返回
针对交换机的攻击和相应安全措施(上)

针对交换机的攻击和相应安全措施(上)

ID:44127161

大小:371.80 KB

页数:7页

时间:2019-10-18

针对交换机的攻击和相应安全措施(上)_第1页
针对交换机的攻击和相应安全措施(上)_第2页
针对交换机的攻击和相应安全措施(上)_第3页
针对交换机的攻击和相应安全措施(上)_第4页
针对交换机的攻击和相应安全措施(上)_第5页
资源描述:

《针对交换机的攻击和相应安全措施(上)》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、《转载》针对交换机的攻击和相应安全措施(上)令人遗憾的是,基本交换机安全并不能阻止恶意攻击发生。本节中将讨论多种常见的安全攻击以及它们的危险性。木主题仅提供冇关安全攻击的介绍性信息。这些常见攻击的详细工作方式不属于木课程的范畴。卞面将介绍一些常见的第二层安全攻击。1.MAC地址泛洪交换机中的MAC地址表包含交换机某个给定物理端口上可用的MAC地址以及每个MAC地址关联的VLAN参数。当第2层交换机收到帧时,交换机在MAC地址表中查找目的MAC地址。所有Catalyst交换机型号都使用MAC地址表来进行第2层交换。当帧到达交换机端口时,交换机可获得源MAC地址并将其记录在MA

2、C地址表屮。如果存在MAC地址条H,交换机将把帧转发到MAC地址表屮指定的MAC地址端口。如果MAC地址不存在,则交换机的作用类似集线器,它将帧转发到交换机上的每一个端口。MAC地址表溢出攻击有时称为MAC泛洪攻击。耍理解MAC地址表溢出攻击的机制,请回忆一下交换机的基本操作。在图2-18中,主机A向主机B发送流量。交换机收到帧,并在其MAC地址表中查找目的MAC地址。如果交换机在MAC地址表小无法找到目的MAC,则交换机将复制帧并将英从每一个交换机端口广播出去。在图2-19中,主机B收到帧并向主机A发送响应。交换机随后获知主机B的MAC地址位于端口2,并将该信息写入MAC

3、地址表。主机C也收到从主机A发到主机B的帧,但是因为该帧的H的MAC地址为主机B,因此主机C丢弃该帧。在图Z20中,现在由主机A(或任何其他主机)发送给主机B的任何帧都转发到交换机的端口2,而不是从每一个端口广播出去。理解MAC地址表溢出攻击工作方式的关键是耍知道MAC地址表的大小有限。MAC泛洪利用这一限制用虚假源MAC地址轰炸交换机,立到交换机MAC地址表变满。交换机随后进入称为”失效开放”(fail-open)的模式,开始像集线器一样工作,并将数据包广播到网络上的所冇机器。因此,攻击者可看到从受害主机发送到无MAC地址表条H的另一台主机的所有帧。MACAMAC地址占不

4、丸矗C■PHMIA>BMACBMACC乔乳发Port2MACAMACC图2-18交换机接收单播帧图2-19主机B接收单播帧图2-20交换机在单个端口上转发帧使用网络攻击工具可以执行MAC泛洪。网络入侵者使用攻击工具以大量无效的源MAC地址泛洪攻击交换机,立到MAC地址表充满。当MAC地址表变满时,交换机将传入流量泛洪传送到所有端口,因为它在MAC地址表中找不到对应特定MAC地址的端口号。交换机实际上是在起类似于集线器的作用。某些网络攻击工具每分钟可以在交换机上生成155000个MAC条目。MAC地址表的最大大小因交换机而异。在图2-21中,攻击工具在屏幕右下角MAC地址为C

5、的主机上运行。此工具用伪造的数据包来泛洪攻击交换机,数据包中包含随机生成的源和H的MAC地址以及源和H的IP地址。经过很短时间之后,交换机中的MAC地址表将被填满,直到无法接受新条H。当MAC地址表屮充满无效的源MAC地址时,交换机开始将收到的所有帧都转发到每一个端口。只耍网络攻击工具一直运行,交换机的MAC地址表就会始终保持充满。当发生这种情况时,交换机开始将所有收到的帧从每一个端口广播出去,这样一来,从主机A发送到主机B的帧也会从交换机上的端口3向外广播。图2-22主机C可以接收到从主机A发送到主机B的所有帧2.欺骗攻击攻击者窃取网络流吊:的种办法是伪装冇效DHCP服务

6、器发出的响应。DHCP欺骗设备响应客户端DHCP请求。合法服务器也会响应,但如果欺骗设备与客户端同处于一个网段上,则欺骗设备对客户端的响应可能先行到达。入侵者DHCP响应提供的IP地址和支持信息将入侵者指定为默认网关或默认域名系统(DNS)服务器。如果指定为网关,客户机将把数据包转发给攻击设备,而攻击设备则接着将数据包发送到所要的冃的地。这称为中间人攻击,当入侵者截获流过网络的数据流吋,这种攻击可能完全无人觉察。您还应该认识到另一种称为DHCP耗竭的DHCP攻击。攻击者PC不断更改其源MAC地址,并不断向真实DHCP服务器请求IP地址。如果成功,这种DHCP攻击将造成真实D

7、HCP服务器的所有待租地址分配殆尽,从而阻止真实用户(DHCP客户端)获取IP地址。要防止DHCP攻击,可使用CiscoCatalyst交换机上的DHCP侦听和端口安全性功能。DHCP侦听是一种确定哪些交换机端口可响应DHCP请求的CiscoCatalyst功能。端口标识为可信和不可信。可信端口可发送所有DHCP消息;不可信端口只能发送请求。可信端口扭纲DHCP服务器,也可作为通向DHCP服务器的上行链路。如果不可信端口上的诈骗设备试图将DHCP响应数据包发送到网络,则该端口将关闭。此功能可与将交换机信息(例如DH

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。