【干货】连交换机的攻击、防御都不懂,还做什么网络工程师
为什么需要关注交换机安全 ???
纵轴:网络设备(防火墙、路由器、交换机)
横轴:网络模型(边界和DMZ、核心和分布层、接入层)
这个图主要是说,防火墙、路由器、交换机一般分别放在边界或者DMZ、核心和分布层、接入层;
这些设备里面,为什么交换机最缺乏安全性呢?
首先,防火墙或者路由器一般都是放在核心机房,核心机房物理安全得到最大的保障(非管理人员一般无法进出核心机房)
其次,接入交换机一般零散分布,提供终端用户的接入(非管理人员都能比较轻易接触到接入层交换机)
交换机层面可能涉及的攻击形式以及防御措施:
针对这么多的攻击形式,我们大致可以分为四类:
MAC Layer Attacks
VLAN Attacks
Spoofing Attacks
Switch Device Attacks
一、VLAN跳跃攻击
利用Trunk或Double Tag(native)实现从对其他VLAN的信息嗅探或攻击
应对措施:
1.将空闲端口置为access模式(trunk off),甚至shutdown;
2.修改Native VLAN,避免与在用VLAN相同。
二、STP欺骗攻击
通过伪造错误的BPDU消息影响生成树拓扑
应对措施:
1.在接主机或路由器的接口(access)配置bpdu guard,这类接口不应收到BPDU,如果收到则将接口置为error disable状态。
接口下spanning-tree bpduguard enable
2.或在上述接口配置Root Guard,这类接口可以收到BPDU,但若是更优的BPDU,则接口置为error disable 状态,避免根桥改变。
接口下spanning-tree guard root
三、MAC欺骗攻击
盗用他人MAC地址伪造攻击,或非法接入网络窃取信息
应对措施:
1.端口安全,设置某物理端口可以允许的合法MAC地址,将非法MAC地址发送的流量丢弃,甚至将接口err-disable
2.静态添加CAM表项(MAC和端口、VLAN的绑定关系)
四、CAM/MAC泛洪攻击
通过不断伪造MAC地址并发送报文,促使交换机CAM表短时间内被垃圾MAC地址充斥,真实MAC被挤出,已知单播变未知单播,被迫泛洪,导致数据被嗅探。
应对措施:
端口安全,限制端口可允许学习的最大MAC地址个数
五、DHCP服务器欺骗攻击
通过非法DHCP服务器抢先为客户分配地址,通过下发伪造的gateway地址,将客户流量引导到“中间人”从而实现信息嗅探。
应对措施:
在三层交换机上配置DHCP Snooping,监听DHCP消息,拦截非法DHCP服务器的地址分配报文。
六、DHCP饥饿(地址池耗尽)
不断变换MAC地址,伪造DHCP请求消息,短时间内将DHCP服务器地址池中的地址消耗殆尽,导致合法用户无法获取IP地址。
应对措施:
1.同样使用端口安全技术,限制端口可允许学习的最大MAC地址个数,阻止攻击者通过变换MAC地址的方式伪造DHCP请求报文。
2.针对不变换MAC,仅变换CHADDR的情况下,在启用了DHCP Snooping技术的交换机配置DHCP限速,设定满足常规地址获取需求频率的阀值,超出的情况下阻塞、隔离试图异常获取地址的端口。
七、ARP欺骗
发布虚假的ARP reply消息,将客户消息引导至“中间人”,从而实现数据嗅探。
应对措施:
1.结合DHCP Snooping技术所记录的合法地址绑定表(正常通过DHCP获取的地址都在表中),利用Dynamic ARP inspection(DAI)技术,判断ARP reply内容是否合法,检验并丢弃非法ARP reply报文。
2.静态添加ARP与IP的关联表项(无需ARP request)
八、IP地址欺骗
盗用IP地址,非法访问网络或冒充他人发送攻击流量
应对措施:
1. 结合DHCP Snooping记录的合法地址绑定表,利用IP Source Guard技术,判断IP地址是否合法,检验并丢弃非法IP流量。
2. 使用基于接口的ACL,在相关接口只仅允许合法IP地址流量(deny非法IP)
九、针对交换机设备本身的攻击
截获CDP(明文)报文,获取交换机管理地址,后续进行密码暴力破解;截获Telnet报文(明文),嗅探口令。获取交换机管理权限后为所欲为。
应对措施:
1. 在不必要的接口关闭CDP消息
2. 重要设备尽可能不使用Telnet协议,转而使用加密传输的SSH协议登陆管理设备。由于SSH v1有众所周知的安全漏洞,建议采用v2。
【干货】连交换机的攻击、防御都不懂,还做什么网络工程师相关推荐
- 连八股文都不懂还指望在前端混下去么
1. HTTP 和 HTTPS 1.http 和 https 的基本概念 http: 是一个客户端和服务器端请求和应答的标准(TCP),用于从 WWW 服务器传输超文本到本地浏览器的超文本传输协议. ...
- 喂,你连用户模型都不懂还当产品?来,妹纸我手把手教你
本文以"PMCAFF"为例来逐步说明如何快速建立用户模型. 用户模型目前还没有一个统一的定义,狭义地讲:用户模型是对网站目标群体真实特征的勾勒,是真实用户的虚拟代表.建立用户模型的 ...
- element tree不刷新视图_00后都开始找工作了,这些都不懂还聊个啥?
大家好,我是小跟班! 进来的同学自己找位置坐下, 我要开始给大家科普了. 不知道时候开始, 连95后们都变成了00后眼中的"老年人"... 一声声"叔叔阿姨", ...
- 面试官:你连复杂度分析都不懂还敢来面试?
算法(Algorithm)是指用来操作数据.解决程序问题的一组方法.对于同一个问题,使用不同的算法,也许最终得到的结果是一样的,比如排序就有前面的十大经典排序和几种奇葩排序,虽然结果相同,但在过程中消 ...
- 别的小朋友都在过六一,网络工程师辣么可爱怎么能没有?
只有网络攻城狮才能跳出这样的心电图 网络工程师必备技能 最后还有一个尤为重要!!!
- 干货,游戏DDoS攻击趋势及原因分析,附防御案例
我曾看到充满激情的创业团队.一个个玩法很有特色的产品,被这种互联网攻击问题扼杀在摇篮里: 也看到过一个运营很好的产品,因为遭受DDoS攻击,而一蹶不振. 这也是为什么想把自己6年做游戏行业DDoS的经 ...
- DDOS攻击(流量攻击)防御步骤
DDOS全名是Distributed Denial of service (分布式拒绝服务攻击),很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击,DDOS 最早可追溯到1996年最初,在中国2 ...
- H3C ARP攻击防御解决方案
1 前言 欺骗攻击所表现出来的网络现象. ARP欺骗攻击不仅会造成联网不稳定,引发用户无法上网,或者企业断网导致重大生产事故,而且利用ARP欺骗攻击可进一步实施中间人攻击,以此非法获取到游戏.网银. ...
- 抗D十招:十个方法完美解决DDoS攻击防御难题
转载自:https://zhuanlan.zhihu.com/p/30150531 可以说,DDoS是目前最凶猛.最难防御的网络攻击之一.现实情况是,这个世界级难题还没有完美的.彻底的解决办法,但采取 ...
最新文章
- Python变量类型(l整型,长整形,浮点型,复数,列表,元组,字典)学习
- 深入理解 __doPostBack
- lisp 河道水面线计算_水面漂浮泡沫生活垃圾隔离拦载浮筒使用方法
- python练习题:给定一个字符串,请你找出其中不含有重复字符的 最长子串 的长度
- VMware View 与 Citrix Xendesktop 管理大比拼
- CodeForces999E 双dfs // 标记覆盖 // tarjan缩点
- 微信小程序下拉刷新/上拉加载更多
- CCNA课堂练习:OSPF的介绍及配置
- 面经 | 我是如何拿到阿里offer的?附面试题+视频
- [恢]hdu 2186
- 调用企业微信接口注意事项
- 成都市计算机会考,四川省高中信息技术会考资料及试题
- php 四级联动插件,php四级联动
- Clark与Park变换详解
- 关于android的外文论文,毕业论文外文翻译-Android开发
- docker配置国内加速器的两种方法
- 城市信息area.js
- BigCommerce vs WooCommerce,哪个更适合跨境电商开展业务?
- Linux 文件服务系统
- Python常用模块之四 funsctools
热门文章
- 【Web安全】先进技术WebSocket下安全测试
- 【网络安全】一些webshell免杀的技巧
- Light OJ 1214 Large Division (大数取模)
- 第五讲 树状数组与线段树 【未完结】
- 一个将字符串转换为整数的函数--atoi()
- python中print的本质_Python基础语法全解
- c语言javapython哪个好-C#、C++、Java、Python 选择哪个好?
- 一次关于 Mysql 索引优化的思考
- 使用CMS垃圾收集器产生的问题和解决方案
- 带你学python基础:元祖tuple和字典dictionary