返回
DAI、IPSG与园区网IP地址管理.pdf

DAI、IPSG与园区网IP地址管理.pdf

ID:52473134

大小:942.02 KB

页数:3页

时间:2020-03-28

DAI、IPSG与园区网IP地址管理.pdf_第1页
DAI、IPSG与园区网IP地址管理.pdf_第2页
DAI、IPSG与园区网IP地址管理.pdf_第3页
资源描述:

《DAI、IPSG与园区网IP地址管理.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、网络与通信学术探讨2015年第3期DAI、IPSG与园区网IP地址管理薛建曲守宁(济南大学信息网络中心,山东济南250022)[摘要]本文首先介绍了DHCPSnooping、DAI和IPSG的工作原理,然后阐述如何利用这些技术提高园区网IP地址管理的安全性和有效性。[关键词]DHCPSnooping;DAI;IPSG中图分类号:TP393.18文献标识码:A文章编号:1008-6609(2015)03-0071-03MAC地址,这样PC2所有发往网关的流量都会发往了PC1;1引言同样,PC1会发出一个“192.168.0.2isat00dd.f800.0001”的随着DHCP(动态主机配置协议

2、)在园区网中越来越广ARPreply,网关收到后更新自己的ARP表,这样网关所有本泛的应用,伴随而来的IP地址安全性问题也越来越多:私自应该发往PC2的流量就发往了PC1,这样PC2和外部网络的修改IP或MAC地址、私自架设或冒充DHCP服务器、DHCP所有通讯就都会经过PC1。耗竭攻击等,还有园区网原来就固有的ARP欺骗攻击、中间人攻击等。这些问题有些是人为的,而有些是电脑中类似ARP木马导致的。这些问题给园区网的DHCP动态IP地址管理带来了挑战。各网络厂商都开发了许多技术来避免这些问题,其中最有效的当属DHCPsnooping、DAI(DynamicARPInspection)和IPSG

3、(IPSourceGuard)合理地组合使用这些技术,将有效地遏制这些攻击给园区网IP地址管理带来的困扰。图1正常情况下的ARP表2ARP欺骗及中间人攻击的原理ARP(AddressResolutionProtocol)在以太网环境中,用于这时如果PC1同时在本地运行一个报文分析工具窥探解析通讯双方的MAC地址,即将IP“解析”到对应的MAC地PC2发过来的数据,那么就可以在PC2不断网的情况下,窥址。探PC2的上网流量,这就是themaninthemiddle,中间人攻ARP协议基于广播,在设计上有许多漏洞:ARP响应报击。文无需请求即可直接发送;没有确认机制,任何人都可以发典型的发生了AR

4、P欺骗的局域网,其三层交换机的ARP起ARP请求或response,这都给攻击者留下巨大漏洞。表会出现大量IP地址对应一个MAC地址的现象,这个MAC2.1ARP欺骗原理地址就是发起arp欺骗的PC的MAC地址。图1中PC1和PC2在一个VLAN,其网关为192.168.0.254,正常情况下通过showarp(路由器上)和arp–a(PC上)命令显示的各设备的ARP表项如图1,各ARP表都提供了IP地址和MAC地址正确的对应关系。PC1要欺骗PC2(通常情况下PC1是被种ARP欺骗木马),它在没有收到ARPrequest的情况下,直接发出一个“192.168.0.254isat00dd.f8

5、00.0001”的ARPreply,PC2收到图2发生arp欺骗情况下的arp表这个ARP消息后,将更新自己的ARP表项,如图2所示,它的ARP表里网关192.168.0.254的MAC地址已经被改成PC1的3DHCPSnooping原理及对DHCP攻击的防御——————————————作者简介:薛建,男,山东蒙阴人,工程师,本科,研究方向:计算机网络-71-学术探讨网络与通信2015年第3期DHCP监听(DHCPSnooping)是一种DHCP安全特性,容包括了该非信任端口的客户端IP地址、MAC地址、端口目前各大厂商的2层智能交换机普遍提供对DHCPSnooping号、VLAN编号、租期等

6、信息。对于静态指定的服务器地址,的支持。通过启用DHCP监听特性,交换机能够过滤通过交可以手工添加静态绑定。换机的DHCP报文。这个绑定表将非常有用,下面提到的通过DAI来防止在开启了DHCP监听功能的交换机上,可以将交换机的arp欺骗和利用IPSG防止IP及MAC地址盗用就是利用这个端口划分为信任端口(trustedport)和非信任端口(untrusted绑定表。port)。通常我们将DHCP服务器所在的端口(也可能是4DAI原理及其对arp欺骗的防御DHCP服务器所在在方向的trunk端口)设置为信任端口,而DynamicARPInspection(DAI)DAI以DHCPSnoopin

7、g将其它的用户端口都设置成非信任端口,如图3所示:绑定表为基础。配置启用了DAI的交换机在更新自己ARP表或将收到的ARP报文转发出去之前先进行合法性校验,主要看ARP报文中的IP及MAC对应关系是否合法,对于那些不满足IP和MAC地址对应关系的ARP报文进行丢弃,DAI同时也会丢弃那些以太网帧头源MAC与ARPbody里的MAC不一致的非法ARP。根据前述的ARP欺骗的原理,我们看到无论何种类型

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。