MAC 地址泛洪:就是说将交换机的MAC地址表塞满,导致交换机回退成集线器使用!

欺骗***:***者窃取网络流量的一种办法是伪装有效 DHCP 服务器发出的响应。DHCP 欺骗设备响应客户端 DHCP 请求。1.***者在网段上激活一台DHCP服务器;2.客户端广播发送一条请求,要求获得DHCP配置信息;3.伪冒DHCP服务器在合法DHCP服务器前先响应,分配由***者定义的IP配置信息;4.主机数据包被重定向至***者的地址,因为该地址模拟客户端得到的错误DHCP地址的默认网关。解决方法:可以在交换机开启不可信任的端口和信任端口来解决此问题:

步骤 1. 使用 ip dhcp snooping 全局配置命令启用 DHCP 侦听。

步骤 2. 使用 ip dhcp snooping vlan number [number] 命令对特定 VLAN 启用 DHCP 侦听。

步骤 3. 使用 ip dhcp snooping trust 命令定义可信端口,从而在接口级别将端口定义为可信或不可信。

步骤 4.(可选)使用 ip dhcp snooping limit raterate 命令限制***者通过不可信端口向 DHCP 服务器连续发送伪造 DHCP 请求的速率。

CDP ***:Cisco 发现协议 (CDP) Cisco 的专有协议,因为CDP协议不加密、定期广播、工作在第2层和发送设备的IP 地址、软件版本、平台、性能和本机 VLAN,如果***者得到这些信息,他们就可以利用这些信息来查找漏洞以***网络,通常的***形式是拒绝服务 (DoS) ***。解决方法:不启用CDP

Telnet ***:Telnet 协议可被***者用来远程侵入 Cisco 网络交换机。***者可以利用工具来对交换机的 vty 线路实施暴力密码破解***。

暴力密码***:限制暴力密码***漏洞的最简单办法是频繁更改密码,并使用大小写字母和数字随机混合的强密码。

DoS ***: DoS ***中,***者利用了交换机上所运行的 Telnet 服务器软件中的一个缺陷,这个缺陷可使 Telnet 服务不可用。这种***极其令人头疼,因为它妨碍管理员执行交换机管理功能。解决方法:是使用 Cisco IOS 更新修订版中附带的安全补丁。

安全工具:网络安全工具执行一下功能:

       网络安全审计:

l   揭示***者只需监视网络流量就能收集到哪种信息。

l   确定要去除的虚假MAC地址的理想数量。

l   确定MAC地址表的老化周期。

       网络***测试:

l   找出网络设备配置中的弱点。

l   发起多种***以测试网络。

l   小心:应仔细计划参透测试,以避免影响网络性能。

         网络安全工具功能:安全的网络其实是一个过程,而不是结果。

               现代网络安全工具的常见功能包括:

l  服务识别;

l  SSL 服务支持;

l  非破坏性测试和破坏性测试;

l  漏洞数据库。

使用网络安全工具可以:

l  捕获聊天消息

l  NFS 流量中捕获文件

l  捕获通用日志格式的 HTTP 请求

l  捕获 Berkeley mbox 格式的邮件消息

l  捕获密码

l  显示在浏览器中实时捕获的 URL

l  用随机的 MAC 地址泛洪***交换 LAN

l  伪造对 DNS 地址/指针查询的响应

l  截获交换 LAN 上的数据包