防止 DHCP 服务被网络攻击的措施有哪些


发现错别字 2个月前 提问
回答
1
浏览
199
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
回答数量: 1
CISAW安全运维(专业级) 高级信息系统项目管理师

防止DHCP服务被网络攻击的措施有以下这些:

  • 可用DHCP Snooping信任端口技术对DHCP服务器信息来源进行控制。只允许处理信任端口接收的DHCP响应报文,而非信任端口接收到的DHCP响应报文被交换机丢弃,防止DHCP客户端从网络中不可信任的DHCP服务器获取IP配置信息。

  • 可使用ARP入侵检测技术。它根据动态获取的DHCP Snooping表项或静态配置的IP与MAC绑定表项,对非法ARP报文进行过滤,保证接入交换机只传递合法的ARP请求和应答信息。

  • IP过滤技术启用后,交换机可以强制经过某一端口流量的源地址符合动态获取的DHCP Snooping表项或静态配置的IP与MAC绑定表项的记录,防止攻击者通过伪造源地址来实施攻击。此外,该功能也可以防止用户随便指定IP地址,以免造成网络地址冲突等现象。

  • 可使用DHCP报文限速技术,使受到攻击的端口暂时关闭,来避免此类攻击对网络和服务器的冲击。

回答所涉及的环境:联想天逸510S、Windows 10。

2个月前 / 评论