dhcp                                                                                       
中继
service dhcp
ip dhcp relay information option
ip routing
int vlan 1
ip helper-address XXXX
server
service dhcp
ip dhcp relay information option
ip dhcp pool pool
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
exit
ip dhcp excluded-address 192.168.1.1 192.168.1.30
交换网络中的DHCP攻击与防范
(1)DHCP server的冒充
(2)DHCP server的DoS攻击
(3)静态指定IP地址的问题
防范
(1)port security
switchport port-security maximun X(没有为一台)
switchport port-security mac-address sticky(粘,可静态绑)
switchport port-security violation {protect/restrict/shutdown}
(2)dhcp snooping
将交换机端口分为trust、untrust端口,交换机会侦听来自untrust端口的每个dhcp包的内容,untrust端
口发送DHCP请求过多或DHCP offer、ACK等信息都会被丢弃,从而防止DHCP server的冒充和DoS攻击,同
时会生成一个关于端口、IP、MAC等相关信息的DHCP snooping binding表,这些信息都是从trust端口动
态学习到的。
ip dhcp snooping
ip dhcp snooping vlan 1-3
int g0/1
ip dhcp snooping trust
int g0/2-24
no ip dhcp snooping trust
ip dhcp snooping limit rate 10
利用dhcp snooping binding表的信息,检查交换机端口上所有过滤的流量,可以检测IP地址mac地址是否
为DHCP server 全法分配的,不是则丢弃此数据
int range g0/2 - 24
ip verify source
ARP攻击:利用ARP表更新的原理,对ARP表进行毒化,影响数据帧的封装,从而达到man-in-the-middle攻
击的目的窃取他人通信数据
ARP攻击防范:使用动态ARP检测机制检测ARP包中的内容并结合匹配DHCP snooping binding表的内容看
ARP中的IP与MAC对应关系是否与表相同,不同则丢弃该ARP包
ip arp inspection vlan 1 -3
int g0/1
ip arp inspection trust