文章目录
security 交换安全(局域网安全)
二层交换机安全
二层交换机转发原理:mac表
| 单播转发 | 组播转发 | 广播转发 |
|---|---|---|
| 找目的mac和出接口,单播帧 | 组播帧-在二层开启组播的情况下发 | 广播帧 |
| 未知单播帧–在mac表中找不到–洪泛 | 从一个接口进所有接口出 | – |
mac洪泛攻击
最直接的让窃听单播帧的方法—让其成为未知单播帧–窃听接口在其他通信前发送大量的伪造的,不同的mac地址,让交换机强行记忆,占满mac表,使得发送信息的接口找不到对应的mac地址。
中间人攻击
mac地址漂移:中间人攻击(伪装),二层出环
解决办法:
思路:mac不属于接口
端口安全 维护一个合法的端口与MAC对应关系
端口保护–由人验证接口是什么mac,然后将认证结果绑定
静态:(sw--交换机)
mac-address-table static 00dc.d3bd.d001 vlan 1 int f0/1 ///静态安全mac地址 将接口和mac'捆绑 不受漂移修改
--------------------------------------------------------------
动态:
inter f0/1 ///
shutdown
switchport mode access
switchport access vlan 1
switchport port-security
switchport port-security maximum 1 ///在接口下开启端口安全,表示该接口下只允许绑定一个mac地址,为第一个通过此接口的mac地址;可改 且超过限定可做惩罚
switchport port-security violation shutdown ///惩罚有三种方式 protect、restrict、shutdown,在不写惩罚的情况下为默认shutdown,意为将接口阻塞
switchport portsecurity mac-address 00d0.bab2.2611 ///绑定一个合法的接入mac 绑定的数量取决与允许的数量,大量的情况下不太好做,工作量较大;可以使用粘滞
no shutdown
1.protect:当新计算接入时,如果该端口的mac条目超过最大数量,则这个新的计算机将无法接入,而原有的计算机不受影响,交换机也不发送警告信息;
2.restrict:当新计算接入时,如果该端口的mac条目超过最大数量,则这个新的计算机将无法接入,并且交换机将发送警告信息,警告频率过大时会影响交换机的性能;
3.shutdown:当新计算接入时,如果该端口的mac条目超过最大数量,则该端口将会被关闭,则这个新的计算机和原有的计算机都无法接入网络,这时需要接入原有的计算机并在交换机中的该接口下使用shutdownhe no shutdown命令重新打开端口。
被惩罚的接口show inter x/x 状态呈现errdisable
errdisable recovery cause psecure-violation ///允许交换机自动恢复因端口安全而关闭的端口
errdisable recovery interval 60 ///配置交换机60s后自动恢复端口
粘滞安全mac地址
静态安全MAC地址可以使交换机的接口(f0/1)只能接入某一固定的计算机,然而需要使用switchport portsecurity mac-address 00d0.bab2.2611命令,这样就需要一一查出计算机的mac地址,这是一个工作量巨大的工作,粘滞安全MAC地址可以解决这个问题。
inter f0/1
shutdown
switchport mode access
switchport access vlan 1
switchport port-security
switchport port-security maximum 1
switchport port-security violation shutdown
switchport port-security mac-address sticty ///配置交换机接口自动粘滞mac地址
switchport proteected 端口隔离,每一个端口在此交换机上(即使在同一网段)都不能通信,只能和网关通信,用的较多,只要是公共场合必须使用
VLAN
vlan–本质切割mac表
vlan跳转攻击
DTP:
动态中继协议DTP,是 VLAN 组中思科的私有协议
DTP的英文名为Dynamic Trunk Protocol,是一项动态中继协议。此协议可以让Cisco交换机自动协商指定交换机之间的链路是否形成Trunk。
DTP的用途是取代动态ISL(Dynamic ISL,DISL)。主要用于协商两台设备间链路上的中继过程及中继封装 802.1Q 类型。
vlan跳转攻击–pc和交换机相连的线可以直接协商为trunk,vlan tag native dot1q,把交换机不用的接口划在一个不使用的vlan并且关闭这些接口。
协商成trunk参与生成树的构建
DTP协商容易遭到攻击,所有一般的trunk协商那我们都是关闭的如下:
inter fx/x
switchport trunk encapsulation dot1q
switchport mode trunk ///模式一定要设
switchport nonegotiate ///相当于关闭DTP ,关闭之后可以不回应协商请求
干道技术
利用vlan1进行跳转攻击
vlan 1(本征vlan)特点:
1.没有被标记的流量都属于本征vlan
2.vlan 1的数据通过干道后不会被打上标签
攻击思路:在出攻击的包上做两层dot1q封装,外层为vlan1,内层为要去的vlan
接口收到数据的三种情况:
1.数据不带任何vlan标记:如果数据进入到一个access接口,且没有vlan标记,接口放行该数据并且在其过干道时打上一个和接口一致的vlan标记;
2.数据带vlan标记和接口一致:撕掉封装,然后放行
3.数据带vlan标记和接口不一致:丢弃
封堵该类攻击的方法:
1.技术上:
vlan tag native dot1q ///强行让vlan1的数据过干道打封装,相当于过干道时撕掉标签后又贴上一层新的标签,全局敲该命令;
2.管理上:
1.pc不能被划入本征vlan
2.本征vlan移动
3.把不用的接口关闭
4.把不用的接口划入特殊vlan
inter range f0/11-24 ///11-24口不用
shutdown
sw acc vlan 999 /// 将接口划到vlan999
inter f0/5 ///5为trunk
sw trunk native vlan 999
DHCP攻击
DHCP Snooping
在局域网内,经常使用DHCP服务器为用户分配ip地址,由于DHCP服务器和客户端之间没有认证机制,网络攻击的另一种办法时伪装有效的DHCP服务器发出的响应,在DHCP工作原理中,客户端一广播的方法来寻找服务器,并且只采用第一个到达的网络配置参数,所以如果在网络中存在多台DHCP服务器(有一台或更多台是非授权的),谁先应答,客户端就采用其提供给的网路配置参数。假如非授权的DHCP服务器先应答,这样客户端获得的网络参数即是非授权的,客户端可能获取不正确的ip地址、网关、和DNS等信息。在世纪攻击中,攻击者还很可能恶意从授权的 DHCP服务器上反复申请ip地址,导致授权的DHCP服务器消耗了全部地址,出现DHCP饥饿。
通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR(也就是Client MAC Address)字段来判断客户端的MAC地址。正常情况下该CHADDR字段和发送请求报文的客户端真实的源MAC地址是相同的。入侵者可以利用伪造源mac的方式发送DHCP请求,但这种攻击可以使用Cisco交换机的端口特性来防止。但是如果入侵者不修改DHCP请求报文的源MAC地址,而是修改DHCP报文中的CHADDR字段来实施攻击,那端口安全就不再起作用了。由于DHCP服务器认为不同的CHADDR值表示请求来自不同分客户端,所以入侵者可以通过大量发送伪造CHADDR值的DHCP请求,导致DHCP服务器上的地址耗尽,从而无法为其他正常用户提供网络地址,这是一种地址耗尽攻击。DHCP耗尽攻击可以使最纯粹的DOS攻击,也可以使与伪造DHCP服务器配合使用。当与伪造的DHCP服务器配和使用时,入侵者就可以伪装成DHCP服务器响应客户端的DHCP请求,DHCP欺骗设备将入侵者指定为默认网关或默认域名服务器(DNS)服务器。如果指定为网关,客户机将把数据包转发给攻击设备,而攻击设备则接着将数据包发送到所要的目的地,这称为中间人攻击,可能完全无法被察觉,即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的,但由于DHCP请求报文是广播报文,如果大量发送的话也会耗尽网络带宽,形成另一种拒绝服务攻击。
DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。
DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此攻击中并不包括侵入目标服务器或目标网络设备。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者允许的连接。这种攻击会导致资源的匮乏,无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。
可以在交换机上配DHCP snooping 防止攻击,DHCP Snooping的基本原理是交换机建通DHCP数据帧,对于不信任的接口将拒绝接受DHCP offer包(DHCP服务器的响应包,而DHCP客户只会发送特定类型的DHCP包)
ip dhcp snooping
ip dhcp snooping vlan 100
ip dhcp snooping verify mac-address ///检测以太网的源MAC于dhcp请求CHADDR字段是否一致,不一致丢弃
show dhcp snooping
int e0 ///接口
ip dhp snooping trusted
ip dhp snooping limit rate 100 ///设定端口一秒钟只能发100个包,减缓DHCP的starvation
int e1
IP dhcp snooping unstrusted
Option 82
1.交换机开启了DHCPsnooping功能后,默认情况下,将对从非信任端口收到的DHCP请求报文插入选项82信息
1>默认时SW2(上行交换机)从Untrusted端口到带有option 82 的DHCCP请求时会丢弃这个报文;
两个交换机相连时上联交换机与下联交换机snooping接口相连的接口(干道口)也应该被设为信任,否则流量会被丢弃 做信任后绑定表形成不了;
解决办法:不插82no ip dhcp snooping information option
有些情况下不可能使用这条命令—DHCP 中继:DHCP服务器不在同一个网段上,(跨广播域)中继要做成功DHCP必须要插入option字段
以cisco ios 为DHCP的服务器默认时会认为option 82 的值为0的DHCP的请求报文是错误的,它将丢弃这个报文。
可以在R1上选择配置以下命令,允许option 82 的值为0的DHCP请求报文通过
接口命令ip dhcp relay information trust 仅对路由器当前接口生效
全局命令ip dhcp relay information trust-all对路由器所有接口有效
耗尽攻击:
不断的发送请求IP的指令
1.source mac和chaddr中的mac一致
端口保护即可防御(不一致时即可发现)
2.二层帧source mac不变而chaddr的mac变化
ip dhcp snooping verify mac-address ///检测二层mac与chaddr mac是否一致,不一致则丢弃
DHCP snooping 的绑定表
DHCP snooping 会对所有的不信任口进行检查:
接口、获取的IP、mac、vlan、租期
把绑定表存储-- ip dhcp snooping database flas :xx.txtbi ip
show ip dhcp soonping binding 查看
DNS攻击snooping
| 一台交换机 | 两台交换机没中继 | 两台交换机有中继 |
|---|---|---|
| 直接snooping | 1.牺牲绑定表,将干道两头接口做trust;2. 不牺牲绑定表,在地下no option 82 | 在网关口写上 ip dhcp relay information trust |
ARP攻击
只要去一个目的地就必须有一个mac;
无故(Gratuitous ARP,GARP)ARP也称为无为ARP。主机有时会使用自己的IP地址作为目标地址发送ARP请求。这种ARP请求称为无故ARP
ARP欺骗
ARP协议是用来获取目的计算机或者网关的mac地址的,通信发起以广播方式发送请求,拥有目的IP地址或者网关地址的工作站会给予ARP应答,送回自己的IP和MAC地址。ARP协议支持一种无请求APR功能,同一网段上的所有工作站收到主动ARP广播后会将发送者的MAC地址和其宣布的ip地址保存,覆盖一千cache的同一IP地址和对应的MAC地址。由于ARP无任何身份真实校验机制,攻击者发送误导的主动式ARP使网络流量经过恶意攻击者的计算机,攻击者就成为了通信双方的中间人,达到窃取设置篡改数据的目的。攻击者发送的主动模式ARP采用发送方私有MAC地址而非广播地址,通信接收方根本不会知道自己的ip地址被取代。
启用DA
DAI(Dynamic ARP Inspection 动态ARP检查)可以防止ARP欺骗,它可以帮助保证接入交换机只传递”合法的“ARP请求和应答信息。DAI基于DHCP Snooping来工作,DHCP Snooping的监听绑定表包括ip地址与MAC的地址的绑定信息,并将其与特定的交换机端口相关联,DAI可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP),确保应答来自真正的MAC所有者,交换机通过检查端口记录的DHCP绑定信息和ARP应答的IP地址决定其是否式真正的MAC所有者,不合法的ARP包将被拒绝转发。
DAI针对vlan配置,对于同一个vlan内的接口,可以开启DAI也可以关闭,如果ARP包式从一个可信任的接口接受到的,就不需要做任何检查;如果ARP包是一个从不可信接口上收到的,该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样,DHCP Snooping对于DAI来说也成为必不可少的,DAI是动态使用的,相连的客户端主机不需要进行任何设置上的改变。对于没有使用DHCP的服务器,个别机器可以采用惊天添加DHCP绑定表或者ARP access-list 的方法实现。另外,通过DAI可以控制某个端口的ARP请求报文频率。一旦ARP请求频率超过预先设定的阀值,立即关闭该端口。该功能可以阻止网络扫描工具的使用,同时对有大量ARP报文特征的病毒或攻击也可以起到阻断作用。
DAI根据DHCP监听绑定表来工作;DAI也分为信任端口和非信任端口,默认所有端口都为非信任端口;DAI检查所有非信任端口请求和响应的arp数据包,对不符合DHCP建通绑定表要求的ARP数据包丢弃。所以交换机中必须要有所有非信任端口主机的监听绑定条目,否则该主机将不能通信。这将使所有主机都被迫采取DHCP获取ip地址(或管理员指定的IP地址),因为DHCP监听绑定表已经对其进行了绑定,可以有效的防止用户私自更改指定ip地址。
ip arp inspection valn 1 ///在vlan1启用DAI
ip arp inspection validate src-mac dst-mac ip ///检查ARP(请求和响应)报文中的源MAC地址、目的MAC地址、源ip地址和DHCP Snooping 绑定中的信息是否一致
inter f0/1
ip arp inspection trust ///配置本接口为信任接口 ,没有或不能绑定关系的口(接server的口/干道口)设为trust
inter rangef0/11-12
ip arp inspection limit none ///取消ARP包的限制,默认15个包每秒(害怕ARP骚扰)
ip arp inspection linit 10
非信任口由于要检查ARP包所以可能会被黑客利用发大量ARP包,会影响交换机性能
交换机转发靠专用芯片;
伪造ip地址使用自己的mac地址,只要发送频率够快就可以欺骗–因为交换机只认识二层;
网桥调成混杂模式,数据发进来转发出去
有害ARP—IP和mac绑定错误的ARP
找到一个正确的绑定表—snooping表或者自己做的表
冒用ip地址的攻击
IP地址欺骗
ip地址欺骗是指行动产生的ip数据包为伪造的源ip地址,一边冒充其他系统或发件人的身份,这也是黑客进行DOS(Denial of Service 拒绝服务)攻击时经常同时使用的一种手段。
启用IPSG
IP 源防护(IP Source Guard,简称 IPSG)是一种基于 IP/MAC 的端口流量过滤技术,它可以防止局域网内的 IP 地址欺骗攻击。IPSG 能够确保第 2 层网络中终端设备的 IP 地址不会被劫持,而且还能确保非授权设备不能通过自己指定 IP 地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。I排水沟中有一个IP源绑定表(IP Source Binding Table)作为每个端口接受到的数据包的检测标准,
只有在两种情况下,交换机会转发数据:所接收到的 IP 包满足 IP 源绑定表中 Port/IP/MAC 的对应关系,所接收到的是 DHCP 数据包,其余数据包将被交换机做丢弃处理。
IPSG(IP Source Guard ip源保护)也是基于DHCP Snooping进行工作的,交换机从DHCP监听绑定表自动学习获得接口上绑定的MAC地址和mac地址和IP地址。连接在交换机上的所有PC都被设置为动态获取ip地址,pc作为DHCP客户端通过广播发送DHCP请求,DHCP服务器将含有ip地址信息的DHCP回复通过单播的方式发送给DHCP客户端,交换机从DHCP报文中提取关键信息(包括IP地址、MAC地址、VLAN号、端口号、和租期等)并把这写细腻些保存到DHCP监听绑定表中,交换机根据DHCP监听绑定表的内容自动生成ip源绑定表,然后交换机根据ip源绑定表里的内容自动在接口加载基于端口的ACL,有该ACL过滤所有IP流量,在客户端发送的IP数据包中,只有其源IP地址和MAC地址满足源ip绑定表才会被发送,对于具有源IP绑定表之外的其他源IP地址的流量,都将被过滤。
inter f0/2
ip verify source port-security ///在本接口上启用IPSG功能
int range f0/3 -4
ip verify source port-security
ip source binding0023.04e5.b221 vlan 1 172.16.1.3 int f0/3
802.1x(能够做用户和接口的绑定关系,如果未获得认证接口是关闭的)和AAA服务 ISE LDAP
端口阻塞
当分组数据到达交换机时,交换机在MAC表中执行目的地MAC地址查询,确定用哪个端口发出和转发分组,如果在MAC地址表中没有发现条目,则交换机将向相同VLAN(广播域)中所有端口广播(泛洪)未知单播或组播流量。给受保护端口转发未知单播或组播流量,这将可能出现安全问题。使用端口阻塞特性可以阻塞正在转发的未知单播或多播流量 。
端口阻塞一般用来保护服务器接口或某个重要接口,最好在服务器接口或重要接口做(可以阻止单播洪泛和组播洪泛,不能阻止广播洪泛)
intere f0/0
switchport block multicast
switchport block unicast
show int f0/0 switchport
///一般不要敲
风暴控制
当交换网络出现单播/组播/广播风暴时,可以抑制转发这些风暴包的接口
storm-control ?
action
broadcast
multicast
unicast
storm-control action ? ///动作
shutdown
trap
storm-control level ?
<0.00-100.00>
bps ///每秒多少个bite
pps ///每秒多少个包
导图
1855
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
