网络安全——局域网内网络防范手段（MAC地址攻击、ARP攻击、DHCP攻击）

今天给大家介绍一下局域网内的网络攻击手段的防范手段。主要是依托华为交换机和路由器配置，介绍MAC地址攻击、ARP攻击、DHCP攻击等攻击的防范。本文会把华为交换机系列防御配置命令进行介绍，适合对局域网攻击和防御技术感兴趣的同学，阅读文本，您需要对局域网交换和通信过程有基本的认识和了解。
阅读本文前，您可以先查阅这篇文章——网络安全——局域网内网络攻击手段（MAC地址攻击、ARP攻击、DHCP攻击）本文就是以该文章为脉络，针对上述文章中提到的攻击技术手段进行防御方面的介绍。

一、MAC地址攻击防范技术

MAC地址攻击主要目的是攻击交换机MAC地址表，使其学习到错误的MAC地址，从而造成数据包的错误转发，或者是对其进行流量攻击，瘫痪其正常功能，进而中断网络链接。
MAC地址攻击主要有MAC地址欺骗攻击和MAC地址洪范攻击。
要防范MAC地址攻击，可以借助华为交换机中端口安全相关命令。
在交换机接口上，执行命令：

port-security enable

可以打开端口下端口安全功能，该命令是其他后续命令的基础。
执行命令：

port-security  max-mac-num  2

可以限制该端口学习到的MAC地址数量，在上述命令中，该端口只能学习到2条MAC地址，如果还有其他MAC地址的报文，则不会对其进行学习和处理。
执行命令：

port-security  mac-address sticky

可以将学习到的MAC地址粘贴到配置上，在保存后，即使设置掉电重启依然存在，该命令适合于交换机端口总是接固定主机的情景。
执行命令：

port-security  protect-action shutdown

可以配置在接口上收到违反上述配置的数据包的处理方式，一共有三种处理方式，shutdown表示关闭端口，protect表述丢弃数据包，restrict表示丢弃数据包并且告警。
除了这些配置之外，还可以配置静态MAC地址表，设置IPSG等，也会对MAC地址攻击有有一定的效果。

二、IP欺骗攻击技术

针对IP欺骗攻击，主要是检查数据包源IP地址是否是合法的IP地址。什么样子的是合法的IP地址呢？如果网络内运行了DHCP服务，那么通过DHCP服务申请的IP地址就是合法的IP地址，如果网络中没有DHCP服务，华为系列交换机也支持通过手工的方式配置IP地址。
IP欺骗攻击，可以采用IPSG手段来进行防护，所谓IPSG，就是IP Source Gaurd，IP源防护的简称。IPSG配置相关命令如下：
在接口模式下，执行命令：

ip source check user-bind enable

可以开启接口的IPSG功能，该命令是下面所有配置和命令的基础。
在全局模式下，执行命令：

user-bind static ip-address 192.168.1.1 mac-address aabb-3344-5566 interface GigabitEthernet0/0/1 vlan 20

就可以配置一条静态的IPSG表项，凡是符合该表项的数据包就认为合法，不符合该表项的数据包就认为不合法。上述配置会生成一个MAC地址、IP地址、VLAN和入接口的肆元表项，也支持配置其中部分内容。
在全局模式下，执行命令：

dhcp
dhcp snooping  enable

然后在接口上执行命令：

dhcp snooping  enable

可以将该接口使能DHCP绑定，根据DHCP报文内容，自动生成上述绑定表项。

三、DHCP攻击防范技术

在上一章节中，已经介绍了一部分DHCP攻击防范的内容了，除了上述内容之外，还可以配置DHCP信任端口，该端口一般配置在与DHCP服务器之间相连的端口，该端口不会对报文进行检查，并且非信任端口如果收到DHCP OFFER和DHCP REQUEST报文后也会直接丢弃，这样就避免了其他端口的机器冒充DHCP服务器发起攻击了。
DHCP信任端口配置需要执行下列命令：
在全局模式上：

dhcp
dhcp snooping  enable

在端口模式上：

dhcp snooping trusted

四、ARP攻击防范技术

ARP攻击也是局域网中常见的攻击手段，针对ARP攻击的防范手段，也是华为系列设备的常用配置命令之一。
针对ARP洪范攻击，可以采取ARP限速的方式进行防范
执行命令：

arp anti-attack rate-limit enable
arp anti-attack rate-limit 100 5
arp anti-attack rate-limit alarm enable
arp anti-attack rate-limit alarm threshold 200

可以配置ARP限速，上述第一条命令是开启ARP限速，第二条命令限制了ARP在5s内最多发送100个，第三条命令开启了超过ARP限速阈值后，会开启预警，第四条命令则规定了只有在收到200条后开进行告警。
上述命令如果配置在接口上，将在接口上开启ARP限速功能，如果配置在全局模式上，将在全局模式下开启限速功能。
针对ARP欺骗攻击，可以采取检查ARP报文中源MAC地址和ARP报文链路层源MAC地址的方式进行防御。
执行命令：

arp anti-attack packet-check sender-mac

该命令的执行也可以在接口或者全局模式下，并且执行后的效果与上相同。
针对局域网内的网络攻击方式，本文介绍了局域网内常见的防御手段，须知，还有很多其他的手段和配置，本文更多的是介绍防御的思想和原理。
原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200/article/details/118528684