IP源防攻擊-網絡運維
2020-05-04 19:33 作者:艾銻無限 瀏覽量:
大家好,我是一枚從事IT外包的網絡運維工程師,在網絡中,存在著大量網絡攻擊,相對安全就很重要了,這里跟大家介紹一種安全技術IPSG。
IPSG簡介
定義
IP源防攻擊IPSG(IP Source Guard)是一種基于二層接口的源IP地址過濾技術,它能夠防止惡意主機偽造合法主機的IP地址來仿冒合法主機,還能確保非授權主機不能通過自己指定IP地址的方式來訪問網絡或攻擊網絡。目的
隨著網絡規模越來越大,通過偽造源IP地址實施的網絡攻擊(簡稱IP地址欺騙攻擊)也逐漸增多。一些攻擊者通過偽造合法用戶的IP地址獲取網絡訪問權限,非法訪問網絡,甚至造成合法用戶無法訪問網絡,或者信息泄露。IPSG針對IP地址欺騙攻擊提供了一種防御機制,可以有效阻止此類網絡攻擊行為。一個典型的利用IPSG防攻擊的示例如圖1所示,非法主機偽造合法主機的IP地址獲取上網權限。此時,通過在設備的接入用戶側的接口或VLAN上部署IPSG功能,設備可以對進入接口的IP報文進行檢查,丟棄非法主機的報文,從而阻止此類攻擊。
圖1 IPSG典型防攻擊示例圖
基本原理
IPSG利用綁定表(源IP地址、源MAC地址、所屬VLAN、入接口的綁定關系)去匹配檢查二層接口上收到的IP報文,只有匹配綁定表的報文才允許通過,其他報文將被丟棄。綁定表如圖2所示,包括靜態和動態兩種。
圖2綁定表
IPSG原理圖3所示,非法主機仿冒合法主機的IP地址發送報文到達Router后,因報文和綁定表不匹配被Router丟棄。
圖3 IPSG實現原理圖
IPSG中的接口角色
IPSG僅支持在二層物理接口或者VLAN上應用,且只對使能了IPSG功能的非信任接口進行檢查。對于IPSG來說,缺省所有的接口均為非信任接口,信任接口由用戶指定。IPSG的信任接口/非信任接口也就是DHCP Snooping中的信任接口/非信任接口,信任接口/非信任接口同樣適用于基于靜態綁定表方式的IPSG。IPSG中各接口角色如圖4所示。其中:
· IF1和IF2接口為非信任接口且使能IPSG功能,從IF1和IF2接口收到的報文會執行IPSG檢查。
· IF3接口為非信任接口但未使能IPSG功能,從IF3接口收到的報文不會執行IPSG檢查,可能存在攻擊。
· IF4接口為用戶指定的信任接口,從IF4接口收到的報文也不會執行IPSG檢查,但此接口一般不存在攻擊。在DHCP Snooping的場景下,通常把與合法DHCP服務器直接或間接連接的接口設置為信任接口。
圖4 IPSG中的接口角色示意圖
艾銻無限科技專業:IT外包、企業外包、北京IT外包、桌面運維、弱電工程、網站開發、wifi覆蓋方案,網絡外包,網絡管理服務,網管外包,綜合布線,服務器運維服務,中小企業it外包服務,服務器維保公司,硬件運維,網站運維服務
以上文章由北京艾銻無限科技發展有限公司整理
相關文章
IT電腦維護外包
關閉