二層攻擊與安全問題
Vlan攻擊:
1、Vlan跳轉(zhuǎn)
攻擊原理:通過改變Trunk鏈路中封裝的數(shù)據(jù)包的VLAN ID,攻擊設(shè)備可以發(fā)送或者接收不同VLan中的數(shù)據(jù)包,而繞過三層安全性機(jī)制
解決方法:加強(qiáng)Trunk配置和未使用端口的協(xié)商狀態(tài);把未使用的端口放入公共Vlan
2、公共設(shè)備vlan之間的攻擊
攻擊原理:即使是公共vlan中的設(shè)備,也需要逐一進(jìn)行保護(hù),尤其是為多個(gè)客戶提供設(shè)備的服務(wù)提供商尤為如此
解決方法:實(shí)施私用vlan(Pvlan)
欺騙攻擊:
1、DHCP耗竭和DHCP欺騙
DHCP耗竭攻擊原理
擊設(shè)備可以在一段時(shí)間內(nèi),發(fā)送大量DHCP請(qǐng)求信息,類是與DOS攻擊,消耗完DHCP服務(wù)器上面的可用地址空間
DHCP欺騙攻擊的實(shí)施順序如下:
黑客把未授權(quán)的DHCP服務(wù)器鏈接到交換機(jī)端口
客戶端發(fā)送廣播,來請(qǐng)求DHCP配置信息
未授權(quán)的DHCP服務(wù)器在合法的DHCP服務(wù)器之前進(jìn)行應(yīng)答,為客戶端分配攻擊者定義的IP配置信息
主機(jī)把攻擊者提供的不正確的DHCP地址當(dāng)作網(wǎng)關(guān),從而把數(shù)據(jù)包發(fā)送給攻擊者的地址
解決方法:使用DHCP偵聽
DHCP偵聽是一種DHCP安全特性,它能夠顧慮來自網(wǎng)絡(luò)中主機(jī)或著其它設(shè)備的非信任DHCP報(bào)文。通過建立并維護(hù)DHCP監(jiān)聽綁定表,DHCP能夠?qū)崿F(xiàn)上述級(jí)別的安全。通過該特性將端口設(shè)置為可信端口和不可信端口
DHCP監(jiān)聽特性通常與接口跟蹤特性結(jié)合使用,交換機(jī)將在DHCP報(bào)文中插入選項(xiàng)82(Option 82)--中繼代理選項(xiàng)
DHCP Snooping配置指南
全局下啟用DHCP偵聽
sw(config)#ip dhcp snooping
啟用DHCP option 82
sw(config)#ip dhcp snooping information option
把DHCP服務(wù)器所連接接口或上行鏈路接口配置為可信端口
sw(config-if)#ip dhcp snooping trust
配置該端口上每秒可接受的DHCP數(shù)據(jù)包數(shù)量
sw(config-if)#ip dhcp snooping limite rate rate
在指定vlan上啟用DHCP snooping特性
sw(config)#ip dhcp snooping vlan number number
2、生成樹欺騙
攻擊原理:攻擊設(shè)備偽裝成為STP的跟網(wǎng)橋,若成功了,網(wǎng)絡(luò)攻擊者就可以看到整個(gè)網(wǎng)絡(luò)中的數(shù)據(jù)幀
解決方法:主動(dòng)配置主用和備用根設(shè)備,啟用根防護(hù)
3、MAC欺騙
攻擊原理:攻擊設(shè)備偽裝成為當(dāng)前CAM表中的合法MAC地址,這樣交換機(jī)就能把去往合法設(shè)備的數(shù)據(jù)發(fā)送到攻擊設(shè)備上
解決方法:DHCP偵聽;端口安全
4、ARP欺騙
工具原理:攻擊設(shè)備故意為合法主機(jī)偽造ARP響應(yīng),攻擊設(shè)備的MAC地址就會(huì)成為該合法網(wǎng)絡(luò)設(shè)備所發(fā)出的數(shù)據(jù)幀的2層目的地址.
解決方法:使用動(dòng)態(tài)ARP檢測(cè);DHCP偵聽;端口安全
交換機(jī)設(shè)備上的攻擊:
1、CDP修改
攻擊原理:通過CDP發(fā)送的信息是明文形式且沒有加密,若攻擊者截取CDP信息,就能獲取整個(gè)網(wǎng)絡(luò)拓?fù)湫畔?/p>
解決方法:在所有無意使用的端口上關(guān)閉CDP
2、SSH和Telnet攻擊
攻擊原理:telnet數(shù)據(jù)包可以以明文形式查看,SSH可以對(duì)數(shù)據(jù)進(jìn)行加密,但是版本1中仍然存在安全問題
解決方法:使用SSH版本2;使用telnet結(jié)合VTY ACL
交換安全
風(fēng)暴控制和errdisable關(guān)閉的解決
MAC洪泛攻擊防御
DHCP snooping、arp欺騙、IP欺騙
802.1X
VLAN跳躍攻擊和802.1Q雙重標(biāo)記數(shù)據(jù)幀攻擊
RACL\VACL\PVLAN、MAC ACL
STP安全----BPDU、ROOT、LOOP
一、風(fēng)暴控制
注意:只能對(duì)進(jìn)入的廣播、組播、未知單播形成的風(fēng)暴進(jìn)行控制;
由于某些錯(cuò)誤而導(dǎo)致接口自動(dòng)關(guān)閉
二、MAC洪泛攻擊
攻擊原理:具有唯一無效源MAC地址的數(shù)據(jù)幀向交換機(jī)洪泛,消耗交換機(jī)的CAM表空間,從而阻止合法主機(jī)的MAC地址生成新條目。去往無效主機(jī)的流量會(huì)向所有端口洪泛
解決方法:端口安全;MAC地址vlan訪問控制列表
端口安全是一種2層特性,并且能夠提供如下5種保護(hù)特性
基于主機(jī)MAC地址允許流量
基于主機(jī)MAC地址限制流量
在期望的端口上阻塞單播擴(kuò)散
Switch(config-if)switchport block{unicast| multicast}
避免MAC擴(kuò)散攻擊
避免MAC欺騙攻擊
配置端口安全:
Switch(config)interface FastEthernet0/1
Switch(config-if)switchport mode access ----接口模式為接入模式
Switch(config-if)switchport port-security ----開啟端口安全特性
Switch(config-if)switchport port-security maximum 3 ----最大學(xué)習(xí)的MAC地址數(shù)是3個(gè)
Switch(config-if)switchport port-security mac-address sticky ----該端口學(xué)習(xí)到MAC地址的方法
Switch(config-if)#switchport port-security violation ? ----違背了端口安全特性的處理方式
protect Security violation protect mode ----交換機(jī)繼續(xù)工作,但是把來自新主機(jī)的數(shù)據(jù)包丟棄
restrict Security violation restrict mode ----交換機(jī)繼續(xù)工作,但把來自未授權(quán)主機(jī)的數(shù)據(jù)包丟棄
shutdown Security violation shutdown mode ----交換機(jī)將永久性或者在在特定時(shí)間周期內(nèi)Err-disabled端口
