【汇总】企业网安全防范帖子
企业网安全防范帖子汇总
拓扑
DHCP服务在网络中应用很常见,但是也容易被干扰,为什么这么说呢,主要是因为DHCP的机制很简单,而且谁先响应先用谁的,并没有什么验证以及安全机制,这样如果网络中存在多个DHCP服务器的话,那么我们就不能确保内网PC能够准确的获取到对应的地址。而且也有攻击软件,能够非常快速的把合法地址池给全部获取完毕,这样内网PC获取到的则是攻击者提供的网段,比如错误的网关,DNS,这样使得更加容易让客户端访问错误的信息。
1、正常情况下DHCP的获取
说明:正常情况下由三层交换机来提供DHCP地址服务,并且网段为10.1.1.0/24,DNS为10.1.1.253,GW为10.1.1.254
测试是能正常访问网站的,也能正常获取到DHCP的参数。
2、有干扰的情况下DHCP的获取
这时候出现了一台DHCP的干扰,这里以服务器搭建,在现网中可能是DHCP服务器,比如有人不知情的情况下搭建的学习的,还有家用路由器,无线路由器这种,都是默认开启DHCP功能的。
比如这里用的是其他网段的,192.168.1.0/24网段。
可以看到现在客户端获取到的为192.168.1.4了,这个是随即的,看谁响应的快就获取谁的。但会使得一部分PC访问不了正常的网络。
而PC1则是正常的获取。
这样的情况会导致内部网络出现这样的情况,一部分网络能够正常访问,因为获取到了正确的地址,而一部分则不行,因为受到了干扰。
3、解决办法
这时候可以使用DHCP Snooping来解决了,之前介绍过DHCP Snooping的作用,这里具体配置一下。这里说明,DHCP Snooping在最接近用户的地方使用最有效,否则就作用不大。
SW3560(config)#ip dhcp snooping
SW3560(config)#ip dhcp snooping vlan 1
SW3560(config)#int f0/3
SW3560(config-if)#ip dhcp snooping trust
在这里启用了DHCP Snooping的开关,在VLAN 1启用,并且把F0/3 设置为信任接口,也就是内网接入信任的DHCP服务器的接口,其余的都为非信任口。
可以看到交换机上面也有对应的绑定表。通过snooping技术,我们可以来解决DHCP 攻击以及干扰的情况,后续还能通过这个表项来解决ARP欺骗以及ip地址与MAC地址欺骗的功能。
4、大量非法DHCP请求
在BT5里面有一个工具,能够在启用后,瞬间把DHCP的地址池弄空,使得没有地址池资源分配给其他PC使用,让网络无法正常工作。
解决办法
在非信任接口上面启用限速功能,当该接口收到大量的非法DHCP 请求的时候,会进行shutdown。
SW3560(config-if)#ip dhcp snooping limit rate 10
在接口下敲入,速率可以根据自己需求来决定。博主也只是业余时间写写技术文档,请大家见谅,大家觉得不错的话,可以推荐给朋友哦,博主会努力推出更好的系列文档的。如果大家有任何疑问或者文中有错误跟疏忽的地方,欢迎大家留言指出,博主看到后会第一时间修改,谢谢大家的支持,更多技术文章尽在网络之路博客,http://ccieh3c.com
下载对应文档
关于博客资源下载说明
(1)第一种是书籍PDF与视频类,全部放在博客分享,觉得对大家学习有帮助的博主会收集好、然后以博主的经验整理分类后排序好分享出来。
(2)第二种是技术性文章与视频,全部放在公众号(网络之路博客)/B站(网络之路Blog)发布,以博主原创为主,主要分享系列为主,由浅入深的带大家了解工作中常用到的一些网络技术,当然也会分享一些比较经典的案例。
(3)分享资源有涉及到您的利益以及版权问题,请联系博主,24小时候内删除。
学习视频系列(总有您想要的)
Book与实验手册(从初级到高级)
数通系列(路由交换 无线、防火墙VPN等)
实战系列(最贴近企业需求的案例)
想第一时间收到最新更新内容吗,点击获取~~~
(广告)博主自主原创最新实战课程
(广告)远程技术支持(设备调试),有搞不定的找我,价格实惠,为您解决实际工作上的问题
