局域网交换机安全

攻击名称：

Mac 泛洪

攻击原理：

针对交换机的自动学习 mac 地址功能，但是同时缺乏安全性。

攻击效果：

将交换机 mac 表占满，导致交换机将数据包泛洪，后果是交换效率降低，是其他很多攻击提供便利。常用的工具有： macof ， yersinia 。

防范方法：

Port security ：限制每个端口下的 mac 数目。

 

 

攻击名称：

Mac 欺骗

攻击原理：

针对交换机的自动学习 mac 地址功能，但是同时缺乏安全性。

攻击效果：

在 mac 地址为导向的网络中，攻击者通过欺骗交换机的 mac 地址表来达到非法获取受害者数据的目的，不过这个过程中如果受害者更新交换机的 mac 表就会发生中断，这通常变现为受害者经常网络中断。

防范方法：

可以通过绑定mac与端口的对应关系，或者注意mac地址在端口之间的变动来发现和防范这种攻击。

 

 

攻击名称：

Spt 协议攻击

攻击原理：

针对 stp 协议缺少安全性的特点来进行攻击

攻击效果：

攻击种类有，通过发送优先级高的 bpdu 报文来成为根网桥，或者不停发送 tcn bpdu 来造成整个网络的交换机居高不下甚至是 dos ，常用的工具有： yersinia 。

防范方法：

在连接主机的借口上禁止接受bpdu，在根网桥上启用root guard等

 

攻击名称：

Vlan 跳跃

攻击原理：

通过 dtp 协议，或者 qinq 达到非法跨 vlan 访问

攻击效果：

通过构造 trunk 协议包来伪装成一台交换机，与真正的交换机之间形成 trunk 连接，从而可以达到可以访问多个 vlan 的目的。或者通过在数据包里面插入多重 802.1q 数据标记。

 

防范方法：

在连接主机的借口上禁止dtp，或者配置成为access mode。同时不将native vlan分配给终端用户使用。

 

攻击名称：

Dhcp 协议dos攻击，Dhcp协议欺骗攻击。

攻击效果：

Dhcp 拒绝服务攻击，通过不停的向服务器请求 ip 地址，从而耗尽 dhcp 服务器地址池达到拒绝服务的目的。 Dhcp 协议欺骗攻击，通过伪造dhcp服务器，给网内的客户端分配错误的ip参数，从而达到欺骗的目的。

防范方法：

配置dhcp snooping功能+port security功能。对不支持dhcp snooping功能的交换机可以通过acl限制相应的服务器端口来达到一定的防范。

 

攻击名称：

Arp 攻击

攻击原理：

Arp 协议缺少安全特性，攻击者通过构造arp数据包来改写用户的arp条目，从而达到欺骗目的，另外arp功能一般是通过软件实现的，会消耗交换机的cpu资源，所以大量的arp数据包会构成网络中所有交换机cpu居高不下。攻击工具有dsniff,ettercap,cain.

防范方法：

1 思科的dai技术，dai是cpu密集型技术应该同时限制传递给cpu的arp数据包的速度。2 在主机上实行arp绑定 3 在网络中部署arp防火墙，例如arpwartch软件。

 

攻击名称：

Hsrp ，vrrp攻击

攻击原理：

通过发送协议数据包来取代active路由器。

防范方法：

使用强认证，在不不要的端口上禁用。

 

总结：

根据以上协议的漏洞，建议在交换机上进行如下配置，以思科3750交换机为例：

主机接口：

interface GigabitEthernet1/0/1

 switchport mode access

 switchport port-security

 switchport port-security mac-address sticky

 spanning-tree portfast

 spanning-tree bpduguard enable

switchport access vlan x   --x 建议是非native vlan

no ip dhcp snooping trust  --3750 默认是没有启用ip dhcp snooping trust的

end

 

#ip arp inspection vlan x  -- 启用DAI

Ip dhcp snooping