阻止IP地址欺骗的网络安全防御机制IPSG

IPSG技术概述

IP地址欺骗攻击中，攻击者通过伪造合法用户的IP地址获取网络访问权限，非法访问网络，甚至造成合法用户无法访问网络，或者信息泄露。IPSG针对IP地址欺骗攻击提供了一种防御机制，可以有效阻止此类网络攻击行为。

IP源防攻击（IPSG，IP Source Guard）是一种基于二层接口的源IP地址过滤技术。它能够防止恶意主机伪造合法主机的IP地址来仿冒合法主机，还能确保非授权主机不能通过自己指定IP地址的方式来访问网络或攻击网络。

IPSG利用绑定表（源IP地址、源MAC地址、所属VLAN、入接口的绑定关系）去匹配检查二层接口上收到的IP报文，只有匹配绑定表的报文才允许通过，其他报文将被丢弃。常见的绑定表有静态绑定表和DHCP Snooping动态绑定表。

IPSG应用场景

通过IPSG防止PC私自更改IP地址。PC只能使用DHCP Server分配的IP地址或者管员配置的静态地址，随意更改IP地址后无法访问网络，防止PC非法取得上网权限。小型网络IP地址是静态分配时，通过IPSG限制非法PC接入。外来人员自带电脑不能随意接入内网，防止内网资源泄露。