返回
07.交换机端口安全

07.交换机端口安全

ID:14695064

大小:203.50 KB

页数:5页

时间:2018-07-29

07.交换机端口安全_第1页
07.交换机端口安全_第2页
07.交换机端口安全_第3页
07.交换机端口安全_第4页
07.交换机端口安全_第5页
资源描述:

《07.交换机端口安全》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、07.交换机的端口安全一.实验目的1.掌握交换机被攻击的类型2.掌握交换机vlan跳跃攻击的原理3.掌握交换机端口的安全配置二.实验相关理论1.二层交换机的攻击包括VLAN跳跃攻击、STP生成树的攻击、DHCP服务器的欺骗、CAM表溢出攻击、MAC地址欺骗。2.VLAN跳跃攻击:允许流量从一VLAN进入另一个VLAN,而不用经过路由。如攻击者可利用VLAN跳跃攻击窃听本应该与攻击者PC隔离的流量,或将流量发送到攻击者PC不能到达的VLAN。发起VLAN跳跃攻击的主要方法是交换机欺骗(switchspoofing)和双重标记(doubletagging)1)交换

2、机欺骗默认情况下,交换机的中继端口可以传输所有VLAN流量。因此攻击者只要使一台交换机进入中继模式,就可以看到所有的VLAN流量。交换机的中继模式默认为auto,若端口收到DTP动态中继协议帧,该端口会自动成为中继端口。解决方法:禁用交换机端口的中继Switch(config)#intf0/0Switch(config-if)#switchportmodeaccess//设置为access模式禁止协商Switch(config)#intf0/0Switch(config-if)#switchporttrunkencapsulationdot1qSwitch(c

3、onfig-if)#switchportmodetrunk//强制将该端口设为trunkSwitch(config-if)#switchportnonegotiate//禁止端口发送接收协商包//下面是DTP协议的几种模式Switch(config-if)#switchportmodedynamicdesirable//主动与对协商成为Trunk接口的可能性,如果邻居接口模式为Trunk/desirable/auto之一,则接口将变成trunk接口工作。如果不能形成trunk模式,则工作在access模式。这种模式是现在交换机的默认模式。Switch(conf

4、ig-if)#switchportmodedynamicauto://只有邻居交换机主动与自己协商时才会变成Trunk接口,所以它是一种被动模式,当邻居接口为Trunk/desirable之一时,才会成为Trunk。如果不能形成trunk模式,则工作在access模式。1)双标签越级攻击从交换机属于本征VLAN的access口流入交换机的帧,如果包含802.1Q双标签,其中外部标签上VLAN1(本征VLAN),内部标签为VLAN2,那么数据通过trunk时候,会被剥离外部的本征VLAN标签,使内部标签生效,从而使帧在不同VLAN间跳转。制造帧的工具软件Smar

5、tbits。解决方法:不要使用本征VLAN发送用户流量,可通过创建一个不含有任何端口的VLAN来做本征VLAN。Switch(config)#intf0/0Switch(config-if)#switchporttrunknativevlan992.交换机的端口安全对交换机的端口攻击常见的有CAM表溢出和MAC地址欺骗。CAM表溢出:攻击者使用MAC地址批量生成器产生许多MAC地址,去轰击CAM表,从而使合法主机的MAC淹没。解决方法:限制交换机端口可尝到的MAC地址数。MAC地址欺骗:攻击者使用虚假的源MAC(假设是PC1)地址向交换机发送数据帧,…….解决

6、方法:交换机使用粘性安全MAC地址(stickysecureMACaddress)。当配置为粘性安全MAC地址时,交换机可动态学习连接各端口的MAC地址,这些动态学习到的MAC地址被添加到交换机的运行配置中,从而防止攻击者通过之前学习到地址进行欺骗。Switch(config)#intf0/0Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum3//默认为1Sw

7、itchpot(config)#switchportport-securityviolation?//下面是三个参数的解释Protect:——保护:当达到某个设定的MAC数量,后来的未知MAC不再解析,直接丢弃,且不产生通知Restrict——限制:当达到某个设定的MAC数量,后来的未知MAC不再解析,直接丢弃,产生通知,如SNMPTRAP、SYSLOG信息,并增加违反记数;这里有个问题,恶意攻击会产生大量的类似信息,给网络带来不利。 Shutdown——关闭:当达到某个设定的MAC数量,后来的未知MAC不再解析,直接关闭该端口,除非手动开启,或改变端口安全策

8、略Switch(config-if)#

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。