二层攻击之生成树攻防

最新推荐文章于 2024-05-07 01:30:30 发布
最新推荐文章于 2024-05-07 01:30:30 发布
阅读量3.9k 收藏 15
点赞数
分类专栏: 杂七杂八 文章标签: 二层攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39934520/article/details/79877427
版权

生成树攻防

设备:

DCRS-5950交换机

虚拟机中的kali(采用桥接模式)192.168.1.1

笔记本(需要RJ45的转接线和USB的转接线)【或者两台电脑】

笔记本物理机的ip:192.168.1.2 默认网关:192.168.1.254

 

我在这里的实验用的是一个台式机和一个笔记本,台式机连接交换机,笔记本上的kali机。

1. 在DCRS交换机开启生成树协议,生成树协议模式为STP,DCRS交换机优先级为0,防止网络出现物理环路,显示DCRS交换机生成树协议的状态

在这里先简单的配置下VLAN,好做实验

 

STP配置

 

 

2. 在kali向DCRS交换机发起TAKE Over The Root Bridge渗透测试,使DCRS交换机认为Kali为Root Brige,显示DCRS交换机生成树协议的状态,并将该信息截屏:

 

启动yersinia的图形界面

 

选择STP会直接出现一条结果

 

选用Claim Root Role 进行攻击【Claiming Root Role 破坏树协议中的根的选择,导致广播风暴 】

 

(注:Root ID:为kali的ID(Root ID近似等于Self Bridge ID))

3. 配置DCRS交换机生成树协议安全特性,阻止TAKE Over The Root Bridge渗透测试

这里我台式机连的是e1/1(vlan10下的每个接口都要这么做)

方法一:

 

方法二

输入:spanning-tree portfast bpduguard recoverver  (任意值 )

值的范围取决于设备可通过打问号来选择值spanning-tree portfast bpduguard recoverver  ?

方法三:

spanning-tree portfast bpdufilter

4. 在DCRS交换机配置生成树协议安全特性的条件下,DCRS交换机不会认为kali为Root Brige ,由Kali再次向DCRS交换机发起TAKE Over The Root Bridge渗透测试,再次显示DCRS交换机生成树协议的状态,并验证:

 

 

 ###################################################################

###################################################################

这里我换设备了,CS6200比RS-5650交换机好,RS-5650还缺少一些命令,毕竟是老设备了。

#注:cs-6200#hostname cs

Cs#

设备:CS6200 台式机 笔记本上的kali

5. 由kali向CS交换机发起BPDU DOS渗透测试,提高DCRS交换机CPU的利用率,显示cs交换机CPU的利用率:

 

渗透前交换机CPU的利用率

 

  选择sending conf BPDUs

 

 

渗透测试之后交换机CPU的利用率:

 

 

6. 配置cs交换机生成树协议安全特性,阻止BPDU DOS渗透测试,并将配置截屏:

Vlan10的每一个接口都做

CS#spanning-tree portfast bpduguard recovery (任意值)

或者这样做:

 

7.在CS6200交换机配置生成树协议安全特性的条件下,CS6200交换机不会受kalid 的BPDU DOS渗透测试影响,此时由kali再次向CS6200交换机发起BPDU DOS渗透测试。显示cs6200交换机的利用率,并验证:

渗透前交换机CPU的利用率

 

 

选择sending conf BPDUS

 

渗透后

 

 

#结论CPU的利用率在渗透前后无明显变化

 

(注:设置了安全特性之后:如果kali再次攻击,交换机会直接断开与kali的链接)

红烧兔纸
关注
  • 0
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
局域网安全-生成树攻击-ARP攻击-MAC攻击-VTP攻击-动态VLAN的攻击
aiguang4476的博客
05-17 1252
一、MAC layer attacks 1.CAM表的OVERLOAD 第三方设备不断发送变化的MAC地址,填满CAM表,对于后来合法的MAC地址不能学习到从而泛洪,这时攻击者将学习到合法者的数据包。 2.MAC地址的SPOOFING 攻击者模拟合法用户的MAC地址。 解决方案: 1、基于源MAC地址允许流量:端口安全 2、基于源MAC地址限制流量:static...
STP 欺骗攻击实验
weixin_50720410的博客
03-03 2000
一、STP的诞生背景,解决的问题? 1、 环路产生,是因为,我们在交换网络中,需要设计机制,避免线路单点故障,提升冗余性。 2、 物理上线路的冗余,产生了环路,而环路会带来很大的副作用。 ○1广播风暴是广播信息在网络中不停地转发,直至导致交换机出现超负荷运转,最终耗尽所有带宽资源、阻塞全网通信。在现场,看一下交换机,如果交换机的所有的亮着灯,都出现疯狂闪烁,肯定是环路;而广播风暴是无解,只能交换机关机重启。因为二层广播报文,没有TTL机制,它会一直存在。 ○2不稳定的CAM表交换机(不停更新)对于学习到的M
网络安全学习第一天:生成树攻击与防御策略
lilcur的博客
09-12 790
我们选用两个路由器,AR1220(AR1,AR2),三个接入层交换机S3700(LSW1,LSW2,和LSW hacker),一个汇聚层交换机S5700(LSW3),四台主机。配置各个交换机保持连接,拓扑图如下:AR1:sysname R1snmp-agentaaaospf 1wlan acreturnAR2:sysname R2snmp-agentaaawlan acreturnLSW1:ndp enableaaareturnLSW2:ndp enableaaa。
2024年网络安全最全网络安全人士必知的14个威胁建模方法,深入浅出网络安全
最新发布
2401_84253894的博客
05-07 1046
攻击树由90年代后期的信息安全传奇人物布鲁斯·施耐尔(Bruce Schneier)开创,提供了一种正式而条理清晰的方法来描述系统所面临的安全威胁和系统可能受到的多种攻击,是一种用于可视化和分析信息系统安全威胁的工具,它通过图形化的方式展示攻击者可能使用的路径来达到其攻击目标。VAST威胁建模适用于各种规模的组织,为团队提供了一种快速而直观的方式,帮助他们识别和理解潜在威胁,以采取有效的安全对策。威胁建模的过程中,分析人员会研究可能威胁到数据完整性的因素,包括未经授权的修改、损坏或篡改。
生成树欺骗攻击与防御策略
不定时分享最优质的网络技术与教程,满满的干货。
09-30 633
启动设备BPDU保护功能,边缘端口被关闭后,即使在交换机关闭生成树,端口也不会自动开启,可以在相应接口手动输入undo shutdown开启接口启动设备的BPDU保护,边缘端口不能接交换机。否则该端口立即关闭,因为交换机生成树默认开启,如边缘端口需要连接交换机,可先关闭交换机生成树,再与边缘端口进行连接。
【网络技术联盟站】从原理到实验再到优化剖析STP生成树协议
网络技术联盟站
11-04 930
STP技术背景STP基本概念1. 简单地说STP采用四个步骤来解决二层环路问题:2. 关键字段及比较原则STP操作1. 在交换网络中选举一个根桥2. 在每个非根桥上选举一个根端口3. 为每个段选举一个指定端口(Designated Port)4. 阻塞非指定端口(Non-Designated Port)STP报文1. 配置BPDU2. TCN BPDUSTP的计时器STP端口状态STP的基础配置1. 基础配置2. 基础实验STP及BPDU取消使能边缘端口(Edged-port)1. 基本概念2. 配置实现B
二层技术-以太网交换配置指导-生成树配置.pdf
08-10
H3C交换机,STP生成树的原理与配置。包含STP,RSTP和MSTP。
JAVA生成树Service层代码
12-24
生成一棵树(变更树),可以实现无限层树的生成。
stp 生成树协议 二层链路协议
06-16
STP(Spanning Tree Protocol)是生成树协议的英文缩写。该协议可应用于环路网络,通过一定的算法实现路径冗余,同时将环路网络修剪成无环路的树型网络,从而避免报文在环路网络中的增生和无限循环。
生成树协议PPT
12-04
网络协议分析课做的PPT,关于生成树协议的,有三个部分:原理、安全隐患、攻击与防御
华为与CISCO交换机二层生成树协议互通分析[汇编].pdf
10-13
华为与CISCO交换机二层生成树协议互通分析 本文档主要讨论华为与CISCO交换机二层生成树协议的互通性分析,涵盖STP、RSTP和MSTP等协议的原理和技术细节,并对比分析了Cisco厂家的PVST、PVST+和RPVST+ 协议。下面是...
利用交换机漏洞的常见三种攻击手段
01-19
利用交换机漏洞的常见三种攻击手段:生成树攻击\MAC表洪水攻击\ARP攻击
欺骗攻击及防御技术
06-25
欺骗攻击及防御技术,欺骗攻击及防御技术,欺骗攻击及防御技术,欺骗攻击及防御技术,欺骗攻击及防御技术,
生成树安全普及
weixin_42699835的博客
12-23 278
MST       MST——802.1S——分组式的生成树       定义:将多个vlan划分到一个组内,采用树型算法802.1W。不同组发出的BPDU,使用网桥优先级区分——网桥优先级+组编号。       用途:将不同组的根网桥放置到不同的汇聚层设备处,对流量进行分载,提高了链路利用率  。       MST的配置:A 配置MST的前提——所有交换机都支持MST协议,才可部署; ...
交换机防范欺骗攻击
weixin_34239169的博客
04-06 278
恶意用户可能会发送伪造的信息,骗取交换机或主机将不可靠的机器作为网关。攻击者的目标是成为中间人,让无判断的用户将其作为路由器,向其发送分组,这样攻击者可以在将发送给他的分组正常转发前,收集其中的信息。 1)DHCP探测 假定攻击者在客户PC所在的子网的一台机器上运行伪造的DHCP服务器。当客户广播其DHCP请求时,伪造服务器将发送精心伪造的DHCP应答,将其IP地址作为默认网关。 客户收到应...
业务系统开发之——干掉tree树型结构数据封装
visket2008的专栏
10-15 652
树形结构数据之于软件系统应该说是一个不可避免的数据格式,例如**菜单**、**组织架构**、**关系**等等。作者从业做过大大小小的软件几十种,将以自己的经验总结出主要和通用模式下的使用情况,方便不懂和小白同学了解和使用。 并会做对应的包装,大家可以直接拿去用。
生成树技术详解(STP、RSTP、MSTP)
LCK 博客
07-25 7840
一、STP STP出现的背景 根本问题:存在环路,所以会带来以下问题 ①广播风暴导致网络不可用。 ②MAC 地址表震荡导致 MAC 地址表项被破坏。 ③多帧复制。 STP主要作用:通过阻塞端口来消除环路,并能够实现链路备份的目的 或(在保证二层物理链路冗余的前提下,逻辑上制造一个无环的拓扑) STP基本概念 ①一个根桥 ②两个度量:ID和路径开销。ID分为BID(Bridge ID,桥ID)和 PID(Port ID,端口ID) 桥ID:优先级占据高16位,低48位是MAC地址。优先级默认32768,必须设
Kali常见攻击手段
热门推荐
weixin_45565886的博客
02-07 2万+
Kali常见攻击手段
RSTP快速生成树协议切割网络环路+bpdu保护防STP攻击
weixin_43075093的博客
05-04 1845
1、企业网络为提高网络的可靠性、可用性,常会采用设备冗余、路由冗余、链路冗余、网关冗余等手段,而冗余引起的问题也会随之出现,RSTP快速生成树协议就适用于二层物理网络有环路网络的情形中。 2、消除环路:通过阻塞冗余链路消除网络中可能存在的网络通信环路。对于实时数据、突发网络数据要求高的企业,不允许环路的出现,所以RSTP协议可以切割网络环路成为树型网络,实现比STP协议更快速的收敛,让用户感知不到拓扑的变化。 3、链路备份:当前活动的路径发生故障时,激活冗余备份链路,恢复网络连通性。
生成树原理及配置,STP/RSTP/MSTP
05-05
生成树协议是为了解决二层网络中出现的环路问题而产生的一种机制。本文将从STP、RSTP和MSTP三个方面探讨生成树的原理与配置方法,并介绍环路现象及其危害。 1. 生成树协议概述 生成树协议是一种用于构建二层网络的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值