2024年1月9日发(作者:)
1、mac flooding :
PC c为攻击主机,瞬间爆发很多个源mac地址,因为交换机的 spoofing :
mac,并且拥有抓包软件,这样交换机学习来自A到B的流量。fa0/3的mac学习原理,cam表容量有限。交换机会学习新的条目,删除旧的正常的表象。这样交换机就会泛洪C伪装B的mac发送数据包,这样交换机就会更新相关条目,这个伪装成功的条件是直不发送数据包。攻击所用软件:ubuntu-----另一个版本的lunix
redhat上)。开启软件命令:macof
ubuntu上).开启软件命令:dsniff
macof------mac地址泛洪工具(装到防御方法:端口安全port-securiy
mac table满的时候产生violation
violation.
1.有效阻止mac flood 和mac spoof攻击a. mac flood当特定接口设定的b.当一个mac地址在同一个 security 的默认行为a.所有的接口port security功能是disable的b.默认每一个接口最大3.三种violation方式wn 使接口处于errordisable状态,并且告警ct 丢掉违规的数据包,并且告警t 悄无声息的丢弃数据包,没有告警产生4.三种地址学习方式a.自动学习(默认)b.手动指派switchport port-security mac-address 8b
mac地址容量为一个c.默认violation是shutdown
vlan里面的两个不同接口学到的时候产生B一dsniff-----只抓用户名和密码的软件(装到
switchport port-security mac-address 8b
5.查看port security的cpu利用率show processes cpu |in Port-S
攻击Yersinia软件可以更改根桥,然后再可以通过发送防御方法: guard
router(config)#interface fastethernet 0/1
router(config)#spanning-tree rootguard
如果交换机收到接口就可以变为2. bpdu guard
如果接口收到任何bpdu,接口会被disable。router(config)#interface fa0/1
router(config-if)#spanning-tree bpduguard enable----启用bpduguard
router(config)#errdisable recovery cause bpdu guard
router(config)#errdisable recovery interval 30 -------3. bpdu filtering
悄无声息的丢掉进出交换机的router(config)#interface fa0/1
router(config-if)#spanning-tree bpdufilter enable
4. layer 2 pdu rate limiter
6500的特性,可以对二层pdu进行限制(bpdus,dtp,PAgP,cdp,vtp)6500(config)#mls rate-limit layer2 pdu 200 20
4. vlan相关攻击(dtp,vtp,vlan hopping) hopping
bpdu,有可能出现环路。启用被disable的端口router(config)#spanning-tree portfast bpduguard-----在portfast下启用root还要优先的包,这个时候接口会被置为forwarding状态。root-inconsistent状态(相当于listening状态),不会转发任何数据包。如果在3个bpdu以内(6秒)没有再发这样的包,tc/tcn bpdu来达到最初目的。攻击条件:1.攻击者在native vlan 中攻击软件:yersinia
攻击者用yersinia铸造双tag,分别是vlan 5,vlan 96.经过交换机1.交换机会去掉vlan 5
tag(native vlan ).当送到交换机攻击只能是单向的。解决方法:1.a.设置一个专门的2时,交换机2看到tag是vlan 96,就会发送到vlan 96.这个vlan 为native VLAN ,不为此vlan分配任何主机。2.从trunk中把native vlan去掉Ciscoswitch(config)#interface fa 0/1
Ciscoswitch(config-if)# switchport trunk encapsulation dot1q
Ciscoswitch(config-if)# switchport trunk native vlan 10
Ciscoswitch(config-if)# switchport trunk allow vlan 1-500
Ciscoswitch(config-if)# switchport trunk allow vlan remove 10
可能会出现问题,思科不建议使用3.强制所有trunk流量带一个tag
Cisco switch (config)#vlan dot1q tag native
或cisco switch (config)#interface fa 0/1
Cisco switch(config-if)#switchport trunk native vlan tag
在交换机中,比如说3550,所有不用的接口都是默认开启的,并且access.
dtp状态是disable.攻击者可以利用yersinia使其连接的接口变成攻击:
根据客户端会使用最先接收到的1.2.架设另另一台dhcp 服务器。所以,dhcp服务器地址全部耗完。Yersinia dhcp –attack 3 首先攻击者会使用软件使本来正常的者要启用路由功能(抵御方法:1、port-security
snooping :1.只允许trust接口发送offer ,ack, nak.
2.能够了解整个time的表项。4.可以对dhcp包的速率进行限制,对信息进行确认,会插入和清除掉dhcp snooping
option82选项。5.只有3层交换机才会支持switch(config)#ip dhcp snooping
switch(config)#ip dhcp snooping vlan 7
switch(config)#interface fa 0/1
switch(config-if)# switchport mode access
switch(config-if)# switchport access vlan 7
switch(config-if)# ip dhcp snooping trust---vlan7接服务器。switch(config-if)# ip dhcp snooping limit rate 100----每秒100个dhcp的包,超过了就会shutdown
switch# show ip dhcp snooping bunding
中只有这个接口是trust的,其他接口都不能dhcp的过程,可以动态维护ip和mac地址的映射。ip----mac----interface----release 3.启用dhcp snooping后交换机会维护一个trunk状态,这样就可以接受所有的流量。解决方案:接口能够shutdown就shutdown..不能够就设置为dhcp服务器,把网关指向自己,这样所有流量就会经过自己,当然攻击xp是不能做到的,2003可以做到)。
,ddos攻击 拒绝服务攻击:1.1基于网络的:icmp spoof
由于带宽相对太小,A主机肯定不可能单挑2m
c拉,但是A可以伪装C的地址ping B网络,这样发回来的回复就可以占满1.2基于主机的:攻击服务器建立TCP连接,需要三次握手,发送维护的服务表项被占满。syn,接受syn+ack,然后回复ack,这个时候服务器SYN,不回复ACK,那么就会使服务器就会为你服务,但是如果这个时候我们多线程发送1.3分布式ddos:把生成的脚本发给其他人,多方进行攻击。2.对ddos攻击的防护:ddos guard
Guard 分为两个部分:director 和guard.攻击出现后,director会告诉guard,guard会为被攻击服务器宣告一个侧挂产品,现在在攻击:原理:.无故arp :向自己的ipv4 地址发送arp 请求A.B.C.无故arp可以检查重复地址。无故arp 可以通告一个新的丢掉数据包,但是它们会更新缺省情况下关闭,开启命令:攻击者伪装网关的Arp攻击防御:Dynamic arp inspection (DAI):利用ip dhcp snooping产生的一张表。仅仅只是对违规的DAI配置:Switch# show ip dhcp snooping binding -----首先确定有这张表Switch(config)#ip arp inspection vlan 100
Switch(config)#interface fa0/1Switch(config-if)#ip arp inspection trust
Switch(config)#interface fa0/2Switch(config-if)#ip arp inspection 6攻击: spoofing:攻击者可以伪装主机来回应一个 spoofing:攻击者伪装成路由器发送 spoofing :IPv6中同样存在防御技术:SEND-安全ND
CGA(cryptographically generated address)地址产生方式er(一个随机数)
public key(公钥)
subnet prefix(网络号)
sha-a进行hash得到结果一个160bit数的后64位作为主机ID.
RA
reply来覆盖真是主机的映射这个接口出现违规可以通过。arp包进行控制。mac地址。当无故arp发生时,局域网内其他主机虽然arp-cache 中ipv4地址所对应的ip gratuitous-arps
arp宣告整个个网络。冲掉网关的arp。启用路由mac地址。32位ebgp主机路由。
注入技术把流量再引回去,ip地址,然后借用无故功能,所有数据就会经过攻击者了。三个元素使用攻击(power over ethernet):1.使用PoE的设备:ip电话,ap,摄像头。2.两个标准: 802.3af :在两对线缆上面加载一个直流电压, 私有:注入一个交流信号在检查是否有电压产生。(电阻必须在cdp也有同样功能)。PES能够从另hub
15.4W
42V。19欧到26.5欧之间)。还能判断设备的功耗(外一对电缆里面把信号反馈回来。中间不能有3主要作用:利用网线的另外两对线为设备提供电源,最大功率4.工作过程:a.探测设备需不需要电源b.如何传输电源到连接的设备上去。传输电压5. .PoE攻击分析:a.偷电,让其他正常设备无法获得应该有的电力CAT5的一对电缆里面,然后检查是否
b.受攻击的PC发送CDP,请求更低的电力,让电话无法正常工作c.攻击者欺骗交换机向一个不能接受电力的设备送电,造成设备问题解决方案:1.为需要电力的设备所连接的接口静态配置PoE
Router(config)#interface fa0/1
Router(config-if)#power inline static max 7000(7.0W)
2.其他接口关闭POE功能Router(config)#interface fa0/1
Router (config-if )#power inline never
3.关掉接口的CDP(不建议)
攻击1.虚拟mac的构造: for HSRP version 1------xx为组号 for HSRP version 2 for IPv4
3.0005.73A0.0xxx for HSRP version 2 for IPv6
2.工作协议:Udp 1985 for IPv4,multicast address 224.0.0.2
Port 2029 for IPv6,multicast address 224.0.0.102
威胁分析DoS 攻击:设置最高的优先级,让所有的据包实现DoS
man-in-the-middle:通过Arp欺骗hsrp的虚拟mac,实现对网络的抓包启用认证:key chain hsrpkey
Key 1
Key-string hsrpkey
standby 1 authentication md5 key-chain hsrpkey
-securiyt
ip source guard
DAI
VLAN-MAP
4攻击的防御router成为standby,然后丢弃所有抵达的数access-list 101 permit udp host 192.168.0.7 host 224.0.0.2 eq 1985
access-list 101 permit udp host 192.168.0.9 host 224.0.0.2 eq 1985
access-list 102 permit udp any host 224.0.0.2 eq 1985
vlan access-map hsrp 10
action forword
match ip address 101
vlan access-map hsrp 20
action drop
match ip address 102
vlan access-map hsrp 30
action forward
vlan filter hsrp vlan-list 88
interface fa0/0
ip access-group 101 in
access-list 101 permit udp host 192.168.0.7 host 224.0.0.2 eq 1985
access-list 101 permit udp host 192.168.0.9 host 224.0.0.2 eq 1985
access-list 101 deny udp any any eq 1985
access-list 101 permit ip any any
附属协议攻击威胁分析1.1信息泄露:1.2 DOS:.cdp cache overflow
<在某些版本收到大量的(vlan trunk protocol)
Vtp version 3引入的安全特性:1.可以在特定接口都关闭和启用vtp
authentication 身份验证和完整性校验3.通过revision number 来实现防重放攻击防御vtp攻击:1.启用md5校验2.启用version 3(ios不支持,catos是可以支持的)默认在非trunk接口上是关闭,面向客户接口设置成要的接口shutdown.
(cisco)和LACP
防御方法: CatOS
Console>(enable)set port channel all mode off
Port(s)1/1-2,2/1-48 channel mode set to off
cisco ios
Ios(config)#interface fa0/1
Ios(config-if)#no channel-group
mode access,不需cdp要建立邻居的包会造成交换机的重启>
(link layer discovery protocol ) ieee 802.1AB------类似cdp的协议
发布评论