IP Source Guard – что это?

Зачем нам нужен IP Source Guard

IP Address Spoofing (подмена IP-адреса)

Хосты на интерфейсах доступа могут подделывать исходные IP-адреса и исходные MAC-адреса, заваливая коммутатор пакетами, содержащими недопустимые адреса. Такие атаки в сочетании с другими методами, такими как атаки с переполнением TCP SYN, могут привести к атакам типа «отказ в обслуживании» (DoS). При спуфинге исходного IP-адреса или исходного MAC-адреса системный администратор не может определить источник атаки. Злоумышленник может подделать адреса в той же подсети или в другой подсети.

Как работает IP Source Guard

IP Source Guard проверяет каждый пакет, отправленный с хоста, подключенного к ненадежному интерфейсу доступа на коммутаторе. IP-адрес, MAC-адрес, VLAN и интерфейс, связанные с хостом, сверяются с записями, хранящимися в базе данных DHCP snooping. Если заголовок пакета не соответствует действительной записи в базе данных отслеживания DHCP, коммутатор не пересылает пакет, т. е. пакет отбрасывается.

DHCP Snooping table

IP Source Guard получает информацию о привязке IP-адреса к MAC-адресу (привязка IP-MAC) из таблицы отслеживания DHCP (DHCP Snooping table), также известной как таблица привязки DHCP (DHCP binding table). Таблица отслеживания DHCP заполняется либо посредством динамического отслеживания DHCP, либо путем настройки определенного статического IP-адреса для привязки MAC-адресов.

Дополнительные сведения о таблице отслеживания DHCP см. в разделе “DHCP Snooping table”.