1.      VLAN跳跃***(VLAN Hopping
分析:用户可以将自己的端口配置为trunk,将自己加入到所有的Vlan中。另一方法是伪造数据包,在包头中添加双重tag标记,这样即使管理员关闭了该接口的trunk功能,仍可以将数据包发送到其他Vlan<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

防范:关闭不用的端口或者将他们放在一个隔离的VLAN中。

 
2.      MAC***
分析:交换机的MAC的地址表的空间大小是固定的,***者可以通过发送随机地址的数据包将地址表空间填满,该交换机就会成为一个HUB,***者可以通过监听工具收集和分析网络中的所有数据。

防范:启用端口安全功能,限制每个端口允许的MAC地址数量并发送syslog日志。

Switchport port-security

Switchport port-security maximum 1 vlan access

Switchport port-security violation restrict

Switchport port-security aging time 2

Switchport port-security aging type inactivity

Snmp-server enable traps port-security trap-rate 5

 
3.      DHCP***

分析:***者可以将自己伪装为DHCP服务器向用户提供DHCP服务,从而将数据引向自身,获得用户数据的内容和流向控制。

防范:启用DHCP Snooping功能

用户端口: no ip dhcp snooping trust

DHCP服务器端口:ip dhcp snooping trust

 
4.      ARP***

分析:***者可以将自己MAC伪装成网关的MAC地址,从而将同网段的所有流量引向自己。获得用户数据的内容和控制。流行的ARP病毒就是通过这种方式实现的。

防范:DHCP环境(启用动态ARP检测-DAI,可以监控网络中ARP数据)

       全局配置:

       Ip arp inspection vlan 4,104

       Ip arp inspection log buffer entries 1024

       Ip arp inspesction log-buffer logs 1024 interval 10

       端口配置:

       Ip arp inspection trust

 
       DHCP环境(为网关和服务器设置静态IPMAC绑定)

       Ip source binding 0000.0000.0001 vlan 4 10.1.1.1 interface fastethernet 3/1

 
5.      IP/MAC欺骗***

分析:***者可以伪装成合法的IPMAC地址,从而影响用户的正常通讯和获得非法的权限。

防范:启用ip source guard,可以检测数据包的源IP地址或者源MAC地址,过滤掉非法的数据,ip source guard需要先启用DHCP snooping功能。

全局配置:

       Ip dhcp snooping vlan 4,104

       No ip dhcp snooping information option

       Ip dhcp snooping

       端口配置

       Ip verify source vlan dhcp-snooping

 
6.      STP***

分析:***者可以发送BPDU引起根桥的变化,从而获得非法的数据并造成网络的震荡。

防范:接入层交换机端口启用BPDU Guard

       Spanning-tree portfast bpdugurad

       核心层交换机端口启用Root Guard

       Spanning-tree guard root

 
总结:   Cisco 2 层***防范架构
参考资料:

Networkers 2009 BRKSEC 2002 Understanding and Preventing Layer 2 Attacks