攻击名称:
Mac泛洪
攻击原理:
针对交换机的自动学习mac地址功能,但是同时缺乏安全性。
攻击效果:
将交换机mac表占满,导致交换机将数据包泛洪,后果是交换效率降低,是其他很多攻击提供便利。常用的工具有:macof,yersinia。
防范方法:
Port security:限制每个端口下的mac数目。
攻击名称:
Mac欺骗
攻击原理:
针对交换机的自动学习mac地址功能,但是同时缺乏安全性。
攻击效果:
在mac地址为导向的网络中,攻击者通过欺骗交换机的mac地址表来达到非法获取受害者数据的目的,不过这个过程中如果受害者更新交换机的mac表就会发生中断,这通常变现为受害者经常网络中断。
防范方法:
可以通过绑定mac与端口的对应关系,或者注意mac地址在端口之间的变动来发现和防范这种攻击。
攻击名称:
Spt协议攻击
攻击原理:
针对stp协议缺少安全性的特点来进行攻击
攻击效果:
攻击种类有,通过发送优先级高的bpdu报文来成为根网桥,或者不停发送tcn bpdu来造成整个网络的交换机居高不下甚至是dos,常用的工具有: yersinia。
防范方法:
在连接主机的借口上禁止接受bpdu,在根网桥上启用root guard等
攻击名称:
Vlan跳跃
攻击原理:
通过dtp协议,或者qinq达到非法跨vlan访问
攻击效果:
通过构造trunk协议包来伪装成一台交换机,与真正的交换机之间形成trunk连接,从而可以达到可以访问多个vlan的目的。或者通过在数据包里面插入多重802.1q数据标记。
防范方法:
在连接主机的借口上禁止dtp,或者配置成为access mode。同时不将native vlan分配给终端用户使用。
攻击名称:
Dhcp协议dos攻击,Dhcp协议欺骗攻击。
攻击效果:
Dhcp拒绝服务攻击,通过不停的向服务器请求ip地址,从而耗尽dhcp服务器地址池达到拒绝服务的目的。Dhcp协议欺骗攻击,通过伪造dhcp服务器,给网内的客户端分配错误的ip参数,从而达到欺骗的目的。
防范方法:
配置dhcp snooping功能+port security功能。对不支持dhcp snooping功能的交换机可以通过acl限制相应的服务器端口来达到一定的防范。
攻击名称:
Arp攻击
攻击原理:
Arp协议缺少安全特性,攻击者通过构造arp数据包来改写用户的arp条目,从而达到欺骗目的,另外arp功能一般是通过软件实现的,会消耗交换机的cpu资源,所以大量的arp数据包会构成网络中所有交换机cpu居高不下。攻击工具有dsniff,ettercap,cain.
防范方法:
1思科的dai技术,dai是cpu密集型技术应该同时限制传递给cpu的arp数据包的速度。2 在主机上实行arp绑定 3 在网络中部署arp防火墙,例如arpwartch软件。
攻击名称:
Hsrp,vrrp攻击
攻击原理:
通过发送协议数据包来取代active路由器。
防范方法:
使用强认证,在不不要的端口上禁用。
总结:
根据以上协议的漏洞,建议在交换机上进行如下配置,以思科3750交换机为例:
主机接口:
interface GigabitEthernet1/0/1
switchport mode access
switchport port-security
switchport port-security mac-address sticky
spanning-tree portfast
spanning-tree bpduguard enable
switchport access vlan x --x建议是非native vlan
no ip dhcp snooping trust --3750默认是没有启用ip dhcp snooping trust的
end
#ip arp inspection vlan x --启用DAI
Ip dhcp snooping
