局域网安全-HSRP***和防范

HSRP 的工作原理在这就不介绍了,相信大家都知道。

这是只讲一下HSRP 的特点: 

  1. 1 HSRP 虚拟出一个全新的IP 和MAC地址。
  2. 2 HSRP的主播地址版本1是224.0.0.2(所有局域网的路由器),版本2的主播地址是  224.0.0.102(所有HSRP路由器)。
  3. HSRP的TTL为1,所以不可能实现跨网***。
  4. 默认的验证密码是明文"cisco"
  5. IPV4使用UDP的1985端口,IPV6使用的是UDP的2029端口。

虚拟MAC的构成方法:

下面通过抓包验证上面的正确性:

一 MAC 我设置的是10

二 明文密钥的验证:

三 TTL验证

 

通过上面的我们可以看出其实***一个HSRP很容易,我们用笔记本安装一个假路由器 ,先用抓包软件分析一下是不是用了HSRP,然后将假路由器 priority为255,然后丢弃收到的所有数据包就能实现一个DOS***。

当然HSRP 也是一个网关,用中间人***也可用轻松实现***。

防范:

1采用强认证

key chain hsrp
 key 1
   key-string root

 

standby 10 authentication md5 key-chain hsrp

 

验证:

 

存在的问题:

这种方法对重放***是没有办法的 我们可以采取VLAN MAP和IOS ACL

限制只允许合法的HSRP协议,和端口安全等。

 说明 由于我抓包软件的原因HSRP 的版本显示错误的 。本人由于水平有限难免出现错误希望朋友能指出错误

配置如下:

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值