本文探讨了二层交换网络中的安全问题,包括MAC攻击、VLAN跳转攻击、DHCP攻击和ARP欺骗攻击。介绍了各种攻击手段,如MAC地址洪泛、MAC伪装、VLAN跳转和DHCP耗尽,并提出了相应的防护措施,如端口安全、DHCP Snooping、DAI等技术。同时,讨论了如何通过惩罚机制和粘滞安全MAC地址来增强网络安全性。
MAC攻击
1.Mac地址洪泛攻击 因为mac地址表有限,恶意将mac表充满
2.Mac地址伪装 连续发送 接收 1 2所有消息 1 2 通讯断裂
保护方法:端口安全 维护一个合法的端口mac对应关系
mac-address-table static 00d0.d3bd.d001 vlan 1 int f0/1
在接口下开启端口安全
接口只能绑定一个mac,第一个通过此接口的mac强行绑定
switchport port-security maximum 1 更改mac 绑定数
switchport port-security mac-address 00d0.bab2.2611 绑定mac
惩罚机制
1.protect—当新的计算机接入时,如果该端口的mac条目超过最大数则这个新的计算机将无法接入,而原计算机不受影响,交换机不会发送警告信息;
2.restrict—当有新的计算机接入时,如果端口mac条目超过最大数量,则新的计算机无法接入,并且交换机会发出警告信息;
3.shutdown—当有新计算机接入时,如果该端口的mac条目数量超过最大值,则该端口将会被关闭,则这个新的计算机和原来的计算机都无法接入网络,这个时候需要接入原有的计算机,并且在该端口下使用shutdown和no shutdown命令重新打开端口;
经常发生惩罚,警告信息大量发送,导致交换机瘫痪,更改惩罚为shutdown
粘滞安全mac地址
绑定mac工程量大 实施困难 可选用粘滞安全mac
静态安全MAC地址可以使得交换机的接口(f0/1)只能接入某一固定的计算机,
最低0.47元/天 解锁文章
扫一扫
6532
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
