Bài viết sưu tầm

Sơ đồ:

Mô tả:

- Giả mạo địa chỉ là 1 dạng tấn công khó ngăn chặn. Thông thường, một thiết bị PC sẽ có 1 địa chỉ IP được gán & địac chỉ này dùng cho tất cả gói dữ liệu được gửi ra, tuy nhiên 1 PC vẫn có thể gửi ra những gói dữ liệu với địa chỉ giả mạo.

- Thông thường, kẻ tấn công dùng cơ chế này để thực hiện DoS hoặc DDoS.

- Với IP Source Guard trên Switch sẽ ngăn chặn tấn công kiểu này khi kết hợp với Database của DHCP Snooping. Mặc định, nếu địa chỉ không khớp với bảng dữ liệu sẽ bị loại bỏ.

Cấu hình:

- Xác định cổng & kích hoạt tính năng IP Source Guard

Sw(config)# interface range f0/1 - 2

Sw(config-if-range)# ip verify source

- Kiểm tra

Sw# show ip verify source

- Muốn kiểm tra thêm MAC của gói

Sw(config-if-range)# ip verify source port-security

- Tuy nhiên, trường hợp này thì tất cả các MAC lại được cho phép, vì vậy dùng thêm port-security để xác định IP & MAC được phép.

- Có thể không dùng Database của DHCP Snooping

Sw(config)# ip source binding aaaa.bbbb.cccc vlan 1 192.168.1.3 interface f0/2