交换安全---（1）

交换机安全
一．针对CAM表的攻击

1.MAC 地址洪泛攻击
针对点：CAM表的存储空间有限，而且交换机没有识别的能力
攻击方法：发送大量的垃圾MAC，使CAM表的存储空间饱和，无法再学习MAC地址，当正常的主机发送来报文时，由于CAM表中找不到目标MAC，该数据就成了未知单播，交换机洪泛处理。只要在同一广播域的主机（除发送主机外）都会接收到这个报文，攻击者只要将这些收到的报文解析，就可以达到窃取数据的目的。

2.CAM表毒化攻击（中间人攻击）
针对点：CAM表总是记录最新的MAC地址状态
攻击方法：攻击者使用别人的MAC发送数据，引起MAC地址的漂移
注释：一个MAC地址只能被一个端口学习，但一个端口可以学习多个MAC地址。所谓MAC地址的漂移就是一个端口学习的MAC地址又被另一个端口学习，相当于这个MAC地址从一个端口转移到了另一个端口去了。
解决方法：
（1）手工写MAC地址，但是这只能解决少量的主机通信问题。
（2）过滤MAC地址
（3）端口安全：

           a.限制交换机学习MAC地址的数量
           b.针对攻击端口进行惩罚（限制。限制发送报告。关闭端口）
           c.写上必须要学习MAC地址

二．针对DHCP的攻击

1.DHCP的仿冒攻击
针对点：主机进行DHCP请求时，不能识别，只会响应最先接收的报文。所以这个攻击也是个概率攻击。
攻击方法：在同一广播域内的攻击者接收到DHCP的discover 报文时第一时间进行office报文的应答，为主机分配地址，并告诉主机冒充的网关地址。这样主机就会把报文发给攻击者。

2.DHCP地址耗尽攻击
针对点：DHCP不能从二层数据帧的头部识别MAC地址，而是从discover的MAC地址存放字段读取MAC地址，并为其分配IP地址。
攻击方法：通过构造数据包，不断的修改其中的MAC地址，反复的请求IP地址，直到耗尽了DHCP地址池中的IP地址，这样其他的主机请求不到IP地址就无法上网。但是，同一广播域内的主机之间可以利用本地链路地址互通。

3.正当请求攻击
针对点：DHCP服务器不从帧头部查看MAC地址，从而无法直接将已经请求过IP的discover报文直接丢弃。
攻击方法：主机不断地发送DHCP的discover报文，通过这种正常的请求手段使DHCP服务器瘫痪。
解决方法：做DHCP Snooping ,启用以后，交换机的所有接口都会对DHCP报文进行侦听，并可以从接收到的DHCP request 报文和DHCP Ack 报文中提取并记录IP地址和MAC地址信息。我们在交换机上将所有的接口分为两类,信任端口和非信任端口。信任端口是链接DHCP服务器的端口，这种接口可以正常的接收并转发DHCP的offer报文。非信任端口是链接主机等终端的端口，这种端口会将接收的DHCP offer 报文丢弃。达到隔绝非法DHCP server。
DHCP Snooping 会建立并维护一张dhcp-snooping 的绑定表，这张表可以通过DHCP的ACK包的IP地址和MAC地址生成，也可以手工指定。这张表是DAI和IP Source Guard 基础。
这里我们还要开启DHCP 检查帧头部MAC地址和报文中存放的MAC是否一致的功能来防止耗尽攻击，还要开启限流防止请求攻击。

4.非信任接口的Option 82 问题
DHCP Snooping 的非信任端口也会产生Option 82(其中插入的都是0)，而当另一个非信任端口收到含有Option 82 的DHCP 报文时会将其直接丢弃。

端口1和端口2 都设为非信任端口时，2会在DHCP包中添加Option 82,报文到端口1时，1检测到含有Option 82 时，会把这个报文丢掉。
解决方法：1.将端口1 设为信任端口。 2.关闭端口2的插入Option 82功能。

四.ARP 欺骗攻击

攻击点：ARP没有认证
攻击方法：攻击者伪造无故ARP发向A、B，毒化A、B的ARP表，在A的ARP 表中B的ip地址对应的是攻击者的MAC地址。在B的ARP表中A的ip地址对应的是攻击者的MAC地址。
解决方法：DAI（动态ARP 检测），开启DAI后，所有的接口都为非信任接口，非信任接口都要接受ARP检查，利用DHCP Snooping 绑定表对每个接口的IP和MAC认证。

交换安全第二部分
IP攻击 IPSG技术
VLAN攻击 私有vlan 技术