且,即使是DHCP请求。只有DHCP 请求报文头里的源MAC地址和 DHCP报文中的硬件地址(CHADDR字段)只有这两者相同的请求报文才会被转发,否则将被丢弃。这样就防止了DHCP耗竭攻击。

信任端口:连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口

信任端口可以接收所有的DHCP报文

通过只将交换机合法DHCP服务器连接到信任端口,其他端口设置为非信任端口,就可以防止用户伪造DHCP服务器来攻击网络。

通过DHCP报文进行限速,可以防止DHCP请求报文的广播攻击。

在非信任端口的客户端获得一个合法的DHCP Offer,交换机开始从DHCP数据包收集信息构建绑定表,这些信息包括IP地址,MAC地址,VLAN,端口 ,租期。

绑定表构建过程:

DHCP监听绑定表还为部署IP源防护(IPSG)和动态ARP检测(DAI)提供了依据。

注意:

客户一旦不使用动态获取IP地址,改用手工设置,那么就不发送DHCP,,就没有绑定表。

如果要求客户端只能以动态获得IP的方式接入网络,则必须借助于IPSG和DAI技术。

DHCP Snooping的配置

Switch(config)#ip dhcp snooping //开启DHCP Snooping功能

Switch(config)#ip dhcp snooping vlan 10 //设置DHCP Snooping功能对那个VLNAN启用

Switch(config)#ip dhcp snooping verify mac-address //开启DHCP请求报文的源MAC和CHADDR字段是否相同的检查,默认已经开启

Switch(config-if)#ip dhcp snooping trust //设置信任端口

Switch(config-if)#ip dhcp snooping limit rate N //限制非信任端口的DHCP报文速率为每秒发包数目

时间: 2024-11-02 20:18:47

snooping安全技术分析的相关文章

服务器安全技术分析:JSP漏洞大观

js|安全|服务器 综述:服务器漏洞是安全问题的起源,黑客对网站的攻击也大多是从查找对方的漏洞开始的.所以只有了解自身的漏洞,网站管理人员才能采取相应的对策,阻止外来的攻击.下面介绍一下一些服务器(包括Web服务器和JSP服务器)的常见漏洞. Apache泄露重写的任意文件漏洞是怎么回事? 在Apache1.2以及以后的版本中存在一个mod_rewrite模块,它用来指定特殊URLS在网络服务器文件系统上所映射的绝对路径.如果传送一个包含正确表达参数的重写规则,攻击者就可以查看目标主机上的任意文

网络存储安全技术分析

随着数字信息的爆炸式增长和个人与组织对这些信息的依赖性不断增加,存储系统正逐渐成为整个信 息系统的中心,数据成为最重要的资产.然而,存储系统由本地直连向着网络化和分布式的方向发展,使存储系统变得更易受到攻击.窃取.篡改或破坏重要数据的事件不断发生.因此安全问题是日前存储网研究中急需要解决的重要问题. 一.存储安全的服务 存储系统提供的存储安全服务主要包括认证和授权.可用性.机密性和完整性.密钥共享和密钥管理 施.审计和人侵检测以及可使用性.可管理性和性能等方面. 二.当前存储一系统安全研究 网络

080_《Delphi技术方案宝典》

<Delphi技术方案宝典> Delphi 教程 系列书籍 (080) <Delphi技术方案宝典> 网友(邦)整理 EMail: shuaihj@163.com 下载地址: Part1 Part2 作者: 梁冰 李钟尉 吕双 丛书名: 软件工程师典藏 出版社:人民邮电出版社 ISBN:9787115172549 上架时间:2008-2-2 出版日期:2008 年2月 开本:16开 页码:616 版次:1-1 内容简介 本书从delphi软件开发时必须掌握的核心技术入手,深入介绍各

以色列安全公司Radware这样做云安全

本文讲的是以色列安全公司Radware这样做云安全,这是一家年收入2.5亿美元的以色列安全公司,整体安全和业务应用安全解决方案是它的强项,全球拥有1000多名员工和30个分支机构.现在,它来到中国,发出云安全的声音. 上周,Radware安全解决方案副总裁 Carl Herberger 在京发布2016年七大预测,并接受媒体采访,安全牛记者到场,现将亮点内容整理如下: Carl W. Herberger,Radware安全解决方案副总裁,负责开发.管理并改善公司的安全产品与解决方案.Herber

金融安全资讯精选 2017年第十二期 Gartner预测未来安全技术,Q3安全投融资分析,WPA2 KRACK漏洞分析报告,云上数据保护方法论

[金融安全动态] Gartner对未来安全技术和市场的最新预测 概要: (1)到2020年,0DAY漏洞在攻击中发挥的作用将会不到0.1%,这里面不包括敏感的政府目标: (2)到2020年,渗透测试智能化工具将会从2016年的0%增加到10%: (3)到2020年,企业将会有产生一个重大的安全事件是由于安全造成的,并且造成重大损失: (4)目前IRM风险管理.SIEM.IGA身份治理.EPP终端保护.PAM权限访问管理市场规模较大,但是年复合增长率较低:EDR.安全培训.RASP.UEBA虽然市

《工业控制网络安全技术与实践》一3.3.3 企业办公网络脆弱性分析

3.3.3 企业办公网络脆弱性分析 本文讲的是工业控制网络安全技术与实践一3.3.3 企业办公网络脆弱性分析,随着国家工业化和信息化两化融合深入推进,传统信息技术广泛应用到工业生产的各个环节,信息化成为工业企业经营管理的常规手段.信息化进程和工业化进程不再相互独立进行,不再是单方的带动和促进关系,而是两者在技术.产品.管理等各个层面相互交融,彼此不可分割,传统IT在工业控制系统的广泛应用也势必会给工业控制系统引入更多的安全风险."震网"."Duqu"."火

《工业控制网络安全技术与实践》一3.3.2 过程控制与监控网络脆弱性分析

3.3.2 过程控制与监控网络脆弱性分析 本文讲的是工业控制网络安全技术与实践一3.3.2 过程控制与监控网络脆弱性分析,过程控制与监控网络中主要部署SCADA 服务器.历史数据库.实时数据库以及人机界面等关键工业控制系统组件.在这个网络中,系统操作人员可以通过HMI 界面.SCADA 系统及其他远程控制设备,对现场控制系统网络中的远程终端单元(RTU).现场总线的控制和采集设备(PLC 或者RTU)的运行状态进行监控.评估.分析:并依据运行状况对PLC 或RTU 进行调整或控制.监控网络负责工

《工业控制网络安全技术与实践》一3.3 工业控制系统脆弱性分析

3.3 工业控制系统脆弱性分析 本文讲的是工业控制网络安全技术与实践一3.3 工业控制系统脆弱性分析,工业控制系统(ICS)与传统信息系统(IT)存在着巨大的区别,最鲜明的一个特点即 ICS 与 IT 对信息安全"CIA"三性的关注度不同.IT 系统更看重信息的机密性,而 ICS 为了保证工业过程的可靠.稳定,对可用性的要求达到了极高的程度.在 ICS 中,系统的可用性直接影响的是企业的生产,生产线的停机.简单的误操作都有可能导致不可估量的经济利益损失,在特定的环境下,甚至可能危害人员

《工业控制网络安全技术与实践》一3.3.1 现场总线控制网络脆弱性分析

3.3.1 现场总线控制网络脆弱性分析 本文讲的是工业控制网络安全技术与实践一3.3.1 现场总线控制网络脆弱性分析,现场总线控制网络利用总线技术(如Profibus等)将传感器/计数器等设备与PLC 以及其他控制器相连,PLC 或者RTU 可以自行处理一些简单的逻辑程序,不需要主系统的介入即能完成现场的大部分控制功能和数据采集功能,如控制流量和温度或者读取传感器数据,使得信息处理工作实现了现场化.现场总线控制网络由于通常处于作业现场,因此环境复杂,部分控制系统网络采用各种接入技术作为现有网络的