如何防止内部节点欺骗内部服务器的IP，从而阻止服务器被活动防御所阻塞？

Question

在内部网络中，所有的机器都是互相防火墙的。防火墙具有端口扫描检测和阻塞机制(如psd模块的iptables)。

问:在避免DoS威胁的同时，有什么方法可以阻止内部端口扫描？例如，内部攻击者可能在端口扫描网络时模拟/欺骗域服务器的IP地址，并在防火墙上阻止域服务器的IP。我该怎么避免呢？

我知道通过入口/出口过滤可以防止来自外部的试图模拟内部地址的IP欺骗攻击(反之亦然)。但只有内部地址呢？

另一种防止这种情况的方法是TCP数据包编号(相同的Wikipedia链接)。但非TCP扫描呢？

还有哪些其他策略可供选择？

Answer 1

在网络级别，您可以尝试实现动态ARP检查和DHCP窥探，以防止主机欺骗合法主机的IP地址。这将在您的交换机上创建一个数据库，说明在哪个端口和哪个主机上分配了哪些IP地址，如果另一个主机试图欺骗该IP，则可能会阻塞该IP，而伪造的通信量将无法通过。