二层攻击与安全问题

安全 黑客攻防
Vlan跳转攻击原理:通过改变Trunk链路中封装的数据包的VLAN ID,攻击设备可以发送或者接收不同VLan中的数据包,而绕过三层安全性机制。

Vlan攻击:

1、Vlan跳转

攻击原理:通过改变Trunk链路中封装的数据包的VLAN ID,攻击设备可以发送或者接收不同VLan中的数据包,而绕过三层安全性机制

解决方法:加强Trunk配置和未使用端口的协商状态;把未使用的端口放入公共Vlan

2、公共设备vlan之间的攻击

攻击原理:即使是公共vlan中的设备,也需要逐一进行保护,尤其是为多个客户提供设备的服务提供商尤为如此

解决方法:实施私用vlan(Pvlan)

欺骗攻击:

1、DHCP耗竭和DHCP欺骗

DHCP耗竭攻击原理

击设备可以在一段时间内,发送大量DHCP请求信息,类是与DOS攻击,消耗完DHCP服务器上面的可用地址空间

DHCP欺骗攻击的实施顺序如下:

黑客把未授权的DHCP服务器链接到交换机端口

客户端发送广播,来请求DHCP配置信息

未授权的DHCP服务器在合法的DHCP服务器之前进行应答,为客户端分配攻击者定义的IP配置信息

主机把攻击者提供的不正确的DHCP地址当作网关,从而把数据包发送给攻击者的地址

解决方法:使用DHCP侦听

DHCP侦听是一种DHCP安全特性,它能够顾虑来自网络中主机或着其它设备的非信任DHCP报文。通过建立并维护DHCP监听绑定表,DHCP能够实现上述级别的安全。通过该特性将端口设置为可信端口和不可信端口

DHCP监听特性通常与接口跟踪特性结合使用,交换机将在DHCP报文中插入选项82(Option 82)--中继代理选项

DHCP Snooping配置指南

全局下启用DHCP侦听

sw(config)#ip dhcp snooping

启用DHCP option 82

sw(config)#ip dhcp snooping information option

把DHCP服务器所连接接口或上行链路接口配置为可信端口

sw(config-if)#ip dhcp snooping trust

配置该端口上每秒可接受的DHCP数据包数量

sw(config-if)#ip dhcp snooping limite rate rate

在指定vlan上启用DHCP snooping特性

sw(config)#ip dhcp snooping vlan number number

2、生成树欺骗

攻击原理:攻击设备伪装成为STP的跟网桥,若成功了,网络攻击者就可以看到整个网络中的数据帧

解决方法:主动配置主用和备用根设备,启用根防护

3、MAC欺骗

攻击原理:攻击设备伪装成为当前CAM表中的合法MAC地址,这样交换机就能把去往合法设备的数据发送到攻击设备上

解决方法:DHCP侦听;端口安全

4、ARP欺骗

工具原理:攻击设备故意为合法主机伪造ARP响应,攻击设备的MAC地址就会成为该合法网络设备所发出的数据帧的2层目的地址.

解决方法:使用动态ARP检测;DHCP侦听;端口安全

交换机设备上的攻击:

1、CDP修改

攻击原理:通过CDP发送的信息是明文形式且没有加密,若攻击者截取CDP信息,就能获取整个网络拓扑信息

解决方法:在所有无意使用的端口上关闭CDP

2、SSH和Telnet攻击

攻击原理:telnet数据包可以以明文形式查看,SSH可以对数据进行加密,但是版本1中仍然存在安全问题

解决方法:使用SSH版本2;使用telnet结合VTY ACL

交换安全

风暴控制和errdisable关闭的解决

MAC洪泛攻击防御

DHCP snooping、arp欺骗、IP欺骗

802.1X

VLAN跳跃攻击和802.1Q双重标记数据帧攻击

RACL\VACL\PVLAN、MAC ACL

STP安全----BPDU、ROOT、LOOP

一、风暴控制

注意:只能对进入的广播、组播、未知单播形成的风暴进行控制;

由于某些错误而导致接口自动关闭

二、MAC洪泛攻击

攻击原理:具有唯一无效源MAC地址的数据帧向交换机洪泛,消耗交换机的CAM表空间,从而阻止合法主机的MAC地址生成新条目。去往无效主机的流量会向所有端口洪泛

解决方法:端口安全;MAC地址vlan访问控制列表

端口安全是一种2层特性,并且能够提供如下5种保护特性

基于主机MAC地址允许流量

基于主机MAC地址限制流量

在期望的端口上阻塞单播扩散

Switch(config-if)switchport block{unicast| multicast}

避免MAC扩散攻击

避免MAC欺骗攻击

配置端口安全:

Switch(config)interface FastEthernet0/1

Switch(config-if)switchport mode access ----接口模式为接入模式

Switch(config-if)switchport port-security ----开启端口安全特性

Switch(config-if)switchport port-security maximum 3 ----最大学习的MAC地址数是3个

Switch(config-if)switchport port-security mac-address sticky ----该端口学习到MAC地址的方法

Switch(config-if)#switchport port-security violation ? ----违背了端口安全特性的处理方式

protect   Security violation protect mode ----交换机继续工作,但是把来自新主机的数据包丢弃

restrict  Security violation restrict mode ----交换机继续工作,但把来自未授权主机的数据包丢弃

shutdown  Security violation shutdown mode ----交换机将永久性或者在在特定时间周期内Err-disabled端口

责任编辑:蓝雨泪 来源: 2cto
相关推荐

2010-01-15 16:37:04

2019-07-15 05:04:09

二层网络安全端口安全网络安全

2010-06-28 15:52:17

2010-01-04 09:15:19

三层交换技术

2010-03-19 10:11:16

二层交换机

2019-09-03 15:23:53

邮件安全网络钓鱼电子邮件

2013-04-02 13:06:20

BYODBYOD安全

2014-01-03 09:15:57

2010-01-22 16:54:19

2012-11-20 10:47:16

2010-06-25 09:53:18

2012-10-29 10:36:23

安全问题扫描策略云安全

2013-03-11 17:37:36

大数据

2014-07-28 11:18:30

件测试云计算云测试

2011-08-04 16:49:32

二层交换分组移动回程

2011-03-09 17:33:53

2013-01-17 16:11:11

数据中心交换机网络虚拟化

2019-04-04 11:55:59

2013-03-07 10:18:55

大数据大数据分析隐私安全

2010-01-28 14:08:06

点赞
收藏

51CTO技术栈公众号