安全保护-局域网安全

版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44766403/article/details/96733348

交换安全-局域网安全
二层交换机安全
mac洪泛攻击 将单波帧转换为未知单波帧进行洪泛
中间人攻击
mac地址漂移
通过端口保护防止攻击
端口安全 维护一个合法的端口与mac对应的关系

惩罚、
1.protect(端口mac条目数量过多,新计算机无法接入,
原有jisuanji 不受影响,
交换机不发送警告信息)
2.restrict(端口mac条目数量过多,新计算机无法接入,
交换机发送警告信息)
3.shutdown(端口mac条目数量过多,端口关闭,所有计算机无法接入网络,需要“shutdown”
“no shutdown”命令重新打开)

errdisable recovery cause psecure-violation(惩罚恢复)
errdisable recovery interval 60(恢复时间设置)
switchport protected(端口隔离)

docker

vlan
1.数据接入接口如果没有打vlan标记
,那么接口会选择放行,查表后会打上这个接口的标记
2.vlan标记与接口不一致丢弃
3.vlan标记与接口标记相同,则撕掉封装放行

DTP
技术上:
vlan跳转攻击
vlan tag native dot1q,
将交换机不用的接口划在同一vlan中,关闭这些接口

管理上:
1.pc不能划入本征vlan
2.本征vlan移动
3.把不用的接口关闭
4.把不用的接口划入特殊vlan

DTP协商容易遭到攻击,所有一般trunk协商我们都是关闭的
switchport trunk
switchport nonegotiate

在这里插入图片描述
dhcp攻击
IP dhcp snooping
ip dhcp snooping vlan 10
ip vlan 10
int e0
ip dhcp snooping trusted
ip dhcp snooping limit rate ?(用合法的方式达成非法的目的)
防止拒绝式服务攻击

dhcp耗尽式攻击(不断请求)chaddr
1.二层帧source mac 和 chaddr的mac一致
端口保护即可防御
2.二层帧source mac不变 和 而chaddr的mac变化
IP dhcp snooping verify mac-address
//检测二层mac与chaddr mac是否一致,不一致则丢弃

dhcp snooping的绑定表
接口 获取的ip mac vlan 租期

把绑定表存储起来
ip dhcp snooping database flash: xx.txt
关option 82

中继情况下无法关闭option 82
在网关接口中配置
IP dhcp relay information trust//仅对路由器当前接口有效
ip dhcp relay infomation trust-all//对路由器所有接口有效

在这里插入图片描述
ARP欺骗
DAI动态arp检测技术(检测arp包),ip-mac关系是否合法
ip arp inspection vlan 1 //在vlan1开启DAI
ip arp inspection validata src-mac dst-mac ip//检查arp请求和响应报文
int f0/1
ip arp inspection trust //配置本接口为信任接口
int range f0/11-12
ip arp inspection limit none// 取消arp包限制,默认15个包/秒
ip arp inspection limit 10

在这里插入图片描述
ip地址欺骗
int f0/2
ip verify source port-security
int range f0/3-4
ip verify source port-security
ip source binding 0023.04e5.b221 vlan 1172.16.1.3 int f0/3

在这里插入图片描述
端口阻塞:
int f0/0
switchport block multicast
switchport block unicast
show int f0/0 switchport
一般用于保护连接服务器的端口或者某个重要的端口

风暴控制 当交换网络出现单波/组播/广播时,
可以抑制转发这些风暴包的接口

生成树
1.portfast
加快收敛blocking->forwording
所有接口都不参见加生成树的构建
2.bpduguard
接口下启用,若接口收到bpdu信息接口会立即进入err-disable状态
show int f0/1
3.bpdufilter
接口下启用,收到的bpdu信息会被过滤风险,
交换机丧失对这个接口的环路判断
全局配置下,接口状态回到监听状态
在这里插入图片描述
4.rootguart 阻止抢根的bpdu (切忌在生成树创建成功之前敲此命令,
在一些不信任的接口使用此命令)
只能在接口下敲
spaning-tree guard root
5.loopguard 一般在阻塞端口,防止单向链路问题而引发的环路
spaning-tree guard loop
spanning-tree loopguard default
6。udld 单向链路检测
接口下,两端启用,可取代loopguard

交换机的调整时间
默认5min,
mac表满了调小时间,
交换网络未知单波帧过多洪泛调大时间
mac address-table again-time

mac access-list extended X
permit

展开阅读全文

保护源码安全

11-11

因为开发的系统,功能优越,利益使然,遭受打压和潜伏,走那跟那,将一切不利的发展势头,消灭在萌牙状态,情节精彩。rn我们无力和无法违反自然规律去改造人类结构,但是我们有保护源码安全的措施,尽管不是绝对安全的,但是我们可以将损失降到最低。rn以下是本人的安全疑问:rn1、软件开发工具(.net),源码编辑、编译等操作时,会不会加载并且在虚拟内存(pagefile.sys)中留下痕迹;rn2、如果卸下电脑硬盘,随身携带,会不会有窃取源码的硬件可以安装到计算机上;rn3、能不能编写一个带钩子的程序,监听源码编辑操作,然后窃取;rn4、在计算机上安装木马,窃取源码;rn5、如果使用了加密措施,在工作地点安装针孔摄像头,记录解码过程;rn以下是本人的防范措施:rn1、安装硬盘加密工具,保护整个硬盘或分区;rn2、拆卸硬盘,随身携带;rn3、安装安全工具,防范木马和病毒,或者安装恢复软件(象网吧或无盘工作站),所有操作在失电后消失,恢复到原始状态。rn4、利用死角,让针孔监控摄像头形同虚设。rn5、开发完成的使用动态库.dll或静态库.lib。rn如果以上安全疑问和防范措施存在隐患,具体的保护措施又是什么?请各位高人指点,为付出心血创作的朋友保护劳动成果出谋献策。rn软件系统用于绘图输出电机控制(激光切割、雕刻等),公开了控制输出、端口、接口和下位机源码(并口可以使用实时控制,但存在线程切换或硬件中断等不利因素,能否更改线程切换和硬件中断等,有兴趣的高人可以尝试或提供解决办法),相信能为电机控制、电路控制设计、编程爱好的朋友所用。以下是程序和源码下载地址:rn百度网盘:[url=http://pan.baidu.com/s/1ilbrO]http://pan.baidu.com/s/1ilbrO[/url]rn金山快盘:[url=http://www.kuaipan.cn/file/id_196955504998612993.htm]http://www.kuaipan.cn/file/id_196955504998612993.htm[/url]rn以下是软件界面:rn[img=https://img-bbs.csdn.net/upload/201311/11/1384129787_722597.jpg][/img] 论坛

没有更多推荐了,返回首页