CCNA图文-28-交换机安全浅析

  • A+
所属分类:网络运维
摘要

本文介绍交换机上最常见的几个安全威胁,包括MAC地址泛洪,伪DHCP服务器欺骗,ARP中间人欺骗等。

 

文章目录

1.如何查看某IP所属端口

实际工作中的交换机上的MAC地址可能有几百甚至几千条,想从这些条目中用眼睛找出某个IP对应MAC地址或者某个MAC地址对应端口无疑是一件费时间的事情,下面这个方法可以很快的查找出某个IP对应的MAC和端口,首先配置下面的拓扑图(图1),然后在IOU交换机中,查找一下192.168.1.2的MAC在交换机MAC表中对应了哪个端口(本例图中很明显可以看出,所有PC的MAC地址在IOU交换机MAC表中都对应了e0/0端口,但真实环境可能没有这种直观的拓扑图):

CCNA图文-28-交换机安全浅析

上图中,IOU1是IOU虚拟机中的交换机,3台vpsc模拟3台PC,SW1是GNS3中不可网管交换机"Ethernet switch";

PC1~3配置:

IOU交换机配置:

在PC1~3上面启用连续ping,模拟与外界的通信:

此时查看交换机上的arp表,应该能看到下面的输出:

不要关闭PC1~3的ping,继续下面的实验。

2.MAC地址泛洪防范

MAC地址泛洪(Flooding)攻击的原理:

根据交换机工作原理,即根据数据帧中的源MAC地址进行学习。当某台主机伪造大量的虚假MAC地址发往交换机,交换机的地址表容量有限,当交换机的MAC地址表被填满之后,交换机将不再学习其他MAC地址,此时不论是单播组播,交换机都进行泛洪转发;这样,攻击主机只需要在本地开启一个抓包软件即可捕获局域网中的所有数据包;MAC地址表的老化时间默认是5分钟,为了保证这种攻击有效性,攻击主机必须持续发动攻击。

MAC地址泛洪攻击的防范方法:

可以在接入端口上配置每个端口允许学习的MAC地址数量;

使用下面的命令可以查看某个接入端口的安全规则:

现在增加一台vpcs,配置IP如下图所示:

CCNA图文-28-交换机安全浅析

使用PC4去ping交换机的Vlan1,发现ping不通,这是因为IOU-SW的mac表中已经学习了三台设备的mac,根据我们的端口安全配置,交换机不会再学习PC4的mac,如果将交换机的端口安全violation设置成shutdown,再用PC4去ping一次,就会让e0/0接口直接关闭:

交换机可以使用range命令一次配置多个端口:

3.DHCP欺骗防范

下图中,R1运行了DHCP服务,R2也运行了DHCP服务,R1-2和PC1-2连接在IOU虚拟机中运行的交换机中,PC1-2是两台vpcs来模拟PC终端,现在如果让两台vpcs自动获取IP,则可能随机从R1或R2上获取到IP地址(看谁先应答),如果此时R1所在线路出现故障,那么全部的PC将获得R2上DHCP地址池中的地址,如果连接R2的线路存在安全隐患,就有可能让其他人使用这种方法在这条线路上搭建一个DHCP服务器来欺骗正常的PC获取到他指定的IP,请看下面的实例:

CCNA图文-28-交换机安全浅析

R1配置:

R2配置:

PC获取IP:

现在配置IOU交换机,让PC1-2只能在R1上获取,并限制其他端口DHCP请求发送速率:

现在再从PC上面用DHCP获取IP,就只能获取到R1上面的IP了:

4.ARP攻击原理与防范

前面分享了一篇文章[Linux环境下ARP攻击的实现与防范];文中提到了局域网ARP攻击形成的原因,如何攻击以及如何防范。想要进一步了解的朋友可以参考一下这篇文章。

在一个小型局域网中,可以使用双向绑定的方法,在计算机上使用arp命令,或第三方ARP防火墙绑定网关MAC,然后在交换设备或路由上使用下面的命令静态绑定计算机IP对应的MAC地址:

在一些大型的局域网中,可以在交换或路由设备上使用ARP动态绑定技术。

5.其他安全威胁

除上面几种交换机的完全威胁以外,还有很多我们需要注意的地方比如:

交换机远程登录密码过于简单导致的暴力破解、Telnet明文传输(在命令行登录路由器的时候建议使用SSH代替明文telnet)、CDP攻击(建议不使用这个协议的时候关闭它,因为攻击者可以从CDP信息中获得设备的IP以及IOS版本,有些IOS版本存在Bug)、DOS攻击等。

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin
avatar

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: