二层网络安全分类

网络 admin 116℃ 0评论

MAC层攻击:

MAC地址泛洪:

交换机是基于合法MAC地址表的条目来转发流量,MAC地址条目存储在CAM表,CAM的大小是有限的,当CAM表被填充满后,交换机会广播收到的数据,这样攻击者也会收到数据,从而获取想要的信息。
解决方法:端口安全。MAC地址VLAN访问控制列表。

VLAN攻击:

VLAN跳转攻击
通过改变Trunk链路中封装数据包的VLAN ID,攻击设备可以发送或接收不同VLAN 中的数据包,从而绕过三层安全性机制。(VLAN双重标记)
解决方法:加强Trunk的配置和未使用端口的协商状态。把未使用的端口放入公共VLAN
公共设备vlan之间的攻击:
攻击原理:即使是公共vlan中的设备,也需要逐一进行保护,尤其是为多个客户提供设备的服务提供商尤为如此
解决方法:实施私用vlan(Pvlan)

欺骗攻击:

DHCP耗竭和DHCP欺骗:

攻击设备可以在一段时间内,发送大量DHCP请求信息,类是与DOS攻击,消耗完DHCP服务器上的可用地址空间,或者在中间人攻击中,把自己伪装成DHCP服务器。
解决方法:启用DHCP 侦听(DHCP Snooping)
DHCP欺骗攻击的实施顺序如下:
• 黑客把未授权的DHCP服务器链接到交换机端口
• 客户端发送广播,来请求DHCP配置信息
• 未授权的DHCP服务器在合法的DHCP服务器之前进行应答,为客户端分配攻击者定义的IP配置信息
• 主机把攻击者提供的不正确的DHCP地址当作网关,从而把数据包发送给攻击者的地址

生成树欺骗:

攻击设备伪装成STP拓扑中的跟桥。若成功了,网络攻击者就可以看到各种数据帧。
解决方法:主动配置主用和备用根设备,启用根防护

MAC地址欺骗:

攻击设备伪装成当前CAM表中合法设备的MAC地址,这样交换机就会把去往合法主机的流量发送到攻击设备上
解决方法:使用DHCP侦听、端口安全

ARP欺骗:

攻击设备会为合法主机伪造ARP应答。攻击设备的MAC地址就成为该合法网络设备所发出的数据帧的二层目的地址
解决方法:使用动态ARP检测、DHCP侦听、端口安全

交换机设备上的攻击:

1、CDP修改

攻击原理:通过CDP发送的信息是明文形式且没有加密,若攻击者截取CDP信息,就能获取整个网络拓扑信息
解决方法:在所有无意使用的端口上关闭CDP

2、SSH和Telnet攻击

攻击原理:telnet数据包可以以明文形式查看,SSH可以对数据进行加密,但是版本1中仍然存在安全问题
解决方法:使用SSH版本2;使用telnet结合VTY ACL

交换安全:

风暴控制和errdisable关闭的解决
MAC洪泛攻击防御
DHCP snooping、arp欺骗、IP欺骗
802.1X
VLAN跳跃攻击和802.1Q双重标记数据帧攻击
RACL\VACL\PVLAN、MAC ACL
STP安全—-BPDU、ROOT、LOOP
风暴控制: 
注意:只能对进入的广播、组播、未知单播形成的风暴进行控制;
由于某些错误而导致接口自动关闭 
MAC洪泛攻击:
攻击原理:具有唯一无效源MAC地址的数据帧向交换机洪泛,消耗交换机的CAM表空间,从而阻止合法主机的MAC地址生成新条目。去往无效主机的流量会向所有端口洪泛
解决方法:端口安全;MAC地址vlan访问控制列表

©声明:本站原创文章采用 BY-NC-SA 创作共用协议,转载时请标明原文地址。
©转载请注明:
极客乐园 » 二层网络安全分类

喜欢 (1)or分享 (0)
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

极客乐园 —— 网络技术学习分享的伊甸园

感谢又拍云赞助图片加速又拍云