浅谈二层交换安全攻防
MAC攻击
1.Mac地址洪泛攻击 因为mac地址表有限,恶意将mac表充满
2.Mac地址伪装 连续发送 接收 1 2所有消息 1 2 通讯断裂
保护方法:端口安全 维护一个合法的端口mac对应关系
mac-address-table static 00d0.d3bd.d001 vlan 1 int f0/1
在接口下开启端口安全
接口只能绑定一个mac,第一个通过此接口的mac强行绑定
switchport port-security maximum 1 更改mac 绑定数
switchport port-security mac-address 00d0.bab2.2611 绑定mac
惩罚机制
1.protect—当新的计算机接入时,如果该端口的mac条目超过最大数则这个新的计算机将无法接入,而原计算机不受影响,交换机不会发送警告信息;
2.restrict—当有新的计算机接入时,如果端口mac条目超过最大数量,则新的计算机无法接入,并且交换机会发出警告信息;
3.shutdown—当有新计算机接入时,如果该端口的mac条目数量超过最大值,则该端口将会被关闭,则这个新的计算机和原来的计算机都无法接入网络,这个时候需要接入原有的计算机,并且在该端口下使用shutdown和no shutdown命令重新打开端口;
经常发生惩罚,警告信息大量发送,导致交换机瘫痪,更改惩罚为shutdown
粘滞安全mac地址
绑定mac工程量大 实施困难 可选用粘滞安全mac
静态安全MAC地址可以使得交换机的接口(f0/1)只能接入某一固定的计算机,然而需要使用“switchport port-security mac-address 00d0.bab2.2611”命令,这样就需要一一查出计算机的MAC地址,这是一个工作量巨大的事情,粘滞安全MAC地址可以解决这个问题。
具体实施:
sw1(config)#default int f0/1
sw1(config)#int f0/1
sw1(config-if)#shutdown
sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 1
sw1(config-if)#switchport port-security
sw1(config-if)#switchport port-security maximum 1
sw1(config-if)#switchport port-security violation shutdown
sw1(config-if)#switchport port-security mac-address sticky //配置交换//机接口自动粘滞MAC地址
sw1(config-if)#no shutdown
//被惩罚的接口show int XX 状态呈现errdisable
sw1(config)#errdisable recovery cause psecure-violation
//允许交换机自动恢复因端口安全而关闭的端口
sw1(config)#errdisable recovery interval 60 // 配置交换机60s后自动恢复端口
vlan 跳转攻击
PC机可以用DTP的漏洞点,将与交换机的连线改成干线,通讯所有vlan,造成攻击,所以应关闭trunk协商
不带vlan标记 放行该数据,在经过干道的时候进行vlan标记
带vlan标记 但不一致 丢弃该数据
带vlan标记 且一致 撕掉封装,且放行
针对本征vlan 的跳转攻击
利用接口对数据转发机制漏洞,在攻击数据前增加本征vlan的封装,使交换机撕掉封装并转发其他交换机,查看攻击目标cam表,跳转攻击
技术阻止
vlan tag native dot1q 把交换机不用的接口划在一个不使用的vlan并且关闭这些接口
管理组织
1.Pc不能被划入本征vlan
2.本征vlan移动 重新调整为其他vlan
3.把不用的接口关闭(防止新接入设备成为本征vlan)
4.把不用的接口划入特殊vlan
DHCP攻击
在局域网内,经常使用DHCP服务器为用户分配IP地址,由于DHCP服务器和客户端之间没有认证机制;网络攻击的另一种办法是伪装有效DHCP服务器发出的响应。在DHCP工作原理中,客户端以广播的方法来寻找服务器,并且只采用第一个到达的网络配置参数,所以如果在网络中存在多台DHCP服务器(有一台或更多台是非授权的),谁先应答,客户端就采用其提供给的网络配置参数。假如非授权的DHCP服务器先应答,这样客户端获得的网络参数即是非授权的,客户端可能获取不正确的IP地址、网关和DNS等信息。在实际攻击中,攻击者还很可能恶意从授权的DHCP服务器上反复申请IP地址,导致授权的DHCP服务器消耗了全部地址,出现DHCP饥饿
交换机开启DHCP snooping
- 跨交换机的snooping,除了连接服务器的接口,干道口做信任,牺牲绑定表
- 交换机上配置 no ip dhcp snooping information option 命令,不插入option 82
- DHCP中继(服务器与网关不在一个网段)—不能关闭option 82
DHCP耗尽攻击
1.二层帧source mac 和chaddr的mac一致
端口保护防御
2.二层帧source mac 不变而chaddr的mac变化
Ip dhcp snooping verify mac-adress
检测以太网帧的源mac于dhcp亲求chaddr字段是否一致,不一致则丢弃
ARP欺骗攻击
ARP协议是用来获取目的计算机或者网关的MAC地址的,通信发起方以广播方式发送ARP请求,拥有目的IP地址或者网关IP地址的工作站给予ARP应答,送回自己的IP和MAC地址。ARP协议支持一种无请求ARP功能,同一网段上的所有工作站收到主动ARP广播后会将发送者的MAC地址和其宣布的IP地址保存,覆盖以前Cache的同一IP地址和对应的MAC地址。由于ARP无任何身份真实校验机制,攻击者发送误导的主动式ARP使网络流量经过恶意攻击者的计算机,攻击者就成为了通信双方的中间人,达到窃取甚至篡改数据的目的。攻击者发送的主动模式ARP采用发送方私有MAC地址而非广播地址,通信接收方根本不会知道自己的IP地址被取代。
启用DAI
IP地址欺骗
IP地址欺骗是指行动产生的IP数据包为伪造的源IP地址,以冒充其他系统或发件人的身份
浅谈二层交换安全攻防相关推荐
- 浅谈云上攻防 --SSRF 漏洞带来的新威胁
前言 在<浅谈云上攻防--元数据服务带来的安全挑战>一文中,生动形象的为我们讲述了元数据服务所面临的一系列安全问题,而其中的问题之一就是通过SSRF去攻击元数据服务:文中列举了2019年美 ...
- 浅谈云上攻防——云服务器攻防矩阵
前言 云服务器(Cloud Virtual Machine,CVM)是一种较为常见的云服务,为用户提供安全可靠以及高效的计算服务.用户可以灵活的扩展以及缩减计算资源,以适应变化的业务需求.使用云服务器 ...
- rasp 系统_浅谈RASP技术攻防之基础篇
引言 本文就笔者研究RASP的过程进行了一些概述,技术干货略少,偏向于普及RASP技术.中间对java如何实现rasp技术进行了简单的举例,想对大家起到抛砖引玉的作用,可以让大家更好的了解一些关于we ...
- 浅谈RASP技术攻防之实战
PS:代码已上传至github,地址:https://github.com/iiiusky/java_rasp_example 初始化项目 首先我们在IDEA中新建一个maven项目 取名为Javaw ...
- 浅谈二层交换安全攻击与防御
1) mac地址洪泛攻击: 因为mac地址表有限,所以当有人恶意将mac地址表充满后,就会达到 mac攻击目的: **具体实施:**用kali Linux打开命令行,输入macof,为快速将mac地址 ...
- 浅谈云上攻防——对象存储服务访问策略评估机制研究
前言 近些年来,越来越多的IT产业正在向云原生的开发和部署模式转变,这些模式的转变也带来了一些全新的安全挑战. 对象存储作为云原生的一项重要功能,同样面临着一些列安全挑战.但在对象存储所导致的安全问题 ...
- 「系统安全」浅谈RASP技术攻防
一 .什么是RASP? 在2014年的时候,Gartner引入了"Runtime application self-protection"一词,简称为RASP.它是一种新型应用安全 ...
- rsync命令_浅谈利用rsync服务的攻击
本文将根据针对Linux操作系统上不安全的Rsync配置,浅谈如何利用rsync服务进行攻击. 1.什么是RSYNC? Rsync是用于在两个服务器(通常是Linux)之间传输和同步文件的实用程序.它 ...
- Android安全开发之浅谈密钥硬编码
Android安全开发之浅谈密钥硬编码 作者:伊樵.呆狐@阿里聚安全 1 简介 在阿里聚安全的漏洞扫描器中和人工APP安全审计中,经常发现有开发者将密钥硬编码在Java代码.文件中,这样做会引起很大风 ...
最新文章
- yum-fastestmirror模块的使用 提升yum速度的!
- VTK:Rendering之Rotations
- 1808: FJ的字符串
- RHEL6入门系列之十,常用命令3
- 【Android】刷Rom:adb reboot bootloader
- Java操作Excel中HSSFCell.CELL_TYPE_STRING、BOOLEAN、NUMERIC无定义解决方法
- JavaWeb项目架构之NFS文件服务器
- 与context的关系_Android 一个进程有多少个 Context 对象(答对的不多)
- 剑指offer面试题6 重建二叉树(java)
- 极客大学产品经理训练营 产品思维和产品意识(上) 第3课总结
- hackerrank初级篇之Plus Minus
- 做减肥产品微商地推用什么做引流?如何选择转化率较高的地推方式
- easyui datebox控件点击今天按钮不触发onSelect事件的解决方法
- 年化收益率超50%的“白马股基金”,幕后操盘手终于找到了!
- Google assisant 2018谷歌IO大会 谷歌助理背后的系统设计
- Linux root密码暴力破解及重置的三种方式
- 本地安装并创建MySQL数据库
- 【Anki】模板自定义
- 想通过手机刷视频赚钱?这篇文章你有必要了解一下
- Linux防火墙firewall只允许特定IP访问
热门文章
- 微信小程序踩坑—用户登录界面
- Linux--进程(一篇博客让你理解操作系统的底层)
- JOL工具及其分析对象在JVM的大小和分布
- 亲身经历:一次sql缺少where条件的惨案,绩效奖金差点没啦~
- 什么是主从复制?mysql主从复制?redis主从复制?
- php获取客户端公网ip代码
- 基于openCV和ZED的测距
- [DataAnalysis]多元线性回归深入浅出-案例+模型假设+参数估计方法+模型评判方法+变量选择+多重共线性问题
- 浪漫的的c语言编程,〖落拓素净〗C语言编程也可以很浪漫。。。。。。
- 前端面试查漏补缺--(二) 垃圾回收机制