Привет, незнакомец!

Похоже, вы здесь новенький. Чтобы принять участие, нажмите одну из кнопок ниже!

ip source guard vs dynamic arp inspection

Собственно САБЖ
В чем существенное отличие между ними в плане реализации защиты от подмены IP адреса пользователя? (ip-spoofing) В описаниях этимх технологий укзано что:
"dynamic arp inspection" - защищает от arp-spoofing.
"ip source guard" - защищает от ip-spoofing.

Но проситите - зачем включать "ip source guard" если "dynamic arp inspection" и так отлично справляется с двумя этими задачами? Ведь DAI сработает и тогда когда ты пропишешь себе IP адрес статикой!! (Во время работы ARP, DAI проверить соотвествие src mac пользователя с портом коммутатора в dhcp-spoofing database, не найдет его там и откинит фрейм.) А если включить вобще все проверки src, dst, ip то у злоумышленника вообще нет не каких шансов приставится с под чужо-го айпишника. Единственное что приходит мне в голову для чего можно использывать "ip source guard" - это если вдруг злоумышленнику нужно только отправлять данные, от айпи друго-го лица, но не получать ответы. Но и то при таком раскладе он должен для начала выполнить arp-request, чтоб выявить MAC другой стороны кому он шлет. Но и тут он и спалится и DAI его запалит.

Комментарии

  • Ну теоретически злоумышленник может воткнуть в сеть трафикгенератор и отправлять UDP трафик на широковещательный адрес вашего L2 сегмента или другого (для другого просто надо статически указать ARP запись до шлюза по умолчанию), и DAI тут вам уже не поможет. Но это так навскидку.
  • Ну впринципе да, логично. Если я себе в arp таблицу локально вобью МАК адрес другой стороны, то я смогу ему отправлять данные и ддосить его по UDP :)
Войдите или Зарегистрируйтесь чтобы комментировать.