二层攻击与安全问题
Vlan攻击:
1、Vlan跳转
攻击原理:通过改变Trunk链路中封装的数据包的VLAN ID,攻击设备可以发送或者接收不同VLan中的数据包,而绕过三层安全性机制
解决方法:加强Trunk配置和未使用端口的协商状态;把未使用的端口放入公共Vlan
2、公共设备vlan之间的攻击
攻击原理:即使是公共vlan中的设备,也需要逐一进行保护,尤其是为多个客户提供设备的服务提供商尤为如此
解决方法:实施私用vlan(Pvlan)
欺骗攻击:
1、DHCP耗竭和DHCP欺骗
DHCP耗竭攻击原理
击设备可以在一段时间内,发送大量DHCP请求信息,类是与DOS攻击,消耗完DHCP服务器上面的可用地址空间
DHCP欺骗攻击的实施顺序如下:
黑客把未授权的DHCP服务器链接到交换机端口
客户端发送广播,来请求DHCP配置信息
未授权的DHCP服务器在合法的DHCP服务器之前进行应答,为客户端分配攻击者定义的IP配置信息
主机把攻击者提供的不正确的DHCP地址当作网关,从而把数据包发送给攻击者的地址
解决方法:使用DHCP侦听
DHCP侦听是一种DHCP安全特性,它能够顾虑来自网络中主机或着其它设备的非信任DHCP报文。通过建立并维护DHCP监听绑定表,DHCP能够实现上述级别的安全。通过该特性将端口设置为可信端口和不可信端口
DHCP监听特性通常与接口跟踪特性结合使用,交换机将在DHCP报文中插入选项82(Option 82)--中继代理选项
DHCP Snooping配置指南
全局下启用DHCP侦听
sw(config)#ip dhcp snooping
启用DHCP option 82
sw(config)#ip dhcp snooping information option
把DHCP服务器所连接接口或上行链路接口配置为可信端口
sw(config-if)#ip dhcp snooping trust
配置该端口上每秒可接受的DHCP数据包数量
sw(config-if)#ip dhcp snooping limite rate rate
在指定vlan上启用DHCP snooping特性
sw(config)#ip dhcp snooping vlan number number
2、生成树欺骗
攻击原理:攻击设备伪装成为STP的跟网桥,若成功了,网络攻击者就可以看到整个网络中的数据帧
解决方法:主动配置主用和备用根设备,启用根防护
3、MAC欺骗
攻击原理:攻击设备伪装成为当前CAM表中的合法MAC地址,这样交换机就能把去往合法设备的数据发送到攻击设备上
解决方法:DHCP侦听;端口安全
4、ARP欺骗
工具原理:攻击设备故意为合法主机伪造ARP响应,攻击设备的MAC地址就会成为该合法网络设备所发出的数据帧的2层目的地址.
解决方法:使用动态ARP检测;DHCP侦听;端口安全
交换机设备上的攻击:
1、CDP修改
攻击原理:通过CDP发送的信息是明文形式且没有加密,若攻击者截取CDP信息,就能获取整个网络拓扑信息
解决方法:在所有无意使用的端口上关闭CDP
2、SSH和Telnet攻击
攻击原理:telnet数据包可以以明文形式查看,SSH可以对数据进行加密,但是版本1中仍然存在安全问题
解决方法:使用SSH版本2;使用telnet结合VTY ACL
交换安全
风暴控制和errdisable关闭的解决
MAC洪泛攻击防御
DHCP snooping、arp欺骗、IP欺骗
802.1X
VLAN跳跃攻击和802.1Q双重标记数据帧攻击
RACL\VACL\PVLAN、MAC ACL
STP安全----BPDU、ROOT、LOOP
一、风暴控制
注意:只能对进入的广播、组播、未知单播形成的风暴进行控制;
由于某些错误而导致接口自动关闭
二、MAC洪泛攻击
攻击原理:具有唯一无效源MAC地址的数据帧向交换机洪泛,消耗交换机的CAM表空间,从而阻止合法主机的MAC地址生成新条目。去往无效主机的流量会向所有端口洪泛
解决方法:端口安全;MAC地址vlan访问控制列表
端口安全是一种2层特性,并且能够提供如下5种保护特性
基于主机MAC地址允许流量
基于主机MAC地址限制流量
在期望的端口上阻塞单播扩散
Switch(config-if)switchport block{unicast| multicast}
避免MAC扩散攻击
避免MAC欺骗攻击
配置端口安全:
Switch(config)interface FastEthernet0/1
Switch(config-if)switchport mode access ----接口模式为接入模式
Switch(config-if)switchport port-security ----开启端口安全特性
Switch(config-if)switchport port-security maximum 3 ----最大学习的MAC地址数是3个
Switch(config-if)switchport port-security mac-address sticky ----该端口学习到MAC地址的方法
Switch(config-if)#switchport port-security violation ? ----违背了端口安全特性的处理方式
protect Security violation protect mode ----交换机继续工作,但是把来自新主机的数据包丢弃
restrict Security violation restrict mode ----交换机继续工作,但把来自未授权主机的数据包丢弃
shutdown Security violation shutdown mode ----交换机将永久性或者在在特定时间周期内Err-disabled端口