架构师之路(十三)计算机网络(链路层安全)

前置知识(了解):计算机基础。

作为架构师,我们所设计的系统很少为单机系统,因此有必要了解计算机计算机之间是怎么联系的。局域网的集群和混合云的网络有啥区别。系统交互的时候网络会存在什么瓶颈。

1 CAM表溢出攻击与端口安全

当与交换机相连的设备箱交换机发送数据帧时,交换机会立刻将数据帧的源MAC地址与接收到该数据帧的端口作为一个条目保存到CAM表中。

溢出攻击:当CAM表已满时,如果交换机收到了以CAM表中没有记录的MAC地址作为目的地址的数据包,就会像集线器一样将数据帧通过所有端口进行泛洪。如果攻击者想要接收自己所在VLAN中的所有数据帧,可以设法用不同MAC地址将CAM填满即可。

防御策略:Cisco交换机提供端口安全特性,限制交换机通过一个端口接收到的源MAC地址数量。

2.操纵生成树协议(STP,SpanningTree Protocol)与BPDU防护技术。

为防止设备之间不断循环转发相同数据产生广播风暴或MAC地址翻动问题,STP通过阻塞一部分端口获得一个无环的树形拓扑。选举一个根网桥,选择各非根网桥的跟端口来发送和接收流量,选择各个网段的指定端口,非指定端口就是为了避免逻辑环路而阻塞的端口。

STP协议通过桥协议数据单元(BPDU)来判断根网桥、根端口和指定端口,若攻击者制造出一个BPDU赢得根网桥选举,那么可以获得很多重要信息。

防御策略:一般位于网络末端的设备不应参与根网桥选举,不会生成BPDU信息,这类终端设备的接入端口上适宜部署BPDU防护机制。配置了BPDU的接入端口一旦受到BPDU消息,就会进入err-
disabled状态,该端口禁用。

3. DHCP耗竭、DHCP欺骗与DHCP snooping(DHCP,动态主机配置协议)

步骤1:客户端发送DHCPDISCOVER广播消息来寻找DHCP服务器。

步骤2:DHCP服务器通过DHCPOFFER向客户端提供配置参数(IP地址、MAC地址、域名、租期等)

步骤3:客户端为使用提供给它的IP地址向DHCP服务器返回正式请求DHCPREQUEST。

步骤4:DHCP服务器向客户端发送DHCPACK,允许将IP地址分配给客户端。

DHCP耗竭:伪装客户端向服务器大量请求地址直至IP地址全部耗尽,新连接进网络的客户端无地址可用,达到拒绝服务的攻击效果。

DHCP欺骗:伪装成DHCP服务器,以实现信息劫持,例如将网关地址设为自己的地址,劫持所有发送给网关的信息,实现中间人攻击。

防御策略:DHCP窥探(DHCPsnooping)技术将交换机上端口分为信任端口和不信任端口,信任端口配置在连接DHCO服务器的端口和上行链路的端口上,其余为不信任端口。如果不信任端口接收到了本应由DHCP服务器发送的消息则予以丢弃。此外,受到DHCPDISCOVER数据包MAC地址与硬件地址字段信息不符则丢弃,达到缓解DHCP耗竭的作用。

4. ARP欺骗与动态ARP监控 网络判官

当一台设备想要向另一台设备发送IP数据包时将广播ARP请求信息,收到消息的设备将提供MAC地址,请求方将更新自己的ARP表。有时主机也可以向网络中其他主机主动发送ARP相应消息,告知自己的IP-
MAC关系,收到的所有主机都会更新自己的ARP表。

ARP欺骗:ARP也是一种缺乏认证机制的协议,攻击者可以利用这个将自己伪装成另一台主机或网关路由器,实现中间人攻击,拒绝服务攻击等。

防御策略:动态ARP监控简称DAI,是三层交换机利用DHCPsnooping特性生成的DHCP
snooping表来监控ARP消息的功能。若端口发来的ARP响应消息与DHCP不符合则丢弃数据包且端口进入err-disabled状态。

扩展阅读:

《数据链路层常见威胁与防御技术》数据链路层常见威胁与防御技术_链路内部的预防机制-
CSDN博客

《链路层攻击》http://blog.sina.com.cn/s/blog_4e49cd230102voon.html

《网络判官 攻击》(内网安全等)http://blog.sina.com.cn/s/blog_4e49cd230102voon.html
http
s://www.static.ixueshu.com/document/6880d4cbb106d1b5541e6e24a32dda7c318947a18e7f9386.html

《数据链路层攻击》https://wenku.baidu.com/view/121bcdef81c758f5f61f67d1.html


学习计划安排


我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!

如果你对网络安全入门感兴趣,那么你需要的话可以

点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值