二層攻擊與安全問題

2021-12-29 20:22:02 字數 2995 閱讀 6356

vlan攻擊:

1、vlan跳轉

攻擊原理:通過改變trunk鏈路中封裝的資料報的vlan id,攻擊裝置可以傳送或者接收不同vlan中的資料報,而繞過三層安全性機制

解決方法:加強trunk配置和未使用埠的協商狀態;把未使用的埠放入公共vlan

2、公共裝置vlan之間的攻擊

攻擊原理:即使是公共vlan中的裝置,也需要逐一進行保護,尤其是為多個客戶提供裝置的服務提供商尤為如此

解決方法:實施私用vlan(pvlan)

欺騙攻擊:

1、dhcp耗竭和dhcp欺騙

dhcp耗竭攻擊原理

擊裝置可以在一段時間內,傳送大量dhcp請求資訊,類是與dos攻擊,消耗完dhcp伺服器上面的可用位址空間

dhcp欺騙攻擊的實施順序如下:

黑客把未授權的dhcp伺服器鏈結到交換機埠

客戶端傳送廣播,來請求dhcp配置資訊

未授權的dhcp伺服器在合法的dhcp伺服器之前進行應答,為客戶端分配攻擊者定義的ip配置資訊

主機把攻擊者提供的不正確的dhcp位址當作閘道器,從而把資料報傳送給攻擊者的位址

解決方法:使用dhcp偵聽

dhcp偵聽是一種dhcp安全特性,它能夠顧慮來自網路中主機或著其它裝置的非信任dhcp報文。通過建立並維護dhcp監聽繫結表,dhcp能夠實現上述級別的安全。通過該特性將埠設定為可信埠和不可信埠

dhcp監聽特性通常與介面跟蹤特性結合使用,交換機將在dhcp報文中插入選項82(option 82)--中繼**選項

dhcp snooping配置指南

全域性下啟用dhcp偵聽

sw(config)#ip dhcp snooping

啟用dhcp option 82

sw(config)#ip dhcp snooping information option

把dhcp伺服器所連線介面或上行鏈路介面配置為可信埠

sw(config-if)#ip dhcp snooping trust

配置該埠上每秒可接受的dhcp資料報數量

sw(config-if)#ip dhcp snooping limite rate rate

在指定vlan上啟用dhcp snooping特性

sw(config)#ip dhcp snooping vlan number number

2、生成樹欺騙

攻擊原理:攻擊裝置偽裝成為stp的跟網橋,若成功了,網路攻擊者就可以看到整個網路中的資料幀

解決方法:主動配置主用和備用根裝置,啟用根防護

3、mac欺騙

攻擊原理:攻擊裝置偽裝成為當前cam表中的合法mac位址,這樣交換機就能把去往合法裝置的資料傳送到攻擊裝置上

解決方法:dhcp偵聽;埠安全

4、arp欺騙

工具原理:攻擊裝置故意為合法主機偽造arp響應,攻擊裝置的mac位址就會成為該合法網路裝置所發出的資料幀的2層目的位址.

解決方法:使用動態arp檢測;dhcp偵聽;埠安全

交換機裝置上的攻擊:

1、cdp修改

攻擊原理:通過cdp傳送的資訊是明文形式且沒有加密,若攻擊者擷取cdp資訊,就能獲取整個網路拓撲資訊

解決方法:在所有無意使用的埠上關閉cdp

2、ssh和telnet攻擊

攻擊原理:telnet資料報可以以明文形式檢視,ssh可以對資料進行加密,但是版本1中仍然存在安全問題

解決方法:使用ssh版本2;使用telnet結合vty acl

交換安全

風暴控制和errdisable關閉的解決

mac洪氾攻擊防禦

dhcp snooping、arp欺騙、ip欺騙

802.1x

vlan跳躍攻擊和802.1q雙重標記資料幀攻擊

racl\vacl\pvlan、mac acl

stp安全----bpdu、root、loop

一、風暴控制

注意:只能對進入的廣播、組播、未知單播形成的風暴進行控制;

由於某些錯誤而導致介面自動關閉  

二、mac洪氾攻擊

攻擊原理:具有唯一無效源mac位址的資料幀向交換機洪氾,消耗交換機的cam表空間,從而阻止合法主機的mac位址生成新條目。去往無效主機的流量會向所有埠洪氾

解決方法:埠安全;mac位址vlan訪問控制列表

埠安全是一種2層特性,並且能夠提供如下5種保護特性

基於主機mac位址允許流量

基於主機mac位址限制流量

在期望的埠上阻塞單播擴散

switch(config-if)switchport block{unicast| multicast}

避免mac擴散攻擊

避免mac欺騙攻擊

配置埠安全:

switch(config)inte***ce fastethernet0/1

switch(config-if)switchport mode access ----介面模式為接入模式

switch(config-if)switchport port-security ----開啟埠安全特性

switch(config-if)switchport port-security maximum 3 ----最大學習的mac位址數是3個

switch(config-if)switchport port-security mac-address sticky ----該埠學習到mac位址的方法

switch(config-if)#switchport port-security violation ? ----違背了埠安全特性的處理方式

protect   security violation protect mode ----交換機繼續工作,但是把來自新主機的資料報丟棄

restrict  security violation restrict mode ----交換機繼續工作,但把來自未授權主機的資料報丟棄

shutdown  security violation shutdown mode ----交換機將永久性或者在在特定時間週期內err-disabled埠

二層交換安全

二層交換安全處理方法 1.維護乙個合法的埠與mac對應關係 一對一 port security 通過介面的第乙個mac,為要繫結的 maximum 後加最大mac數 若超過最大數 懲罰 一對一繫結公升級 粘滯安全mac位址 進入介面後自動繫結 應對網路龐大 switchport protected ...

資訊保安 物理層安全問題

abstract 在共享式區域網上,攻擊者可以嗅探到其他裝置傳送的訊息,利用交換機的自學習功能,發起mac位址泛洪攻擊,使得交換機的流量隔離作用失效,可以將嗅探的範圍進一步擴大。嚴格來說,關於mac位址和交換機這一塊的內容實在計算機網路的資料鏈路層學的,但是本篇文章討論安全問題,無法完全分層討論。目...

資訊保安 網路層安全問題

abstract 本篇文章討論網路層三個協議的安全問題。關於arp協議,由於計算機會對收到的每個arp應答報文作出響應,並更新自己的arp緩衝表,攻擊者利用這個漏洞可以發起中間人攻擊,或者用位址衝突使得目標主機不能聯網。關於ip協議,由於ip的源位址不可靠,攻擊者可以利用這個漏洞發起盲目飛行攻擊以及...