连替换机的攻打 还做什么网络工程师 进攻都疑问

为什么须要关注替换机安保 ???

这个图关键是说,防火墙、路由器、替换机普通区分放在边界或许DMZ、外围和散布层、接入层;

这些设施外面,为什么替换机最不足安保性呢?

替换机层面或许触及的攻打方式以及进攻措施:

针对这么多的攻打方式,咱们大抵可以分为四类:

一、VLAN腾跃攻打

应用Trunk或Double Tag(native)成功从对其余VLAN的信息嗅探或攻打

应答措施:

二、STP诈骗攻打

经过伪造失误的BPDU信息影响生成树拓扑

应答措施:

(1) 在接主机或路由器的接口(access)性能bpdu guard,这类接口不应收到BPDU,假设收到则将接口置为error disable形态。

接口下spanning-tree bpduguard enable

(2) 或在上述接口性能Root Guard,这类接口可以收到BPDU,但若是更优的BPDU,则接口置为error disable 形态,防止根桥扭转。

接口下spanning-tree guard root

三、MAC诈骗攻打

盗用他人MAC地址伪造攻打,或合法接入网络窃取信息

应答措施:

四、CAM/MAC泛洪攻打

经过始终伪造MAC地址并发送报文,促使替换机CAM表短期间内被渣滓MAC地址充满,实在MAC被挤出,已知单播变未知单播,自愿泛洪,造成数据被嗅探。

应答措施:

端口安保,限度端口可准许学习的最大MAC地址个数

五、DHCP主机诈骗攻打

经过合法DHCP主机当先为客户调配地址,经过下发伪造的gateway地址,将客户流量疏导到“两边人”从而成功信息嗅探。

应答措施:

在三层替换机上性能DHCP Snooping,监听DHCP信息,阻拦合法DHCP主机的地址调配报文。

六、DHCP饥饿(地址池耗尽)

始终变换MAC地址,伪造DHCP恳求信息,短期间内将DHCP主机地址池中的地址消耗殆尽,造成合法用户不可失掉IP地址。

应答措施:

七、ARP诈骗

颁布虚伪的ARP reply信息,将客户信息疏导至“两边人”,从而成功数据嗅探。

应答措施:

八、IP地址诈骗

盗用IP地址,合法访问网络或混充他人发送攻打流量

应答措施:

九、针对替换机设施自身的攻打

截获CDP(明文)报文,失掉替换机治理地址,后续启动明码暴力破解;截获Telnet报文(明文),嗅探口令。失掉替换机治理权限后得心应手。

应答措施:

您可能还会对下面的文章感兴趣: