日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
連交換機(jī)的攻擊、防御都不懂,還做什么網(wǎng)絡(luò)工程師

為什么需要關(guān)注交換機(jī)安全 ???

創(chuàng)新互聯(lián)堅(jiān)持“要么做到,要么別承諾”的工作理念,服務(wù)領(lǐng)域包括:做網(wǎng)站、成都網(wǎng)站建設(shè)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù),滿足客戶于互聯(lián)網(wǎng)時(shí)代的靈壽網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求,幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴!

  • 縱軸:網(wǎng)絡(luò)設(shè)備(防火墻、路由器、交換機(jī))
  • 橫軸:網(wǎng)絡(luò)模型(邊界和DMZ、核心和分布層、接入層)

這個(gè)圖主要是說,防火墻、路由器、交換機(jī)一般分別放在邊界或者DMZ、核心和分布層、接入層;

這些設(shè)備里面,為什么交換機(jī)最缺乏安全性呢?

  • 首先,防火墻或者路由器一般都是放在核心機(jī)房,核心機(jī)房物理安全得到最大的保障(非管理人員一般無法進(jìn)出核心機(jī)房)
  • 其次,接入交換機(jī)一般零散分布,提供終端用戶的接入(非管理人員都能比較輕易接觸到接入層交換機(jī))

交換機(jī)層面可能涉及的攻擊形式以及防御措施:

針對(duì)這么多的攻擊形式,我們大致可以分為四類:

  • MAC Layer Attacks
  • VLAN Attacks
  • Spoofing Attacks
  • Switch Device Attacks

一、VLAN跳躍攻擊

利用Trunk或Double Tag(native)實(shí)現(xiàn)從對(duì)其他VLAN的信息嗅探或攻擊

應(yīng)對(duì)措施:

  • 將空閑端口置為access模式(trunk off),甚至shutdown;
  • 修改Native VLAN,避免與在用VLAN相同。

二、STP欺騙攻擊

通過偽造錯(cuò)誤的BPDU消息影響生成樹拓?fù)?/p>

應(yīng)對(duì)措施:

(1) 在接主機(jī)或路由器的接口(access)配置bpdu guard,這類接口不應(yīng)收到BPDU,如果收到則將接口置為error disable狀態(tài)。

接口下spanning-tree bpduguard enable

(2) 或在上述接口配置Root Guard,這類接口可以收到BPDU,但若是更優(yōu)的BPDU,則接口置為error disable 狀態(tài),避免根橋改變。

接口下spanning-tree guard root

三、MAC欺騙攻擊

盜用他人MAC地址偽造攻擊,或非法接入網(wǎng)絡(luò)竊取信息

應(yīng)對(duì)措施:

  • 端口安全,設(shè)置某物理端口可以允許的合法MAC地址,將非法MAC地址發(fā)送的流量丟棄,甚至將接口err-disable
  • 靜態(tài)添加CAM表項(xiàng)(MAC和端口、VLAN的綁定關(guān)系)

四、CAM/MAC泛洪攻擊

通過不斷偽造MAC地址并發(fā)送報(bào)文,促使交換機(jī)CAM表短時(shí)間內(nèi)被垃圾MAC地址充斥,真實(shí)MAC被擠出,已知單播變未知單播,被迫泛洪,導(dǎo)致數(shù)據(jù)被嗅探。

應(yīng)對(duì)措施:

端口安全,限制端口可允許學(xué)習(xí)的最大MAC地址個(gè)數(shù)

五、DHCP服務(wù)器欺騙攻擊

通過非法DHCP服務(wù)器搶先為客戶分配地址,通過下發(fā)偽造的gateway地址,將客戶流量引導(dǎo)到“中間人”從而實(shí)現(xiàn)信息嗅探。

應(yīng)對(duì)措施:

在三層交換機(jī)上配置DHCP Snooping,監(jiān)聽DHCP消息,攔截非法DHCP服務(wù)器的地址分配報(bào)文。

六、DHCP饑餓(地址池耗盡)

不斷變換MAC地址,偽造DHCP請(qǐng)求消息,短時(shí)間內(nèi)將DHCP服務(wù)器地址池中的地址消耗殆盡,導(dǎo)致合法用戶無法獲取IP地址。

應(yīng)對(duì)措施:

  • 同樣使用端口安全技術(shù),限制端口可允許學(xué)習(xí)的最大MAC地址個(gè)數(shù),阻止攻擊者通過變換MAC地址的方式偽造DHCP請(qǐng)求報(bào)文。
  • 針對(duì)不變換MAC,僅變換CHADDR的情況下,在啟用了DHCP Snooping技術(shù)的交換機(jī)配置DHCP限速,設(shè)定滿足常規(guī)地址獲取需求頻率的閥值,超出的情況下阻塞、隔離試圖異常獲取地址的端口。

七、ARP欺騙

發(fā)布虛假的ARP reply消息,將客戶消息引導(dǎo)至“中間人”,從而實(shí)現(xiàn)數(shù)據(jù)嗅探。

應(yīng)對(duì)措施:

  • 結(jié)合DHCP Snooping技術(shù)所記錄的合法地址綁定表(正常通過DHCP獲取的地址都在表中),利用Dynamic ARP inspection(DAI)技術(shù),判斷ARP reply內(nèi)容是否合法,檢驗(yàn)并丟棄非法ARP reply報(bào)文。
  • 靜態(tài)添加ARP與IP的關(guān)聯(lián)表項(xiàng)(無需ARP request)

八、IP地址欺騙

盜用IP地址,非法訪問網(wǎng)絡(luò)或冒充他人發(fā)送攻擊流量

應(yīng)對(duì)措施:

  • 結(jié)合DHCP Snooping記錄的合法地址綁定表,利用IP Source Guard技術(shù),判斷IP地址是否合法,檢驗(yàn)并丟棄非法IP流量。
  • 使用基于接口的ACL,在相關(guān)接口只僅允許合法IP地址流量(deny非法IP)

九、針對(duì)交換機(jī)設(shè)備本身的攻擊

截獲CDP(明文)報(bào)文,獲取交換機(jī)管理地址,后續(xù)進(jìn)行密碼暴力破解;截獲Telnet報(bào)文(明文),嗅探口令。獲取交換機(jī)管理權(quán)限后為所欲為。

應(yīng)對(duì)措施:

  • 在不必要的接口關(guān)閉CDP消息
  • 重要設(shè)備盡可能不使用Telnet協(xié)議,轉(zhuǎn)而使用加密傳輸?shù)腟SH協(xié)議登陸管理設(shè)備。由于SSH v1有眾所周知的安全漏洞,建議采用v2。

新聞名稱:連交換機(jī)的攻擊、防御都不懂,還做什么網(wǎng)絡(luò)工程師
路徑分享:http://www.5511xx.com/article/djjiece.html