MAC安全
攻击:泛洪(交换机无过滤的学习mac地址,将mac地址表爆表,如果数据包到交换机在mac地址表中煤油对应的mac地址那么就会泛洪)与欺骗(伪造mac地址,使交换机学习)
mac地址表项分类:
动态表项:动态学习mac地址有老化时间
静态表项:管理员手动配置,不老化
黑洞表项:丢弃特点mac,不老化
MAC地址表安全功能:
端口安全:阻止其他非信任主机通过这个端口通信,安全动态mac,静态mac。sticky mac。
路由器安全:
将用户口令进行hash运算,并将运算的值写入配置文件
远程登录使用ssh登录
发送更新路由时使用hash算法检测数据有没有被篡改。
DHCP安全
dhcp饿死攻击:消耗dhcp服务器的IP地址
dhcp欺骗:私自搭建dhcp服务器,影响客户端获取ip地址。
防止攻击:DHCP Snooping (DHCP 嗅探)保证DHCP客户端合法获取ip地址,记录客户端ip地址与mac地址等参数对应关系。
截获DHCP报文并分析处理
建立维护DHCP Snooping绑定表(mac,ip,租期,vlan,接口)
对DHCP报文过滤和限速。
端口类型:信任端口和非信任端口(丢弃收到DHCP应答报文)
IP安全:
ip地址欺骗(伪造合法用户的ip地址获取网络访问权限,可造成合法用户无法访问及信息泄露)
在接入用户侧的接口或vlan使能IPSG
ip源防攻击
利用绑定表(源ip地址,源mac地址,所属vlan)
:基于二层接口过滤
防止恶意伪造合法主机ip地址,仿冒合法主机来访问网络或攻击网络。
arp安全:
攻击类型:仿冒攻击(冒充网关或其他主机)
欺骗攻击(欺骗网关或其他主机)
泛洪攻击(使设备ARP表溢出,CPU负荷过重)
防御:ARP防网关冲突
ARP报文限速:基于MAC地址,IP地址,VLAN来进行管控
扫一扫
3792
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
