• 局域网安全-生成树攻击-ARP攻击-MAC攻击-VTP攻击-动态VLAN的攻击


    一、MAC layer attacks
    1.CAM表的OVERLOAD 第三方设备不断发送变化的MAC地址,填满CAM表,对于后来合法的MAC地址不能学习到从而泛洪,这时攻击者将学习到合法者的数据包。
    2.MAC地址的SPOOFING 攻击者模拟合法用户的MAC地址。
    解决方案:
        1、基于源MAC地址允许流量:端口安全
        2、基于源MAC地址限制流量:static CAM
        3、阻止未知的单/组播帧
        4、802.1x基于端口的认证
     
    二、VLAN attacks
    有些报告称,某些交换机在高流量负载下会发生VLAN间数据泄露-不现实
     
    可行的攻击方法:
    1.DTP滥用(VLAN攻击的基础)
    用主机发送on模式或者DES模式的的DTP报文,使得成为Trunk链路,这样其他用户的数据就可以发送过来了,也可以发送出去了
    攻击软件:Yersinia,sniffer pro
     
    2.DOT1Q攻击和ISL攻击(单向)
    用主机发送双TAG,但里面的必须是Native VLAN的帧,也就是说网络里面的Native VLAN必须和攻击者相同
     
    3.用PVLAN跳跃攻击
    对ISL也有效,二层交换机不关心IP地址,路由器一般也不会做MAC的过滤
    通过PVLAN隔离的主机仍然使用共同的网关,发送这样一种数据包,源MAC及IP地址有效,但目的MAC替换成网关路由器的MAC地址,那么交换机将转发此数据包到路由器上,而路由器查看其IP地址,将其定向到目标上,数据包的源MAC地址会被路由器的MAC地址替换掉,又一次单向攻击
     
    4.VTP攻击
    大多数网络管理员没有设置MD5认证,先用DTP攻击,然后设置高修订号的VTP消息即可
     
    5.动态VLAN的攻击(使用VLAN查询协议VQP攻击)
     
    6.绕过VLAN分段进行迂回攻击
    使用CST时,所有VLAN的流量都会通过根桥
     
    解决方案:1、switch mode access 但是依然接受带标记的帧
              2、VACL
              3、PVLAN
     
    三、生成树攻击
    1.插入恶意根网桥
    让自己的主机成为根桥,使得局域网流量流向自己,又分为单宿主和多宿主两种方式
     
    2.在无需成为根的条件下修改流量路径
    通过更改链路的COST,导致STP重新收敛,使流量流向自己
     
    3.重算STP及数据嗅探
    发TCN报文,导致STP重新收敛,而且所有交换机的MAC地址老化时间变成15S,并且MAC地址清空,这样就可以收到所有流量,比如说此时进行MAC泛洪,这样每台交换机都成了HUB了,嘿嘿
     
    4.STP DoS攻击
    目的:主要是阻断网络,而不是使网络停止工作
    比如说,使得去往IDS和IPS的流量减少,隐藏自己的踪迹
    或者切分网络,就是有2个一模一样的根网桥
     
    后果,没完没了的根网桥选举或根网桥失踪
     
    做法:泛洪TC BPDU和TCN,并且可以将max-age设到最小值来使根网桥失踪
     
    使用工具:STP-SPOOF,Yersinia
    用Yersinia不断的发送TC和TCN的BPDU即可
     
    解决方案:1.Portfast         
             2.BPDU保护
             3.BPDU过滤
             4.根保护
     
     
    四、spoof attacks
        1、DHCP spoof
           流氓DHCP服务器,设置网关为自己,骗取客户的流量
           解决方案:DHCP snooping
        2、IP spoof
           伪造别人使用的合法IP地址,来使用网络
           解决方案:IP 源防护
        3、ARP spoof
           对路由器的ARP欺骗
           对PC的ARP欺骗
    欺骗方式:一种是欺骗主机作为“中间人”,定期发送无故ARP,被欺骗主机的数据都经过它中转一次,这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据;另一种让被欺骗主机直接断网。
           
           解决方案:1、由网关等设备或者软件定期发送正确的ARP信息(没啥用)
                    2、静态绑定ARP条目,在网关和PC上双向绑定
                    3、DAI(彻底解决)
     
    五、attacks on switch devices
        1、关闭CDP
        2、限制广播/组播流量
        3、为交换机设置登录密码
        4、使用SSH实现安全的登录
  • 相关阅读:
    【js】this=>>4种用法
    【js】接口实现代码
    【es6】object.is()&&==&&===
    js apply&&call
    【javascript=>>DOM】=>>Attribute与Property的区别
    Android ListView刷新问题
    Android EditText自动换行
    Android 状态栏隐藏 ( 全屏 )
    Android 取得手机屏幕大小
    Android中使用代码改变背景颜色
  • 原文地址:https://www.cnblogs.com/echod/p/9049643.html
Copyright © 2020-2023  润新知