交换攻击

最新推荐文章于 2024-05-16 12:15:00 发布
最新推荐文章于 2024-05-16 12:15:00 发布
阅读量402 收藏 1
点赞数
分类专栏: 路由交换 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/puckitit/article/details/80144787
版权

DMZ区域就是为了防止跳板
从DMZ区域主动发起的流量会被阻隔掉
尽量把服务器和内网pc不要放在一起
接入层是最不安全的.

1.基于mac的攻击

(1).缓存溢出
     交换机的mac地址表保存的mac地址数目是有限的    如果让垃圾mac地址填满的话   后面所有的数据包都会因为没有mac地址条目匹配而被洪泛到所有端口
     arp表保存4小时    mac地址表(CAM表)保存5分钟
     当交换机发生CAM表的缓存溢出的时候,该交换机就变成了hub.
     破解方法:做端口安全    只允许学习合法的mac地址
(2).端口安全
     端口安全要结合access端口使用
     首先要打开开关.默认是只允许一个mac,并且违规就error-disable
     绑定mac地址的意义是,指定这个mac地址的流量可以从这个接口进入.
     建议违规的模式改成restrict,这样的话,对于违规的数据包丢弃,并且向路由器和SNMP服务器报警.
     aging是定义老化时间

2.基于vlan的攻击

(1).vlan跳跃攻击
     利用vlan的标签     pc发送数据包的时候携带两层标签(该pc必须在本征vlan里)    外层是本vlan(必须是本征valn)   外层是要窃听的vlan    
     access端口是不会接收带有vlan标签的数据的,除了一种情况:该标签是本端口所属的vlan      
     当属于本征vlan的access端口接收了带有本vlan标签的数据后,是会接收的,并且从trunk发送出去的时候会剥离外层标签,然后该数据就携带着内层标签发送到对端,对端会按照内层标签交换到相应vlan内.
     该攻击的条件是:pc必须在本征vlan里,并且数据包含两层标签.
     破解办法就是:把本征vlan配置成所有端口都不属于的vlan,不要把pc加入到本征vlan内.
puckitit
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
作为网络工程师,你知道什么是VLAN 跳跃攻击吗?
网络技术联盟站
01-03 1859
VLAN 是网络用户和资源的逻辑分组,可以出于任何目的创建 VLAN,例如按部门或位置分隔用户,每个 VLAN 都相互独立,并且不与其他 VLAN 共享流量,除非专门配置为这样做。在具有多个交换机/VLAN 的较大环境中,可能需要将不同的网络主机分组在不同的 VLAN 上,即使它们不在同一物理交换机上也是如此。VLAN Trunking (IEEE 802.1q) 有助于解决这个问题。该协议为以太网帧引入了 VLAN 标记,将其标记为属于某个 VLAN。这些标签不存在于来自网络主机的常规以太网帧中。
网络安全——缓冲区溢出攻击
VN520的博客
04-21 6415
什么是缓冲区?它是指程序运行期间,在内存中分配的一个连续的区域,用于保存包括字符数组在内的各种数据类型。所谓溢出,其实就是所填充的数据超出了原有的缓冲区边界,并非法占据了另一段内存区域。两者结合进来,所谓缓冲区溢出,就是由于填充数据越界而导致原有流程的改变,黑客借此精心构造填充数据,让程序转而执行特殊的代码,最终获取控制权。
数据链路层常见威胁与防御技术
Q1n6
09-21 7182
1 CAM溢出攻击与端口安全          当与交换机相连的设备箱交换机发送数据帧时,交换机会立刻将数据帧的源MAC地址与接收到该数据帧的端口作为一个条目保存到CAM中。          溢出攻击:当CAM已满时,如果交换机收到了以CAM中没有记录的MAC地址作为目的地址的数据包,就会像集线器一样将数据帧通过所有端口进行泛洪。如果攻击者想要接收自己所在VLAN中的所有数据帧,可以
架构师之路(十三)计算机网络(链路层安全
最新发布
Karka_的博客
05-16 1275
基础。作为架构师,我们所设计的系统很少为单机系统,因此有必要了解和之间是怎么联系的。局域网的集群和混合云的网络有啥区别。系统交互的时候网络会存在什么瓶颈。当与交换机相连的设备箱交换机发送数据帧时,交换机会立刻将数据帧的源MAC地址与接收到该数据帧的端口作为一个条目保存到CAM中。溢出攻击:当CAM已满时,如果交换机收到了以CAM中没有记录的MAC地址作为目的地址的数据包,就会像集线器一样将数据帧通过所有端口进行泛洪。
交换安全 - MAC地址泛洪
weixin_34007886的博客
11-20 1206
MAC层*** – MAC地址泛洪 常见的二层***或交换机***是MAC泛洪,***者使用大量无效的源MAC地址,这会导致交换机的CAM溢出,由于交换机在MAC地址中找不到目的MAC地址对应的端口,从而导致交换机向其它所有端口定期泛洪数据帧、交换机不会再接收新的合法条目,这会影响到网络中的所有用户的传输速度。 ***者可通过MAC泛洪实现DOS***,也可能...
[ 内网安全] VLan Hopping
02-07 452
Vlan Hopping:Double label
交换机的常见攻击方式
lx542346的博客
02-06 4110
交换机的常见攻击方式 1.VLAN 跳跃攻击 2.生成树攻击 3.MAC泛洪(广播) 4.ARP攻击 5.VTP攻击(是VLAN中继协议,也被称为虚拟局域网干道协议)VLAN同步技术 解决方法 针对Mac泛洪 数量限制 限制MAC(绑定) Switch(config-if)#switchport port-security ? mac-address maximum ...
局域网交换攻击详解
11-05
### 局域网交换攻击详解 #### 一、局域网交换工作原理 局域网(LAN)中的数据交换是基于一系列精确的步骤完成的,这些步骤确保了网络内部设备之间的有效通信。以两台计算机PCA和PCB为例,我们深入探讨PCA向PCB...
路由交换技术第3卷
01-27
7. **网络安全**:探讨路由和交换设备在网络安全中的角色,如访问控制列(ACL)的使用,以及防止DDoS攻击的方法。 8. **IPv6过渡技术**:介绍从IPv4向IPv6平滑过渡的策略,如双栈、隧道技术和地址转换技术。 9. ...
BCM交换芯片原理概要
04-05
- **Security Engine**:提供早期硬件级别的安全防护,防止DoS攻击。 - **L2 Switching**:负责VLAN分配、优先级设置、源MAC学习及目的MAC查找转发。 - **L3 Routing**:执行源/目的IP查找。 - **Content-Aware ...
CCIE之Switching交换技术手册
11-01
- BPDU Filtering:配置端口过滤BPDU,可以防止某些类型的攻击并提高网络稳定性。 这些知识点构成了交换网络的基础架构,对于备考CCIE(思科认证互联网专家)的考生来说,理解和掌握这些内容是必不可少的。通过...
Cisco:防止VLAN间的ARP攻击解决方案
09-30
Cisco:防止VLAN间的ARP攻击解决方案
交换原理课件
03-15
第9章可能涉及网络安全交换,包括访问控制列(ACL)、交换安全配置、防止MAC地址漂移和端口安全策略等,这些都是保障网络不受攻击和非法接入的重要措施。 通过学习这些章节,学生们可以系统地理解交换原理和...
VLAN hopping攻击(VLAN跳跃攻击
墨痕诉清风的博客
07-13 944
VLAN跳频攻击(VLAN Hopping Attack)是一种针对虚拟局域网(VLAN)的网络攻击方法,旨在使攻击者能够跳过原本用于隔离不同VLAN流量的安全限制,访问其他VLAN中的设备和资源。通常,VLAN用于将一个物理网络分割成多个逻辑网络,以限制不同部门、用户组或设备之间的通信。
vlan trunk stp攻防
ChenD的学习笔记
11-17 1376
一、VLAN、Trunk面临的安全风险 trunk干道攻击DTP攻击(思科特有) VLAN跳跃攻击 STP根桥攻击 二、攻击防护
交换攻击类型及防范
weixin_30335353的博客
09-28 440
交换攻击类型及防范 作者:Danbo 2015-9-28 常见的交换式数据攻击有一下几类: 1.VLAN跳跃攻击(VLAN Hopping Attack)2.CAM泛洪攻击CAM Flooding Attack)3.MAC地址欺骗(MAC Address Spoofing)4.STP欺骗攻击(STP Spoofing Attack)5.DHCP耗竭攻击(DHCP Starvation A...
【干货】连交换机的攻击、防御都不懂,还做什么网络工程师
XMWS-IT
08-13 1285
为什么需要关注交换安全??? 纵轴:网络设备(防火墙、路由器、交换机) 横轴:网络模型(边界和DMZ、核心和分布层、接入层) 这个图主要是说,防火墙、路由器、交换机一般分别放在边界或者DMZ、核心和分布层、接入层; 这些设备里面,为什么交换机最缺乏安全性呢? 首先,防火墙或者路由器一般都是放在核心机房,核心机房物理安全得到最大的保障(非管理人员一般无法进出核心机房) 其次,接入交换机一般零散分布,提供终端用户的接入(非管理人员都能比较轻易接触到接入层交换机) 交换机层面可能...
交换CAM端口转发攻击--研究及实现
大年三十
05-22 2441
  大家看到这个题目可能感觉有点奇怪,网络安全圈里好像没有人定义过这种名词,起初我也不清楚该定义一个什么样的名词,我只是根据攻击的原里定义这样的名词,如果那位有更好的建议为他来填上一个更响亮的名字,例如“熊猫烧香”等,天下皆知。       这种攻击方式不知有人研究过没,我在网上没有看到过,最近一段时间花费了
Trunk、本征vlan、vlan跳跃攻击
莫黎小天
04-04 2809
一、Trunk 1.技术背景,解决了什么问题 划分多个vlan之后,解决不同交换机之间,相同vlan的通信问题 相同vlan在不同交换机上,跨越地理位置的通信问题 使用交换机的某一条线路,来承载多个vlan,实现数据通信 当一条链路,需要承载多VLAN信息的时候,需使用trunk来实现 Trunk两端的交换机需采用相同的干道协议 一般见于交换机之间或交换机与路由器、服务器之间 2.实现原理 设置一条IEEE,来实现trunk。 IEEE802.1Q干道协议
密钥交换协议的攻击方法
07-09
密钥交换协议可能受到各种攻击方法的威胁,下面列举了一些常见的攻击方法: 1. 中间人攻击(Man-in-the-Middle Attack):攻击者在通信双方之间插入自己,伪装成合法的通信方与双方进行通信。攻击者可以截获和篡改...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值