***名称:<?xml:namespace prefix = o />

Mac泛洪

***原理:

针对交换机的自动学习mac地址功能,但是同时缺乏安全性。

***效果:

将交换机mac表占满,导致交换机将数据包泛洪,后果是交换效率降低,是其他很多***提供便利。常用的工具有:macofyersinia

防范方法:

Port security:限制每个端口下的mac数目。

 

 

***名称:

Mac欺骗

***原理:

针对交换机的自动学习mac地址功能,但是同时缺乏安全性。

***效果:

mac地址为导向的网络中,***者通过欺骗交换机的mac地址表来达到非法获取受害者数据的目的,不过这个过程中如果受害者更新交换机的mac表就会发生中断,这通常变现为受害者经常网络中断。

防范方法:

可以通过绑定mac与端口的对应关系,或者注意mac地址在端口之间的变动来发现和防范这种***。

 

 

***名称:

Spt协议***

***原理:

针对stp协议缺少安全性的特点来进行***

***效果:

***种类有,通过发送优先级高的bpdu报文来成为根网桥,或者不停发送tcn bpdu来造成整个网络的交换机居高不下甚至是dos,常用的工具有: yersinia

防范方法:

在连接主机的借口上禁止接受bpdu,在根网桥上启用root guard

 

***名称:

Vlan跳跃

***原理:

通过dtp协议,或者qinq达到非法跨vlan访问

***效果:

通过构造trunk协议包来伪装成一台交换机,与真正的交换机之间形成trunk连接,从而可以达到可以访问多个vlan的目的。或者通过在数据包里面插入多重802.1q数据标记。

 

防范方法:

在连接主机的借口上禁止dtp,或者配置成为access mode。同时不将native vlan分配给终端用户使用。

 

***名称:

Dhcp协议dos***,Dhcp协议欺骗***。

***效果:

Dhcp拒绝服务***,通过不停的向服务器请求ip地址,从而耗尽dhcp服务器地址池达到拒绝服务的目的。Dhcp协议欺骗***,通过伪造dhcp服务器,给网内的客户端分配错误的ip参数,从而达到欺骗的目的。

防范方法:

配置dhcp snooping功能+port security功能。对不支持dhcp snooping功能的交换机可以通过acl限制相应的服务器端口来达到一定的防范。

 

***名称:

Arp***

***原理:

Arp协议缺少安全特性,***者通过构造arp数据包来改写用户的arp条目,从而达到欺骗目的,另外arp功能一般是通过软件实现的,会消耗交换机的cpu资源,所以大量的arp数据包会构成网络中所有交换机cpu居高不下。***工具有dsniff,ettercap,cain.

防范方法:

1思科的dai技术,daicpu密集型技术应该同时限制传递给cpuarp数据包的速度。2 在主机上实行arp绑定 3 在网络中部署arp防火墙,例如arpwartch软件。

 

***名称:

Hsrpvrrp***

***原理:

通过发送协议数据包来取代active路由器。

防范方法:

使用强认证,在不不要的端口上禁用。

 

总结:

根据以上协议的漏洞,建议在交换机上进行如下配置,以思科3750交换机为例:

主机接口:

interface GigabitEthernet1/0/1

 switchport mode access

 switchport port-security

 switchport port-security mac-address sticky

 spanning-tree portfast

 spanning-tree bpduguard enable

switchport access vlan x   --x建议是非native vlan

no ip dhcp snooping trust  --3750默认是没有启用ip dhcp snooping trust

end

 

#ip arp inspection vlan x  --启用DAI

Ip dhcp snooping