端口镜像 流量过滤_DHCP snooping和镜像技术

最新推荐文章于 2023-05-17 23:10:05 发布
最新推荐文章于 2023-05-17 23:10:05 发布
阅读量796 收藏
点赞数
文章标签: 端口镜像 流量过滤
  1. 请说明dhcp snooping可以防止的攻击有哪些?能用实验证明的就用实验证明!不能用实验证明的就用文字说明。

1. 饿死攻击:攻击者持续大量地向DHCP server申请IP地址,直到耗尽DHCP server地址池中的IP地址,导致DHCP server不能给正常的用户进行分配。

本质:不断修改DHCP报文中的chaddr【client hard address】字段

解决:能够区分出非法DHCP 报文

依据:二层的源MAC地址与5层DHCP报文中的chaddr地址一致,才是合法DHCP 协议报文

命令:在连接终端主机的端口上 dhcp snooping check dhcp-chaddr enable

  1. 仿冒DHCP server攻击:攻击者仿冒DHCP server,向客户端分配错误的ip地址及提供错误的网关地址等参数,导致客户端无法正常访问网络。

本质: 客户端不知道合法DHCP服务器是谁

解决: 区分出合法DHCP服务器和非法DHCP服务器

依据: 人为指定,将连接合法DHCP服务器的端口设置为信任端口,默认是不信任

原则:非信任端口是不可以转发DHCP协议报文

3. DHCP中间人攻击:攻击者利用ARP机制,让客户端A学习到IP与MAC的映射关系,又让服务器C学习到IP与MAC的映射关系。如此一来,客户端与服务器之间交互的IP报文都会经过攻击者中转。

2.镜像技术使用

2c37e0108519b5a2f27e25c1263114ad.png

要求:通过端口镜像 抓取PC1 去往PC2的流量

通过流镜像抓取PC1去往PC2和 PC2去往PC1的特定流量

AR1

[AR1-GigabitEthernet0/0/0]ip add 192.168.1.254 24

[AR1-GigabitEthernet0/0/1]ip add 192.168.2.254 24

[AR1-GigabitEthernet0/0/2]ip add 192.168.3.254 24

[AR1]observe-port interface g0/0/2

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]mirror to observe-port inbound

68a459fe7af7cc906f7f851185e115ed.png

e062ccffb7fb815c44a777aab4674c68.png

通过流镜像抓取PC1去往PC2和 PC2去往PC1的特定流量

删除之前的端口镜像配置

AR1

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]undo mirror inbound

[AR1]observe-port int g0/0/2

[AR1]acl 3000

[AR1-acl-adv-3000]rule permit ip source 192.168.1.1 0.0.0.0

[AR1-acl-adv-3000]q

[AR1]traffic classifier MIRROR1

[AR1-classifier-MIRROR1]if-match acl 3000

[AR1-classifier-MIRROR1]q

[AR1]traffic behavior TO-TRROR1

[AR1-behavior-TO-TRROR1]mirror to observe-port

[AR1-behavior-TO-TRROR1]q

[AR1-trafficpolicy-mirror1]q

[AR1]traffic policy MIRROR1

[AR1-trafficpolicy-MIRROR1]classifier MIRROR1 behavior TO-TRROR1

[AR1-trafficpolicy-MIRROR1]q

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]traffic-policy MIRROR1 inbound

ACL

[AR1]acl

[AR1]acl 3001

[AR1-acl-adv-3001]rule permit ip source 192.168.2.1 0.0.0.0

[AR1-acl-adv-3001]q

[AR1]traffic classifier MIRROR2

[AR1-classifier-MIRROR2]if-match acl 3001

[AR1-classifier-MIRROR2]q

[AR1]traffic behavior TO-MRROR2

[AR1-behavior-TO-MRROR2]mirror to observe-port

[AR1-behavior-TO-MRROR2]q

[AR1]traffic policy MIRROR2

[AR1-trafficpolicy-MIRROR2]classifier MIRROR2 behavior TO-MRROR2

[AR1-trafficpolicy-MIRROR2]q

[AR1]int g0/0/1

[AR1-GigabitEthernet0/0/1]traffic-policy MIRROR2 inbound

01e7119694d3a1faaa72ed5f1ebfb628.png

0d93a3b8af0bad72b4e5ce0002cb137d.png
weixin_39974557
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
端口镜像 流量过滤_技术盛宴 | 流量可视化之ERSPAN的前世今生
weixin_39988164的博客
12-10 1300
SPAN(Switch Port Analyzer)是当下常用的网络监控和排错工具,SPAN也通常被称作端口镜像。它可以让我们以旁路的方式来监控网络流量,不会对现网的业务造成干扰,同时将监控流量的副本发送到本地或远端的设备上,包括Sniffer、IDS、或其他类型的网络分析工具。一些典型的用法有:通过追踪控制/数据帧来排除网络问题;通过监控VoIP包来分析延迟和抖动;通过监控网络交互来分...
路由器端口镜像
qq_46258964的博客
03-24 1651
路由器端口镜像 镜像口---------- -数据接口 观察口------------网络管理平台 原理:网络中为了更好的观察网络的正常以及保护网络,从而产生了端口镜像 下面我们就用端口镜像来做一个小实验; 抓取ftp的通信数据和用户和密码 1,设置好服务端和客服端的ip地址和网关 2,为路由器配置ip地址 AR1: sys int g0/0/0 ip address 192.168.2.254 ...
端口镜像 流量过滤_在 AWS 云环境中滥用 VPC 流量镜像抓取网络流量
weixin_39601056的博客
12-06 331
云环境下的网络检测问题人们可能希望监视云环境中的网络流量有很多原因——出于攻击和防御的目的。被动的网络检查在云环境中可能很困难,而且在这之前需要对网络配置进行重大修改,以确保每台主机都被监控,并且不会被恶意用户绕过。这意味着作为一个攻击者,监视整个网络会产生数量难以置信的噪声,而且破坏任何东西也变得非常危险。对于在云端进行通用网络检查遇到的困难,渗透测试人员采用了其他更简单的方法,比如审...
linux下端口镜像,linux – 使用iptables过滤镜像端口流量
weixin_28957321的博客
04-30 587
我从镜像端口接收流量,我想将其发送到NFQUEUE进行处理.由于镜像端口,数据包目标MAC地址不是我的主机MAC地址.因此,流量永远不会达到我的NFQUEUE. (如果我拿一个数据包并使用Scapy手动用我的主机MAC地址替换目标MAC地址,它可以工作)即使在过滤管道中尽快应用iptable规则,它也不能与镜像端口一起使用:iptables -A PREROUTING -t raw -j NFQU...
DHCP实验报告
m0_74751678的博客
04-18 128
接口DHCPDHCP Server0/0/0接口设置ip地址为192.168.1.1/24,网段为192.168.1.0/24。全局DHCPDHCP Server0/0/1接口设置ip地址为192.168.2.0/24。分别在0/0/0和0/0/1口使用接口DHCP和全局DHCP分配IP,且各PC间互通。
路由器置端口镜像:在路由器上配置端口镜像,G0/0/2为观察口,G0/0/0为镜像口。
彭淦淦的博客
04-27 3255
3.2 方案 搭建实验环境,如图-6所示。 图-6 3.3 步骤 实现此案例需要按照如下步骤进行。 1)在路由器上配置端口镜像的命令如下。 observe-port interface GigabitEthernet0/0/2 interface GigabitEthernet0/0/0 mirror to observe-port both ...
华为HCIE R&S笔记-16以太网技术端口隔离,Smart Link,Monitor Link,端口镜像
qq_23930765的博客
12-05 752
. 端口隔离: 端口隔离可以实现端口之间无法数据通信,端口隔离默认隔离二层广播,三层互通,属于同隔离组中的设备无法实现数据通信,但是可以与其他隔离组中的设备进行通信。 端口隔离配置: [Huawei]inter g0/0/1 [Huawei-GigabitEthernet0/0/1]port-isolate enable group 10 [Huawei-GigabitEthernet0/0/1]inter g0/0/2 [Huawei-GigabitEthernet0/0/2]port-isolate
ENSP:端口隔离技术镜像端口技术配置
weixin_45921302的博客
05-17 2235
端口隔离及镜像端口的简单使用
网络笔记:端口镜像(待完善)
laoxige的博客
01-22 368
端口镜像(port Mirroring) 摘自百度百科 功能通过在交换机或路由器上,将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听,指定端口称之为“镜像端口”或“目的端口”,在不严重影响源端口正常吞吐流量的情况下,可以通过镜像端口对网络的流量进行监控分析。在企业中用镜像功能,可以很好地对企业内部的网络数据进行监控管理,在网络出故障的时候,可以快速地定位故障。 本地端口镜像配置 ...
DHCP的工作原理和实验解析
qq_50589028的博客
02-16 3887
文章目录简介作用原理配置方式 简介 1、DHCP是动态主机配置协议(Dynamic Host Configration Protocol ) 2、DHCP是位于OSI 七层模型中的应用层,基于UDP协议工作。服务器端口为67(源端口回应应答信息给主机),客户端端口为68(目的端口来广播信息)。 3、DHCP基于C/S模型,即客户端 / 服务器模式。其中客户端用来向服务器提出配置申请,而服务器负责集中管理信息,并根据相关配置要求来返回相应配置信息 作用 1、自动分配IP地址给用户,无需手工配置,提高配置IP地
Docker基本命令
qq_46201406的博客
03-11 1461
Docker基本命令
H3C交换机设置本地镜像镜像流量
1
08-18 8644
交换机: H3C MS4320&MS4300V2&MS4200系列以太网交换机 工位台式:Ubuntu20.04 个人PC:WIndows 10 端口镜像简介 端口镜像通过将指定端口的报文复制到与数据监测设备相连的端口,使用户可以利用数据检测设备分析这些复制过来的报文,以进行网络监控和故障排除。 镜像源: 镜像源是指被监控的对象,是一个端口,称之为源端口,经由被监控的对象收发的报文会被复制一份到与数据监测设备相连的端口,用户就可以对镜像报文进行监控和分析了。镜像源所在的设备称之为源设备 镜像
华三交换机 流量镜像
qq_43636320的博客
07-29 3792
华三交换机 流量镜像三条命令: system-vies [sysname] mirroring-group 1 local [sysname] mirroring-group 1 mirroring-port G1/0/1 to G1/0/47 both (设置源端口,镜像可以根据实际情况灵活选择入方向、出方向及全部流量;both,全部流量;inbound,入方向流量;outbound,出方向流量) [sysname] mirroring-group 1 monitor-port G1/0/48 (设置
tcpdump,端口镜像 过滤 DNS流量 协议。traffic 。dump
韩梦飞沙_韩亚飞
03-13 4570
tcpdump监听数据为了看清楚DNS通信的过程,下面我们将从主机1:192.168.0.141上运行host命令以查询主机www.jd.com对应的IP地址,并使用tcpdump抓取这一过程中LAN上传输的以太网帧。具体的操作过程如下:# tcpdump -i eth0 -nt -s 500 port domain然后在新开一个命令行窗口,另外一个终端中输入下面的命令:#host-t A www...
交换网络的扩展知识:端口镜像DHCP snooping、防ARP攻击、端口安全、开启SSH安全登录、端口隔离的配置
milu_nff的博客
05-03 3071
索引1、端口镜像:SPAN端口镜像的配置:2、DHCP 动态主机配置协议 统一分发管理IP地址DHCP的工作过程DHCP地址续约DHCP中继3、DHCP攻击(1)DHCP snooping --防止dhcp攻击DHCP snooping的配置(2)ARP欺骗ARP欺骗的配置(3)源地址保护源地址保护的配置4、端口安全端口安全的配置5、SSH ---安全的Telnet行为开启STelnet的配置6、端口隔离端口隔离的配置 1、端口镜像:SPAN 端口镜像(port Mirroring)功能通过在交换机或路由
使用wireshark分析网络流量实例
weixin_34345753的博客
12-12 7276
工具:Wireshark(Windows或Linux),tcpdump(Linux) 要求:使用过滤器捕获特定分组;用脚本分析大量流量数据(建议用perl)。 内容:Web流量分析 清除本机DNS缓存(ipconfig /flushdns),访问某一网站主页,捕获访问过程中的所有分组,分析并回答下列问题: (1)简述访问web页面的过程。 (2)找出DNS解析...
思科|锐捷|迈普|华为|华三等常见厂商交换机端口镜像配置命令详细说明
热门推荐
linghao-shan
08-12 1万+
H3C 交换机镜像端口配置 mirroring-group 1 local 设置本地镜像组 1 mirroring-group 1 mirroring-port GigabitEthernet 1/0/1 both 设置镜像源端 G1/0/1 到目标端口 mirroring-group 1 mirroring-port GigabitEthernet 1/0/2 both 设置镜...
DHCP端口镜像
hjq129520的博客
03-09 990
DHCP总结 DHCP(Dynamic HostConfiguration Protocol,动态主机配置协议)通常被应用在大型的局域网络环境中,主要作用是集中的管理、分配IP地址,使网络环境中的主机动态的获得IP地址、 Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率。DHCP协议采用客户端/服务器模型,主机地址的动态分配任务由网络主机驱动。当DHCP服务器接收到来自网络主机
为了防止交换机E12端口用户的非法接入,同时防御网络的ARP欺骗,从而有效的避免IP地址的冲突命令
最新发布
06-06
下面是一些常用的命令: 1. 配置端口安全特性: ``` switch(config)# interface e12 switch(config-if)# switchport port-security switch(config-if)# switchport port-security maximum 2 switch(config-if)# switchport port-security violation restrict switch(config-if)# switchport port-security mac-address sticky ``` 以上命令将E12端口配置为启用端口安全特性,限制端口最大允许连接的MAC地址数量为2,违规操作时限制端口,启用sticky模式将学习到的MAC地址绑定到端口。 2. 配置802.1X认证: ``` switch(config)# aaa new-model switch(config)# radius-server host 192.168.1.10 key password switch(config)# interface e12 switch(config-if)# authentication port-control auto switch(config-if)# dot1x port-control auto switch(config-if)# dot1x guest-vlan 10 ``` 以上命令启用AAA认证模型,配置radius服务器地址和密码,将E12端口配置为启用802.1X认证,未认证用户放置到VLAN 10中。 3. 配置静态ARP表项: ``` switch(config)# arp 10.0.0.2 0011.2233.4455 arpa ``` 以上命令将IP地址10.0.0.2和MAC地址0011.2233.4455进行绑定。 4. 配置DHCP Snooping: ``` switch(config)# ip dhcp snooping vlan 1-10 switch(config)# interface range e1-e24 switch(config-if)# ip dhcp snooping trust ``` 以上命令启用DHCP Snooping功能,并将VLAN 1-10设置为受保护的VLAN,将E1-E24端口配置为信任端口。 5. 配置端口镜像: ``` switch(config)# monitor session 1 source interface e12 switch(config)# monitor session 1 destination interface e24 ``` 以上命令将E12端口的流量镜像到E24端口进行监测和分析。 6. 更新交换机固件和补丁: 请根据具体交换机型号和厂商提供的文档进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值