Allure

防止DHCP服务被网络攻击的措施有哪些

分享
  • 趣能一姐 2 CISAW安全运维(专业级) 高级信息系统项目管理师
    趣能一姐2 CISAW安全运维(专业级) 高级信息系统项目管理师

    防止DHCP服务被网络攻击的措施有以下这些:

    • 可用DHCP Snooping信任端口技术对DHCP服务器信息来源进行控制。只允许处理信任端口接收的DHCP响应报文,而非信任端口接收到的DHCP响应报文被交换机丢弃,防止DHCP客户端从网络中不可信任的DHCP服务器获取IP配置信息。

    • 可使用ARP入侵检测技术。它根据动态获取的DHCP Snooping表项或静态配置的IP与MAC绑定表项,对非法ARP报文进行过滤,保证接入交换机只传递合法的ARP请求和应答信息。

    • IP过滤技术启用后,交换机可以强制经过某一端口流量的源地址符合动态获取的DHCP Snooping表项或静态配置的IP与MAC绑定表项的记录,防止攻击者通过伪造源地址来实施攻击。此外,该功能也可以防止用户随便指定IP地址,以免造成网络地址冲突等现象。

    • 可使用DHCP报文限速技术,使受到攻击的端口暂时关闭,来避免此类攻击对网络和服务器的冲击。

  • 写回答