欢迎来到天天文库
浏览记录
ID:14695064
大小:203.50 KB
页数:5页
时间:2018-07-29
《07.交换机端口安全》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、07.交换机的端口安全一.实验目的1.掌握交换机被攻击的类型2.掌握交换机vlan跳跃攻击的原理3.掌握交换机端口的安全配置二.实验相关理论1.二层交换机的攻击包括VLAN跳跃攻击、STP生成树的攻击、DHCP服务器的欺骗、CAM表溢出攻击、MAC地址欺骗。2.VLAN跳跃攻击:允许流量从一VLAN进入另一个VLAN,而不用经过路由。如攻击者可利用VLAN跳跃攻击窃听本应该与攻击者PC隔离的流量,或将流量发送到攻击者PC不能到达的VLAN。发起VLAN跳跃攻击的主要方法是交换机欺骗(switchspoofing)和双重标记(doubletagging)1)交换
2、机欺骗默认情况下,交换机的中继端口可以传输所有VLAN流量。因此攻击者只要使一台交换机进入中继模式,就可以看到所有的VLAN流量。交换机的中继模式默认为auto,若端口收到DTP动态中继协议帧,该端口会自动成为中继端口。解决方法:禁用交换机端口的中继Switch(config)#intf0/0Switch(config-if)#switchportmodeaccess//设置为access模式禁止协商Switch(config)#intf0/0Switch(config-if)#switchporttrunkencapsulationdot1qSwitch(c
3、onfig-if)#switchportmodetrunk//强制将该端口设为trunkSwitch(config-if)#switchportnonegotiate//禁止端口发送接收协商包//下面是DTP协议的几种模式Switch(config-if)#switchportmodedynamicdesirable//主动与对协商成为Trunk接口的可能性,如果邻居接口模式为Trunk/desirable/auto之一,则接口将变成trunk接口工作。如果不能形成trunk模式,则工作在access模式。这种模式是现在交换机的默认模式。Switch(conf
4、ig-if)#switchportmodedynamicauto://只有邻居交换机主动与自己协商时才会变成Trunk接口,所以它是一种被动模式,当邻居接口为Trunk/desirable之一时,才会成为Trunk。如果不能形成trunk模式,则工作在access模式。1)双标签越级攻击从交换机属于本征VLAN的access口流入交换机的帧,如果包含802.1Q双标签,其中外部标签上VLAN1(本征VLAN),内部标签为VLAN2,那么数据通过trunk时候,会被剥离外部的本征VLAN标签,使内部标签生效,从而使帧在不同VLAN间跳转。制造帧的工具软件Smar
5、tbits。解决方法:不要使用本征VLAN发送用户流量,可通过创建一个不含有任何端口的VLAN来做本征VLAN。Switch(config)#intf0/0Switch(config-if)#switchporttrunknativevlan992.交换机的端口安全对交换机的端口攻击常见的有CAM表溢出和MAC地址欺骗。CAM表溢出:攻击者使用MAC地址批量生成器产生许多MAC地址,去轰击CAM表,从而使合法主机的MAC淹没。解决方法:限制交换机端口可尝到的MAC地址数。MAC地址欺骗:攻击者使用虚假的源MAC(假设是PC1)地址向交换机发送数据帧,…….解决
6、方法:交换机使用粘性安全MAC地址(stickysecureMACaddress)。当配置为粘性安全MAC地址时,交换机可动态学习连接各端口的MAC地址,这些动态学习到的MAC地址被添加到交换机的运行配置中,从而防止攻击者通过之前学习到地址进行欺骗。Switch(config)#intf0/0Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum3//默认为1Sw
7、itchpot(config)#switchportport-securityviolation?//下面是三个参数的解释Protect:——保护:当达到某个设定的MAC数量,后来的未知MAC不再解析,直接丢弃,且不产生通知Restrict——限制:当达到某个设定的MAC数量,后来的未知MAC不再解析,直接丢弃,产生通知,如SNMPTRAP、SYSLOG信息,并增加违反记数;这里有个问题,恶意攻击会产生大量的类似信息,给网络带来不利。 Shutdown——关闭:当达到某个设定的MAC数量,后来的未知MAC不再解析,直接关闭该端口,除非手动开启,或改变端口安全策
8、略Switch(config-if)#
此文档下载收益归作者所有