探索接入交换机上的常见攻击和防御。

使用接入交换机仍有许多值得学习的地方。在这里，我们将重点关注接入交换机上的常见攻击和防御。
在DHCPSnooping条目或静态链接表中找不到ARP数据包的实际IP地址。DHCP查询表项或静态链表不接收ARP报文的源IP地址和源MAC地址。
为了允许上行端口接收的ARP请求和响应报文通过ARP入侵检测问题，接入交换机可以配置可靠的ARP端口来控制ARP报文检测功能。
并非检测到来自可信端口的所有ARP数据包。检查DHCPSnooping表或手动配置的静态链接表时，会检测来自其他端口的ARP数据包。
IP过滤
IP过滤功能用于通过DHCP查询条目和手动配置的静态IP链路表过滤恶意IP数据包。
在端口上启用此功能后，接入交换机会发送ACL规则以丢弃除DHCP消息之外的所有IP数据包。
（同时，有必要考虑是否启用了DHCPSnooping信任端口功能。
如果未启用，则会丢弃DHCP回复数据包。否则，可以传递DHCP回复数据包。
接下来，ACL配置为允许具有源IP地址的数据包是DHCP查询条目的IP地址或配置的IP地址的链接地址。
交换机有两种IP数据包过滤方法。
根据包中的源IP地址进行过滤。
如果数据包的源IP地址和接收数据包的接入交换机端口号与静态链接输入DHCP或手动设置的静态链接输入相同，则该数据包被视为有效数据包。它被认为是非法的并且被直接销毁。
根据包中的源IP地址和源MAC地址进行过滤。
如果数据包的源IP地址，接收数据包的源MAC地址和交换端口号与DHCP静态链接输入或手动配置的IP静态链接输入相同，则考虑数据包。如果有效的包裹被批准，则被视为非法包裹并将被直接销毁。
DHCP / ARP数据包速率限制功能
为了避免DHCP泛洪攻击，接入交换机支持端口上DHCP或ARP报文的速率限制。
启用该功能后，接入交换机将收集端口上收到的DHCP / ARP数据包的统计信息。如果每秒接收的数据包数超过配置的值，则认为端口处于超速状态。
此时，交换机关闭端口并阻止其接收数据包。这可以防止设备受到大量数据包的攻击。
同时，设备支持自动恢复端口状态。接入交换机使用数据包速率限制功能禁用端口后，可能会在一段时间后自动返回到启用状态。
[编辑：王晓东电话：（010）68476606]
喜欢0