Cisco 安全技术系列之一:2层攻击防范技术
2009-05-14 13:30
375 查看
1. VLAN跳跃攻击(VLAN Hopping)
分析:用户可以将自己的端口配置为trunk,将自己加入到所有的Vlan中。另一方法是伪造数据包,在包头中添加双重tag标记,这样即使管理员关闭了该接口的trunk功能,仍可以将数据包发送到其他Vlan。
防范:关闭不用的端口或者将他们放在一个隔离的VLAN中。
2. MAC攻击
分析:交换机的MAC的地址表的空间大小是固定的,攻击者可以通过发送随机地址的数据包将地址表空间填满,该交换机就会成为一个HUB,攻击者可以通过监听工具收集和分析网络中的所有数据。
防范:启用端口安全功能,限制每个端口允许的MAC地址数量并发送syslog日志。
Switchport port-security
Switchport port-security maximum 1 vlan access
Switchport port-security violation restrict
Switchport port-security aging time 2
Switchport port-security aging type inactivity
Snmp-server enable traps port-security trap-rate 5
3. DHCP攻击
分析:攻击者可以将自己伪装为DHCP服务器向用户提供DHCP服务,从而将数据引向自身,获得用户数据的内容和流向控制。
防范:启用DHCP Snooping功能
用户端口: no ip dhcp snooping trust
DHCP服务器端口:ip dhcp snooping trust
4. ARP攻击
分析:攻击者可以将自己MAC伪装成网关的MAC地址,从而将同网段的所有流量引向自己。获得用户数据的内容和控制。流行的ARP病毒就是通过这种方式实现的。
防范:DHCP环境(启用动态ARP检测-DAI,可以监控网络中ARP数据)
全局配置:
Ip arp inspection vlan 4,104
Ip arp inspection log buffer entries 1024
Ip arp inspesction log-buffer logs 1024 interval 10
端口配置:
Ip arp inspection trust
非DHCP环境(为网关和服务器设置静态IP和MAC绑定)
Ip source binding 0000.0000.0001 vlan 4 10.1.1.1 interface fastethernet 3/1
5. IP/MAC欺骗攻击
分析:攻击者可以伪装成合法的IP和MAC地址,从而影响用户的正常通讯和获得非法的权限。
防范:启用ip source guard,可以检测数据包的源IP地址或者源MAC地址,过滤掉非法的数据,ip source guard需要先启用DHCP snooping功能。
全局配置:
Ip dhcp snooping vlan 4,104
No ip dhcp snooping information option
Ip dhcp snooping
端口配置
Ip verify source vlan dhcp-snooping
6. STP攻击
分析:攻击者可以发送BPDU引起根桥的变化,从而获得非法的数据并造成网络的震荡。
防范:接入层交换机端口启用BPDU Guard
Spanning-tree portfast bpdugurad
核心层交换机端口启用Root Guard
Spanning-tree guard root
总结: Cisco 2层攻击防范架构
参考资料:
Networkers 2009 BRKSEC-2002 Understanding and Preventing Layer 2 Attacks
本文出自 “edwardlee” 博客,请务必保留此出处http://edwardlee.blog.51cto.com/153979/157807
分析:用户可以将自己的端口配置为trunk,将自己加入到所有的Vlan中。另一方法是伪造数据包,在包头中添加双重tag标记,这样即使管理员关闭了该接口的trunk功能,仍可以将数据包发送到其他Vlan。
防范:关闭不用的端口或者将他们放在一个隔离的VLAN中。
2. MAC攻击
分析:交换机的MAC的地址表的空间大小是固定的,攻击者可以通过发送随机地址的数据包将地址表空间填满,该交换机就会成为一个HUB,攻击者可以通过监听工具收集和分析网络中的所有数据。
防范:启用端口安全功能,限制每个端口允许的MAC地址数量并发送syslog日志。
Switchport port-security
Switchport port-security maximum 1 vlan access
Switchport port-security violation restrict
Switchport port-security aging time 2
Switchport port-security aging type inactivity
Snmp-server enable traps port-security trap-rate 5
3. DHCP攻击
分析:攻击者可以将自己伪装为DHCP服务器向用户提供DHCP服务,从而将数据引向自身,获得用户数据的内容和流向控制。
防范:启用DHCP Snooping功能
用户端口: no ip dhcp snooping trust
DHCP服务器端口:ip dhcp snooping trust
4. ARP攻击
分析:攻击者可以将自己MAC伪装成网关的MAC地址,从而将同网段的所有流量引向自己。获得用户数据的内容和控制。流行的ARP病毒就是通过这种方式实现的。
防范:DHCP环境(启用动态ARP检测-DAI,可以监控网络中ARP数据)
全局配置:
Ip arp inspection vlan 4,104
Ip arp inspection log buffer entries 1024
Ip arp inspesction log-buffer logs 1024 interval 10
端口配置:
Ip arp inspection trust
非DHCP环境(为网关和服务器设置静态IP和MAC绑定)
Ip source binding 0000.0000.0001 vlan 4 10.1.1.1 interface fastethernet 3/1
5. IP/MAC欺骗攻击
分析:攻击者可以伪装成合法的IP和MAC地址,从而影响用户的正常通讯和获得非法的权限。
防范:启用ip source guard,可以检测数据包的源IP地址或者源MAC地址,过滤掉非法的数据,ip source guard需要先启用DHCP snooping功能。
全局配置:
Ip dhcp snooping vlan 4,104
No ip dhcp snooping information option
Ip dhcp snooping
端口配置
Ip verify source vlan dhcp-snooping
6. STP攻击
分析:攻击者可以发送BPDU引起根桥的变化,从而获得非法的数据并造成网络的震荡。
防范:接入层交换机端口启用BPDU Guard
Spanning-tree portfast bpdugurad
核心层交换机端口启用Root Guard
Spanning-tree guard root
总结: Cisco 2层攻击防范架构
参考资料:
Networkers 2009 BRKSEC-2002 Understanding and Preventing Layer 2 Attacks
本文出自 “edwardlee” 博客,请务必保留此出处http://edwardlee.blog.51cto.com/153979/157807
相关文章推荐
- Cisco 安全技术系列之一:2层攻击防范技术
- Cisco 安全技术系列之二:IOS设备安全管理
- DDoS拒绝服务攻击和安全防范技术
- 安全札记之SYN 攻击原理及防范技术
- ASP.NET温故而知新学习系列之网站安全技术—预防脚本攻击(二)
- DDoS拒绝服务攻击和安全防范技术
- 交换网络安全防范系列五之802.1x-基于端口的网络访问控制技术
- 网络安全之---Cookie攻击与防范技术
- 网络安全:攻防技术 ——网页脚本攻击防范全攻略
- 交换网络安全防范系列一之MAC/CAM攻击防范
- 交换网络安全防范系列二之DHCP攻击的防范
- 交换网络安全防范系列三之ARP欺骗攻击防范
- php web开发安全之csrf攻击的简单演示和防范(一)
- zz密码控件安全技术浅析及攻击实例
- 黑客知识之SYN攻击原理以及防范技术
- (4/8 诱骗式攻击)如何成为一名黑客(网络安全从业者)——网络攻击技术篇
- 交换网络安全防范系列四之IP/MAC欺骗防范
- Linux系统扫描技术及安全防范
- 最安全的TurboMail邮件系统的安全防范技术介绍