连替换机的攻打 还做什么网络工程师 进攻都疑问
为什么须要关注替换机安保 ???
这个图关键是说,防火墙、路由器、替换机普通区分放在边界或许DMZ、外围和散布层、接入层;
这些设施外面,为什么替换机最不足安保性呢?
替换机层面或许触及的攻打方式以及进攻措施:
针对这么多的攻打方式,咱们大抵可以分为四类:
一、VLAN腾跃攻打
应用Trunk或Double Tag(native)成功从对其余VLAN的信息嗅探或攻打
应答措施:
二、STP诈骗攻打
经过伪造失误的BPDU信息影响生成树拓扑
应答措施:
(1) 在接主机或路由器的接口(access)性能bpdu guard,这类接口不应收到BPDU,假设收到则将接口置为error disable形态。
接口下spanning-tree bpduguard enable
(2) 或在上述接口性能Root Guard,这类接口可以收到BPDU,但若是更优的BPDU,则接口置为error disable 形态,防止根桥扭转。
接口下spanning-tree guard root
三、MAC诈骗攻打
盗用他人MAC地址伪造攻打,或合法接入网络窃取信息
应答措施:
四、CAM/MAC泛洪攻打
经过始终伪造MAC地址并发送报文,促使替换机CAM表短期间内被渣滓MAC地址充满,实在MAC被挤出,已知单播变未知单播,自愿泛洪,造成数据被嗅探。
应答措施:
端口安保,限度端口可准许学习的最大MAC地址个数
五、DHCP主机诈骗攻打
经过合法DHCP主机当先为客户调配地址,经过下发伪造的gateway地址,将客户流量疏导到“两边人”从而成功信息嗅探。
应答措施:
在三层替换机上性能DHCP Snooping,监听DHCP信息,阻拦合法DHCP主机的地址调配报文。
六、DHCP饥饿(地址池耗尽)
始终变换MAC地址,伪造DHCP恳求信息,短期间内将DHCP主机地址池中的地址消耗殆尽,造成合法用户不可失掉IP地址。
应答措施:
七、ARP诈骗
颁布虚伪的ARP reply信息,将客户信息疏导至“两边人”,从而成功数据嗅探。
应答措施:
八、IP地址诈骗
盗用IP地址,合法访问网络或混充他人发送攻打流量
应答措施:
九、针对替换机设施自身的攻打
截获CDP(明文)报文,失掉替换机治理地址,后续启动明码暴力破解;截获Telnet报文(明文),嗅探口令。失掉替换机治理权限后得心应手。
应答措施: