互联网企业网络安全架构系列之五 —— 办公网其它安全

发布时间：2014-08-13 15:58:21作者：知识屋

最近在忙项目，所以好久没写新的东西了。今天投一点空写一点，表示我没有太监。这一篇也写简单点，就当是看提纲吧。

DHCP攻击防御

DHCP Snooping技术，是办公网很多防御策略的根基。接入层开启DHCP Snooping后，会对DHCP报文进行解析，从Request和Response中提取并记录客户端的MAC地址和DHCP Server分配给它的IP地址，形成一个动态的绑定。另外，DHCP Snooping将某个物理端口设置为信任端口，其它为不信任端口，当攻击者伪造DHCP Server试图进行攻击的时候，伪造的Response会被交换机丢弃。最后，根据端口每秒最大DHCP请求报文数量，和解码DHCP请求报文判断客户端MAC地址等内容，DHCP Snooping可以防御客户端大量请求DHCP服务造成DHCP Server拒绝服务的攻击。

2.2.2 ARP欺骗防御

接入层交换机部署思科DAI（Dynamic ARP Inspection）技术，防御ARP欺骗攻击。DAI以上文描述的DHCP Snooping为基础，根据DHCP Snooping中记录的MAC、IP地址动态表对ARP协议做过滤。当客户端发动ARP欺骗攻击时，交换机检测到ARP包中宣告的MAC地址和IP地址匹配情况与DHCP Snooping表中记录的内容不符，则将攻击包丢弃。

2.2.3IP伪装防御

接入层交换机部署IP Source Guard技术防御IP伪装攻击，常见的为SYN Flood。此方案和DAI类似，同样基于DHCP Snooping表对报文进行过滤，不过区别在于IP Source Guard过滤TCP层，UDP层，ICMP层等高层协议报文。

当检测到传输层或者IP层协议中的源IP地址与DHCP Snooping表不符时丢弃报文，拦截伪装IP地址的攻击。同时，可在核心层路由部署URPF（Unicast Reverse Path Forward）策略，辅助接入层的IP Source Guard方案，防止遗漏。

2.2.4CAM表攻击防御

在接入层交换机启用Port Security，设置一个交换机端口可通过的最大MAC数量以及可通过的MAC地址列表，防范伪造大量虚假MAC地址针对交换机CAM表的攻击。同时，对物理端口接入HUB可有效拦截。

2.2.5 PPS限制

对接入层交换机的每个端口做PPS（packets per second）限制，防止DDoS攻击，并可对BT、电驴、电骡之类P2P应用做出一些限制

作者：云舒

（免责声明：文章内容如涉及作品内容、版权和其它问题，请及时与我们联系，我们将在第一时间删除内容，文章内容仅供参考）