DHCP攻击与防护
今天接触了DHCP Snooping有两个问题很不解,希望有经验的老鸟给点指点。1.在使用DHCP Snooping之前需要在全局模式使用命令:ip dhcp snooping来开启DHCP snooping功能,书上说当执行了这条命令之后交换机上所有的端口都会变为非信任端口,后面马上又跟了一句说还要使用命令ip dhcp snooping vlan vlan号 来在相应的vlan上开启DHCP Snooping功能,默认所有的vlan都没有启用DHCPSnooping,端口不是默认已经在执行ip dhcp snooping命令时都变为不信任了吗?为什么还要在vlan下再开启一次,要是有100个vlan还需要在100个vlan上都开启吗?命令设计成这样---费解
2.还有条命令:ip dhcp snooping limit rate 5 可以在非信任端口上执行,功能是配置此接口每秒只能收5个DHCP请求包,目的是防止DHCP耗竭攻击,也就是防止黑客从一台电脑发送大量伪造的DHCP请求到服务器从而把DHCP服务器的地址池地址耗尽,如果我是黑客,我每秒只发送4个DHCP攻击包,只是比平时等待更长的时间而已我还是可以将DHCP服务器的地址池耗尽,怎么能说可以防止DHCP耗竭攻击呢?顶多是可以防止黑客短时间内发送大量数据包将网络链路阻塞而已。---费解
帮不了你啊........ {:6_267:}{:6_267:} 学习学习 {:6_267:}
页:
[1]