1.      VLAN跳跃***(VLAN Hopping
分析:用户可以将自己的端口配置为trunk,将自己加入到所有的Vlan中。另一方法是伪造数据包,在包头中添加双重tag标记,这样即使管理员关闭了该接口的trunk功能,仍可以将数据包发送到其他Vlan
防范:关闭不用的端口或者将他们放在一个隔离的VLAN中。
 
2.      MAC***
分析:交换机的MAC的地址表的空间大小是固定的,***者可以通过发送随机地址的数据包将地址表空间填满,该交换机就会成为一个HUB,***者可以通过监听工具收集和分析网络中的所有数据。
防范:启用端口安全功能,限制每个端口允许的MAC地址数量并发送syslog日志。
Switchport port-security
Switchport port-security maximum 1 vlan access
Switchport port-security violation restrict
Switchport port-security aging time 2
Switchport port-security aging type inactivity
Snmp-server enable traps port-security trap-rate 5
 
3.      DHCP***
分析:***者可以将自己伪装为DHCP服务器向用户提供DHCP服务,从而将数据引向自身,获得用户数据的内容和流向控制。
防范:启用DHCP Snooping功能
用户端口: no ip dhcp snooping trust
DHCP服务器端口:ip dhcp snooping trust
 
4.      ARP***
分析:***者可以将自己MAC伪装成网关的MAC地址,从而将同网段的所有流量引向自己。获得用户数据的内容和控制。流行的ARP病毒就是通过这种方式实现的。
防范:DHCP环境(启用动态ARP检测-DAI,可以监控网络中ARP数据)
       全局配置:
       Ip arp inspection vlan 4,104
       Ip arp inspection log buffer entries 1024
       Ip arp inspesction log-buffer logs 1024 interval 10
       端口配置:
       Ip arp inspection trust
 
       DHCP环境(为网关和服务器设置静态IPMAC绑定)
       Ip source binding 0000.0000.0001 vlan 4 10.1.1.1 interface fastethernet 3/1
 
5.      IP/MAC欺骗***
分析:***者可以伪装成合法的IPMAC地址,从而影响用户的正常通讯和获得非法的权限。
防范:启用ip source guard,可以检测数据包的源IP地址或者源MAC地址,过滤掉非法的数据,ip source guard需要先启用DHCP snooping功能。
全局配置:
       Ip dhcp snooping vlan 4,104
       No ip dhcp snooping information option
       Ip dhcp snooping
       端口配置
       Ip verify source vlan dhcp-snooping
 
6.      STP***
分析:***者可以发送BPDU引起根桥的变化,从而获得非法的数据并造成网络的震荡。
防范:接入层交换机端口启用BPDU Guard
       Spanning-tree portfast bpdugurad
       核心层交换机端口启用Root Guard
       Spanning-tree guard root
 
总结:Cisco 2层***防范架构
  

参考资料:  

 
Networkers 2009 BRKSEC2002 Understanding and Preventing Layer 2 Attacks
 
本文出自 “edwardlee” 博客,请务必保留此出处http://edwardlee.blog.51cto.com/153979/157807