交换安全简述

版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44099995/article/details/96846741

端口安全:
将mac地址固定在端口上,如果进入该端口的mac地址与固定的mac不符合就阻塞该端口,这样可以防止mac地址洪泛攻击和mac中间人攻击
惩罚分类:
Protect:当新计算机接入时,如果该端口mac地址条目超过最大数值,则新计算机将无法接入,原有计算机不受影响,交换机也不会发送警告信息
Restrict:当新计算机接入时,如果该端口mac地址条目超过最大数值,则新计算机将无法接入,并且交换机会发送警告信息
Shutdown:当新计算机接入时,如果该端口mac地址条目超过最大数值,则关闭该端口,并且原有计算机和新计算机都将无法加入网络,此时需要原有计算机在交换机中对该端口使用shutdown和no shutdown命令重新打开端口

防止Vlan跳转攻击:
交换机的接入层接口配置命令
switchport nonegotiate
技术上防范
Vlan tag native dot1q
管理上防范
1.pc不能被划入本征vlan
2.本征vlan移动
3.把不用的接口关闭
4.把不用的接口划入特殊vlan

DHCP snooping–防止DHCP攻击
dhcp snoopoing会形成一张绑定表,表中信息包括:接口、获取的ip地址、mac地址、vlan和租期时长

DHCP耗尽攻击:
DHCP服务器通常通过检查客户端发送的DHCP请求报文中的chaddr字段来判断客户端的mac地址。正常情况下chaddr字段中的mac地址与真实源mac地址是相同的,通过修改chaddr中的mac地址来向DHCP服务器发送请求,DHCP服务器会认为不同的chaddr来自不同的客户端,所以入侵者可以修改chaddr中的mac来不断发送请求,导致DHCP服务器地址池被耗尽。
1.二层帧source mac和chaddr的mac一致
端口保护即可防御
2.二层帧source mac不变和chaddr的mac变化
ip dhcp snoopoing verify mac-address//检测二层mac与chaddr mac是否一致,不一致则丢弃

中间人攻击:
因为DHCP服务器与客户端之间没有认证机制,入侵者可以伪装成DHCP服务器来给客户端分配地址、网关和dns。如果客户端把入侵者指定为网关,客户机将会把数据包转发给攻击设备,再由攻击设备将数据包发送到目的地,这就称为中间人攻击。
拒绝服务攻击:
DHCP请求报文是广播报文,大量发送会耗尽网络带宽,这时会形成拒绝服务攻击。

可以在交换机上配置dhcp snooping防止攻击,dhcp snooping基本原理是交换机监听DHCP数据帧,对于不信任的接口将拒绝接受DHCP offer包

ARP攻击–DAI(基于dhcp snoopoing进行工作)
ARP协议是用来获取mac地址的,由于ARP无任何身份认证机制,攻击者通过发送误导的主动式ARP使网络流量经过攻击者的计算机,攻击者就成了通信双方的中间人,达到窃取和篡改数据的目的。
DAI(动态ARP检查)可以防止ARP欺骗,他可以帮助保证接入的交换机只传送“合法的”ARP请求和应答信息。

IP地址欺骗–IPSG(基于dhcp snoopoing进行工作)
IP地址欺骗是指行动产生的ip数据包为伪造的源ip地址,以便冒充他人身份
IPSG是一种基于ip/mac的端口流量过滤技术,可以防止局域网内的IP地址欺骗。

端口阻塞:
一般用来保护连接服务器的端口或某些重要的端口,阻塞正在转发的未知单播或多播流量

风暴控制:
在接口开启风暴控制,设置风暴阀值,如果接口流量超过阀值则开启惩罚措施

展开阅读全文

没有更多推荐了,返回首页