二层攻击分类:MAC层攻击、VLAN攻击、欺骗攻击和交换机设备上的攻击。
1)MAC攻击:
攻击方法:mac地址洪泛,中间人攻击。攻击简单描述:无效源mac地址的数据帧向交换机洪泛,消耗完交换机的cam地址表,从而阻止合法主机的mac地址生成新条目,去往其他主机的流量会向所有端口洪泛。防御策略:端口安全。
具体端口安全防御策略:
a、在交换机上静态的安全MAC地址(将MAC地址和端口进行静态绑定 注:一对一 )
sw1(config)#mac-address-table static 00d0.d3bd.d001 vlan 1 int f0/1
接着开启接口惩罚措施
sw1(config)#int f0/1
sw1(config-if)#shutdown
sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 1
sw1(config-if)#switchport port-security
sw1(config-if)#switchport port-security maximum 1 //设置接口的最大接收数
sw1(config-if)#switchport port-security violation shutdown //设置惩罚措施
sw1(config-if)#switchport port-security mac-address 00d0.bab2.2611
sw1(config-if)#no shutdown
可以选择多种方式惩罚:
1>protect—当新计算机接入时,如果该端口的MAC条目超过最大数量,则这个新的计算机将无法接入,而原有的计算机不受影响,交换机也不发送警告信息;
2>restrict–当新计算机接入时,如果该端口的MAC条目超过最大数量,则这个新的计算机无法接入,并且交换机将发送警告信息;(过量警告使得计算机down)
3>shutdown–当新计算机接入时,如果该端口的MAC条目超过最大数量,则该端口将会被关闭,则这个新的计算机和原有的计算机都无法接入网络,这时需要接入原有的计算机并在交换机中的该端口下使用。(shutdown和no shutdown命令重新打开端口)。
静态安全mac地址可以使得交换机的接口(f0/1)只能接入某一固定的计算机,然而需要使用“switchport port-security mac-address 00d0.bab2.2611”命令,这样就需要一一查出计算机的mac地址,这样不大现实,粘滞安全mac地址可以解决这个问题。
b.粘滞安全MAC地址(让交换机自动记录该接口接收到的第一个MAC地址,并进行绑定)
sw1(config)#default int f0/1
sw1(config)#int f0/1
sw1(config-if)#shutdown
sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 1
sw1(config-if)#switchport port-security
sw1(config-if)#switchport port-security maximum 1
sw1(config-if)#switchport port-security violation shutdown
sw1(config-if)#switchport port-security mac-address sticky //配置交换机接口自动粘滞MAC地址
sw1(config-if)#no shutdown
被惩罚的接口使用show int XX可以查看到接口状态是errdisable
sw1(config)#errdisable recovery cause psecure-violation //允许交换机自动恢复因端口安全而关闭的端口
sw1(config)#errdisable recovery interval 60 //配置交换机60s后自动恢复端口
接口隔离:进接口switchport protected(隔离后同一网段也不能通信,只能与网关通信)
c.端口阻塞
如果在交换机的CAM表中没有发现目标条目,则交换机将向相同VLAN(同一广播域)中的所有端口广播(泛洪)未知单播或组播流量。给受保护端口转发未知单播或组播流量,这将可能出现安全问题。使用端口阻塞特性可以阻塞正在转发未知单播或多播流量的接口。(保护服务器端口或者某个重要端口)
SW1(config)#int f0/0
SW1(config-if)#switchport block multicast //阻塞组播流量
SW1(config-if)#switchport block unicast //阻塞未知单播流量
d.风暴控制
在接口上开启风暴控制,设置风暴的阀值,如果接口的风暴流量超过阀值则实施惩罚措施,使用的对象可以是unicast、multicast、broadcast等。(抑制转发这些风暴包的接口)
简单总结交换安全-LMLPHP
2)vlan攻击
攻击方法:vlan跳转;公共vlan设备之间的攻击。攻击描述:通过改变trunk链路中封装数据包的vlanID,攻击设备可以发送或者接收不同vlan中的数据包,而绕过三层安全性机制。;即使是公共vlan中的设备,也需要逐一进行保护,尤其是在为多个客户提供设备的服务提供商网段中尤为如此。解决方案缓解步骤:加强trunk的配置和未使用端口的协商状态把未使用的端口放入公共vlan;实施私用vlan(pvlan)。
简单总结交换安全-LMLPHP
本征VLAN(过干道不贴标签)会被跳转攻击 贴两个标签即可攻击(本征+目标)
DTP协商容易遭到攻击,所以一般trunk协商我们都是关闭的。
简单总结交换安全-LMLPHP
VLAN攻击防御措施:缓解VLAN跳转攻击
将所有未使用的端口设置为Access端口,使其无法协商链
路聚集协议。将所有未使用的端口设置为Shutdown状态,并放入同一个VLAN中。在建立Trunk链路时,将链路聚集协议设置成Nonegotiate。在Trunk链路上配置所需要承载的具体VLAN。Native VLAN与任何数据VLAN都不相同
配置:
switch(config)# mac access-list extended BACKUP-SERVER
switch(config-ext-mac)# permit any host 0000.1111.4444
switch(config)# access-list 100 permit ip 10.1.9.0 0.0.0.255 any
switch(config)# vlan access-map XYZ 10
switch(config-map)# mactch ip address 100
switch(config-map)# action drop
switch(config-map)# vlan access-map XYZ 20
switch(config-map)# match mac address BACKUP-SERVER
switch(config-map)# action drop
switch(config-map)# vlan access-map XYZ 30
switch(config-map)# action forward
switch(config)# vlan filter XYZ vlan-list 10,20

封堵本征VLAN攻击:
技术上:过干道时,强行贴标签 vlan tag native dot1q
管理上:1.pc不能被划入本征VLAN
2.本征VLAN重新设置
3.把不用的接口关闭
4.把不用的接口划在特殊VLAN
3)欺骗攻击
a.DHCP
攻击方法:DHCP耗竭;DHCP欺骗。攻击描述:攻击设备在一段时间内,消耗完DHCP服务器上的可用地址;在中间人攻击中,把自己伪装成DHCP服务器。解决方案:使用DHCP侦听。(交换机监测 dhcp包,识别包中字段 监测非dhcp接口,是否有offer包发出)(默认配置完DHCP Snooping交换机上的所有接口都为非信任接口,我们应当配置与DHCP服务器相连的接口为信任接口)。
DHCP侦听防御措施:DHCP snooping
switch(config) # ip dhcp snooping
switch(config) # ip dhcp snooping vlan 10
switch(config-if) # ip dhcp snooping limit rate 10 // dhcp包的转发速率,超过就接口就shutdown,默认不限制
switch(config-if) # ip dhcp snooping trust // 将端口变成信任端口,信任端口可以正常接收并转发DHCP Offer报文,默认交换机的端口都是非信任端口, 只能够发送DHCP请求
switch# show ip dhcp snooping // 显示DHCP探测状态

多台交换机:
1.跨交换机,干道两端都要为信任口,否则会收到带82的数据包,非信任丢包
2.一个可为不信任 no ip dhcp snooping information option 不插入option 82
3.中继时,不能关82 ,在接口上写 ip dhcp relay information trust 允许82为0的通过

简单总结交换安全-LMLPHP
b.ARP欺骗
攻击方法:ARP欺骗。攻击描述:攻击设备故意为合法主机伪造ARP应答,攻击设备的mac地址就会成为该合法网络设备所发出的数据帧的二层目的地址。解决方案:使用动态ARP检测、DHCP侦听、端口安全。
解决方案:DAI(Dynamic ARP inspection)

简单总结交换安全-LMLPHP应用场景:用户使用动态IP地址
缺点:DAI功能需通过CPU处理,大量的ARP报文可能导致CPU过高
c.IP欺骗
IP地址欺骗是指行动产生的IP数据包为伪造的源IP地址,以便冒充其它系统或发件人的身份;这也是黑客进行DoS(Denial of Service 拒绝服务)攻击时经常同时使用的一种手段。
解决方案:最主要的是找到信任源;
IP SOURCE GUARD(IP源保护技术):利用已有的信任IP与接口记录关系来检测交换机上收到的数据包是否与信任表一致,一致则放行,不一致就阻塞该接口。(慎用,会让交换机检查IP包,交换机的数据接收量可是非常巨大的,这样增大交换机的负荷,严重影响交换机的性能)。所以配置时启用的接口不能过多,一般只在特定的接口上设置。
SW1(config)#int f0/2
SW1(config-if)#ip verify source port-security //在本接口启用IPSG功能
SW1(config)#int range f0/3 - 4
SW1(config-if)#ip verify source port-security
SW1#ip source binding 0023.04e5.b221 vlan 1 172.16.1.3 int f0/3

07-29 03:28