Defensa contra los ataques DoS al servidor DHCP en switches CloudEngine Destacado

Última respuesta nov. 04, 2019 16:50:39 88 1 3 0

Hola a todos. Continuamos con la revisión de los escenarios de aplicación de la  protección DHCP Snooping. Pasemos a la información para conocer más sobre el tema.

 

Mecanismo

En la Figura 1, si un gran número de atacantes solicitan direcciones IP en la interfaz1, las direcciones IP en el conjunto de direcciones IP se agotan y no hay direcciones IP para usuarios autorizados.

 

Un servidor DHCP identifica la dirección MAC de un cliente en función del campo de dirección de hardware del cliente (CHADDR) en el mensaje de solicitud de DHCP. Si un atacante solicita continuamente direcciones IP cambiando el campo CHADDR, las direcciones IP en el grupo de direcciones en el servidor DHCP pueden agotarse. Como resultado, los usuarios autorizados no pueden obtener direcciones IP.

 

Figura 1 Defensa contra ataques DoS del servidor DHCP


1


Solución

Para evitar los ataques DoS del servidor DHCP, establezca el número máximo de acceso permitido a los clientes DHCP en el dispositivo o una interfaz después de habilitar la inspección DHCP en el dispositivo. Cuando el número de clientes DHCP alcanza el valor máximo, los clientes DHCP no pueden obtener la dirección IP a través del dispositivo o la interfaz.

 

Puede habilitar el dispositivo para verificar si la dirección MAC en el encabezado de la trama Ethernet coincide con el campo CHADDR en el mensaje DHCP. Si los dos valores coinciden, el mensaje se reenvía; si no, el mensaje se descarta.

 

No cabe duda que este tema de la seguridad es muy amplio y las opciones que tenemos disponibles en los switches nos permite protegerlos para evitar algún problema y este deje de funcionar.

 

Gracias por acompañarnos y no se pierdan las próximas publicaciones que traeremos para Uds.

 

Saludos.

 

FIN                                   


Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums


#ComunidadEnterprise


#OneHuawei

  • x
  • convención:

Jfriash
Publicado 2019-11-4 16:50:39 Útil(0) Útil(0)
Interesante solución haré una prueba en eNSP Gracias.
  • x
  • convención:

Hola%20mi%20nombre%20es%20Jorge%20Arturo%20Frias%20Hernandez%2C%20trabajo%20en%20Zona%20IP%20y%20estoy%20estudiando%20la%20carrera%20de%20Ing.%20Mecatronica.%20Me%20gustan%20la%20inform%C3%A1tica%20y%20es%20algo%20a%20lo%20que%20me%20eh%20dedicado%20toda%20mi%20vida%20laboral%2C%20me%20gusta%20aprender%20y%20compartir%20conocimiento.

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión