中國專業(yè)IT外包服務(wù)

加入收藏??

公司微博

網(wǎng)站地圖??

IT外包價格計算器

您當前位置：主頁 > IT服務(wù) > 網(wǎng)絡(luò)服務(wù) >

IP源防攻擊-網(wǎng)絡(luò)運維

2020-05-04 19:33 作者：艾銻無限瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)運維工程師，在網(wǎng)絡(luò)中，存在著大量網(wǎng)絡(luò)攻擊，相對安全就很重要了，這里跟大家介紹一種安全技術(shù)IPSG。

IPSG簡介

定義

IP源防攻擊IPSG（IP Source Guard）是一種基于二層接口的源IP地址過濾技術(shù)，它能夠防止惡意主機偽造合法主機的IP地址來仿冒合法主機，還能確保非授權(quán)主機不能通過自己指定IP地址的方式來訪問網(wǎng)絡(luò)或攻擊網(wǎng)絡(luò)。

目的

隨著網(wǎng)絡(luò)規(guī)模越來越大，通過偽造源IP地址實施的網(wǎng)絡(luò)攻擊（簡稱IP地址欺騙攻擊）也逐漸增多。一些攻擊者通過偽造合法用戶的IP地址獲取網(wǎng)絡(luò)訪問權(quán)限，非法訪問網(wǎng)絡(luò)，甚至造成合法用戶無法訪問網(wǎng)絡(luò)，或者信息泄露。IPSG針對IP地址欺騙攻擊提供了一種防御機制，可以有效阻止此類網(wǎng)絡(luò)攻擊行為。

一個典型的利用IPSG防攻擊的示例如圖1所示，非法主機偽造合法主機的IP地址獲取上網(wǎng)權(quán)限。此時，通過在設(shè)備的接入用戶側(cè)的接口或VLAN上部署IPSG功能，設(shè)備可以對進入接口的IP報文進行檢查，丟棄非法主機的報文，從而阻止此類攻擊。

圖1 IPSG典型防攻擊示例圖

基本原理

IPSG利用綁定表（源IP地址、源MAC地址、所屬VLAN、入接口的綁定關(guān)系）去匹配檢查二層接口上收到的IP報文，只有匹配綁定表的報文才允許通過，其他報文將被丟棄。

綁定表如圖2所示，包括靜態(tài)和動態(tài)兩種。

圖2綁定表

綁定表生成后，主機發(fā)送的報文，只有匹配綁定表才會允許通過，不匹配綁定表的報文都將被丟棄。缺省情況下，如果在沒有綁定表的情況下使能了IPSG，設(shè)備將拒絕除DHCP請求報文外的所有IP報文。

IPSG原理圖3所示，非法主機仿冒合法主機的IP地址發(fā)送報文到達Router后，因報文和綁定表不匹配被Router丟棄。

圖3 IPSG實現(xiàn)原理圖

IPSG中的接口角色

IPSG僅支持在二層物理接口或者VLAN上應(yīng)用，且只對使能了IPSG功能的非信任接口進行檢查。對于IPSG來說，缺省所有的接口均為非信任接口，信任接口由用戶指定。IPSG的信任接口/非信任接口也就是DHCP Snooping中的信任接口/非信任接口，信任接口/非信任接口同樣適用于基于靜態(tài)綁定表方式的IPSG。

IPSG中各接口角色如圖4所示。其中：

· IF1和IF2接口為非信任接口且使能IPSG功能，從IF1和IF2接口收到的報文會執(zhí)行IPSG檢查。

· IF3接口為非信任接口但未使能IPSG功能，從IF3接口收到的報文不會執(zhí)行IPSG檢查，可能存在攻擊。

· IF4接口為用戶指定的信任接口，從IF4接口收到的報文也不會執(zhí)行IPSG檢查，但此接口一般不存在攻擊。在DHCP Snooping的場景下，通常把與合法DHCP服務(wù)器直接或間接連接的接口設(shè)置為信任接口。

圖4 IPSG中的接口角色示意圖

艾銻無限科技專業(yè)：IT外包、企業(yè)外包、北京IT外包、桌面運維、弱電工程、網(wǎng)站開發(fā)、wifi覆蓋方案,網(wǎng)絡(luò)外包,網(wǎng)絡(luò)管理服務(wù),網(wǎng)管外包,綜合布線,服務(wù)器運維服務(wù),中小企業(yè)it外包服務(wù),服務(wù)器維保公司,硬件運維,網(wǎng)站運維服務(wù)

以上文章由北京艾銻無限科技發(fā)展有限公司整理

分享到:

上一篇：DHCP Snooping-網(wǎng)絡(luò)運維

下一篇：數(shù)據(jù)中心網(wǎng)絡(luò)特征- IT網(wǎng)絡(luò)運維

相關(guān)文章