二层攻击之生成树攻防

生成树攻防

设备:

DCRS-5950交换机

虚拟机中的kali(采用桥接模式192.168.1.1

笔记本(需要RJ45的转接线和USB的转接线)【或者两台电脑】

笔记本物理机的ip192.168.1.2 默认网关:192.168.1.254

 

我在这里的实验用的是一个台式机和一个笔记本,台式机连接交换机,笔记本上的kali机。

1. DCRS交换机开启生成树协议,生成树协议模式为STPDCRS交换机优先级为0,防止网络出现物理环路,显示DCRS交换机生成树协议的状态

在这里先简单的配置下VLAN,好做实验

 


STP配置

 


 

2. kaliDCRS交换机发起TAKE Over The Root Bridge渗透测试,使DCRS交换机认为KaliRoot Brige,显示DCRS交换机生成树协议的状态,并将该信息截屏:

 

启动yersinia的图形界面

 

选择STP会直接出现一条结果

 

选用Claim Root Role 进行攻击【Claiming Root Role 破坏树协议中的根的选择,导致广播风暴 】

 


(注:Root ID:为kaliIDRoot ID近似等于Self Bridge ID

3. 配置DCRS交换机生成树协议安全特性,阻止TAKE Over The Root Bridge渗透测试

这里我台式机连的是e1/1(vlan10的每个接口都要这么做)

方法一:

 

方法二

输入:spanning-tree portfast bpduguard recoverver  (任意值 )

值的范围取决于设备可通过打问号来选择值spanning-tree portfast bpduguard recoverver  

方法三:

spanning-tree portfast bpdufilter

4. DCRS交换机配置生成树协议安全特性的条件下,DCRS交换机不会认为kaliRoot Brige ,Kali再次向DCRS交换机发起TAKE Over The Root Bridge渗透测试,再次显示DCRS交换机生成树协议的状态,并验证:

 



 ###################################################################

###################################################################

这里我换设备了,CS6200RS-5650交换机好,RS-5650还缺少一些命令,毕竟是老设备了。

#:cs-6200#hostname cs

Cs#

设备:CS6200 台式机 笔记本上的kali

5. kaliCS交换机发起BPDU DOS渗透测试,提高DCRS交换机CPU的利用率,显示cs交换机CPU的利用率:

 

渗透前交换机CPU的利用率

 

  选择sending conf BPDUs

 


 

渗透测试之后交换机CPU的利用率:

 

 

6. 配置cs交换机生成树协议安全特性,阻止BPDU DOS渗透测试,并将配置截屏:

Vlan10的每一个接口都做

CS#spanning-tree portfast bpduguard recovery (任意值)

或者这样做:

 

7.CS6200交换机配置生成树协议安全特性的条件下,CS6200交换机不会受kalid BPDU DOS渗透测试影响,此时由kali再次向CS6200交换机发起BPDU DOS渗透测试。显示cs6200交换机的利用率,并验证:

渗透前交换机CPU的利用率

 

 

选择sending conf BPDUS

 

渗透后

 

 

#结论CPU的利用率在渗透前后无明显变化

 

(注:设置了安全特性之后:如果kali再次攻击,交换机会直接断开与kali的链接)

没有更多推荐了,返回首页