收藏
下载资源下载资源 加入VIP,免费下载

在思科交换机上防范典型的欺骗和二层攻击Word文档下载推荐.docx

上传人:b****2 文档编号:14062534 上传时间:2022-10-17 格式:DOCX 页数:15 大小:872.11KB
下载 相关 举报
在思科交换机上防范典型的欺骗和二层攻击Word文档下载推荐.docx_第1页
第1页 / 共15页
在思科交换机上防范典型的欺骗和二层攻击Word文档下载推荐.docx_第2页
第2页 / 共15页
在思科交换机上防范典型的欺骗和二层攻击Word文档下载推荐.docx_第3页
第3页 / 共15页
在思科交换机上防范典型的欺骗和二层攻击Word文档下载推荐.docx_第4页
第4页 / 共15页
在思科交换机上防范典型的欺骗和二层攻击Word文档下载推荐.docx_第5页
第5页 / 共15页
点击查看更多>>
下载资源
资源描述

在思科交换机上防范典型的欺骗和二层攻击Word文档下载推荐.docx

《在思科交换机上防范典型的欺骗和二层攻击Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《在思科交换机上防范典型的欺骗和二层攻击Word文档下载推荐.docx(15页珍藏版)》请在冰豆网上搜索。

在思科交换机上防范典型的欺骗和二层攻击Word文档下载推荐.docx

...................................................................7DHCPSNOOPING技术概述...........................................................................7

基本防范........................................................................................................8

高级防范........................................................................................................9ARP欺骗/MITM(MAN-IN-THE-MIDDLE)击原理.......................................10

攻击实例......................................................................................................11

防范方法......................................................................................................12

配置示例......................................................................................................13

配置DAI后的效果.....................................................................................132DHCP欺骗攻击的防范.......................................................................................72.12.22.32.43ARP欺骗/MITM(MAN-IN-THE-MIDDLE)击原理和防范..........................103.13.23.33.43.5

4IP/MAC欺骗的防范..........................................................................................15

4.1

4.2

4.3

4.4常见的欺骗攻击的种类和目的..................................................................15攻击实例......................................................................................................15IP/MAC欺骗的防范...................................................................................15配置示例......................................................................................................175IP地址管理和病毒防范的新思路.....................................................................18

5.1IP地址管理.................................................................................................18

5.2使用DHCPSNOOPING、DAI、IPSOURCEGUARD技术能解决的有关病

毒问题......................................................................................................................19

本文所提到的攻击和欺骗行为主要针对链路层和网络层。

在网络实际环境中,其来源可概括为两个途径:

人为实施;

病毒或蠕虫。

人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探,获取管理帐户和相关密码,在网络上中安插木马,从而进行进一步窃取机密文件。

攻击和欺骗过程往往比较隐蔽和安静,但对于信息安全要求高的企业危害是极大的。

而来自木马或者病毒及蠕虫的攻击和往往会偏离攻击和欺骗本身的目的,现象有时非常直接,会带来网络流量加大、设备CPU利用率过高、二层生成树环路直至网络瘫痪。

目前这类攻击和欺骗工具已经非常成熟和易用,而目前企业在部署这方面的防范还存在很多不足,有很多工作要做。

思科针对这类攻击已有较为成熟的解决方案,主要基于下面的几个关键的技术:

●PortSecurityfeature

●DHCPSnooping

●DynamicARPInspection(DAI)

●IPSourceGuard

下面部分主要针对目前非常典型的二层攻击和欺骗说明如何在思科交换机上组合运用和部署上述技术,从而实现防止在交换环境中实施“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等,更具意义的是通过上面技术的部署可以简化地址管理,直接跟踪用户IP和对应的交换机端口;

防止IP地址冲突。

同时对于大多数对二层网络造成很大危害的具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。

1.1MAC泛滥攻击的原理和危害

交换机主动学习客户端的MAC地址,并建立和维护端口和MAC地址的对应表以此建立交换路径,这个表就是通常我们所说的CAM表。

CAM表的大小是固定的,不同的交换机的CAM表大小不同。

MAC/CAM攻击是指利用工具产生欺骗MAC,快速填满CAM表,交换机CAM表被填满。

黑客发送大量带有随机源MAC地址的数据包,这些新MAC地址被交换机CAM学习,很快塞满MAC地址表,这时新目的MAC地址的数据包就会广播到交换机所有端口,交换机就像共享HUB一样工作,黑客可以用sniffer工具监听所有端口的流量。

此类攻击不仅造成安全性的破坏,同时大量的广播包降低了交换机的性能。

1.2攻击实例

用MACOF工具进行的MAC泛滥攻击案例

当交换机的CAM表被填满后,交换机以广播方式处理通过交换机的报

文,这时攻击者可以利用各种嗅探攻击获取网络信息。

更为严重的是,这种攻击也会导致所有邻接的交换机CAM表被填满,流量以洪泛方式发送到所有交换机的所有含有此VLAN的接口,从而造成交换机负载过大、网络缓慢和丢包甚至瘫痪。

典型的病毒利用MAC泛滥攻击案例

曾经对网络照成非常大威胁的SQL蠕虫病毒就利用组播目标地址,构造假目标MAC来填满交换机CAM表。

1.3防范方法

限制单个端口所连接MAC地址的数目可以有效防止类似macof工具和SQL蠕虫病毒发起的攻击,macof可被网络用户用来产生随机源MAC地址和随机目的MAC地址的数据包,可以在不到10秒的时间内填满交换机的CAM表。

CiscoCatalyst交换机的端口安全(PortSecurity)和动态端口安全功能可被用来阻止MAC泛滥攻击。

例如交换机连接单台工作站的端口,可以限制所学MAC地址数为1;

连接IP电话和工作站的端口可限制所学MAC地址数为3:

IP电话、工作站和IP电话内的交换机。

通过端口安全功能,网络管理员也可以静态设置每个端口所允许连接的合法MAC地址,实现设备级的安全授权。

动态端口安全则设置端口允许合法MAC地址的数目,并以一定时间内所学习到的地址作为合法MAC地址。

通过配置PortSecurity可以控制:

●端口上最大可以通过的MAC地址数量

●端口上学习或通过哪些MAC地址

●对于超过规定数量的MAC处理进行违背处理

端口上学习或通过哪些MAC地址,可以通过静态手工定义,也可以在交换机自动学习。

交换机动态学习端口MAC,直到指定的MAC地址数量,交换机关机后重新学习。

目前较新的技术是StickyPortSecurity,交换机将学到的mac地址写到端口配置中,交换机重启后配置仍然存在。

对于超过规定数量的MAC处理进行处理一般有三种方式(针对交换机型号会有所不同):

●Shutdown:

端口关闭。

●Protect:

丢弃非法流量,不报警。

●Restrict:

丢弃非法流量,报警。

1.4配置示例

1.5使用其它技术防范MAC/CAM攻击

除了PortSecurity采用DAI技术也可以防范MAC地址欺骗。

2.1采用DHCP管理的常见问题:

采用DHCPserver可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数,简化了用户网络设置,提高了管理效率。

但在DHCP管理使用上也存在着一些另网管人员比较问题,常见的有:

●DHCPserver的冒充。

●DHCPserver的Dos攻击。

●有些用户随便指定地址,造成网络地址冲突。

由于DHCP的运作机制,通常服务器和客户端没有认证机制,如果网络上存在多台DHCP服务器将会给网络照成混乱。

由于用户不小心配置了DHCP服务器引起的网络混乱非常常见,足可见故意人为破坏的简单性。

通常黑客攻击是首先将正常的DHCP服务器所能分配的IP地址耗尽,然后冒充合法的DHCP服务器。

最为隐蔽和危险的方法是黑客利用冒充的DHCP服务器

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 小学教育 > 其它课程

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1