一、单选题
1.以下关于IPSG的描述,错误的是哪一项?
可以通过IPSG防止主机私自更改IP地址
IPSG可以开启IP报文检查告警功能,联动网管进行告警
IPSG可以防范IP地址欺骗攻击
IPSG是一种基于三层接口的源IP地址过滤技术
解析:IPSG即IP源防攻击(IP Source Guard)是一种基于二层接口的源IP地址过滤技术,IPSG的绑定表维护了网络中主机IP地址、MAC地址等信息的绑定关系,通过将报文信息与绑定表比对,它能够有效防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。
2.IGMP Snooping-主要解决的问题
IGMP Report报文合法性问题
网段上有大量接收者主机,路由器会收到大量的IGMP Report报文的问题
解决组播数据报文在2层设备上广播问题,用于管理和控制组摇数据报文的转发
接收者主机仅支持IGMPv2协议,但网络中使用的是SSM组播模型
3.如图所示,若想实现该网络中只允许合法用户(通过合法DHCP服务器获取IP地址的用户或特定的静态IP用户)接入网络,则可以使用以下哪一项方案?
DAI+IPSG
DHCP Snooping+ DAI
DAl+Port Security
DHCP Snooping+IPSG
解析:
DHCP Snooping是DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系。DHCP Snooping可以抵御网络中针对DHCP的各种攻击,为用户提供更安全的网络环境和更稳定的网络服务。
动态ARP检测: dynamic ARP inspection(DAI)是一种与DHCP监听和IP源防护相结合的安全特性,DAI需要使用DHCP监听绑定表和配置的静态IP源防护绑定。DAI应用场景DAI功能主要用于防御中间人攻击的场景,避免设备上合法用户的ARP表项被攻击者发送的伪造ARP报文错误更新。
**4.**如图所示,若想实现该网络中不允许用户通过静态配置IP地址接入网络,则可以使用以下哪些方案?
DAI+IPSG
DHCP Snooping+DAl
DAl+Port Security
DHCP Snooping+IPsG
5.中间人攻击或IP/MACSpooting攻击都会导致信息泄露等危害,且在内网中比较常见。为了防止中间人攻击或IP/MACSpoofin攻击,以下哪一项是可以采取的配置方法?单选
在交换机上配置DHCP Snooping与DAI或IPSG进行联动
限制交换机按口上允许学习到的最多MAC地址数目
配置Trusted/Untrusted接囗
开启DHCP Snoopine检查DHCP REOUEST报文中CHADDR宇段的功能
6.设备Huawei部分配置如图所示,以下关于此段配置的描述中,错误的是哪项?
配置GigabitEthernet0/0/1接口为信任接口
开启DHCP Snooping配置可以用来防LARP欺骗攻击
如果GigabitEthernetO/0/1接口收到的DHCP请求报文中,没有Option82 SubOption信息,则设备会生成ption82,并插入到报文中
开启DHCP Snooping配置可以用来防IDHCP Server仿冒者攻击
**7.**以下关于DHCP Snoping的描述中,错误的是哪一项?
DHCP Snoping可以通过设置信任端口防止非法攻击
在接口视图下使能DHCP Snoping功,则对该接口下的所有DHCP报文命今功能生效
在VLAN视图下使能DHCP Snooping功能,则对该设备所有接口收到的属于该VLAN的DHCP报文命令功能生效
全局使能DHCP Snooping功能,不带任何后置参数的情况下设备默认只处理DHCPv4报文
解析:全局使能DHCP Snooping功能,不带任何后置参数的情况下设备默认只处理DHCPv6报文。
二、多选题
**1.**以下关于IGMPsnooping的描述,正确的是哪些项?
IGMP Snooping 通过监听主机发出的IGMP报文,建立组播MAC地址表
IGMP Snooping运行在链路层,是二层以太网交换机上的组播约束机制,用于管理和控制组播组
IGMP Snooping解决组播报文在三层广播的问题
IGMP Snooping中路由器端口只能通过手工配置的方式生成
2.DHCP Snooping****是一种DHCP安全特性,可以用于防御多种攻击。以下关于DHCP Snooping可以防御攻击的种类正确的是哪些项?
防御改变CHADDR值的饿死攻击
防御DHCP仿冒者攻击
防御TCP flag攻击
防御中间人攻击和IP/MAC Spoofing攻击
3.配置DHCP snooping可以用来防止仿冒者攻击,在配置过程中需要包含以下哪些步骤?
使能接口或VLAN的DHCP Snooping功能
使能全局DAl Snooping功能
配置接口信任状态
使能全局DHCP功能
4.以下哪些项是IPSG可以设置的检查项?
VLAN ID
MAC地址
出接口
IP地址
解析:源IP地址、源MAC地址、所属VLAN、入接口。
三、判断题
1.IP****源防攻击(IP Source Guard,IPSG)是一种基于三层接口的源IP地址过滤技术,它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机,还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。×
版权归原作者 小红红的学习笔记 所有, 如有侵权,请联系我们删除。