浅谈二层交换安全攻防

MAC攻击

1.Mac地址洪泛攻击因为mac地址表有限，恶意将mac表充满
2.Mac地址伪装连续发送接收 1 2所有消息 1 2 通讯断裂

保护方法：端口安全维护一个合法的端口mac对应关系
mac-address-table static 00d0.d3bd.d001 vlan 1 int f0/1
在接口下开启端口安全
接口只能绑定一个mac，第一个通过此接口的mac强行绑定
switchport port-security maximum 1 更改mac 绑定数
switchport port-security mac-address 00d0.bab2.2611 绑定mac

惩罚机制

1.protect—当新的计算机接入时，如果该端口的mac条目超过最大数则这个新的计算机将无法接入，而原计算机不受影响，交换机不会发送警告信息；
2.restrict—当有新的计算机接入时，如果端口mac条目超过最大数量，则新的计算机无法接入，并且交换机会发出警告信息；
3.shutdown—当有新计算机接入时，如果该端口的mac条目数量超过最大值，则该端口将会被关闭，则这个新的计算机和原来的计算机都无法接入网络，这个时候需要接入原有的计算机，并且在该端口下使用shutdown和no shutdown命令重新打开端口；

经常发生惩罚，警告信息大量发送，导致交换机瘫痪，更改惩罚为shutdown

粘滞安全mac地址

绑定mac工程量大实施困难可选用粘滞安全mac

静态安全MAC地址可以使得交换机的接口(f0/1)只能接入某一固定的计算机，然而需要使用“switchport port-security mac-address 00d0.bab2.2611”命令，这样就需要一一查出计算机的MAC地址，这是一个工作量巨大的事情，粘滞安全MAC地址可以解决这个问题。
具体实施：
sw1(config)#default int f0/1
sw1(config)#int f0/1
sw1(config-if)#shutdown
sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 1
sw1(config-if)#switchport port-security
sw1(config-if)#switchport port-security maximum 1
sw1(config-if)#switchport port-security violation shutdown
sw1(config-if)#switchport port-security mac-address sticky //配置交换//机接口自动粘滞MAC地址
sw1(config-if)#no shutdown
//被惩罚的接口show int XX 状态呈现errdisable
sw1(config)#errdisable recovery cause psecure-violation
//允许交换机自动恢复因端口安全而关闭的端口
sw1(config)#errdisable recovery interval 60 // 配置交换机60s后自动恢复端口

vlan 跳转攻击

PC机可以用DTP的漏洞点，将与交换机的连线改成干线，通讯所有vlan，造成攻击，所以应关闭trunk协商

不带vlan标记放行该数据，在经过干道的时候进行vlan标记
带vlan标记但不一致丢弃该数据
带vlan标记且一致撕掉封装，且放行

针对本征vlan 的跳转攻击
利用接口对数据转发机制漏洞，在攻击数据前增加本征vlan的封装，使交换机撕掉封装并转发其他交换机，查看攻击目标cam表，跳转攻击

技术阻止

vlan tag native dot1q 把交换机不用的接口划在一个不使用的vlan并且关闭这些接口

管理组织

1.Pc不能被划入本征vlan
2.本征vlan移动重新调整为其他vlan
3.把不用的接口关闭（防止新接入设备成为本征vlan）
4.把不用的接口划入特殊vlan

DHCP攻击

在局域网内，经常使用DHCP服务器为用户分配IP地址，由于DHCP服务器和客户端之间没有认证机制；网络攻击的另一种办法是伪装有效DHCP服务器发出的响应。在DHCP工作原理中，客户端以广播的方法来寻找服务器，并且只采用第一个到达的网络配置参数，所以如果在网络中存在多台DHCP服务器(有一台或更多台是非授权的)，谁先应答，客户端就采用其提供给的网络配置参数。假如非授权的DHCP服务器先应答，这样客户端获得的网络参数即是非授权的，客户端可能获取不正确的IP地址、网关和DNS等信息。在实际攻击中，攻击者还很可能恶意从授权的DHCP服务器上反复申请IP地址，导致授权的DHCP服务器消耗了全部地址，出现DHCP饥饿

交换机开启DHCP snooping

跨交换机的snooping，除了连接服务器的接口，干道口做信任，牺牲绑定表
交换机上配置 no ip dhcp snooping information option 命令，不插入option 82
DHCP中继（服务器与网关不在一个网段）—不能关闭option 82

DHCP耗尽攻击

1.二层帧source mac 和chaddr的mac一致
端口保护防御

2.二层帧source mac 不变而chaddr的mac变化
Ip dhcp snooping verify mac-adress
检测以太网帧的源mac于dhcp亲求chaddr字段是否一致，不一致则丢弃

ARP欺骗攻击

ARP协议是用来获取目的计算机或者网关的MAC地址的，通信发起方以广播方式发送ARP请求，拥有目的IP地址或者网关IP地址的工作站给予ARP应答，送回自己的IP和MAC地址。ARP协议支持一种无请求ARP功能，同一网段上的所有工作站收到主动ARP广播后会将发送者的MAC地址和其宣布的IP地址保存，覆盖以前Cache的同一IP地址和对应的MAC地址。由于ARP无任何身份真实校验机制，攻击者发送误导的主动式ARP使网络流量经过恶意攻击者的计算机，攻击者就成为了通信双方的中间人，达到窃取甚至篡改数据的目的。攻击者发送的主动模式ARP采用发送方私有MAC地址而非广播地址，通信接收方根本不会知道自己的IP地址被取代。

启用DAI

IP地址欺骗

IP地址欺骗是指行动产生的IP数据包为伪造的源IP地址，以冒充其他系统或发件人的身份