交换安全（局域网安全）

若阅读时看不太懂叙述顺序建议先浏览位于底部的思维导图
MAC攻击
伪造大量虚假MAC地址发送给交换机，让交换机不停学习，将原MAC地址表中的原MAC地址删除，此时交换机转发数据找不到目标MAC地址，此时会进行未知单播帧洪泛
将中间的PC的MAC伪装为对方的MAC地址，但需要不停地发送，否则交换机会重新加载上被攻击方的MAC地址
解决方法：
一一对应捆绑接口与MAC地址，维护一个合法的关系
在接口下开启端口安全：开启后一个端口只能绑定固定数目个MAC地址，否则会进行惩罚，惩罚默认shutdown
惩罚：
（1）protect——当心计算机接入时，如果该端口的MAC条目数量超过最大数量，则这个新的计算机会无法接入，原有计算机不收影响，交换机也不发送警告信息；
（2）Restrict——当新计算机接入时，如果该端口的MAC条目超过最大数量，则这个新的计算机无法接入，并且交换机将发送警告信息
Shutdown——当新计算机接入时，如果该端口的MAC条目数量超过最大数量，则该端口将会关闭，则这个新的计算机和原有的计算机都无法接入网络，这是需要接入原有的计算机并在交换机的该端口下使用“shutdown”和“no shutdown”命令重新打开端口

Switchport protected 端口隔离：将本接口从本交换机中隔开，使本端口与其他端口通过二层协议无法通信，只能与网关通信（在公共场所的共用网络基本都要做）
VLAN隔离的本质是切割VLAN看表，将接口划入VLAN后该接口只能查本VLAN的接口看表，查不到其他接口的看表，此时本接口就被独立出来，无法与其余端口通信
Docker技术：容器端口隔离技术 将PC某一端口与其他端口隔离开，使该端口不能与其余段开口通信

VLAN跳转攻击
协商成trunk参与生成树的构建
Switchport nonegotiate关闭DTP 关闭DTP后就不会进行回应，否则会被不停协商，即使是拒绝也会占用交换机大量的资源
VLAN1是本征VLAN，没有被标记的都会被划入VLAN1
接口收到带有VLAN标记的数据：
（1）接口收到不带VLAN标记的数据：接口放行数据并在过干道的时候打上接口所属VLAN的标记
（2）接口收到带接口所属VLAN不一样的标记：丢弃
（3）接口收到带接口所属VLAN一样的标记：撕掉VLAN标记封装，然后放行
将接入交换机的接口划入本征VLAN，然后在数据包上最外层打上VLAN1的标记，然后在下面一层打上目标VLAN的标记，经过交换机接口进入VLAN时会撕掉进来的数据的VLAN1的标记，并发送到另一交换机，不做封装，此时到了另一交换机上会看到另一VLAN的标记，交换机会认为该数据包时另一VLAN的数据，此时就可以与另一VLAN的PC通信
技术上防止：VLAN tag native dot1q 强行将即将经过trunk干道的数据包上打上标记
管理上防止：
1.PC不能被划入本征VLAN（对管理员的约束）
2.本征VLAN移动（本征VLAN默认为VLAN1，此时将本征VLAN调为VLAN2或VLAN3等）
3.把不用的接口关闭
4.把不用的接口划入特殊VLAN

DHCP snooping
耗尽攻击
DHCP 耗竭的攻击通过利用伪造的 MAC 地址来广播 DHCP 请求的方式来进行。利用诸如 gobbler 之类的攻击工具就可以很容易地造成这种情况。如果所发出的请求足够多的话，网络攻击者就可以在一段时间内耗竭向 DHCP 服务器所提供的地址空间。结果当合法用户请求一个 DHCP IP 地址的时候也会被拒绝，并因此而不能访问网络。DHCP 耗竭可以为纯粹的服务拒绝（DoS）机制，也可以与恶意的伪造服务器攻击配合使用来将信息转发给准备截取些信息的恶意计算机。
　　当正常的 DHCP 服务器瘫痪时，网络攻击者就可以在自己的系统中建立起伪造 DHCP 服务器来对来自该局域网中客户所发出的新 DHCP 请求作出反应。入侵者可以利用自己可以控制其信息转发的 DNS 服务器或默认网关来发布某个地址的信息。
1.二层帧source Mac和chaddr的Mac一致
端口保护即可防御
2.二层帧source Mac不变而chaddr变化
Ip DHCP snooping verify Mac-address //检测二层Mac与chaddr是否一致，不一致则丢弃
DHCPsnooping的绑定表
接口 获取的ip Mac VLAN 租期，这些东西会在一张表中出现，这张表就是绑定表
把绑定表存储起来：ip DHCP snooping database flash ：xx.txt
两台交换机作为中继
解决：
1.牺牲绑定表，不删除option 82，则下联交换机只能记录一条记录进入绑定表，此时与DHCP服务器直连交换机与下联交换机连接的接口需要开启为信任接口
2.不牺牲绑定表，删除option 82，下联交换机所连PC都可以记录进入绑定表，此时与DHCP服务器直连交换机与下联交换机连接的接口不需要开启为信任接口

Option 82
功能介绍
DHCP option 82是为了增强DHCP服务器的安全性，改善IP地址配置策略而提出的一种DHCP选项。通过在网络接入设备上配置DHCP中继代理功能，中继代理把从客户端接收到的DHCP请求报文添加进option 82选项（其中包含了客户端的接入物理端口和接入设备标识等信息），然后再把该报文转发给DHCP服务器，支持option 82功能的DHCP服务器接收到报文后，根据预先配置策略和报文中option 82信息分配IP地址和其它配置信息给客户端，同时DHCP服务器也可以依据option 82中的信息识别可能的DHCP攻击报文并作出防范。DHCP中继代理收到服务器应答报文后，剥离其中的option 82选项并根据选项中的物理端口信息，把应答报文转交到网络接入设备的指定端口
报文结构
DHCPoption82又称为DHCP中继代理信息选项（RelayAgentInformationOption），是DHCP报文中的一个选项，其编号为82。rfc3046定义了option82，选项位置在option255之前而在其它option之后。
　　　　Code：表示中继代理信息选项的序号，rfc3046定义为82，option82即由此得名。
　　Len：为代理信息域（AgentInformationField）的字节个数，不包括Code和Len字段的两个字节。
　　Option82可以由多个sub-option组成，每个option82选项至少要有一个子选项.
　　
　　SubOpt：为子选项编号，其中代理电路ID（即CircuitID）子选项编号为1，代理远程ID（即RemoteID）子选项编号为2
　　Len：为Sub-optionValue的字节个数，不包括SubOpt和Len字段的两个字节。
　　option82子选项1：option82子选项1定义了代理电路ID（即CircuitID），它表示接收到的DHCP请求报文来自的链路标识，这个标识只在中继代理节点内部有意义，在服务器端不可以解析其含义，只作为一个不具含义的标识使用。在本文实现中代理电路ID默认是指接收到DHCP请求报文的接入交换机Vlan名加接入二层端口名称，如Vlan2+Ethernet0/0/10，也可以由用户指定自己的代理电路ID。通常子选项1与子选项2要共同使用来标识DHCP客户端的信息。
　　option82子选项2：option82子选项2定义了代理远程ID（即RemoteID），代理远程ID是指接收到DHCP请求报文的接入交换机的vlanMAC地址。子选项2通常与子选项1共同使用来标识DHCP客户端的信息。
　　DHCP请求报文：指由DHCP客户端发起的报文，希望DHCP服务器响应后分配IP地址和其它配置信息。DHCP请求报文一般有四种，分别为DHCP_DISCOVER报文、DHCP_REQUEST报文、DHCP_RELEASE报文和DHCP_INFORM报文。中继代理只针对DHCP请求报文添加option82选项并转发给服务器。本文实现的DHCP中继对这四种请求报文都添加option82选项。
　　DHCP应答报文：指由DHCP服务器响应客户端发起的请求报文，包含配置信息或指示回应结果的DHCP响应报文，DHCP应答报文一般有DHCP_OFFER报文，DHCP_ACK报文和DHCP_NAK报文
No ip DHCP snooping information option 不插入option82
Cisco iOS为DHCP服务器默认时会认为option 82字段为0的DHCP请求报文为错误的
DHCP与PC不在同一网段内（DHCP中继）
DHCP中继必须要插入option 82字段
解决
网关接口：ip DHCP relay information trust 仅对路由器当前接口有效
全局命令：ip DHCP relay information trust-all

ARP欺骗
解决：
1.找到一张正确的ip-Mac绑定表（snooping绑定表）
2.人工写入一张表
DAI：动态ARP检测技术 检查ip-Mac对应关系是否合法（只能查看ARP包）

将没有绑定关系的接口设置为trust接口（不需要/不能检查ARP的接口）
限速：黑客可以利用交换机CPU处理能力弱的漏洞进行攻击交换机使其瘫痪，限制ARP发送速率可以有效防止该手段

Ip地址欺骗（IPSG）
IP地址欺骗是指行动产生的IP数据包为伪造的源IP地址，以便冒充其他系统或发件人的身分。这是一种黑客的攻击形式，黑客使用一台计算机上网,而借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道。
解决
查找snooping绑定表
802.1X：端口认证技术 用户没有取得端口信任，就无法进入该端口（端口与用户的绑定） ISE服务器（Cisco的服务器）

端口阻塞（一般用来保护服务器的端口或某个重要的端口）
当数据到达交换机是，交换机在Mac地址表中执行目的地Mac地址查询，确定用哪个端口发出和转发分组。如果再Mac地址表中没有发现条目，则交换机将向相同VLAN（广播域）中所有端口广播（泛洪）未知单播或组播流量。给受保护端口转发未知单播或组播流量，这将可能出现安全问题。使用端口阻塞特性可以阻塞正在转发的未知单播或多播流量
风暴控制 //当交换网络出现单播/组播/广播风暴时，可以抑制转发这些风暴的包的接口

主要控制风暴包的接口
Bps :每秒xxbit
Pps：每秒xx个包