vlan攻擊:
1、vlan跳轉
攻擊原理:通過改變trunk鏈路中封裝的資料報的vlan id,攻擊裝置可以傳送或者接收不同vlan中的資料報,而繞過三層安全性機制
解決方法:加強trunk配置和未使用埠的協商狀態;把未使用的埠放入公共vlan
2、公共裝置vlan之間的攻擊
攻擊原理:即使是公共vlan中的裝置,也需要逐一進行保護,尤其是為多個客戶提供裝置的服務提供商尤為如此
解決方法:實施私用vlan(pvlan)
欺騙攻擊:
1、dhcp耗竭和dhcp欺騙
dhcp耗竭攻擊原理
擊裝置可以在一段時間內,傳送大量dhcp請求資訊,類是與dos攻擊,消耗完dhcp伺服器上面的可用位址空間
dhcp欺騙攻擊的實施順序如下:
黑客把未授權的dhcp伺服器鏈結到交換機埠
客戶端傳送廣播,來請求dhcp配置資訊
未授權的dhcp伺服器在合法的dhcp伺服器之前進行應答,為客戶端分配攻擊者定義的ip配置資訊
主機把攻擊者提供的不正確的dhcp位址當作閘道器,從而把資料報傳送給攻擊者的位址
解決方法:使用dhcp偵聽
dhcp偵聽是一種dhcp安全特性,它能夠顧慮來自網路中主機或著其它裝置的非信任dhcp報文。通過建立並維護dhcp監聽繫結表,dhcp能夠實現上述級別的安全。通過該特性將埠設定為可信埠和不可信埠
dhcp監聽特性通常與介面跟蹤特性結合使用,交換機將在dhcp報文中插入選項82(option 82)--中繼**選項
dhcp snooping配置指南
全域性下啟用dhcp偵聽
sw(config)#ip dhcp snooping
啟用dhcp option 82
sw(config)#ip dhcp snooping information option
把dhcp伺服器所連線介面或上行鏈路介面配置為可信埠
sw(config-if)#ip dhcp snooping trust
配置該埠上每秒可接受的dhcp資料報數量
sw(config-if)#ip dhcp snooping limite rate rate
在指定vlan上啟用dhcp snooping特性
sw(config)#ip dhcp snooping vlan number number
2、生成樹欺騙
攻擊原理:攻擊裝置偽裝成為stp的跟網橋,若成功了,網路攻擊者就可以看到整個網路中的資料幀
解決方法:主動配置主用和備用根裝置,啟用根防護
3、mac欺騙
攻擊原理:攻擊裝置偽裝成為當前cam表中的合法mac位址,這樣交換機就能把去往合法裝置的資料傳送到攻擊裝置上
解決方法:dhcp偵聽;埠安全
4、arp欺騙
工具原理:攻擊裝置故意為合法主機偽造arp響應,攻擊裝置的mac位址就會成為該合法網路裝置所發出的資料幀的2層目的位址.
解決方法:使用動態arp檢測;dhcp偵聽;埠安全
交換機裝置上的攻擊:
1、cdp修改
攻擊原理:通過cdp傳送的資訊是明文形式且沒有加密,若攻擊者擷取cdp資訊,就能獲取整個網路拓撲資訊
解決方法:在所有無意使用的埠上關閉cdp
2、ssh和telnet攻擊
攻擊原理:telnet資料報可以以明文形式檢視,ssh可以對資料進行加密,但是版本1中仍然存在安全問題
解決方法:使用ssh版本2;使用telnet結合vty acl
交換安全
風暴控制和errdisable關閉的解決
mac洪氾攻擊防禦
dhcp snooping、arp欺騙、ip欺騙
802.1x
vlan跳躍攻擊和802.1q雙重標記資料幀攻擊
racl\vacl\pvlan、mac acl
stp安全----bpdu、root、loop
一、風暴控制
注意:只能對進入的廣播、組播、未知單播形成的風暴進行控制;
由於某些錯誤而導致介面自動關閉
二、mac洪氾攻擊
攻擊原理:具有唯一無效源mac位址的資料幀向交換機洪氾,消耗交換機的cam表空間,從而阻止合法主機的mac位址生成新條目。去往無效主機的流量會向所有埠洪氾
解決方法:埠安全;mac位址vlan訪問控制列表
埠安全是一種2層特性,並且能夠提供如下5種保護特性
基於主機mac位址允許流量
基於主機mac位址限制流量
在期望的埠上阻塞單播擴散
switch(config-if)switchport block{unicast| multicast}
避免mac擴散攻擊
避免mac欺騙攻擊
配置埠安全:
switch(config)inte***ce fastethernet0/1
switch(config-if)switchport mode access ----介面模式為接入模式
switch(config-if)switchport port-security ----開啟埠安全特性
switch(config-if)switchport port-security maximum 3 ----最大學習的mac位址數是3個
switch(config-if)switchport port-security mac-address sticky ----該埠學習到mac位址的方法
switch(config-if)#switchport port-security violation ? ----違背了埠安全特性的處理方式
protect security violation protect mode ----交換機繼續工作,但是把來自新主機的資料報丟棄
restrict security violation restrict mode ----交換機繼續工作,但把來自未授權主機的資料報丟棄
shutdown security violation shutdown mode ----交換機將永久性或者在在特定時間週期內err-disabled埠
二層交換安全
二層交換安全處理方法 1.維護乙個合法的埠與mac對應關係 一對一 port security 通過介面的第乙個mac,為要繫結的 maximum 後加最大mac數 若超過最大數 懲罰 一對一繫結公升級 粘滯安全mac位址 進入介面後自動繫結 應對網路龐大 switchport protected ...
資訊保安 物理層安全問題
abstract 在共享式區域網上,攻擊者可以嗅探到其他裝置傳送的訊息,利用交換機的自學習功能,發起mac位址泛洪攻擊,使得交換機的流量隔離作用失效,可以將嗅探的範圍進一步擴大。嚴格來說,關於mac位址和交換機這一塊的內容實在計算機網路的資料鏈路層學的,但是本篇文章討論安全問題,無法完全分層討論。目...
資訊保安 網路層安全問題
abstract 本篇文章討論網路層三個協議的安全問題。關於arp協議,由於計算機會對收到的每個arp應答報文作出響應,並更新自己的arp緩衝表,攻擊者利用這個漏洞可以發起中間人攻擊,或者用位址衝突使得目標主機不能聯網。關於ip協議,由於ip的源位址不可靠,攻擊者可以利用這個漏洞發起盲目飛行攻擊以及...