交换安全

最新推荐文章于 2022-07-07 23:04:59 发布
最新推荐文章于 2022-07-07 23:04:59 发布
阅读量372 收藏
点赞数 1
分类专栏: R&S学习实验 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41554179/article/details/84402204
版权

二层交换安全

注:下文攻击系统为Kali

MAC

mac洪泛攻击:不断的给交换机发送垃圾mac地址,使cam表内存空间填满无法记录正确的mac地址,当主机发送数据的时候,交换机不认识此mac(未知单播帧)将数据洪泛,从而窃取数据;
在这里插入图片描述
中间人攻击:将其他接口连接的主机mac地址通过另一个接口发给交换机,毒化cam表,使交换机错误的转发数据,从而窃取数据Mac地址漂移:中间人攻击、广播风暴(出环)引起;相同的mac地址不停的在多个接口出现
防御(端口安全):关闭不使用接口、设置最大记录mac地址数量;静态绑定mac地址;配置粘滞安全mac地址-只记录我设置的第x个mac地址

1.静态安全MAC地址:
三种惩罚机制
1>protect—当新计算机接入时,如果该端口的MAC条目超过最大数量,则这个新的计算机将无法接入,而原有的计算机不受影响,交换机也不发送警告信息;
2>restrict–当新计算机接入时,如果该端口的MAC条目超过最大数量,则这个新的计算机无法接入,并且交换机将发送警告信息;
3>shutdown–当新计算机接入时,如果该端口的MAC条目超过最大数量,则该端口将会被关闭,则这个新的计算机和原有的计算机都无法接入网络,这时需要接入原有的计算机并在交换机中的该端口下使用“shutdown”和“no shutdown”命令重新打开端口。

配置:
MSW1(config)#int r e 0/0 -2
MSW1(config-if-range)#shutdown
MSW1(config-if-range)#switchport access vlan 1
MSW1(config-if-range)#switchport port-security maximum 1
MSW1(config-if-range)#switchport port-security violation shutdown
MSW1(config)#int e 0/0
MSW1(config-if)#switchport port-security mac
MSW1(config-if)#$port-security mac-address 00-50-56-f3-b1-40

2.粘滞安全MAC地址:
因为静态安全MAC地址每个接口绑定固定的一个MAC,需要查每台计算机的MAC工作量大,所以采用粘滞安全MAC地址

配置:
sw1(config-if)#no shutdown
被惩罚的接口show int XX 状态呈现errdisable
sw1(config)#errdisable recovery cause psecure-violation
允许交换机自动恢复因端口安全而关闭的端口
sw1(config)#errdisable recovery interval 60
配置交换机60s后自动恢复端口

DHCP

开启图形化界面
在这里插入图片描述
DHCP欺骗:攻击者伪装DHCP服务器发送相应包
在这里插入图片描述
DHCP耗尽攻击:识别mac地址通过数据包里面字段的mac,不是从二层包里获取,容易被欺骗,使地址池用尽无法继续下放;
在这里插入图片描述
解决:服务器检查数据chaddr字段和二层包头的IP地址是否一致
DOS攻击:不停的请求DHCP,占用服务器资源
解决:降低流速

DHCP Snooping
在局域网内,经常使用DHCP服务器为用户分配IP地址,由于DHCP服务器和客户端之间没有认证机制,网络攻击的另一种办法是伪装有效DHCP服务器发出的响应。在DHCP工作原理中,客户端以广播的方法来寻找服务器,并且只采用第一个到达的网络配置参数,所以如果在网络中存在多台DHCP服务器(有一台或更多台是非授权的),谁先应答,客户端就采用其提供给的网络配置参数。假如非授权的DHCP服务器先应答,这样客户端获得的网络参数即是非授权的,客户端可能获取不正确的IP地址、网关和DNS等信息。在实际攻击中,攻击者还很可能恶意从授权的DHCP服务器上反复申请IP地址,导致授权的DHCP服务器消耗了全部地址,出现DHCP饥饿。
通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR(也就是Client MAC Address)字段来判断客户端的MAC地址。正常情况下该CHADDR字段和发送请求报文的客户端真实的源MAC地址是相同的。入侵者可以利用伪造源MAC的方式发送DHCP请求,但这种攻击可以使用Cisco交换机的端口安全特性来防止。但是如果入侵者不修改DHCP请求报文的源MAC地址,而是修改DHCP报文中的CHADDR字段来实施攻击,那端口安全就不起作用了。由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端,所以入侵者可以通过大量发送伪造CHADDR值的DHCP请求,导致DHCP服务器上的地址池被耗尽,从而无法为其他正常用户提供网络地址,这是一种DHCP耗竭攻击。DHCP耗竭攻击可以是纯粹的DOS攻击,也可以与伪造的DHCP服务器配合使用。当与伪造的DHCP服务器配合使用时,入侵者就可以伪装成DHCP服务器响应客户端DHCP请求,DHCP欺骗设备将入侵者指定为默认网关或默认域名服务器(DNS)服务器。如果指定为网关,客户机将把数据包转发给攻击设备,而攻击设备则接着将数据包发送到所要的目的地,这称为中间人攻击,可能完全无法被察觉。即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的,但由于DHCP请求报文是广播报文,如果大量发送的话也会耗尽网络带宽,形成另一种拒绝服务攻击。
可以在交换机上配置DHCP Snooping防止攻击,DHCP Snooping的基本原理是交换机监听DHCP数据帧,对于不信任的接口将拒绝接收DHCP Offer包(DHCP服务器的响应包,而DHCP客户只会发送特定类型的DHCP包。

MSW1(config)#ip dhcp snooping
MSW1(config)#ip dhcp snooping vlan 1  //检查所有接口,不能发送DHCP相应包,若发送则拒绝
MSW1(config)#int e 0/0
MSW1(config-if)#ip dhcp snooping trust   //设置信任接口口
MSW1(config-if)#ip dhcp snooping limit rate 100 //设定端口一秒钟只能发送100个包
MSW1(config-if)#exit
MSW1(config)#int e 0/1
MSW1(config-if)#ip dhcp snooping untrust //设置非信任接口

Option82:
它被称为DHCP Relay Agent Information Option(DHCP中继代理信息选项)。当DHCP服务器和客户端不在同一个子网内时,客户端要想从DHCP服务器上分配到IP地址,就必须由DHCP中继代理(DHCP Relay Agent)来转发DHCP请求包。DHCP中继代理将客户端的DHCP报文转发到DHCP服务器之前,可以插入一些选项信息,以便DHCP服务器能更精确的得知客户端的信息,从而能更灵活地按相应的策略分配IP地址和其他参数。DHCP中继代理(Option 82、DHCP Snooping)和DHCP Server之间的关系:1.交换机开启了DHCP Snooping功能后,默认情况下,将对从非信任端口收到的DHCP请求报文插入选项82字段,但插入的内容是0;中继接口使用并插入内容。
三种情况
1)当一台交换机接了主机和DHCP服务器
2)两台交换机一台接了服务器,一台接了主机
3)三层交换机一个三层口接了服务器,一个接了主机,中间开启了中继功能
可以在SW2上配置“ip dhcp snooping information allow-untrusted”全局命令,将不丢弃该报文;可以在SW2的Untrusted接口配置“ip dhcp snooping trust”接口命令,这样SW2就能接收带有Option 82的DHCP请求报文了,但是不建议这样做,因为这样将不建立该接口的DHCP监听绑定表,会降低安全性。
DHCP Srver和DHCP Client在同一个子网的情况下,交换机会把Option 82的值填为0(即0.0.0.0)。
以Windows Server 2003为DHCP的服务器不认为Option 82的值为0的DHCP请求报文是错误的;
以Cisco IOS为DHCP的服务器默认时会认为Option 82的值为0的DHCP请求报文是错误的,它将丢弃这个报文。

ARP

ARP欺骗:由于ARP无任何身份真实校验机制,攻击者发送误导的主动式ARP使网络流量经过恶意攻击者的计算机,攻击者就成为了通信双方的中间人,达到窃取甚至篡改数据的目的。攻击者发送的主动模式ARP采用发送方私有MAC地址而非广播地址,通信接收方根本不会知道自己的IP地址被取代
在这里插入图片描述
开启接口转发
在这里插入图片描述
防御:开启DAI
IP地址欺骗:攻击者伪装其他主机或者服务器的Ip发送数据包
解决:802.1x和A(认证)A(授权)A(统计)服务器

MSW1(config)#int e 0/0
MSW1(config-if)#ip verify source port-security  //接口启用IPSG
MSW1#show ip source binding interface e 0/0
MacAddress          IpAddress        Lease(sec)  Type           VLAN  Interface
------------------  ---------------  ----------  -------------  ----  --------------------
Total number of bindings: 0

端口阻塞:当分组到达交换机时,交换机在MAC地址表中执行目的地MAC地址查询,确定用哪个端口发出和转发分组。如果在MAC地址表中没有发现条目,则交换机将向相同VLAN(广播域)中的所有端口广播(范洪)未知单播或组播流量。给受保护端口转发未知单播或组播流量,这将可能出现安全问题。使用端口阻塞特性可以阻塞正在转发的未知单播或多播流量。

SW1(config)#int f0/0
SW1(config-if)#switchport block multicast
SW1(config-if)#switchport block unicast
SW1#show int f0/0 switchport
滑稽的炸薯条
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
以太网交换安全整体技术的一个思维导图
04-23
里面就是一个以太网交换安全整体技术的一个思维导图
交换安全技术
bald_and_cute的博客
10-04 1370
针对二层网络的安全技术,包含端口隔离、MAC地址安全、端口安全、MAC地址漂移、MACsec工作机制、交换机流量控制、风暴控制、DHCP Snooping技术、IPSG、DAI
交换安全——详述
HC博客
11-21 760
一、端口安全技术 将 MAC 地址固定在该接口上,如果进入该接口的数据和绑定的 MAC 地址不符合就阻塞该 端口,这样可以防止 MAC 地址洪泛攻击和 MAC 中间人攻击 sw1(config)#mac-address-table static 00d0.d3bd.d001 vlan 1 int f0/1 静态安全 MAC 地址 sw1(config)#int f0/1 sw1(config-if...
简单总结交换安全
qq_41940544的博客
07-22 3271
二层攻击分类:MAC层攻击、VLAN攻击、欺骗攻击和交换机设备上的攻击。 1)MAC攻击: 攻击方法:mac地址洪泛,中间人攻击。攻击简单描述:无效源mac地址的数据帧向交换机洪泛,消耗完交换机的cam地址表,从而阻止合法主机的mac地址生成新条目,去往其他主机的流量会向所有端口洪泛。防御策略:端口安全。 具体端口安全防御策略: a、在交换机上静态的安全MAC地址(将MAC地址和端口进行静态绑定 ...
H3C_DHCP_snooping的配置
zsisle的博客
07-07 9426
DHCP Snooping是DHCP的一种安全特性,主要应用在交换机上,作用是屏蔽接入网络中的非法的DHCP服务器。即开启DHCP Snooping功能后,网络中的客户端只有从管理员指定的DHCP服务器获取IP地址。
security 二层交换安全
qq_41949401的博客
07-22 973
文章目录security 交换安全(局域网安全)二层交换安全mac洪泛攻击中间人攻击VLANvlan跳转攻击利用vlan1进行跳转攻击DHCP攻击ARP攻击ARP欺骗冒用ip地址的攻击IP地址欺骗端口阻塞风暴控制导图 security 交换安全(局域网安全) 二层交换安全 二层交换机转发原理:mac表 单播转发 组播转发 广播转发 找目的mac和出接口,单播帧 组播帧-在二层开...
思科局域网交换安全
06-21
Lan Switch Security、思科、思科局域网、网交换安全
网路安全解决方案-H3C 路由交换 安全 大数据 IMC9课.zip
最新发布
03-16
网盘文件永久链接 业软培训 安全培训 交换机 大数据(一) 大数据(二) 安全产品及解决方案 解决方案 路由器产品及解决方案
05 以太网交换安全.pptx
01-25
05 以太网交换安全
智能电能表信息交换安全认证.doc
06-17
本标准规范了国家电网公司系统内费控智能电能表的技术要素,对信息交换内容和安全认证流程进行了统一,从而规范费控智能电能表的设计、生产,以便于国家电网公司统一招标、统一采购、检验及指导用户的使用。
安全隔离与信息交换系统(网闸)
11-24
网络隔离是指两个或两个 以上的计算机或网络,不 相连,不相通,相互断开
轻轻松松配安全(V7防火墙)V1.6.exe
12-16
(文档中包含H3C V7和V5版本常用功能的配置方法,包含web界面和命令行两种方式)防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
智能电能表信息交换安全认证技术规范
06-18
智能电能表信息交换安全认证技术规范
智能电能表信息交换安全认证技术规范365
08-12
智能电能表信息交换安全认证技术规范365
交换安全园区网安全架构
03-21
园区网安全架构: 1.edge and DMZ 边缘路由器和非军事化区域(放置各种希望外网访问的服务器www、email等) DMZ局域有防火墙的存在,一般安全不会出问题。 2.core and distribution 园区网的核心层和汇聚层。一般...
数据链路层网络安全防护
weixin_34198881的博客
08-12 1832
提到安全***,往往想到的是来自局域网之外的***,这些***来自互联网,针对对象为企业内部网络设备,服务器等;而企业内部的局域网安全问题往往被忽略,常见的几种数据链路层安全***有 > MAC地址扩散 >ARP***与欺骗 >DHCP服务器欺骗与DHCP地址耗尽 >IP地址欺骗1.端口安全 Cisco交换机提供一种基于MAC地址控制端口访...
有关思科dhcp snooping的测试总结
hanlin8023的博客
02-28 4828
DHCP snooping作为DAI和IP Sourceguard特性的基础组件,做好配置显得尤为重要。下面总结一下此特性及部署注意事项:1. 开启dhcp snooping的交换机,默认都会给所有非信任接口发来的DHCP请求报文添加option 82(中继扩展信息)然后发送给上联的DHCP服务器,如果DHCP服务器是思科的,默认情况下思科的DHCP服务是拒绝分配IP地址给option 82中gi...
DHCP-snooping&ip source guard实验
weixin_33787529的博客
12-27 408
DHCP监听: 通过DHCP监听,交换机能限制终端用户端口(非信任端口)只能够发送DHCP请求,并且丢弃来自用户端口的所有其他DHCP报文,例如DHCP提供(OFFER)相应报文等。信任端口能够发送或接受所有的DHCP报文。 带有选项82dhcp监听是一种非常使用的机制,它能够避免dhcp ddos***或客户机配置不当所导致的网络异常。 ...
局域网安全----接入层安全
a904759526的博客
11-25 9580
局域网面临的安全风险 a、Mac洪范攻击:发送大量垃圾Mac,填满Mac表,迫使交换机洪范 b、Mac中间人攻击:欺骗交换机   a交换机给b交换金发送数据,h是黑客,向交换机发送b的Mac,使a以为黑客是b c、ARP的中间人攻击:欺骗pc   a要去b,获得b的Mac地址,黑客欺骗a说自己是b,交换机只查询Mac表,进行交换。 d、VLAN跳转攻击:打破VLAN之间的隔离 d、dhcp攻...
ensp 以太网交换安全技术实验
08-13
对于ENSP以太网交换安全技术实验,可以采用以下步骤进行配置。 1. 在sw1交换机上将接口g0/0/4设置为trunk类型,允许通过的VLAN为2、3和10。具体配置命令如下:port link-type trunk port trunk allow-pass vlan 2 3...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值