IP 源防护

一、 IP 欺骗***：IP 欺骗***是指行动产生的IP数据包为伪造的源IP地址，以便冒充其他系统或发件人的身份。这是一种骇客的***形式，骇客使用一台计算机上网,而借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道。按照Internet Protocol(IP)网络互联协议，数据包头包含来源地和目的地信息。 而IP地址欺骗，就是通过伪造数据包包头，使显示的信息源不是实际的来源，就像这个数据包是从另一台计算机上发送的。二、 IP欺骗***应用：在网络安全领域，隐藏自己的一种手段就是IP欺骗——伪造自身的IP地址向目标系统发送恶意请求，造成目标系统受到***却无法确认***源，或者取得目标系统的信任以便获取机密信息。这两个目的对应着两种场景：场景一，常用于DDoS***（分布式拒绝***），在向目标系统发起的恶意***请求中，随机生成大批假冒源IP，如果目标防御较为薄弱，对收到的恶意请求也无法分析***源的真实性，从而达到***者隐藏自身的目的。这类场景里一种很有意思的特殊情景来自于“反射”式DDoS***，它的特点来自于利用目标系统某种服务的协议缺陷，发起针对目标系统输入、输出的不对称性——向目标发起吞吐量相对较小的某种恶意请求，随后目标系统因其协议缺陷返回大量的响应，阻塞网络带宽、占用主机系统资源。这时如果***者的请求使用真实源地址的话，势必要被巨大的响应所吞没，伤及自身。这样，***者采取IP欺骗措施就势在必行了。场景二，原本A主机信任B主机，也就是B可以畅通无阻地获取A的数据资源。而恶意主机C为了能同样获取到A的数据，就需要伪装成B去和A通信。这样C需要做两件事：第一、让B“把嘴堵上”，不再向A吐请求，比如向B主机发起DoS***（拒绝服务***），占用B的连接使其无法正常发出网络包；第二、伪装成B的IP和A交互。三、 IP源防护技术：IP源防护主要是防止IP地址欺骗，以DHCP监听为基础，根据DHCP监听绑定表产生一个IP源绑定表，根据IP源绑定表IP。源防护自动在端口加载相应的策略对流量进行检测，符合的数据允许发送，不符合的数据被丢弃。对于使用固定IP地址的服务器，需要使用静态IP源绑定将静态绑定的条目加入到IP源绑定表中IP源防护只支持二层借口，包括接入借口或干道接口，对于非信任端口，IP源防护有两种过滤策略

1、源IP地址过滤

2、源IP和源MAC地址过滤

使用源IP地址过滤时，IP源防护和端口安全是相互独立的。使用源IP和源MAC地址过滤时，二者合并为一，数据包源IP和源MAC地址必须符合IP源绑定表中的条目才能转发，并且为了确保DHCP工作正常，启用DHCP监听时必须启用option 82。

四、IP 源防护配置：

源IP地址过滤：switch(config-if)#ip verify source //Cisco 35系列交换机命令switch(config-if)#ip verify source vlan dhcp-snooping //Cisco 45、65系列交换机命令源IP和源MAC地址过滤：首先要启用端口安全(switchport port-security),然后启用IP源防护switch(config-if)#ip verify source port-security//Cisco 35系列交换机命令switch(config-if)#ip verify source vlan dhcp-snooping port-security //Cisco 45、65系列交换机命令静态IP源绑定命令switch(config)#ip source binding mac-address vlan vlan-number ip-address interface interface-type interface-number