1、接入层配置ARP表项严格学习功能和ARP表项固化功能,实现防止伪造的ARP报文错误的更新交换机的ARP表项,配置命令如下:
2、配置根据源IP地址进行ARP Miss消息限速(如允许交换机每秒最多处理同一源IP地址触发的20个AR霸烹钟爷P Miss消息),防止用户侧存在攻击者发出大量目的IP地址不可达的IP报文触发大量ARP Miss消息,形成ARP泛洪攻击,配置命令如下:
3、配置根据源MAC地址进行ARP限速,实现防止用户发送大量源IP地址变化MAC地址固定的ARP报文形成的ARP泛洪攻击(如每秒最多只允许10个MAC地址为001a-19bf-cd61的ARP报文通过),配置命令如下:
4、配置免费ARP主动丢弃功能,实现防止伪造的免费ARP报文错误更新设备ARP表项,配置命令如下:
5、绑定IP-MAC地址,并指定交换机接口及VLAN,配置命令如下:
6、全局使能DHCP Snooping,并防止DHCP Request报文攻击,配置命令如下:
7、用户接口配置DHCP策略,配置DHCP Reply报文丢弃告警功能,在DHCP C盟敢势袂linet侧的接口配置进行CHADDR检酴兑镗笄查和告警功能,这样可以防止改变CHADDR值的DoS攻击,并使能DHCP Request报文检查和告警功能,这样可以防止仿冒DHCP续租报文的攻击,配置命令如下:
