如何避免网络攻击

2021-03-14    分类: 网站建设

如何避免网络攻击
不同网络设备有着不同的安全需求;网络中的交换机易受多种网络攻击的影响。下文介绍的各种解决方案可以减轻网络攻击造成的影响。
交换机的MAC地址表被限制在一定大小。通常,网络入侵者会使用大量无效的源介质访问控制( MAC)地址泛洪给变换机,直到交换机的CAM表被填满。当这种情况发生时,由于交换机在MAC表中找不到特定MAC对应的端口号,所以会将入站流量泛洪给其他所有端口;可在交换机上配置或部署端口安仝技术来缓解MAC溢出攻击。端口安全机制可指定具体变换机端口的MAC地址,或指定变换机喘口能学习的MAC地址数量。
MAC欺骗(spoofing)攻击,其原理是使用其他主机的已知MAC地址来使目标交换机将帧转发远端的攻击者;可以使用端口安全特性来缓解MAC欺骗攻击。端口安全特性具有指定特定端口所连设备的MAC地址的能力。
ARP用于将IP地址映射成同子网内LAN中的MAC地址。通常,主机通过广播发送ARP请求来查找某台特定iP地址的主机MAC地址,IP地址匹配的主机将单播回复ARP应替。之后,请求主机会缓存ARP应答。在ARP协议中,还有一种情况是主机主动地发送ARP回应。这种未收到ARP请求而主动垃送的ARP回应被称为无故(gratuitous)ARP(GARP),攻击者可恶意利用GARP来欺骗LAN中IP地址的MAC地址身份。典型的例子是攻击者常使用网关的MAC地址去欺骗其他主机来实现“中间人(man-in-the-middle)”攻击。动态ARP检测可基于存放在DHCP侦听(snooping)数据库中的有效MAC地址和IP地址绑定表来验证ARP包的有效性。此外,动态ARP检测也可基于用户配置的ACL来验ARP包。该方法用于检测在静态配置IP地址的主机环境中的ARP包。动态ARP检测允讦使用基于端口或VLAN的ACL( PACL)来限制特定IP地址映射成特定MAC地址的ARP包。
DHCP耗尽(starvation)攻击广播发送带有欺骗的MAC地址的DHCP请求。如果网络攻击者在一定时间内发送了足够多的DHCP请求,那么将耗尽DHCP服务器中可用的地址空间。之后,网络攻击者在自身系统上创建一台虚假的DHCP服务器去响应网络中客户端的新DHCP请求。DHCP侦听功能可用于抵御DHCP耗尽攻击。DHCP侦听作为一种安全特性,可以过滤不受信的DHCP报文并创建维护张DHCP侦听绑定表。绑定表内信息包括MAC地址、IP地址、租期、绑定类型、VLAN号码以及与本地变换机未受信端口的端口信息。

分享名称:如何避免网络攻击
路径分享:https://www.cdcxhl.com/news21/105171.html

成都网站建设公司_创新互联,为您提供建站公司外贸建站品牌网站制作企业网站制作外贸网站建设面包屑导航

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联

网站建设网站维护公司