二层攻击分类
攻击方法 | 描述 | 防御 |
---|---|---|
MAC层攻击 | ||
MAC地址泛洪 | 攻击者以不同的源MAC地址发送多个数据包,短时间内交换机的CAM表被填满,无法接受新的条目,这时交换机把它接受到的所有数据向所有端口泛洪,因此攻击者可能获取网络中发给别的端口的包 | 交换机端口上限定一个具体的MAC地址或限定MAC地址数量 |
VLAN攻击 | ||
VLAN跳转 | 动态中继协议为基础,在VLAN跳跃攻击中,黑客可以欺骗计算机,冒充成另一个交换机发送虚假的DTP协商消息,宣布它想成为中继,真实的交换机接收到这个消息后,以为它应当启用802.1Q中继功能,而一旦中继功能启用,所有VLAN信息流就会发送到黑客的计算机上。 | 将全部接入层端口划分为access模式并关闭,将所有未使用的端口划入一个未使用的VLAN中,将所有未使用的中级端口的本地VLAN设置为一个未使用的VLAN |
欺骗攻击 | ||
DHCP欺骗 | PC A接入网络,希望通过DHCP获得IP地址等信息,于是PC A发送了一个DHCP请求包(广播) |