在某些网络环境中还会用到DHCP服务、组播等应用，这都给那些别有用心的人带来了新的机会，他们可以通过各种方式对网络进行攻击，以扰乱合法用户的正常上网和业务使用，还可能对网络设备进行攻击。

    下面分别介绍几种防范的方式：防DHCP攻击、端口安全、组播源端口检查、授权IP管理；

    一、防DHCP攻击

    DHCP攻击一般可以分为2种：

    恶意用户通过更换MAC地址的方式向DHCP Server发送大量的DHCP请求，以消耗DHCP Server可分配的IP地址为目的，使得合法用户的IP请求无法实现；

   

    伪装DHCP Server，为合法用户的IP请求分配不正确的IP地址、网关、DNS等错误信息，不仅影响合法用户的正常通讯，还导致合法用户的信息都发往非法DHCP Server，严重影响合法用户的信息安全。

   

    针对这2种攻击，锐捷网络锐捷网络通过DHCP Relay来指定合法DHCP Server的IP地址，再利用扩展ACL对DHCP的请求报文和响应报文进行控制，在DHCP客户端只允许发送DHCP请求报文，不允许发送DHCP响应报文，在DHCP服务端，只允许特定的服务器IP地址发送响应报文。

    下例显示的是合法DHCP服务器地址为192.168.0.250，客户端联在交换机的0/1-0/23端口，DHCP服务器联在交换机的0/24端口，如何防范DHCP攻击的配置：
    Switch(config)#service dhcp
    Switch(config)#ip helper-address 192.168.0.250
    Switch(config)#ip access-list extended dhcp-client
    Switch(config-ext-nacl)#deny udp any eq 67 any eq 68
    Switch(config-ext-nacl)#permit ip any any
    Switch(config)#ip access-list extended dhcp-server
    Switch(config-ext-nacl)#permit udp host 192.168.0.250 eq 67 any eq 68
    Switch(config-ext-nacl)#deny udp any eq 67 any eq 68
    Switch(config-ext-nacl)#permit ip any any
    Switch(config)#interface range fastEthernet 0/1-23
    Switch(config-if-range)#ip access-group dhcp-client in
    Switch(config)#interface fastEthernet 0/24
    Switch(config-if)#ip access-group dhcp-server in
    Switch#sh ip access-lists

    Extended IP access list: dhcp-client
        deny udp any eq bootps any eq bootpc
        permit ip any  any
    Extended IP access list: dhcp-server
        permit udp host 192.168.0.250 eq bootps any eq bootpc
        deny udp any eq bootps any eq bootpc
        permit ip any  any
    Switch#sh ip access-group
    Interface  inbound access-list              outbound access-list
    ---------- -------------------------------- --------------------------------
    Fa0/1      dhcp-client
    ……
    Fa0/23     dhcp-client
    Fa0/24     dhcp-server

[1] [2] [3] [4] 下一页