宽带接入网常见的攻击及防范

概要：文进行过滤的功能。 在端口上开启该功能后，交换机首先下发ACL规则，丢弃除DHCP报文以外的所有IP报文。(同时，需要考虑DHCP Snooping信任端口功能是否启动。如果没有启动，则丢弃DHCP应答报文，否则，允许DHCP应答报文通过。)接着，下发ACL规则，允许源IP地址为DHCP Snooping表项或已经配置的IP静态绑定表项中的IP地址的报文通过。 交换机对IP报文有两种过滤方式： 根据报文中的源IP地址进行过滤。如果报文的源IP地址、接收报文的交换机端口号与DHCP Snooping动态表项或手工配置的IP静态绑定表项一致，则认为该报文是合法的报文，允许其通过;否则认为是非法报文，直接丢弃。 根据报文中的源IP地址和源MAC地址进行过滤。如果报文的源IP地址、源MAC地址、接收报文的交换机端口号，与DHCP Snooping动态表项或手工配置的IP静态绑定表项一致，则认为该报文是合法的报文，允许其通过;否则认为是非法报文，直接丢弃。 DHCP/ARP报文限速功能 为了防止DHCP报文泛洪攻击，接入交换机支持配置端口上对DHCP/ARP报文的限速功能。开启该功能后，交换机对每秒内该端口接收的DHCP/ARP报文数量进行统计，如果每秒收到的报文数量超过设定值，则认为该端口处于超速状态(即受到攻击)。此时，交换机将关闭该端口，使其不再接收任何报文，从而避免设备受到大量报文攻击而瘫痪。 同时，设备支持配置端口状态自

宽带接入网常见的攻击及防范,http://www.99xxk.com
ARP报文泛洪攻击 
ARP报文泛洪类似DHCP泛洪，同样是恶意用户发出大量的ARP报文，造成L3设备的ARP表项溢出，影响正常用户的转发。 
安全防范 
对于上述的几种攻击手段，H3C接入网解决方案在用户接入侧利用DHCP SNOOPING，提供相应的防范手段。 
DHCP Snooping表项的建立 
开启DHCP Snooping功能后，H3C接入交换机根据设备的不同特点可以分别采取监听DHCP-REQUEST广播报文和DHCP-ACK单播报文的方法来记录用户获取的IP地址等信息。目前，交换机的DHCP Snooping表项主要记录的信息包括：分配给客户端的IP地址、客户端的MAC地址、VLAN信息、端口信息、租约信息。 
IP过滤功能 
IP过滤功能是指交换机可以通过DHCP Snooping表项和手工配置的IP静态绑定表，对非法IP报文进行过滤的功能。 
在端口上开启该功能后，交换机首先下发ACL规则，丢弃除DHCP报文以外的所有IP报文。(同时，需要考虑DHCP Snooping信任端口功能是否启动。如果没有启动，则丢弃DHCP应答报文，否则，允许DHCP应答报文通过。)接着，下发ACL规则，允许源IP地址为DHCP Snooping表项或已经配置的IP静态绑定表项中的IP地址的报文通过。 
交换机对IP报文有两种过滤方式： 
根据报文中的源IP地址进行过滤。如果报文的源IP地址、接收报文的交换机端口号与DHCP Snooping动态表项或手工配置的IP静态绑定表项一致，则认为该报文是合法的报文，允许其通过;否则认为是非法报文，直接丢弃。 
根据报文中的源IP地址和源MAC地址进行过滤。如果报文的源IP地址、源MAC地址、接收报文的交换机端口号，与DHCP Snooping动态表项或手工配置的IP静态绑定表项一致，则认为该报文是合法的报文，允许其通过;否则认为是非法报文，直接丢弃。 
DHCP/ARP报文限速功能 
为了防止DHCP报文泛洪攻击，接入交换机支持配置端口上对DHCP/ARP报文的限速功能。开启该功能后，交换机对每秒内该端口接收的DHCP/ARP报文数量进行统计，如果每秒收到的报文数量超过设定值，则认为该端口处于超速状态(即受到攻击)。此时，交换机将关闭该端口，使其不再接收任何报文，从而避免设备受到大量报文攻击而瘫痪。 
同时，设备支持配置端口状态自动恢复功能，对于配置了报文限速功能的端口，在其因超速而被交换机关闭后，经过一段时间可以自动恢复为开启状态。 
用户隔离 
运营商网络中，通过用户隔离技术可以有效的防范用户间的相互影响，同样也可以避免ARP“中间人”攻击、伪DHCP服务器攻击等。 
通过上述几种技术的配套使用，可以有效的降低在接入网中常见的安全隐患，保障运营商业务的正常运行。
 

上一页  [1] [2]