接入网常见的攻击及防范

核心提示： IP/MAC欺骗攻击常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗，黑客可以伪造报文的源地址进行攻击，接入网常见的攻击及防范(2)，其目的一般为伪造身份或者获取针对IP/MAC的特权，另外此方法也被应用于DoS( Deny of Service，H3C接入交换机根据设备的不同特点可

IP/MAC欺骗攻击

常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗，黑客可以伪造报文的源地址进行攻击，其目的一般为伪造身份或者获取针对IP/MAC的特权，另外此方法也被应用于DoS( Deny of Service，拒绝服务)攻击，严重的危害了网络安全。

为了防止IP/MAC欺骗攻击，H3C低端以太网交换机提供了IP过滤特性，开启该功能后，交换机可以强制经过某一端口流量的源地址符合动态获取的DHCP Snooping表项或静态配置的IP与MAC绑定表项的记录，防止攻击者通过伪造源地址来实施攻击。此外，该功能也可以防止用户随便指定IP地址，造成的网络地址冲突等现象。

DHCP报文泛洪攻击

DHCP报文泛洪攻击是指：恶意用户利用工具伪造大量DHCP报文发送到服务器，一方面恶意耗尽了IP资源，使得合法用户无法获得IP资源;另一方面,如果交换机上开启了DHCP Snooping功能，会将接收到的DHCP报文上送到CPU。因此大量的DHCP报文攻击设备会使DHCP服务器高负荷运行，甚至会导致设备瘫痪。

ARP报文泛洪攻击

ARP报文泛洪类似DHCP泛洪，同样是恶意用户发出大量的ARP报文，造成L3设备的ARP表项溢出，影响正常用户的转发。

安全防范

对于上述的几种攻击手段，H3C接入网解决方案在用户接入侧利用DHCP SNOOPING，提供相应的防范手段。

DHCP Snooping表项的建立

开启DHCP Snooping功能后，H3C接入交换机根据设备的不同特点可以分别采取监听DHCP-REQUEST广播报文和DHCP-ACK单播报文的方法来记录用户获取的IP地址等信息。目前，交换机的DHCP Snooping表项主要记录的信息包括：分配给客户端的IP地址、客户端的MAC地址、VLAN信息、端口信息、租约信息。

ARP入侵检测功能

ARP入侵检测功能工作机制