DMZ区域就是为了防止跳板
从DMZ区域主动发起的流量会被阻隔掉
尽量把服务器和内网pc不要放在一起
接入层是最不安全的.
1.基于mac的攻击
(1).缓存溢出
交换机的mac地址表保存的mac地址数目是有限的 如果让垃圾mac地址填满的话 后面所有的数据包都会因为没有mac地址条目匹配而被洪泛到所有端口
arp表保存4小时 mac地址表(CAM表)保存5分钟
当交换机发生CAM表的缓存溢出的时候,该交换机就变成了hub.
破解方法:做端口安全 只允许学习合法的mac地址
(2).端口安全
端口安全要结合access端口使用
首先要打开开关.默认是只允许一个mac,并且违规就error-disable
绑定mac地址的意义是,指定这个mac地址的流量可以从这个接口进入.
建议违规的模式改成restrict,这样的话,对于违规的数据包丢弃,并且向路由器和SNMP服务器报警.
aging是定义老化时间
2.基于vlan的攻击
(1).vlan跳跃攻击
利用vlan的标签 pc发送数据包的时候携带两层标签(该pc必须在本征vlan里) 外层是本vlan(必须是本征valn) 外层是要窃听的vlan
access端口是不会接收带有vlan标签的数据的,除了一种情况:该标签是本端口所属的vlan
当属于本征vlan的access端口接收了带有本vlan标签的数据后,是会接收的,并且从trunk发送出去的时候会剥离外层标签,然后该数据就携带着内层标签发送到对端,对端会按照内层标签交换到相应vlan内.
该攻击的条件是:pc必须在本征vlan里,并且数据包含两层标签.
破解办法就是:把本征vlan配置成所有端口都不属于的vlan,不要把pc加入到本征vlan内.