• 异步路由、单播泛洪产生的安全侦听风险


    存在于经典网络架构中的一个信息窃取风险

    背景:核心交换机和其他IDC用三层互联,和接入交换机运行二层网络。核心交换机运行VRRP做本IDC内网网关(左边为主,右边为备)。现有其他IDC需访问本IDC10.1.1.1

     

    拓扑:

    流量走向:

    入向流量:

    1、目的为10.1.1.1的流量到达右边核心交换机

    2、右边核心交换机查看本机MAC地址表匹配目标MAC,结果发现查不到,于是在同vlan内泛洪此流量

    3、vlan10.1.1.110.1.1.2都收到此流量

    出向流量:

    4、10.1.1.1查路由表,发现内网网关为核心交换机,此时左边核心交换机为VRRP主,故ARP解析将左边交换机MAC解析为网关地址

    5、流量交给左边交换机,左边交换机根据三层路由表将数据直接传出去

     

    产生问题:右边核心通过泛洪将数据包发给了vlan内所有的服务器,那么只要拿到这个vlan内任意一台服务器的权限就可以嗅探到到达此vlan的所有包

     

    问题原因:由于回包不经过右边交换机,所以右边交换机永远学不到10.1.1.1MAC。学不到MAC就要在同vlan内泛洪。(单播泛洪)

    解决方案:

    1、核心交换机做堆叠

    2、在交换机无关端口开启阻塞端口泛洪。(SW(config-if)#switchport block unicast)

    3、采用全三层组网结构

  • 相关阅读:
    最快速度找到内存泄漏
    PostMessage与SendMessage各自的问题
    分享一个javascript alert精简框架
    SendMessage、PostMessage原理
    八款常用的 Python GUI 开发框架推荐
    大学学物理将来到底能干什么?
    私有虚函数的特点(C++和Java的机制还有所不同)
    BS与CS的比较
    Eclipse代码自动提示设置
    打印TMemo的内容到打印机
  • 原文地址:https://www.cnblogs.com/baihualin/p/10486975.html
Copyright © 2020-2023  润新知