华为IP源防攻击IPSG配置指南

小乔

PSG简介

介绍IPSG的定义、背景和作用。

定义

IP源防攻击IPSG（IP Source Guard）是一种基于二层接口的源IP地址过滤技术，它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机，还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。

目的

随着网络规模越来越大，通过伪造源IP地址实施的网络攻击（简称IP地址欺骗攻击）也逐渐增多。一些攻击者通过伪造合法用户的IP地址获取网络访问权限，非法访问网络，甚至造成合法用户无法访问网络，或者信息泄露。IPSG针对IP地址欺骗攻击提供了一种防御机制，可以有效阻止此类网络攻击行为。

一个典型的利用IPSG防攻击的示例如图13-1所示，非法主机伪造合法主机的IP地址获取上网权限。此时，通过在设备的接入用户侧的接口或VLAN上部署IPSG功能，设备可以对进入接口的IP报文进行检查，丢弃非法主机的报文，从而阻止此类攻击。

图13-1  IPSG典型防攻击示例图

                               
登录/注册后可看大图

基本原理

IPSG利用绑定表（源IP地址、源MAC地址、所属VLAN、入接口的绑定关系）去匹配检查二层接口上收到的IP报文，只有匹配绑定表的报文才允许通过，其他报文将被丢弃。

绑定表如表13-1所示，包括静态和动态两种。

表13-1  绑定表

绑定表类型

生成过程

适用场景

静态绑定表

使用user-bind命令手工配置。

适用于主机数较少且主机使用静态IP地址的场景。

DHCP Snooping动态绑定表

配置DHCP Snooping功能后，DHCP主机动态获取IP地址时，设备根据DHCP服务器发送的DHCP回复的ACK报文动态生成。

适用于主机数较多且主机从DHCP服务器获取IP地址的场景。

绑定表生成后，主机发送的报文，只有匹配绑定表才会允许通过，不匹配绑定表的报文都将被丢弃。缺省情况下，如果在没有绑定表的情况下使能了IPSG，设备将拒绝除DHCP请求报文外的所有IP报文。

                               
登录/注册后可看大图

IPSG只匹配检查IP报文，对于ARP、PPPoE等非IP报文，IPSG不做匹配检查。

IPSG原理图如图13-2所示，非法主机仿冒合法主机的IP地址发送报文到达Router后，因报文和绑定表不匹配被Router丢弃。

图13-2  IPSG实现原理图

                               
登录/注册后可看大图

IPSG中的接口角色

IPSG仅支持在二层物理接口或者VLAN上应用，且只对使能了IPSG功能的非信任接口进行检查。对于IPSG来说，缺省所有的接口均为非信任接口，信任接口由用户指定。IPSG的信任接口/非信任接口也就是DHCP Snooping中的信任接口/非信任接口，信任接口/非信任接口同样适用于基于静态绑定表方式的IPSG。

IPSG中各接口角色如图13-3所示。其中：

• IF1和IF2接口为非信任接口且使能IPSG功能，从IF1和IF2接口收到的报文会执行IPSG检查。
• IF3接口为非信任接口但未使能IPSG功能，从IF3接口收到的报文不会执行IPSG检查，可能存在攻击。
• IF4接口为用户指定的信任接口，从IF4接口收到的报文也不会执行IPSG检查，但此接口一般不存在攻击。在DHCP Snooping的场景下，通常把与合法DHCP服务器直接或间接连接的接口设置为信任接口。
  

图13-3  IPSG中的接口角色示意图

                               
登录/注册后可看大图

IPSG的过滤方式

IPSG的过滤主要检查：MAC地址、IP地址、VLAN ID、入接口四项。其中：

• 配置静态绑定时，四项需要全部进行匹配检查。
• 配置动态绑定时，检查项由用户设置。缺省状态是四项都进行匹配检查。常见的几种检查项如表13-2所示，其他组合类似，不一一列举。表13-2  IPSG过滤方式
  设置的检查项
  含义
  
  
  接口视图下
  
  
  接口+源IP地址
  接口视图下，根据源IP地址对报文进行过滤，只有源IP地址和绑定表匹配，才允许报文通过。
  
  
  接口+源MAC地址
  接口视图下，根据源MAC地址对报文进行过滤，只有源MAC地址和绑定表匹配，才允许报文通过。
  
  
  接口+源IP地址+源MAC地址
  接口视图下，根据源IP和源MAC地址对报文进行过滤，只有源IP和源MAC地址都和绑定表匹配，才允许报文通过。
  
  
  接口+源IP地址+VLAN
  接口视图下，根据源IP地址和VLAN对报文进行过滤，只有源IP和VLAN都和绑定表匹配，才允许报文通过。
  
  
  接口+源MAC地址+VLAN
  接口视图下，根据源MAC地址和VLAN对报文进行过滤，只有源MAC地址和VLAN都和绑定表匹配，才允许报文通过。
  
  
  接口+源IP地址+源MAC地址+VLAN
  接口视图下，根据源IP、源MAC地址和VLAN对报文进行过滤，只有源IP、源MAC地址和VLAN都和绑定表匹配，才允许报文通过。
  
  
  VLAN视图下
  
  
  VLAN+源IP地址
  VLAN视图下，根据源IP地址对报文进行过滤，只有源IP地址和绑定表匹配，才允许报文通过。
  
  
  VLAN+源MAC地址
  VLAN视图下，根据源MAC地址对报文进行过滤，只有源MAC地址和绑定表匹配，才允许报文通过。
  
  
  VLAN+源IP地址+源MAC地址
  VLAN视图下，根据源IP和源MAC地址对报文进行过滤，只有源IP和源MAC地址都和绑定表匹配，才允许报文通过。
  
  
  VLAN+源IP地址+接口
  VLAN视图下，根据源IP地址和接口对报文进行过滤，只有源IP和接口都和绑定表匹配，才允许报文通过。
  
  
  VLAN+源MAC地址+接口
  VLAN视图下，根据源MAC地址和接口对报文进行过滤，只有源MAC地址和接口都和绑定表匹配，才允许报文通过。
  
  
  VLAN+源IP地址+源MAC地址+接口
  VLAN视图下，根据源IP、源MAC地址和接口对报文进行过滤，只有源IP、源MAC地址和接口都和绑定表匹配，才允许报文通过。
  
  
  
  游客，如果您要查看本帖隐藏内容请回复
  
  
  
  
  

zhaoyj

谢谢，学习学习

yang11

lml94985461

谢谢，学习学习

lala2016

学学习