Tweet
Bùi Nguyễn Hoàng Long
Giả mạo địa chỉ là một loại tấn công khó được ngăn chặn, thông thường một thiết bị PC sẽ có một địa chỉ IP được gán và địa chỉ này dùng cho tất cả gói dữ liệu được gởi ra, tuy nhiên một PC vẫn có thể gởi ra những gói dữ liệu với địa chỉ là giả mạo hoặc ngẫu nhiên. Thường kẻ tấn công dùng đcơ chể này để thực Dos hoặc Ddos.
Với IP Source Guard trên Cisco Switch cho phép hạn chế loại tấn công này dựa vào địa chỉ của gói với cơ sơ dữ liệu của DHCP Snooping. Mặc định chỉ có địa chỉ IP của gói được kiểm tra, nếu địa chỉ này không khớp với bảng dữ liệu của DHCP Snooping gói sẽ bị loại bỏ.
1. Cấu hình
Xác định cổng và kích hoạt tính năng IP Source Guard
SW(config)#interface range fa0/1 – 2
SW(config-if-range)#ip verify source
2. Kiểm tra
Địa chỉ của gói được nhận trên cổng phải khớp với thông tin có được từ DHCP Snooping
Thực hiện kiểm tra sự hợp lệ với PC1
Thay đổi địa chỉ bằng cách gán tĩnh trên PC1, gói sẽ bị loại bỏ do không hợp lệ
Trong trường hợp bạn muốn kiểm tra thêm địa chỉ MAC của gói
SW(config-if-range)#ip verify source port-security
Tuy nhiên trong trường hợp này tất cả địa chỉ MAC lại được cho phép, bạn cần dùng kết hợp với port-security để xác định địa chỉ IP và MAC cụ thể được cho phép
SW(config)#interface range fa0/1 – 2
SW(config-if-range)#switchport mode access
SW(config-if-range)#switchport port-security
Trong trường hợp không sử dụng dữ liệu của DHCP Snooping bạn có thể xây dựng dữ liệu tĩnh
SW(config)#ip source binding 001B.FC36.ECE4 vlan 1 192.168.1.3 interface fa0/2
Giả mạo địa chỉ là một loại tấn công khó được ngăn chặn, thông thường một thiết bị PC sẽ có một địa chỉ IP được gán và địa chỉ này dùng cho tất cả gói dữ liệu được gởi ra, tuy nhiên một PC vẫn có thể gởi ra những gói dữ liệu với địa chỉ là giả mạo hoặc ngẫu nhiên. Thường kẻ tấn công dùng đcơ chể này để thực Dos hoặc Ddos.
Với IP Source Guard trên Cisco Switch cho phép hạn chế loại tấn công này dựa vào địa chỉ của gói với cơ sơ dữ liệu của DHCP Snooping. Mặc định chỉ có địa chỉ IP của gói được kiểm tra, nếu địa chỉ này không khớp với bảng dữ liệu của DHCP Snooping gói sẽ bị loại bỏ.
1. Cấu hình
Xác định cổng và kích hoạt tính năng IP Source Guard
SW(config)#interface range fa0/1 – 2
SW(config-if-range)#ip verify source
2. Kiểm tra
Địa chỉ của gói được nhận trên cổng phải khớp với thông tin có được từ DHCP Snooping
Thực hiện kiểm tra sự hợp lệ với PC1
Thay đổi địa chỉ bằng cách gán tĩnh trên PC1, gói sẽ bị loại bỏ do không hợp lệ
Trong trường hợp bạn muốn kiểm tra thêm địa chỉ MAC của gói
SW(config-if-range)#ip verify source port-security
Tuy nhiên trong trường hợp này tất cả địa chỉ MAC lại được cho phép, bạn cần dùng kết hợp với port-security để xác định địa chỉ IP và MAC cụ thể được cho phép
SW(config)#interface range fa0/1 – 2
SW(config-if-range)#switchport mode access
SW(config-if-range)#switchport port-security
Trong trường hợp không sử dụng dữ liệu của DHCP Snooping bạn có thể xây dựng dữ liệu tĩnh
SW(config)#ip source binding 001B.FC36.ECE4 vlan 1 192.168.1.3 interface fa0/2
