@Allure
2年前 提问
1个回答
防止DHCP服务被网络攻击的措施有哪些
趣能一姐
2年前
防止DHCP服务被网络攻击的措施有以下这些:
可用DHCP Snooping信任端口技术对DHCP服务器信息来源进行控制。只允许处理信任端口接收的DHCP响应报文,而非信任端口接收到的DHCP响应报文被交换机丢弃,防止DHCP客户端从网络中不可信任的DHCP服务器获取IP配置信息。
可使用ARP入侵检测技术。它根据动态获取的DHCP Snooping表项或静态配置的IP与MAC绑定表项,对非法ARP报文进行过滤,保证接入交换机只传递合法的ARP请求和应答信息。
IP过滤技术启用后,交换机可以强制经过某一端口流量的源地址符合动态获取的DHCP Snooping表项或静态配置的IP与MAC绑定表项的记录,防止攻击者通过伪造源地址来实施攻击。此外,该功能也可以防止用户随便指定IP地址,以免造成网络地址冲突等现象。
可使用DHCP报文限速技术,使受到攻击的端口暂时关闭,来避免此类攻击对网络和服务器的冲击。