今天在网上找了篇关于IPSG和DAI的文章,感觉挺不错的,还是感觉这两个功能差不多,具体的功能差异还得仔细整整。

IPSG即IP源保护,

DAI即动态ARP检测

这2项技术部署的前提是DHCPSnooping

2种技术都是2层技术。区别可以从他们的名字中看出来,分别用于防范不同的攻击类型:

IPSG用于同一个网络中,其他主机盗用自己的IP地址。如果配置了IPSG,那么每个端口只能有一个IP地址,就算你的主机关机了,但是只要别人没有占用你的端口,就不能用你的IP地址。这是一个很好的防止内部网络乱改IP的技术。默认IPSG只以源IP地址为条件过滤IP包,如果加上以源MAC地址为条件过滤的话,必须开启DHCP SNOOPING INFORMAITON OPTION 82功能。

DAI主要是防范中间人攻击的,中间人他并不会抢占别人的IP,而是通过arp欺骗,引导2层数据流从自己这里经过,从而可以截获他人信息。DAI利用snooping表中的端口和MAC项,来过滤非法的ARP应答,保证ARP请求可以得到正确的应答。

这样可以看出,2项技术是针对不同需求的,为了网络更加安全,建议都要配置。呵呵

启用这2项后,可能对交换机的CPU资源有一定影响,我们暂时使用没有太大问题,就是交换机重启时间要慢一些。(读取DHCPSnooping表项会占用时间),若有问题可以考虑将snooping表放到外部服务器上。

ip dhcp snooping database flash:dhcpsnooping.text ,将 flash:dhcpsnooping.text 改为你服务器的目录即可,当然前提是要保证网络可达性!

相关配置:

----------------------------------------------------------------------------------------------------------------------------

1、启用DHCP SNOOPING

全局命令:
ip dhcp snooping vlan 10,20,30
no ip dhcp snooping information option
ip dhcp snooping database flash:dhcpsnooping.text  //将snooping表保存到单独文档中,防止掉电后消失。
ip dhcp snooping

接口命令:
ip dhcp snooping trust //将连接DHCP服务器的端口设置为Trust,其余unTrust(默认)

2、启用DAI,防止ARP欺骗和中间人攻击!通过手工配置或者DHCP监听snooping,交换机将能够确定正确的端口。如果ARP应答和snooping不匹配,那么它将被丢弃,并且记录违规行为。违规端口将进入err-disabled状态,攻击者也就不能继续对网络进行进一步的破坏了!

全局命令
ip arp inspection vlan 30

接口命令(交换机之间链路配置DAI信任端口,用户端口则在默认的非信任端口):
ip arp inspection trust
ip arp inspection limit rate 100

3、启用IPSG

前提是启用IP DHCP SNOOPING,能够获得有效的源端口信息。IPSG是一种类似于uRPF(单播反向路径检测)的二层接口特性,uRPF可以检测第三层或路由接口。

接口命令:

switchport mode acc

switchport port-security
ip verify source vlan dhcp-snooping port-security

4、关于几个静态IP的解决办法

可通过ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1 interface gi0/8

通过arp access-list添加静态主机:
arp access-list static-arp
permit ip host 192.168.1.1 mac host 0000.0000.0003
ip arp inspection filter static-arp vlan 30

DHCP 中绑定固定IP:
ip dhcp pool test
host 192.168.1.18 255.255.255.0 (分给用户的IP)
client-identifier 0101.0bf5.395e.55(用户端mac)
client-name test

总结

--------------------------------------------------------------------------------------------------------------------------------

DAI仅检测和处理ARP报文而非所的数据包,如要防止IP源欺骗攻击则还需要通过Source Guard来实现。

DAI的特点
1、在配置 DAI技术的接口上,用户端不能采用指定地址地址将接入网络。
2、 由于 DAI检查 DHCP snooping绑定表中的IP和MAC对应关系,无法实施中间人攻击,攻击工具失效。
3、 由于对 ARP请求报文做了速度限制,客户端无法进行认为或者病毒进行的IP扫描、探测等行为,如果发生这些行为,交换机马上报警或直接切断扫描机器。
4、用户获取 IP地址后,用户不能修改IP或MAC,如果用户同时修改IP和MAC必须是网络内部合法的IP和MAC才可,对于这种修改可以使用下面讲到的 IP Source Guard技术来防范。

IPSG的特点
1、IP Source Guard 使用 DHCP sooping 绑定表信息。
2、配置在交换机端口上,并对该端口生效。
3、 运作机制类似 DAI,但是 IP Source Guard不仅仅检查ARP报文,所有经过定义IP Source Guard检查的端口的报文都要检测。
4、IP Source Guard检查 接口 所通过的流量的IP地址和MAC地址是否在DHCP sooping绑定表,如果不在绑定表中则阻塞这些流量。注意如果需要检查MAC需要DHCP服务器支持Option 82,同时使路由器支持Option 82信息。
5、 可以过滤掉非法的 IP地址,包含用户故意修改的和病毒、攻击等造成的。
6、解决 IP地址冲突问题。
7、 提供了动态的建立 IP+MAC+PORT的对应表和绑定关系,对于不使用DHCP的服务器和一些特殊情况机器可以采用利用全局命令静态手工添加对应关系到绑定表中。
8、 配置 IP Source Guard的接口初始阻塞所有非DHCP流量。

----------------------------------------------------------------------------------------------------------------------------

其它:

IP Source Guard是一种基于IP/MAC的端口流量过滤技术,它可以防止局域网内的IP地址欺骗攻击。交换机内部有一个IP source binding table作为每个端口接受到的数据包的检测标准,只有在两种情况下,交换机会转发数据——或者所接收到的IP包满足IP source binding table中port/IP/MAC的对应关系,或者是接收到的是DHCP数据包,其余数据包将被交换机做丢弃处理。IP source binding table可以由用户在交换机上静态的配置,也可以由交换机从DHCP Snooping自动学习获得。静态配置是一种简单而固定的方式,灵活性很差,因此Cisco建议用户最好结合DHCP Snooping使用IP Source Guard,由DHCP Snooping Binding Database生成IP source binding table。

以DHCP Snooping为前提讲一下IP Source Guard技术的原理。在这种环境下,连接在交换机上的所有PC都配置自动获取IP,PC作为DHCP Client通过广播发送DHCP Request,DHCP server将含有IP地址信息的DHCP Reply通过单播的方式发送给DHCP Client,交换机作为连接DHCP Server和DHCP Client的中介,从经过其的DHCP Request和DHCP Reply数据包中提取关键信息(包括IP Address,MAC Address, Vlan ID, Port,Released Time等)并把这些信息保存到DHCP Snooping Binding Database中,并由此生成IP source binding table,IOS根据这个表里面的内容把ACL应用到各个对应的端口,由ACL来过滤所有IP流量。PC没有发送DHCP Request时,PC连接的交换机端口默认时拒绝除了DHCP之外的所有数据的,因此PC使用的静态IP是无法连接网络的。PC发送DHCP Request之后,交换机对PC连接的端口进行了IP/MAC/Port的绑定,仅仅只有指定的IP能够连接网络,PC将自己的IP伪装成其他主机的。如果DHCP Server设定了MAC/IP的对应关系,那么每个PC的IP也就因此固定了,这是一种比较好的局域网IP地址解决方案。另外,由于IOS会对端口接收到的DHCP数据包进行处理,如果恶意的PC发送大量的DHCP包让交换机处理发动DOS攻击,会造成交换机的资源耗尽,考虑到这一点,IOS默认每个端口每秒钟最多能接收1500个DHCP数据包。

实施DAI后的效果
在配置 DAI技术的接口上,如果没有进行静态绑定,用户端不能采用指定静态地址的方式将接入网络。 
由于 DAI检查 DHCP snooping绑定表中的IP和MAC对应关系,无法实施中间人攻击,攻击工具失效。
下表为实施中间人攻击是交换机的警告: 
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16, 
vlan 1.([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2 
由于对 ARP请求报文做了速度限制,客户端无法进行认为或者病毒进行的IP扫描、探测等行为,如果发生这些行为,
交换机马上报警或直接切断扫描机器。如下表所示: 
3w0d: %SW_DAI-4-PACKET_RATE_EXCEEDED: 16 packets received in 184 milliseconds on Fa5/30. ******报警 
3w0d: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa5/30, putting Fa5/ 30 in err-disable state ******切断端口 
I49-4500-1#.....sh int f.5/30 
FastEthernet5/30 is down, line protocol is down (err-disabled) 
Hardware is Fast Ethernet Port , address is 0002.b90e .3f 4d (bia 0002.b90e .3f 4d) 
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, 
reliability 255/255, txload 1/255, rxload 1/255 
I49-4500-1#...... 
用户获取 IP地址后,用户不能修改IP或MAC,如果用户同时修改IP和MAC必须是网络内部合法的IP和MAC才可,
对于这种修改可以使用下面讲到的 IP Source Guard技术来防范。下表为手动指定IP的报警: 
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/30, 
vlan 1.([000d.6078.2d95/192.168.1.100/0000.0000.0000/192.168.1.100/01:52:28 UTC Fri Dec 29 2000 ])

IPSG和DAI的区别及配置相关推荐

  1. IP安全讲解(DHCP Snooping、IPSG、DAI)

    目录 DHCP Snooping 与DHCP Snooping联动技术 IP源防攻击技术(IPSG) 动态ARP检测技术(DAI) 配置DHCP Snooping DHCP Snooping DHCP ...

  2. 【Web网站服务器开发】Apache 和 Tomcat的区别及配置

    Apache 和 Tomcat 都是web网络服务器,两者既有联系又有区别,在进行HTML.PHP.JSP.Perl等开发过程中,需要准确掌握其各自特点,选择最佳的服务器配置. apache是web服 ...

  3. STM32 USB VCOM和HID的区别,配置及Echo功能实现(HAL)

    STM32 USB VCOM和HID的区别,配置及Echo功能实现(HAL ) STM32的USB功能模块可以配置为虚拟串口(VCOM: Visual Port Com)或人机交互设备(HID: Hu ...

  4. 小米12SUltra和小米11SUltra有什么区别 两者配置对比

    小米12SUltra作为小米推出的拍照旗舰,在这次的配置上十分强大,除了有接近一英寸大底外,而且顶端期间配置的,他基本都有,但如果和去年的老旗舰小米11SUltra相对比,小米12SUltra和小米1 ...

  5. 华为STP、RSTP、MSTP区别及配置

    STP:生成树协议 作用:逻辑上断开环路,防止广播风暴的产生,当线路故障,阻塞接口被激活,恢复通信,起到备份线路作用 生成树算法: 1.每个广播域选择根网桥RootBridge 2.每个非根网桥选择根 ...

  6. linux:ntpdate和ntpd的区别以及配置使用

    ntpd.ntpdate的区别 使用之前得弄清楚一个问题,ntpd与ntpdate在更新时间时有什么区别.ntpd不仅仅是时间同步服务器,他还可以做客户端与标准时间服务器进行同步时间,而且是平滑同步, ...

  7. 小米12S Pro和小米12Pro天玑版区别 两者配置对比

    机身规格以及定价 小米12S Pro:长宽厚为163.6x74.6x8.16mm,重量204克:共有4个存储版本,定价为8+128G/256G版本/12+256G/512G版本对应4699/4999/ ...

  8. 正向代理和反向代理的区别Nginx配置虚拟主机流程(后续更新)

    目录 目标 安装Nginx 配置虚拟主机 准备 方法一 方法二(推荐) 验证虚拟主机 正向代理和反向代理的区别 区别&案例 正向代理和反向代理流程 目标 熟练在Linux安装单机Nginx: ...

  9. 什么是路由策略?路由策略和策略路由有什么区别? 如何配置路由策略?

    对于IP网络工程师来说,路由策略的部署随处可见,无论在运营商IP网络还是在企业网中,路由策略的应用都是非常普遍的.同时,在网络规划中,路由策略的规划也是一个核心的内容.为了方便大家更好的掌握和应用路由 ...

最新文章

  1. 从大型主机到个人计算机:机器人产业可以从pc普及革命中学到什么?
  2. spring_Spring MVC控制器的单元测试:配置
  3. 046_Timeline时间线
  4. 【Machine Learning in Action --3】决策树ID3算法
  5. SPOJ Python Day2: Prime Generator
  6. STL源码剖析 queue队列概述
  7. NBear.Mapping使用教程(5):实体对象与NameValueCollection,Dicitonary以及NBear.Mapping性能
  8. 西瓜书+实战+吴恩达机器学习(二一)概率图模型之贝叶斯网络
  9. Haproxy+keepalived高可用集群实战
  10. English vocabulary-1
  11. LPC11XX驱动LCD1602程序
  12. 混合开发Ionic+angular快速开发App
  13. 10098 - Generating Fast
  14. 打开计算机不显示硬盘盘符,电脑硬盘不显示盘符怎么办 移动硬盘不显示盘符的原因...
  15. java实现日期转中文大写形式
  16. C Primer Plus 第02章 C语言概述 学习笔记及复习题、编程题解答
  17. 闵梓轩大佬のnoip模拟题D1 总结 2017/10/26
  18. 看个视频就可以日进斗金!Reaction网红,了解一下
  19. python数据工程师养成(1)--小说字频统计
  20. Bing必应(Yahoo雅虎)搜索引擎登录网站 - Blog透视镜

热门文章

  1. 如何用Serverless实现视频剪辑批量化、自动化与定制化
  2. 大学“电路分析基础”考试必备试题合集第九章
  3. MS17-010 EternalBlue SMB Remote Windows Kernel Pool Corruption
  4. 所见即所得:8款实用HTML5开发框架
  5. Hermit间谍软件“入侵”Android和iOS,你的手机还安全吗?
  6. 基于用户标签的活跃人群特征分析_用户特征分析(行为分析是关键)
  7. 计算机试题新编实训,计算机实训报告.doc
  8. 高并发专题--高并发一篮子解决方案
  9. 传奇正传不显示服务器,传奇正传176服务端
  10. 使用电子邮件定制程序插件创建品牌的WooCommerce电子邮件