文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

连交换机的攻击、防御都不懂,还做什么网络工程师

2024-12-11 17:10

关注

这个图主要是说,防火墙、路由器、交换机一般分别放在边界或者DMZ、核心和分布层、接入层;

这些设备里面,为什么交换机最缺乏安全性呢?

交换机层面可能涉及的攻击形式以及防御措施:

针对这么多的攻击形式,我们大致可以分为四类:

一、VLAN跳跃攻击

利用Trunk或Double Tag(native)实现从对其他VLAN的信息嗅探或攻击

应对措施:

二、STP欺骗攻击

通过伪造错误的BPDU消息影响生成树拓扑

应对措施:

(1) 在接主机或路由器的接口(access)配置bpdu guard,这类接口不应收到BPDU,如果收到则将接口置为error disable状态。

接口下spanning-tree bpduguard enable

(2) 或在上述接口配置Root Guard,这类接口可以收到BPDU,但若是更优的BPDU,则接口置为error disable 状态,避免根桥改变。

接口下spanning-tree guard root

三、MAC欺骗攻击

盗用他人MAC地址伪造攻击,或非法接入网络窃取信息

应对措施:

四、CAM/MAC泛洪攻击

通过不断伪造MAC地址并发送报文,促使交换机CAM表短时间内被垃圾MAC地址充斥,真实MAC被挤出,已知单播变未知单播,被迫泛洪,导致数据被嗅探。

应对措施:

端口安全,限制端口可允许学习的最大MAC地址个数

五、DHCP服务器欺骗攻击

通过非法DHCP服务器抢先为客户分配地址,通过下发伪造的gateway地址,将客户流量引导到“中间人”从而实现信息嗅探。

应对措施:

在三层交换机上配置DHCP Snooping,监听DHCP消息,拦截非法DHCP服务器的地址分配报文。

六、DHCP饥饿(地址池耗尽)

不断变换MAC地址,伪造DHCP请求消息,短时间内将DHCP服务器地址池中的地址消耗殆尽,导致合法用户无法获取IP地址。

应对措施:

七、ARP欺骗

发布虚假的ARP reply消息,将客户消息引导至“中间人”,从而实现数据嗅探。

应对措施:

八、IP地址欺骗

盗用IP地址,非法访问网络或冒充他人发送攻击流量

应对措施:

九、针对交换机设备本身的攻击

截获CDP(明文)报文,获取交换机管理地址,后续进行密码暴力破解;截获Telnet报文(明文),嗅探口令。获取交换机管理权限后为所欲为。

应对措施:

 

来源:厦门微思网络内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯