溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

交換安全:MAC、dhcp、DAI、IP源防護(hù)

發(fā)布時(shí)間:2020-06-22 22:34:36 來源:網(wǎng)絡(luò) 閱讀:1410 作者:Garcia648 欄目:安全技術(shù)

一、MAC洪泛

原理:由于交換機(jī)具備自動學(xué)習(xí)能力,將數(shù)據(jù)幀中的源MAC與進(jìn)入的端口形成映射形成MAC地址表,存放在內(nèi)存中;若***者發(fā)送大量偽造的源MAC數(shù)據(jù)幀給交換機(jī),那么交換機(jī)會產(chǎn)生大量的錯(cuò)誤對應(yīng)一個(gè)MAC

              將這個(gè)端口對應(yīng)的MAC靜態(tài)綁定;

1、//進(jìn)入交換機(jī)接口接口MAC條目,最終導(dǎo)致內(nèi)存溢出。

2、防御方法:限制一個(gè)端口下能進(jìn)入主機(jī)的數(shù)量——學(xué)習(xí)MAC地址的數(shù)量;

             在接入層開啟特性,默認(rèn)一個(gè)交換機(jī)

Switch(config)#int 接口

 

//將這個(gè)端口對應(yīng)的MAC靜態(tài)綁定

Switch(config-if)#switchport mode access 

Switch(config-if)#switchport port-security 

Switch(config-if)#switchport port-security mac-address ?

  H.H.H   48 bit mac address

 

//動態(tài)學(xué)習(xí)數(shù)據(jù)幀的MAC地址,然后自動安全綁定為靜態(tài)

Switch(config-if)#switchport port-security mac-address sticky 

 

//限定最大對應(yīng)MAC地址數(shù)量

Switch(config-if)#switchport port-security maximum 2

 

//若違反了定義的規(guī)則,那么默認(rèn)實(shí)施的規(guī)則是自動關(guān)閉這個(gè)接口

Switch(config-if)#switchport port-security violation ?

  protect   Security violation protect mode  

  restrict  Security violation restrict mode  

  shutdown  Security violation shutdown mode

 

Protect:當(dāng)違反規(guī)則,那么將丟棄違反規(guī)則的數(shù)據(jù),并 且保持端口是開啟的 

restrict:若違反規(guī)則,將會發(fā)送一個(gè)trap陷阱消息到SNMP服務(wù)器,同時(shí)丟棄違反規(guī)則的數(shù)據(jù),保持端口開啟

 

查看驗(yàn)證:

Switch#show port-security address 

Secure Mac Address Table

-------------------------------------------------------------------------------

VlanMac AddressTypePortsRemaining Age

(mins)

-------------------------------------

------------------------------------------------------------------------------

Total Addresses in System (excluding one mac per port)     : 0

Max Addresses limit in System (excluding one mac per port) : 1024

 

Switch#show port-security interface f0/1

Port Security              : Enabled

Port Status                : Secure-down

Violation Mode             : Shutdown

Aging Time                 : 0 mins

Aging Type                 : Absolute

SecureStatic Address Aging : Disabled

Maximum MAC Addresses      : 2

Total MAC Addresses        : 0

Configured MAC Addresses   : 0

Sticky MAC Addresses       : 0

Last Source Address:Vlan   : 0000.0000.0000:0

Security Violation Count   : 0

 

二、基于VLAN的跳躍***

1、VLAN跳躍***

***原理:默認(rèn)情況下交換機(jī)的端口模式是出于動態(tài)協(xié)商模式的,要么是auto,或者是desirable 模式,這樣就有可能導(dǎo)致,主機(jī)和交換之間鏈路形成TRUNK;

當(dāng)然了這個(gè)前提,交換機(jī)的那個(gè)端口要么是沒有被定義到access模式;要么是這端口就是默認(rèn)沒有任何的配置;交換機(jī)將會把其他VLAN的洪泛流量發(fā)送到這個(gè)***主機(jī);

解決的辦法:不使用的接口全都關(guān)閉;將接口模式改變?yōu)閍ccess;

2、雙重標(biāo)記的802.1Q數(shù)據(jù)幀跳躍***

***原理:通過在發(fā)送數(shù)據(jù)時(shí)候,優(yōu)先增加一個(gè)***目標(biāo) VLAN的標(biāo)簽,同時(shí)***者原有所有的VLAN是交換與交換相連TRUNK上的指定native VLAN,那么在這個(gè)優(yōu)先被加上標(biāo)簽的數(shù)據(jù)轉(zhuǎn)發(fā)到第一個(gè)交換的時(shí)候,這個(gè)交換將不會對數(shù)據(jù)進(jìn)行再次的打標(biāo)簽,原因----這個(gè)數(shù)據(jù)就是native  VLAN的數(shù)據(jù);而當(dāng)?shù)竭_(dá)其他的交換的時(shí)候,那些交換將會檢查tag,就查看到了內(nèi)層標(biāo)簽--***目標(biāo) VLAN的標(biāo)簽;接著轉(zhuǎn)發(fā)這個(gè)數(shù)據(jù)進(jìn)入***目標(biāo)VLAN之內(nèi);

解決辦法:第一將native VLAN設(shè)定為沒有用戶的VLAN;

          第二對native  VLAN也進(jìn)行打標(biāo)簽;

       交換安全:MAC、dhcp、DAI、IP源防護(hù)

三、DHCP監(jiān)聽、DAI動態(tài)ARP截取、IP源防護(hù)

1、以上的方法,是被用于企業(yè)網(wǎng)絡(luò)內(nèi)部;

2、DHCP 的欺騙

***原理:因?yàn)?/span>DHCP在獲取地址的時(shí)候,總共分為了4個(gè)過程

client發(fā)送DHCP 發(fā)現(xiàn)消息------廣播發(fā)送;找dhcp server

DHCP server 發(fā)送offer響應(yīng)------廣播發(fā)送;告知了dhcpserver是誰,并且描述能分配的地址有哪些

Client------發(fā)送request-------廣播發(fā)送;請求得到那個(gè)地址;

server發(fā)送 ACK---廣播發(fā)送;

 

如果一個(gè)***者充當(dāng)DHCP server,而響應(yīng)的速度比正常的server 快,那么client將會選擇***者分配的IP地址和網(wǎng)關(guān)等信息;

防御原理:通過設(shè)定上行連接dhcpserver的接口為信任接口,從信任接口進(jìn)入的dhcp消息都是可以的;剩余的接口都是不信任接口,不能進(jìn)入dhcpoffer消息;從而避免下方的接入層主機(jī)發(fā)送offer;通過監(jiān)聽從那些接口進(jìn)入了dhcp  offer;

部署:

開啟dhcp的監(jiān)聽

 

交換安全:MAC、dhcp、DAI、IP源防護(hù)

 

 

設(shè)定監(jiān)聽的VLAN

交換安全:MAC、dhcp、DAI、IP源防護(hù)

 

設(shè)定dhcp snooping 信任接口

交換安全:MAC、dhcp、DAI、IP源防護(hù)

 

驗(yàn)證辦法,在開啟dhcp snooping的交換上驗(yàn)證

交換安全:MAC、dhcp、DAI、IP源防護(hù)

 

也可以在DHCp server上查看DHCP下發(fā)地址綁定信息

交換安全:MAC、dhcp、DAI、IP源防護(hù)

 

3DAI:動態(tài)ARP截取

ARP欺騙的原理:實(shí)際上是用***者的MAC地址來替代網(wǎng)關(guān)的(目標(biāo))MAC地址;arp條目是動態(tài);后來的ARP信息會覆蓋原有;

DAI防御原理:在做DAI的時(shí)候,必須優(yōu)先開啟dhcp snooping,通過dhcpsnooping將會在交換上留下一個(gè)綁定的信息表----IPMAC的信息表;

設(shè)定上行接口為DAI的信任接口,而其他的接口為不信任接口,那么從不信任接口進(jìn)入的ARP信息,將會被DAI進(jìn)行審查,若發(fā)現(xiàn)IPMAC是不匹配的,那么這個(gè)數(shù)據(jù)就被丟棄;

部署

第一步--開啟dhcp snooping;

第二步,開啟arpDAI功能

交換安全:MAC、dhcp、DAI、IP源防護(hù)

第三步,設(shè)定DAI的信任端口-----uplink的上行接口;

4IP源防護(hù)特性

ip欺騙:***原理,通過偽造源IP地址,而源MAC地址是正確的或者也是偽造,那么將這種數(shù)據(jù)發(fā)送給其他的主機(jī),而本身這個(gè)源IP地址是存在的;就會為DDOS或者DOS***能夠形成機(jī)會;

 

防御原理:在交換上通過已經(jīng)存在dhcp  snooping綁定信息,檢查,從這個(gè)端口進(jìn)入的數(shù)據(jù)的源IP地址和MAC地址是否是匹配的,以及這個(gè)數(shù)據(jù)是否應(yīng)該從這個(gè)端口進(jìn)入;若不一致,那么就丟棄這個(gè)數(shù)據(jù);源防護(hù)在不信任的端口開啟

 

 

 

 

 


向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI