panabit做没做虚IP的防范？

k348

比如说PA-100的产品，结果有个内网的客户机先放出100个不同IP的链接，然后再放真实的走流量的IP，panabit能对付这样的情况么？还是说只有设置成IP数量超范围阻断流量？

panabit

原帖由 k348 于 2011-4-26 11:10 发表
比如说PA-100的产品，结果有个内网的客户机先放出100个不同IP的链接，然后再放真实的走流量的IP，panabit能对付这样的情况么？还是说只有设置成IP数量超范围阻断流量？

你说的虚IP，具体指什么IP？

内网伪IP防护是你需要的吗？

joyku

原帖由 panabit 于 2011-4-26 11:36 发表


你说的虚IP，具体指什么IP？

内网伪IP防护是你需要的吗？

我觉得他可能是说类似路由一样.就是下一级接了好多个IP 真正走的是 最上面的那个IP

Lucifer

交换机支持mac地址学习就可以了。

这个虚拟ip普通电脑不可能支持

k348

我完全没接触过panabit，不太懂"内网伪IP防护"是什么原理。我的设想实际上是类似过载攻击的意思，只要能通过pcap用网卡发IP包的话，里面的IP地址岂不是可以随便填写的？到时候写个程序，先编造并超过PA可控IP数的地址个数的包，比如说对PA-100来说编造从100个不同地址发出去的包，后面再上来的不同IP的包岂不是就不受控了？这种情况怎么办？只能设置超过可控IP数目就拒绝的规则？

[ 本帖最后由 k348 于 2011-4-26 14:35 编辑 ]

k348

你是说NAT？我不是这个意思。

Lucifer

这种攻击是可能存在的。

但是大多数情况下是爆交换机的mac地址表造成交换机死机。


通常的做法都是交换机做mac地址学习及ip端口绑定从源头遏制


但是我必须承认你所说的的确是安全漏洞

不过通过pa是没法识别的至少在有3层交换存在的环境mac地址不能上传
pa如果做这种控制的意义也不大

所以你最好是通过交换机管理

k348

是的，我想了下，这个似乎也没什么好办法，MAC地址也不可靠因为也很容易被伪造，只能限定一个交换机端口一个IP，不知道CISCO的交换机支持不支持这个。。。。。。

motorboy

此类安全漏洞确实很难去管理
不过能发现是哪台计算机在作恶
可以把肇事者抓出来

k348

这个。。。。咱IT地位低啊，只能上技术手段，通不了推脱给CISCO。。。。。