二层攻击与安全问题
3528 点击·0 回帖
灯火互联
楼主
 |  | |
 | Vlan攻击:1、Vlan跳转 攻击原理:通过改变Trunk链路中封装的数据包的VLAN ID,攻击设备可以发送或者接收不同VLan中的数据包,而绕过三层安全性机制 解决方法:加强Trunk配置和未使用端口的协商状态;把未使用的端口放入公共Vlan 2、公共设备vlan之间的攻击 攻击原理:即使是公共vlan中的设备,也需要逐一进行保护,尤其是为多个客户提供设备的服务提供商尤为如此 解决方法:实施私用vlan(Pvlan) 欺骗攻击: 1、DHCP耗竭和DHCP欺骗 DHCP耗竭攻击原理 击设备可以在一段时间内,发送大量DHCP请求信息,类是与DOS攻击,消耗完DHCP服务器上面的可用地址空间 DHCP欺骗攻击的实施顺序如下: 黑客把未授权的DHCP服务器链接到交换机端口 客户端发送广播,来请求DHCP配置信息 未授权的DHCP服务器在合法的DHCP服务器之前进行应答,为客户端分配攻击者定义的IP配置信息 主机把攻击者提供的不正确的DHCP地址当作网关,从而把数据包发送给攻击者的地址 解决方法:使用DHCP侦听 DHCP侦听是一种DHCP安全特性,它能够顾虑来自网络中主机或着其它设备的非信任DHCP报文。通过建立并维护DHCP监听绑定表,DHCP能够实现上述级别的安全。通过该特性将端口设置为可信端口和不可信端口 DHCP监听特性通常与接口跟踪特性结合使用,交换机将在DHCP报文中插入选项82(Option 82)--中继代理选项 DHCP Snooping配置指南 全局下启用DHCP侦听 sw(config)#ip dhcp snooping 启用DHCP option 82 sw(config)#ip dhcp snooping information option 把DHCP服务器所连接接口或上行链路接口配置为可信端口 sw(config-if)#ip dhcp snooping trust 配置该端口上每秒可接受的DHCP数据包数量 sw(config-if)#ip dhcp snooping limite rate rate 在指定vlan上启用DHCP snooping特性 sw(config)#ip dhcp snooping vlan number number 2、生成树欺骗 攻击原理:攻击设备伪装成为STP的跟网桥,若成功了,网络攻击者就可以看到整个网络中的数据帧 解决方法:主动配置主用和备用根设备,启用根防护 3、MAC欺骗 攻击原理:攻击设备伪装成为当前CAM表中的合法MAC地址,这样交换机就能把去往合法设备的数据发送到攻击设备上 解决方法:DHCP侦听;端口安全 4、ARP欺骗 工具原理:攻击设备故意为合法主机伪造ARP响应,攻击设备的MAC地址就会成为该合法网络设备所发出的数据帧的2层目的地址. 解决方法:使用动态ARP检测;DHCP侦听;端口安全 交换机设备上的攻击: 1、CDP修改 攻击原理:通过CDP发送的信息是明文形式且没有加密,若攻击者截取CDP信息,就能获取整个网络拓扑信息 解决方法:在所有无意使用的端口上关闭CDP 2、SSH和Telnet攻击 攻击原理:telnet数据包可以以明文形式查看,SSH可以对数据进行加密,但是版本1中仍然存在安全问题 解决方法:使用SSH版本2;使用telnet结合VTY ACL 交换安全 风暴控制和errdisable关闭的解决 MAC洪泛攻击防御 DHCP snooping、arp欺骗、IP欺骗 802.1X VLAN跳跃攻击和802.1Q双重标记数据帧攻击 RACL\VACL\PVLAN、MAC ACL STP安全----BPDU、ROOT、LOOP 一、风暴控制 注意:只能对进入的广播、组播、未知单播形成的风暴进行控制; 由于某些错误而导致接口自动关闭 二、MAC洪泛攻击 攻击原理:具有唯一无效源MAC地址的数据帧向交换机洪泛,消耗交换机的CAM表空间,从而阻止合法主机的MAC地址生成新条目。去往无效主机的流量会向所有端口洪泛 解决方法:端口安全;MAC地址vlan访问控制列表 端口安全是一种2层特性,并且能够提供如下5种保护特性 基于主机MAC地址允许流量 基于主机MAC地址限制流量 在期望的端口上阻塞单播扩散 Switch(config-if)switchport block{unicast| multicast} 避免MAC扩散攻击 避免MAC欺骗攻击 配置端口安全: Switch(config)interface FastEthernet0/1 Switch(config-if)switchport mode access ----接口模式为接入模式 Switch(config-if)switchport port-security ----开启端口安全特性 Switch(config-if)switchport port-security maximum 3 ----最大学习的MAC地址数是3个 Switch(config-if)switchport port-security mac-address sticky ----该端口学习到MAC地址的方法 Switch(config-if)#switchport port-security violation ? ----违背了端口安全特性的处理方式 protect Security violation protect mode ----交换机继续工作,但是把来自新主机的数据包丢弃 restrict Security violation restrict mode ----交换机继续工作,但把来自未授权主机的数据包丢弃 shutdown Security violation shutdown mode ----交换机将永久性或者在在特定时间周期内Err-disabled端口 | |
 |  |