IPSG简介

IPS防护原理
最新推荐文章于 2024-11-06 15:11:50 发布
原创 最新推荐文章于 2024-11-06 15:11:50 发布 · 6.8k 阅读 · 33 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍IP Source Guard (IPSG)的工作原理及其如何通过对比IP报文的源IP、源MAC等信息与绑定表来防御IP源欺骗攻击。合法用户的IP报文能够通过检查,而攻击者的虚假IP报文则被丢弃。
一.IPSG是IP Source Guard的简称。设备在作为二层设备使用时,利用绑定表来防御IP源欺骗的攻击。
IPSG功能是基于绑定表(DHCP动态和静态绑定表)对IP报文进行匹配检查。当设备在转发IP报文时将此IP报文中的源IP、源MAC、接口、VLAN信息和绑定表的信息进行比较,如果信息匹配,表明是合法用户,则允许此报文正常转发;否则认为是攻击报文,并丢弃该IP报文。

如:用户通过DHCP上线。上线后,Switch根据DHCP ACK报文生成用户的绑定表,绑定表包括用户的源IP、源MAC、端口、VLAN信息。当用户发送IP报文时,SwitchA查找此IP报文是否和该用户的绑定表匹配,如果是相同的,则允许报文通过,否则丢弃该IP报文。这样,合法用户发送的IP报文会被允许通过,而攻击者发送虚假的IP报文,无法匹配到绑定表,报文被丢弃,无法攻击其他用户。

文档链接http://support.huawei.com/hedex/hdx.do?lib=EDOC1000081668DZE0811M&lang=zh&v=06&tocLib=EDOC1000081668DZE0811M&tocV=06&id=dc_cfg_ipsg_1003&tocURL=resources%252fdc%252fdc%255fcfg%255fipsg%255f1003%252ehtml&p=t&fe=1&ui=3&keyword=%25u7279%25u6027&keyword=%25u5728%25u7f51&keyword=%25u6bd4%25u8f83&keyword=%25u7684&keyword=%25u7f51%25u7edc&keyword=%25u4ecb%25u7ecd&keyword=ipsg&keyword=%25u5176%25u4ed6&keyword=%25u4f4d%25u7f6e&keyword=%25u548c&keyword=%25u4ee5%25u53ca&keyword=%25u539f%25u7406&keyword=dai&keyword=%25u7528%25u5728&keyword=%25u5b89%25u5168&keyword=%25u76f8%25u5173&keyword=%25u4ed6&keyword=%25u5b9e%25u73b0&keyword=%25u9759%25u6001&keyword=%25u7aef%25u53e3&keyword=arp&keyword=%25u4e2d%25u7684&keyword=%25u5e94%25u7528&text=%253cfont%2520color%253d%2522%2523B60005%2522%253eIPSG%253c%252ffont%253e%253cfont%2520color%253d%2522%2523B60005%2522%253e%25u539f%25u7406%253c%252ffont%253e%25u63cf%25u8ff0&docid=EDOC1000081668

二.下图是关于信任接口和非信任接口的关系,较易懂:



IPSG(IP Source Guard):IP源防攻击
China-P的博客
10-23 4344
4.1 PC1-PC2连接SW1,SW1上联口G0/01与核心交换机SW2 G0/0/1相连。绑定表生产后,IPSG绑定表向指定的接口或VLAN下发ACL,由ACL来匹配IP报文。4.3 SW1配置 user-bind或DHCP Snooping,添加上联口G0/0/1为信任端口。SW1下的终端,只能通过SW2获取IP地址,防止恶意主机伪造合法主机的IP地址攻击网络(防止DHCP攻击和ARP攻击)2.1 利用绑定表去匹配二层接口收到的IP报文,只有匹配绑定表才可以通过,否则丢弃。
安全典型配置(六)配置IPSG限制非法主机访问内网案例(静态绑定)
XMWS-IT
01-05 1676
绑定表生成后,在使能IPSG的接口收到报文后,交换机会将报文中的信息和绑定表匹配,匹配成功则允许报文通过,匹配失败则丢弃报文。匹配的内容可以是IP地址、MAC地址、VLAN ID和接口的任意组合,例如可以只匹配IP地址,或者只匹配IP地址和MAC地址,或者IP地址、MAC地址、VLAN ID和接口都匹配等。在Switch连接用户主机的VLAN上使能IPSG功能,实现Host_1、Host_2使用固定的IP地址、从固定的接口上线,并且外来主机Host_3无法随意接入内网。
IPSG
海绵汽水的博客
11-17 788
IP 源防护(IP Source Guard,简称 IPSG)是一种基于 IP/MAC 的端口流量过滤技术,它可以防止局域网内的 IP 地址欺骗攻击。IPSG 能够确保第 2 层网络中终端设备的 IP 地址不会被劫持,而且还能确保非授权设备不能通过自己指定 IP 地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。   交换机内部有一个 IP 源绑定表(IP Source Binding Tabl
国际患者安全目标(IPSG)
weixin_33973600的博客
10-05 760
国际患者安全目标(IPSG)序号项目要点详细内容1正确识别患者(制度)标准:制定并实施相应的流程,以提高患者识别的准确性衡量要素:两种以上方式识别患者,但不包括使用患者的病房号和地点在提供治疗和操作前识别患者在任何涉及患者干预的情况下,需要使用两种不同的患者标识(1、在提供治疗前(给药、输血或全盘血制品;提供限制饮食、提供放射治疗)...
见招拆招,使用IPSG技术防止主机私自更改IP地址上网,让溯源不再头疼!
ICT系统集成阿祥
08-23 1067
背景组网:现网是一个比较小型的组网环境,核心交换机既做数据交换也做DHCP服务器,当然也可以防火墙做DHCP服务器,下联接入PC和服务器。现场要求仅允许从DHCP服务器获取到IP的用户入网,网络管理员通过手动指定静态IP+MAC的用户入网。对此可以用以下方式实现要求。IPSG原理介绍IP源防攻击(IP Source Guard,简称IPSG)是一种基于二层接口的源IP地址过滤技术。IPSG的主要目...
DHCP&DHCPv6原理及安全
weixin_43955429的博客
05-27 9553
DHCP基本原理 DHCP应用场景: DHCP服务器能为大量主机分配IP地址,且能够集中管理 DHCP报文类型: DHCP discover:客户端用来寻找DHCP服务器 DHCP offer:DHCP服务器用来响应DHCP discover报文,此报文中携带各种配置信息 DHCP request:客户端请求配置确认或者租期续借 DHC...
Security技术
qq_43704340的博客
10-26 581
数通安全:不是针对非法用户,针对合法用户的非法操作 接入层安全,针对数据包 网络层的安全加密协议 IPv4环境中,IPsec协议 单包攻击防范: 漏洞扫描攻击:利用ICMP报文可以应答,攻击者会向网络中可能存在的IP地址发送请求消息,通过接收到的应答报文来确定网络中这些主机开启了哪些应用,使用了哪些IP地址,为后续攻击做准备 畸形报文攻击 sumful攻击:攻击者发送源IP为目标服务器、目的地址、子网广播地址,主机收到之后,全部向服务器回包,卡死服务器 死亡之ping:缓存1000字节,发1001字节 单包
交换安全----局域网安全简介
qq_43794645的博客
07-21 6710
交换安全----局域网安全 先简单介绍一下MAC地址可能遇到的攻 MAC洪范攻击----攻击者通过不断发送合法的MAC地址,致使二层交换机的MAC表满溢,使本应单播的流量洪范,这样攻击者就可以得到想要窃取的内容 中间人攻击----将其他接口连接的主机MAC地址通过另一个接口发给交换机,毒化MAC表,使交换机错误的转发数据,从而窃取数据 MAC地址漂移----指一个MAC地址有两个出接口,后学习到的...
DHCP原理及DHCP服务器的防攻击手段
热门推荐
feipeng45的博客
10-16 1万+
一、DHCP简介 1、产生背景:网络增大,手工配置存在很多问题【人员素质要求高、容易出错、灵活性差、IP地址资源利用率低、工作量大,不利于管理等】 2、DHCP相对于静态手工配置的优点【效率高、灵活性强、易于管理等】 二、DHCP的原理与配置 (一)、DHCP的基本工作过程【发现阶段、提供阶段、请求阶段、确认阶段】如下图: 【发现阶段】:在发现阶段,DHCP客户端会以广播的方式给自己所在在广播域...
IPSG和DAI的区别 防止非法DHCP
weixin_34351321的博客
03-28 1353
IPSG即IP源保护,DAI即动态ARP检测这2项技术部署的前提是DHCPSnooping2种技术都是2层技术。区别可以从他们的名字中看出来,分别用于防范不同的***类型:IPSG用于同一个网络中,其他主机盗用自己的IP地址。如果配置了IPSG,那么每个端口只能有一个IP地址,就算你的主机关机了,但是只要别人没有占用你的端口,就不能用你的IP地址。这是一个很好的防止内部网络乱...
华为eNSP实验:IPSG
2301_79997551的博客
10-21 1695
IPSG的工作原理主要依赖于交换机内部的IP源绑定表。当交换机接收到数据包时,它会检查数据包中的源IP地址和MAC地址是否与绑定表中的记录匹配。只有当数据包的源IP和MAC地址与绑定表中的记录一致时,该数据包才会被转发;此外,IPSG还能识别并处理DHCP数据包,允许合法的DHCP通信而阻止非法的IP地址分配尝试。IPSG通过维护一个IP源绑定表来确保只有合法的IP地址和MAC地址组合的数据包才能在网络中传输。这种技术可以有效阻止恶意主机伪造合法主机的IP地址,从而保护网络不受未授权访问和攻击。
IPSG技术和IP组播
知识需要开源!
10-03 368
IPSG技术和IP组播
配置IPSG防止主机私自更改IP地址示例(静态绑定)
Jian Sun_的博客
05-13 2715
IP 源防护(IP Source Guard,简称 IPSG) 华为交换机配置文件 Switch的配置文件 # sysname Switch #创建Host_1和Host_2的静态绑定表项 user-bind static ip-address 10.0.0.1 mac-address xxxx-xxxx-xxx1 user-bind static ip-address 10.0.0.11 mac-address xxxx-xxxx-xxx2 #使能IPSG并设置丢弃报文上报告警功能 #在连接
配置IPSG防止主机私自更改IP地址上网(静态绑定)
m0_60444349的博客
06-18 8530
一、IPSG 功能简介IPSG:IP Source Guard,IP源防攻击是一种基于二层接口的源IP地址过滤技术。它能够防止内网用户修改IP地址(防止恶意主机通过伪造合法主机的IP地址来获取合法主机的网络访问权限或敏感信息等),还确保非授权主机(在静态或动态绑定表中没有相关记录的主机表记录信息)不能通过设置IP地址来访问网络或攻击网络,能有效防止IP地址的私自更改。二、绑定表IPSG参照二个绑定表项来检查接入主机的合法性。分为静态绑定表和动态绑定表。静态绑定表通过user-bind命令手动在网络设备上进行
IP源防攻击IPSG(IP Source Guard)
lwljh134的博客
02-28 2372
IP源防攻击IPSG(IP Source Guard)是一种基于二层接口的源IP地址过滤技术,它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。
配置IPSG防止主机私自更改IP地址上网(动态绑定)
m0_60444349的博客
09-29 2684
另外配置ARP表项严格学习(只有本设备主动发送的请求报文的应答报文才能触发本设备学习ARP)可以有效防止网络中的ARP欺骗(因学习伪造的ARP报文而错误更新设备ARP表项,造成合法用户无法正常通信)或ARP攻击(因处理大量的ARP报文导致CPU资源负荷过重,ARP表项资源被耗尽)、ARP表项固化(网关防护,有效防止中间人欺骗,需在全局或VLAN视图下使能此功能)、ARP MISS消息限速、禁止接口ARP学习等等。所以,为了避免IP地址冲突,可以在部署IPSG的同时配置DAI。后,接打印机设备的无法连通。
IPSG的原理与配置
weixin_66634879的博客
11-06 1506
总之,IPSG是一种有效的网络安全技术,通过维护绑定表来确保数据包中的源IP地址与其发送者的MAC地址、VLAN ID和接口相匹配,从而防止非法源IP地址的使用。同时,还需要注意ARP报文的处理和设备的兼容性问题。:IPSG(IP Source Guard)是一种基于二层接口的源IP地址过滤技术,通过维护一个绑定表来确保数据包中的源IP地址与其发送者的MAC地址、VLAN ID和接口相匹配。:当接口上启用了IPSG功能后,所有经过该接口的数据包都会被检查,只有与绑定表中记录的信息匹配的数据包才能通过。
IPSG
最新发布
10-01
<think>Hmm, the user just asked about "IPSG" without any context. That acronym could stand for many things depending on the field. Let me think... in networking, IPSG usually means IP Source Guard, a security feature. But it could also be International Pharmaceutical Students' Federation or other things. The user didn't specify, so I'll start with the most common technical meaning. The user seems to be in a hurry or maybe testing the system - such a short query. They might be a network engineer looking for quick info, or a student doing research. Since they requested Chinese responses, I'll keep everything in Chinese as instructed. For the mandatory questions section, I should pick aspects that would help someone new to IPSG: how it works, implementation steps, related features, and security benefits. These cover both theoretical and practical angles. I wonder if they'll follow up with more details about their actual use case. The response leaves room for them to clarify if they meant something else. Better keep it concise but precise - they clearly prefer direct answers. </think>IPSG(IP Source Guard)是一种网络安全技术,主要用于防御IP地址欺骗攻击(如ARP欺骗/DHCP欺骗)。其核心原理是通过**绑定IP-MAC-Port的对应关系**,过滤非法源IP数据包,确保网络设备只转发合法的流量。 ### 核心机制: 1. **动态绑定表生成** 通过监听DHCP报文或手动配置,交换机自动学习并存储合法用户的: - **IP地址** - **MAC地址** - **接入端口号** 2. **流量过滤** 对进入接口的非信任流量(如用户侧流量)进行校验: - 匹配绑定表:放行 - 无匹配或冲突:丢弃 ### 典型应用场景: ```plaintext +----------+ 非法流量拦截 +---------------+ | 攻击者 | ------------------> | 交换机 | | 伪造IP | (丢弃) | 启用IPSG | +----------+ | IP-MAC-Port表 | +---------------+ | 合法流量| v +---------------+ | 服务器/网络 | +---------------+ ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值