二层攻击之生成树攻防

生成树攻防

设备：

DCRS-5950交换机

虚拟机中的kali（采用桥接模式）192.168.1.1

笔记本（需要RJ45的转接线和USB的转接线）【或者两台电脑】

笔记本物理机的ip：192.168.1.2 默认网关：192.168.1.254

 

我在这里的实验用的是一个台式机和一个笔记本，台式机连接交换机，笔记本上的kali机。

1. 在DCRS交换机开启生成树协议，生成树协议模式为STP，DCRS交换机优先级为0，防止网络出现物理环路，显示DCRS交换机生成树协议的状态

在这里先简单的配置下VLAN,好做实验

 

STP配置

 

 

2. 在kali向DCRS交换机发起TAKE Over The Root Bridge渗透测试，使DCRS交换机认为Kali为Root Brige，显示DCRS交换机生成树协议的状态，并将该信息截屏：

 

启动yersinia的图形界面

 

选择STP会直接出现一条结果

 

选用Claim Root Role 进行攻击【Claiming Root Role 破坏树协议中的根的选择，导致广播风暴 】

 

（注：Root ID：为kali的ID（Root ID近似等于Self Bridge ID））

3. 配置DCRS交换机生成树协议安全特性，阻止TAKE Over The Root Bridge渗透测试

这里我台式机连的是e1/1(vlan10下的每个接口都要这么做)

方法一：

 

方法二

输入：spanning-tree portfast bpduguard recoverver  (任意值 )

值的范围取决于设备可通过打问号来选择值spanning-tree portfast bpduguard recoverver  ？

方法三：

spanning-tree portfast bpdufilter

4. 在DCRS交换机配置生成树协议安全特性的条件下，DCRS交换机不会认为kali为Root Brige ,由Kali再次向DCRS交换机发起TAKE Over The Root Bridge渗透测试，再次显示DCRS交换机生成树协议的状态，并验证：

 

 

 ###################################################################

###################################################################

这里我换设备了，CS6200比RS-5650交换机好，RS-5650还缺少一些命令，毕竟是老设备了。

#注：cs-6200#hostname cs

Cs#

设备：CS6200 台式机 笔记本上的kali

5. 由kali向CS交换机发起BPDU DOS渗透测试，提高DCRS交换机CPU的利用率，显示cs交换机CPU的利用率：

 

渗透前交换机CPU的利用率

 

  选择sending conf BPDUs

 

 

渗透测试之后交换机CPU的利用率：

 

 

6. 配置cs交换机生成树协议安全特性，阻止BPDU DOS渗透测试，并将配置截屏：

Vlan10的每一个接口都做

CS#spanning-tree portfast bpduguard recovery (任意值)

或者这样做：

 

7.在CS6200交换机配置生成树协议安全特性的条件下，CS6200交换机不会受kalid 的BPDU DOS渗透测试影响，此时由kali再次向CS6200交换机发起BPDU DOS渗透测试。显示cs6200交换机的利用率，并验证：

渗透前交换机CPU的利用率

 

 

选择sending conf BPDUS

 

渗透后

 

 

#结论CPU的利用率在渗透前后无明显变化

 

（注：设置了安全特性之后：如果kali再次攻击，交换机会直接断开与kali的链接）