华为基于dhcp snooping表的各种攻击防御 | 您所在的位置:网站首页 › dhcp哪四种报文 › 华为基于dhcp snooping表的各种攻击防御 |
所有的前提是必须开启了dhcp snooping功能 一、dhcp 饿死攻击: 接口下或vlan下开启 dhcp snooping check dhcp-chaddr enable 开启二层源mac和chaddr一致性检测 dhcp snooping max-user-number 1 接口上手动配置的绑定成员数量(可选择项) dhcp snooping stick-mac mac地址 接口上手动配置, 防止因二层arp欺骗造成的本身就是错的攻击(如果没二层arp攻击可不设置) 二、dhcp防冒dhcp server攻击(私接小路由器发dhcp): dhcp snooping enable 全局下开启 dhcp snooping trusted 上联口开信任 三、防dhcp 中间人攻击 系统视图下执行:arp dhcp-snooping-detect enable 开arp报文和snooping 绑定表匹配检查功能 四、IPSG(防止下面的人手动配置IP) 两种方法,一种手动,一种自动: 静态手动要一条一条的添加: user-bind static ip-address 192.168.1.1 mac-address 555e-5686-8789 interface g0/0/2 valn 动态自动: 端口或vlan下 ip source check user-bind enable 开户dhcp snooping 和ipsg联动功能 |
CopyRight 2018-2019 实验室设备网 版权所有 |