ARP攻击,DOS攻击,非法DHCPSever

linker14年前 (2007-05-06)系统安全239
1. 防止ARP攻击
防止ARP攻击可以使用ip捆绑技术。
动态捆绑IP地址,可以使用DHCP服务器来绑定用户网卡MAC地址和IP地址,再根据不同IP设定权限。
静态捆绑IP地址“192.168.120.59”与MAC地址为“00-50-ff-6c-08-75”,单击“开始→运行”并在打开的“运行”窗口中敲入“cmd”打开命令行窗口,然后输入以下命令:
捆绑:arp -s 192.168.10.59 00-50-ff-6c-08-75
解除捆绑:arp -d 192.168.10.59
2. 防止DOS攻击
逆 向转发(RPF),该功能用来检查路由器接口所接收到的每一个数据包。如果路由器接收到一个源IP地址为10 10.10.1的数据包,但是CEF(Cisco Express Forwarding)路由表中没有为该IP地址提供任何路由信息,路由器就会丢弃该数据包,因此逆向转发能够阻止Smurf攻击和其他基于IP地址伪装 的攻击。使用RPF功能需要将路由器设为快速转发模式(CEF switching),并且不能将启用RPF功能的接口配置为CEF交换。
3. 防止非法DHCPServer
将交换机上的信任接口和非信任的分开。信任的被允许响应DHCP请求,非信任则不然。交换机跟踪非信任端口的DHCP绑定,并将DHCP消息限制在一定速率内
启用DHCP偷窥
Switch(config)#ip dhcp snooping
针对VLAN必须启用DHCP偷窥
Switch(config-if)#ip dhcp snooping vlan number
在接口级设置信任端口
Switch(config-if)#ip dhcp snooping trust
对非信任端口速率限制
Switch(config-if)#ip dhcp snoping limit rate [rate]
在交换机端口有多个系统(通过交换机等)DHCP偷窥不是很有用
DHCP VACL可规定那些地址能发送DHCP回复,过滤其他的DHCP回复
配置命令:
set security acl ip ROGUE-DHCP permit udp host 192.0.2.1 any eq 68
set security acl ip ROGUE-DHCP permit udp host 10.1.1.99 any eq 68
set security acl ip ROGUE-DHCP deny udp any eq 68
set security acl ip ROGUE-DHCP permit ip any eq 68
该配置192.0.2.1 10.1.1.99 可通过

相关文章

安全检测 三款SQL INJECTION 攻击检测工具

在安全方面来说,现在一般都是以防为先;因此,在防之前,有安全检测工具提供检测记录,能够根据检测记录做出安全防护优化改进,对于有可能出现的安全风险,做出估算,对于可能出现的攻击,做出拦截计划;这一切对于...

技术分析流氓软件及反流氓软件

 流氓软件的技术五花八门,任何一项功能都有可能成为流氓技术,就象武器,用好了可以伸张正义,用歪了却成为罪恶的帮凶。首先从win32下的一些流氓着数分析开始:1。我想做为一个流氓软件,首先要做...

黑客如何查找网络安全漏洞

电脑黑客们总是希望知道尽可能多的信息,比如:是否联网、内部网络的架构以及安全防范措施的状态。一旦那些有经验的黑客盯上了你的网络系统,他们首先会对你的系统进行 分析。这就是为什么我们说运用黑客的“游戏规...

灰鸽子并未退出江湖,新版本采用进程内容替换和进程监视技术

新闻来源:铁军的杀毒博客继灰鸽子木马宣称退出江湖之后的一段时间内,金山反病毒中心截获的灰鸽子相关病毒,主要是以加壳做免杀为主。上周末,金山反病毒中新截获一重大变化的灰鸽子新变种,证实灰鸽子并未退出江湖...

在win专业版下开3389

在win2000 Professional版中安装3389终端服务 众所周知windows2000 profassional并不支持3389终端服务,所以我们如果发现得到管理员密码的肉机是此版本...

图片病毒技术的内幕

  一、被诅咒的油画  在网络上流传着一幅诡异的油画,据说很多人看后会产生幻觉,有人解释为油画的构图色彩导致的视觉刺激,也有人认为是心理作用,众说纷纭,却没有令人信服的答案。在网络公司上班的秘书小王也...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。