常见的四种交换机防范欺骗攻击方法及相应命令

运维 网络运维
交换机防范欺骗攻击方法是:将任何连接到用户的端口配置为Access模式,从而使它不能以Auto模式使用DTP。需要使用的命令为:Switch(config-if)#switchport mode access。

常见的四种交换机防范欺骗攻击方法及相应命令,交换机防范欺骗攻击中有很多种欺骗攻击,这里我们主要介绍防动态中继协议DTP攻击,防范VLAN跨越式攻击,防范DHCP欺骗攻击和防范ARP欺骗攻击的防范方案。

交换机防范欺骗攻击:防动态中继协议DTP攻击

交换机通过交换DTP协议,动态协商中继链路的用法和封装模式。然而,如果交换机中继端口模式为Auto,它将等待处于模式Auto或On的另一台交换机的请求建立连接。这时,如果恶意用户利用DTP尝试同交换机端口协商建立中继链路,攻击者将可以捕获任何通过该VLAN的数据流。

交换机防范欺骗攻击方法是:将任何连接到用户的端口配置为Access模式,从而使它不能以Auto模式使用DTP。需要使用的命令为:
Switch(config-if)#switchport mode access

交换机防范欺骗攻击:防范VLAN跨越式攻击

在这种攻击方法中,攻击者位于普通VLAN,发送被双重标记的帧,就像使用的是802.1q中继链路。当然,攻击者连接的并非中继线路,他通过伪造中继封装,欺骗交换机将帧转发到另一个VLAN中,实现VLAN跨越式攻击,从而在数据链路层就可非法访问另一VLAN。

交换机防范欺骗攻击方法是:首先,修改本征VLAN ID并在中继链路两端将本征VLAN修剪掉命令为:
Switch(config-if)#switchport trunk native vlan 200
Switch(config-if)#switchport trunk allowed vlan remove 200
然后,强制所有的中继链路给本征VLAN加标记,交换机防范欺骗攻击命令为:
Switch(config)#vlan dotlq tagnative

交换机防范欺骗攻击:防范DHCP欺骗攻击

DHCP欺骗的原理可以简述为,攻击者在某计算机上运行伪造的DHCP服务器,当客户广播DHCP请求时,伪造服务器将发送自己的DHCP应答,将其IP地址作为默认网关客户收到该应答后,前往子网外的数据分组首先经过伪网关。如果攻击者够聪明,他将转发

该数据分组到正确的地址,但同时他也捕获到了这些分组。尽管客户信息泄露了,但他却对此毫无所知。防范方法是:在交换机上启用DHCP探测。首先,在交换机的全局模式下启用DHCP探测,其交换机防范欺骗攻击命令为:
Switch(config)#ip dhcp snooping
接下来,指定要探测的VLAN,交换机防范欺骗攻击命令为:
Switch(config)#ip dhcp snooping vlan 2
然后,将DHCP服务器所在端口设置为信任端口,交换机防范欺骗攻击命令为:
Switch(config-if)#ip dhcp snooping trust
最后,限制其他不可信端口的DHCP分组速率,交换机防范欺骗攻击命令为:
Switch(config-if)#ip dhcp snooping limit rate rate

交换机防范欺骗攻击:防范ARP欺骗攻击

ARP地址欺骗类病毒是一类特殊的病毒,该病毒一般属于木马病毒,不具备主动传播的特性,不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫还要严重得多。其实, 我们只需要在交换机上绑定MAc地址,就能让ARP病毒无用武之地。

首先,在交换机上启用端口安全,交换机防范欺骗攻击命令为:
Switch(config-if)#switchport port-security
然后,指定允许的MAC地址,以便允许合法的MAC地址访问,交换机防范欺骗攻击命令为:
Switch(config-if)#switchport port-security mac-address 000A.E698.84B7
当然,上述操作是静态指定地址,比较麻烦。我们也可以动画获悉MAC,然后在端口上限制最大允许学习的MAC数目,命令为:
Switch(config-if)#switchport port-security 24
然后定义如果MAC地址违规则采取怎样的措施,交换机防范欺骗攻击命令为:
Switch(config-if)#switchport port-security vislation shutdown
其中shutdown是关闭,restrrict是丢弃并记录、警报,protect是丢弃但不记录。

以上就是有关交换机防范欺骗攻击的技术细节。相信确保交换机这三个方面的安全设置,并配合相应的规章、制度,就一定能够保证交换机的安全。

责任编辑:佟健 来源: pcdog
相关推荐

2010-09-29 10:44:31

2010-09-30 16:33:59

2023-11-06 07:50:00

RabbitMQ交换机

2009-12-24 11:05:02

2010-09-17 14:12:16

2011-07-20 10:24:33

2023-08-10 11:39:54

RabbitMQSpring交换机

2010-01-05 14:57:57

2010-01-12 17:21:31

百兆交换机

2019-05-08 10:50:37

交换机组网网络

2010-01-18 09:55:44

2018-10-26 13:57:32

交换机故障排障

2017-07-14 16:28:21

2010-09-07 10:44:14

2010-01-14 16:48:29

交换机故障

2010-01-04 10:33:38

核心交换机

2010-09-16 15:39:18

2010-01-06 16:05:10

交换机端口设置

2009-09-22 12:39:04

2011-11-24 16:34:39

Java
点赞
收藏

51CTO技术栈公众号