交换高级特性 —— 端口安全(mac地址&arp欺骗和泛红攻击)

最新推荐文章于 2024-05-01 19:38:14 发布
最新推荐文章于 2024-05-01 19:38:14 发布
阅读量2.4k 收藏 5
点赞数 2
分类专栏: CCIE-U 文章标签: 网络 端口安全 mac欺骗 arp欺骗 泛红
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62311779/article/details/126339523
版权

目录

一、ARP响应过程:

 二、arp欺骗攻击(欺骗的是PC或者路由器):

三、 mac地址欺骗(欺骗交换机):

四、mac地址泛洪攻击与arp泛洪攻击:

五、如何防御:

六、端口安全

(1)不能启用端口安全的特列: 

     ①trunk接口

     ②连接AP的接口:

(2)端口安全配置

一、ARP响应过程:

(52条消息) arp协议、arp应答出现的原因、arp应答过程、豁免ARP详细解答附图(建议电脑观看)_孤城286的博客-CSDN博客_arp响应

 pc1发送arp请求到pc2,及pc2对pc1的arp响应所生成的MAC地址表、arp缓存表如下:

pc1的arp缓存表:

                      10.1.1.2

           0..........B

sw上的mac地址表:

                 0...........A     

      F0/1           vlan   10
                 0...........B      F0/2           vlan    10

pc2的arp缓存表:

                      10.1.1.1

           0..........A
  •  交换机动态生成的mac地址表老化时间为300s
  •   pc生成的arp缓存表老化时间为20分钟
  •   任何一款交换机存放mac地址的条目是有限的

此时,假设再加入一台PC3,如图:

假设当前交换机sw最多只能存放三个mac地址条目(每个交换机存放mac地址数目有限),那现在sw的mac地址表为:

                 0...........A     

      F0/1           vlan   10
                 0...........B      F0/2           vlan    10
                 0...........C      F0/3          vlan     10

 现在假如有人在pc3上安装恶意攻击软件(比如 Yersinia),然后在pc3上伪造一个数据帧发给交换机,假设伪造arp请求(每个arp请求的smac都不一样,一分钟发送成千上万个):

   mac欺骗                   arp欺骗
smac:0.......A我是10..1.1.1,我的mac地址是0.....C
谁是10..1.1.2,你的mac发给我
dmac:12个F
type:0x0806

现在sw上只能存放三个mac地址条目,而现在有了第四个,所以sw会把第一个mac地址条目删除,存放第四个条目:

———————————————————————————————————————————————————————— 

 二、arp欺骗攻击(欺骗的是PC或者路由器):

 然后交换机发现arp请求中dMAC为12个F(二层广播)接着泛洪给pc2,而arp请求相信后到的,后来者居上,而原来的pc2收到的arp请求为:

                      10.1.1.1

           0..........A

现在又收到另一个:

                      10.1.1.1

           0..........C

 由于arp请求是后来者居上,现在pc2要进行arp缓存表的更新,删除原来的:

 现在pc2发送的所有数据包 目的ip都为10.1.1.1,目的mac都为0.....C,当数据包到达交换机sw时,查询自己的mac地址表发现,0......C是连接在接口为F0/3下面的,所以pc2给pc1发送的所有数据,都会发送给了pc3,而pc3采用特定的技术就能把数据全部还原 (数据加密除外)

                 0...........C      F0/3          vlan     10

————————————————————————————————————————————————————————— 

三、 mac地址欺骗(欺骗交换机):

假设arp请求之中只有mac地址的欺骗,没有arp的欺骗,那么原来pc2收到的arp不变即为:

                      10.1.1.1

           0..........A

 而当pc2发送的数据到达交换机时,查看自己的mac地址表发现目的mac地址:0......A是连接在F0/3接口下的,所以数据也会发给pc3,导致了数据的泄密和窃取。

  • 一般情况下,mac地址的欺骗和arp的欺骗组合使用,共同欺骗交换机和PC,增加欺骗成功率。 

———————————————————————————————————————————————————————— 

四、mac地址泛洪攻击与arp泛洪攻击:

当PC恶意大量产生以上没有价值的mac地址和arp时,就造成了mac地址的泛洪和arp的泛洪攻击,还会引发广播风暴。

————————————————————————————————————————————————————————— 

五、如何防御:

  • 1、手工绑定ARP表(防止arp的欺骗和泛洪攻击)--------->PC
  • 2、静态MAC地址绑定:防御MAC欺骗和泛洪攻击---------->交换机
 sw(config)#mac-address-table static 0001.0001.0001 interface f0/2 vlan 10 ——手工绑定MAC地址
  • 3、F0/3接口启用端口安全技术

——————————————————————————————————————————————————————————

六、端口安全

(1)不能启用端口安全的特列: 

     ①trunk接口

  • 因为一般情况下一个trunk接口学习到多个mac地址属于正常行为:列如下图核心交换机的F0/8接口

     ②连接AP的接口:

  • 手机、PC、等上网终端通过AP上访问服务器,所以会在F0/4接口学习到多个mac地址,这是正常的连接,如果在F0/4启用端口安全的话,F0/4接口会立即shutdown,所以这些终端访问会全部中断。

AP(无线访问接入点(WirelessAccessPoint))简介:

  • 无线AP(Access Point):即无线接入点,它用于无线网络的无线交换机,也是无线网络的核心。无线AP是移动计算机用户进入有线网络的接入点,主要用于宽带家庭、大楼内部以及园区内部,可以覆盖几十米至上百米。无线AP(又称会话点或存取桥接器)是一个包含很广的名称,它不仅包含单纯性无线接入点(无线AP),同样也是无线路由器(含无线网关、无线网桥)等类设备的统称。

AC(无线接入控制服务器)简介:

  • 接入控制器(AC) 无线局域网接入控制设备,负责把来自不同AP的数据进行汇聚并接入Internet,同时完成AP设备的配置管理、无线用户的认证、管理及宽带访问、安全等控制功能。

——————————————————————————————————————————————————————————

(2)端口安全配置

        ①开启端口安全————

sw-3550(config)#int f0/1
sw-3550(config-if)#switchport mode access  //必须指定一个模式
sw-3550(config-if)#switchport port-security  //开启端口安全
sw-3550(config-if)#exit
  • 开启端口安全默认行为:此接口只允许学习到1个MAC地址,如果违规则把此接口置为err-disable关闭状态,想要重新开启,必须进入接口 sh no sh

        ②可选配置命令(1)————

(config)#int f0/1   
(config-if)#switchport port-security maximum 1 可以允许此接口学习1个MAC
(config-if)#switchport port-security violation ?
  protect   Security violation protect mode  // 丢弃、告警,告警日志通过syslog产生的
  restrict   Security violation restrict mode  //无声丢弃
  shutdown  Security violation shutdown mode  //默认的违规行为err-disable
(config-if)#switchport port-security  //开启端口安全

      ③ 可选配置命令(2)————

  • 端口安全下MAC地址绑定:配置这条命令先把端口关闭情况下配置
(config)#int f0/1
(config-if)#switchport port-security mac-address 0001.0001.0001
(config-if)#switchport port-security
强制指定此接口连接的PC的MAC地址为0001.0001.0001
  • 注:只有特定的终端在指定的接口才能上网

      ④可选配置(3)———— 

  • 第一次动态学习的MAC地址做一个静态映射,做一个静态绑定,且没有老化时间概念,也就意味着这个接口以后只能连接特定PC,除非在交换机上面做相对应修改:
sw-3550(config)#in f0/1            
sw-3550(config-if)#switchport port-security mac-address sticky 
sw-3550(config-if)#switchport port-security 
sw-3550(config-if)#exit
  • 大大地减少了工作量!!!(较优)

      ⑤老化时间的修改: 

 (config-if)#switchport port-security aging time 2----修改动态学习到的mac地址表老化时间,仅针对动态学习到的MAC地址生效
 (config-if)#switchport port-security aging static---即能针对动态学习到的MAC地址生效也能针对纯静态绑定的MAC地址生效,如果超时,同时也会把接口下这些相关的配置也删除掉
           (switchport port-security mac-address 0001.0001.0001
             switchport port-security mac-address 0002.0002.0002
             switchport port-security mac-address 0003.0003.0003)
switchport port-security mac-address sticky---------把动态学习的MAC地址做一个静态映射,且没有老化时间概念,也就意味着这个接口以后只能连接特定PC,除非在交换机上面做相对应修改
 (通过show run 看到的:switchport port-security mac-address sticky 848f.69bf.2f42)
孤城286
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wireshark抓包协议解读及ARP攻击和泛洪攻击.docx
05-19
主要通过wireshark抓包分析了TCP三次握手和四次挥手的过程,分析了包的基本构成,以及icmp协议等;通过ARP攻击和泛洪攻击的实战,了解了网络中一些基本的的攻击行为;介绍了一下常见网络病毒的端口信息。
交换端口mac_address的绑定
weixin_34068198的博客
07-09 230
好几天没贴实验上来了,最近比较忙,学校暑假为我们安排了实训,我们是都在学校内。 实训内容也是我们学过的,也好,再巩固一下知道,多做实验。 利用交换机的Port-Security功能实现   以下是一个配置实例:   switch#config t   switch(config)#int f0/1   switch(config-if)#switchp...
思科交换机常用命令汇总
杨瑞生的博客
04-02 4772
思科交换机常用命令汇总 show version show running-config show vlan brief show ip interface brief show running-config interface f0/1 show ip route show inventory //显示设备SN、设备名 更换MAC地址 在网管服务器上找到相应的报警信息,记录下交换机的IP地址及端口号。 telnet交换机的IP地址(这里使用CRT) #show running-configurati
交换端口安全配置
weixin_34352005的博客
11-29 1994
在一般的企业环境中,交换机是使用最多的设备,下面简单介绍一些关于交换端口安全的配置并就《CCNA学习指南(第六版)》书中的不足做一些补充:在交换端口配置模式下输入Switch(config-if)#switchport port-securitymac-address Secure mac addressmaximum Max sec...
安全的路由交换--端口安全
zhaotiannuo_1998的博客
05-31 7581
2019/5/30 - - - 此文章是关于在思科交换机上启用交换端口安全特性,起到防止mac地址欺骗mac地址泛洪的作用 实验环境:在eve中模拟真实环境,三台交换机,其中两台交换模拟pc ,和一台路由器(模拟pc) eve软件的使用,请移步到这篇文章,点击此链接–>《eve的使用》 实验拓扑: 实验配置: 首先使用连接工具连接设备 端口安全配置 防止mac地址泛洪的配置 思路:限制...
交换端口安全 port-security配置详解
热门推荐
MySpace
10-17 1万+
一、Port-Security概述 在部署园区网的时候,对于交换机,我们往往有如下几种特殊的需求: 限制交换机每个端口下接入主机的数量(MAC地址数量)限定交换端口下所连接的主机(根据IP或MAC地址进行过滤)当出现违例时间的时候能够检测到,并可采取惩罚措施 上述需求,可通过交换机的Port-Security功能来实现: 二、理
端口安全配置
孑然的博客
09-15 1263
详细了解思科端口安全配置
Port Security端口安全
vx XIxi_AL
11-06 6805
是cisco 交换机上所支持的特性,它可以在交换端口上限定一个具体的MAC 地址或限定MAC 地址的数量。 合法的MAC 地址才能使用端口。合法地址可以自动学习也可静态定义合法MAC 地址 SW(config-if)#switchport port-security #开启端口安全,默认只允许学习到一个MAC地址 SW(config-if)#switchport port-security maximum 2 #设置可以允许学到两个MAC地址 SW(config-if...
华为端口安全简介
m0_73258133的博客
11-22 634
端口安全Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC和Sticky MAC),阻止除安全MAC和静态MAC之外的主机通过本接口和设备通信,从而增强设备的安全性。
安全MAC和Sticky MAC功能
maxdong2021的博客
10-12 4092
安全MAC和Sticky MAC功能说明
计算机网络安全实验——arp欺骗..doc
06-07
一.ARP欺骗攻击 实验需求: (1)本实验使用交换网络结构(参见附录B),组一、二和三间通过交换模块连接(主 机A、C、E通过交换模块连接,主机B、D、F也通过交换模块连接)。因此,正常情况下 ,主机C无法以嗅探...
交换端口安全端口安全地址绑定ARP欺骗
06-04
利用交换机的端口安全功能,防止局域网内部攻击, 如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。  交换端口安全的基本功能 1、限制交换端口的最大连接数 ,控制网络的恶意扩展和接入 2、端口安全地址绑定, ...
局域网络环境下ARP欺骗攻击安全防范策略
06-20
最后,结合网络管理的实际工作,重点介绍了IP地址和MAC地址绑定、交换端口MAC地址绑定、VLAN隔离等技术等几种能够有效防御ARP欺骗攻击安全防范策略,并通过实验验证了该安全策略的有效性。
端口安全端口隔离.doc
05-06
端口安全端口隔离.doc
沪深websocket level2/level1行情推送接入示例
04-28 632
【代码】沪深websocket level2/level1行情推送接入示例。
大模型引领未来:探索其在多个领域的深度应用与无限可能【第七章、大模型在科技、网络安全、农业等方面的应用探索】
最新发布
今晚打老虎的专栏
05-01 886
大型模型在科技、网络安全和农业领域的应用持续演进。在科技中,它们加速了天文学和科学研究的进展。在网络安全领域,大模型提高了网络威胁检测和应对的效率。而在农业中,它们帮助农民做出精准决策,优化产量和质量。这些应用展示了大模型在不同领域的广泛用途,为各行业带来新的发展机遇。
FR-TSN4206获得“时间敏感网络产业链名录计划”测试认证证书,TSN交换机助力智能工业发展
fiberroad的博客
04-30 364
TSN技术,即时间敏感网络技术,已成为智能工业、自动驾驶等领域的核心。它通过时钟同步、数据调度等功能,确保低延迟、高可靠性的数据传输。为推动TSN技术在我国的发展,工业互联网产业联盟联合多家单位启动了“时间敏感网络产业链名录计划”。光路科技的FR-TSN4206交换机成功通过该计划认证
java线上问题排查之磁盘和网络查看分析(二)
wayne_youlu的博客
04-30 366
overflowed 标识全连接队列溢出的次数,最前面是0,标识没有队列溢出的情况,网络环境正常。来查看网络是否连接。如果出现下图内容,则证明网络已经连接。
前端调用WebSocket协议接口获取数据
m0_56023096的博客
04-29 312
createWs("测试数据", (res) => {
ARP欺骗和ARP攻击
03-27
ARP欺骗和ARP攻击是一种网络攻击方式,攻击者利用ARP协议的漏洞,通过发送虚假的ARP请求或ARP响应来欺骗网络设备,使其将数据发送到错误的目的地或接收错误的数据。 在ARP欺骗攻击中,攻击者发送虚假的ARP请求,让网络设备将数据发送到攻击者的计算机,从而截取或篡改数据。在ARP攻击中,攻击者发送虚假的ARP响应,欺骗其他设备将数据发送到攻击者的计算机,从而窃取敏感信息或造成网络瘫痪。 为了防止ARP欺骗和ARP攻击,可以采取如下措施: 1. 使用网络防火墙和入侵检测系统来监控网络流量和检测异常行为。 2. 使用端口安全技术,限制设备连接到网络端口数量和类型。 3. 使用网络访问控制列表和端口镜像来限制设备之间的通信。 4. 配置网络设备的ARP表,限制对ARP请求的响应。 5. 使用加密技术保护敏感数据的传输和存储。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值