• 交换网络中存在的攻击及加固方法概括


    1. MAC Flood

    配置端口安全,对端口可学习到的MAC地址数量进行限制

    2. STP中的抢根及DoS攻击

    抢根可用root guard来解决,DoS可用BPDU guard来解决

    3. VLAN跳跃攻击(Double Tagging,DTP协商)

    ——关闭所有不使用的接口

    ——将除trunk接口之外的接口明确设置为access模式

    ——将所有未使用的接口分到一个不使用的vlan中

    ——关闭CDP:no cdp

    ——关闭trunk协商:swithport nonegotiate

    ——设置trunk放行的VLAN,精确匹配:swithport trunk allowed vlan [add]

    ——将native vlan设置为一个不使用的vlan,即native vlan中不放任何接口

    4. DHCP中的DoS攻击和中间人攻击

    用DHCP Snooping技术,对交换机的端口进行信任与否的划分,将除DHCP服务器所在端口之外的端口设为非信任端口,以此防止攻击者架设虚假DHCP服务器,造成中间人攻击。再对各端口单位时间内可收到的DHCP申请数量进行控制,防止DHCP饥饿攻击。

    5. ARP欺骗造成的DoS攻击和中间人攻击

    用ARP审查技术,划分端口为信任端口或非信任端口,丢弃非信任端口连接的设备发送的ARP数据包,以此防止中间人攻击,限制各个端口在单位时间内向外发送的ARP数据包数量,以此防止DoS攻击。

    6. 源地址欺骗攻击(IP、MAC)

    用IP source guard技术,将接入端口进来的数据包的源IP地址和源MAC地址跟DHCP Snooping binding表进行比对,一致则转发,不一致则丢弃。

    7. 控制平面中的DoS攻击

    用CoPP技术对控制平面的流量进行限速,防止DoS攻击,并对各端口可接收到的不同控制流量进行细分,防止接收到意外的控制流量。

    如果对局域网进行加固,应从以下几点考虑:

    1.物理安全:对机房进行严格监管,网线排布注意被破坏

    2.对接入用户进行控制,对每个用户的权限进行细分,同时做好审计(802.1x)

    3.对以上交换机中可能存在的攻击进行加固

  • 相关阅读:
    在WAMPSERVER下增加多版本的PHP(PHP5.3,PHP5.4,PHP5.5)完美支持。
    mysql慢查询配置
    mysqlslap 一个MySQL数据库压力测试工具
    MYSQL用户操作管理大杂烩
    AIX mount nfs 文件系统失败
    rsync续传大目录一例
    TCP三次握手
    inode 耗尽
    Linux记录屏幕输出log
    《漏测问题表元素》
  • 原文地址:https://www.cnblogs.com/btlulu/p/3953465.html
Copyright © 2020-2023  润新知