4. IP源地址保护阻止DoS、蠕虫和木马攻击IP Source Guard

   常见的欺骗攻击的种类和目的

   除了ARP欺骗外，黑客经常使用的另一手法是IP地址欺骗。常见的欺骗种类有MAC欺骗、IP欺骗、IP/MAC欺骗，其目的一般为伪造身份或者获取针对IP/MAC的特权。此方法也被广泛用作DOS攻击，目前较多的攻击是：Ping Of Death、Syn flood、ICMP Unreacheable Storm。如黑客冒用A地址对B地址发出大量的ping包，所有ping应答都会返回到B地址，通过这种方式来实施拒绝服务（DoS）攻击，这样可以掩盖攻击系统的真实身份。富有侵略性的TCP SYN洪泛攻击来源于一个欺骗性的IP地址，它是利用TCP三次握手会话对服务器进行颠覆的又一种攻击方式。一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。

    另外病毒和木马的攻击也会使用欺骗的源IP地址。互联网上的蠕虫病毒也往往利用欺骗技术来掩盖它们真实的源头主机。

    防范方法

   Catalyst IP源地址保护（IP Source Guard）功能打开后，可以根据DHCP侦听记录的IP绑定表动态产生PVACL，强制来自此端口流量的源地址符合DHCP绑定表的记录，这样攻击者就无法通过假定一个合法用户的IP地址来实施攻击了，这个功能将只允许对拥有合法源地址的数据保进行转发，合法源地址是与IP地址绑定表保持一致的，它也是来源于DHCP Snooping绑定表。因此，DHCP Snooping功能对于这个功能的动态实现也是必不可少的，对于那些没有用到DHCP的网络环境来说，该绑定表也可以静态配置。

    IP Source Guard不但可以配置成对IP地址的过滤也可以配置成对MAC地址的过滤，这样，就只有IP地址和MAC地址都于DHCP Snooping绑定表匹配的通信包才能够被允许传输。此时，必须将 IP源地址保护IP Source Guard与端口安全Port Security功能共同使用，并且需要DHCP服务器支持Option 82时，才可以抵御IP地址＋MAC地址的欺骗。