交换机防范欺骗攻击

恶意用户可能会发送伪造的信息,骗取交换机或主机将不可靠的机器作为网关。攻击者的目标是成为中间人,让无判断的用户将其作为路由器,向其发送分组,这样攻击者可以在将发送给他的分组正常转发前,收集其中的信息。

1)DHCP探测

假定攻击者在客户PC所在的子网的一台机器上运行伪造的DHCP服务器。当客户广播其DHCP请求时,伪造服务器将发送精心伪造的DHCP应答,将其IP地址作为默认网关。

客户收到应答后,将开始使用伪造的网关地址。前往子网外的分组将首先经过攻击者的机器。攻击者可能将分组转发到正确的目的地,但同时可能查看其拦截的每个分组。

Cisco Catalyst 交换机可以使用DHCP探测功能,帮助防范这种攻击。DHCP 探测被启用时,交换机端口被分为可信任和不可信任两种。合法的DHCP服务器位于可信任端口上,而其他所有主机位于不可信任端口上。

交换机拦截来自不可信任端口的所有DHCP请求,然后向整个 VLAN 泛洪。任何来自不可信任端口的DHCP 应答都将被丢弃,因为他们肯定来自伪造的DHCP服务器。同时,相应的交换机端口将自动关闭,进入 errdsable 状态。

DHCP 探测的配置如下:

1.启用 DHCP 探测。

switch(config)#ip dhcp snooping

2.指定要实现 DHCP 探测的 VLAN 。

switch(config)#ip dhcp snooping  vlan  vlan-id  [vlan-id]

在该命令中,可指定单个VLAN 号,也可以指定 VLAN 号范围。

3.配置端口信任。

默认情况下,所有交换机端口都被视为不可信任的,因此不期望或允许 DHCP 应答。只有可信任端口被允许发送 SHCP 应答,因此应将已知 DHCP 服务器所在的端口指定为可信的。

switch(config)#interface type mode/num
switch(config-if)#ip dhcp snooping trust

对于不可信任端口,可以限制 DHCP 请求的分组速率。

switch(config)#ip dhcp snooping rate rate

其中,rate 的取值范围为1~2048 DHCP 分组 /秒

4.显示 DHCP 探测的状态

switch(config)#sh ip dhcp snooping

2)源 IP 地址防护

Cisco Catalyst 交换机能够使用源 IP 地址防护来检并挫败地址伪造攻击,即使攻击是在伪造地址所属的了网中发起的。二层交换机通常会获悉并存储 MAC 地址,交换机必须采取某种方式查阅 MAC 地址,并确定与之相关的 IP 地址。

源IP 地址防护通过使用 DHCP 欺骗数据库以及静态源 IP 地址绑定项来完成这项工作。如果配置并启用了 DHCP 欺骗,交换机就将获得使用 DHCP 主机的 MAC 地址和 IP 地址。分组到达交换机端口后,可以检测它是否符合下述条件之一。

  • 源 IP 地址是否与 DHCP 欺骗获悉的或静态项指出的 IP 地址相同。使用一个动态端口ACL 来过滤数据流。,交换机自动创建该 ACL ,将获悉的 IP 地址加入其中,并将其应用于获悉该地址的接口。
  • 源 MAC 必须与交换机端口和 DHCP 欺骗获悉的 MAC 相同。使用端口安全性来过滤数据流。

如果地址不同于获悉或动态配置的地址,交换机就将分组丢弃。

配置过程如下:

1地址获取。

要配置源 IP 地址防护,首先需要配置并启用 DHCP 欺骗。

对于不使用 DHCP 的主机,需要配置静态的源 IP 地址绑定:

switch(config)ip source bingding mac-address  vlan vlan-id ip-address interface  type/num

2启用源 IP 地址防护。

switch(config)#interface type mode/num
switch(config-if)#ip verify source [port-security]

3查看运行情况

switch#show ip verity source [ interface type/num ]

如果要查看源 IP 地址绑定数据库中的信息(动态获悉或静态配置的),命令如下:

switch#show ip source bingding [ip-address] [mac-address ] [dhcp-snooping | static] [interface type mode/num] [vlan vlan-id]

3)动态ARP检测

动态 ARP 检测(DAI)可用来验证网络中的 ARP 包,会拦截、记录并丢弃带有无效 IP-MAC 地址映射的 ARP 包,可以保护网络免受中间人攻击的影响。动态 ARP 检测课确保只允许有效的 ARP 请求和回应被转发。

配置步骤为:

1在一个或多客户VLAN 上启用:

switch(config)#ip arp inspection vlan vlan-range

在该命令中,可指定单个 VLAN ID ,用连字符分隔的 VLAN ID 范围或用逗号分隔的 VLAN ID 列表。

2将端口指定为可信。

switch(config)#interface type mod/num
switch(config-if)#ip arp inspection trust

3验证配置

switch#show ip arp inspection vlan vlan-id

  

  

  

  

原文地址:https://www.cnblogs.com/RzCong/p/6263601.html

时间: 2024-11-10 07:27:24

交换机防范欺骗攻击的相关文章

88、交换机安全欺骗攻击配置实验之DHCP Snooping

1.DHCP Snooping解析 开启DHCP Snooping后,默认所有的端口都为untrusted接口. untrusted接口:可以接收Discovery消息,但当收到Offer消息后,会直接Drop掉,不发任何DHCP消息. trusted接口:收发任何dhcp消息.一般将上行端口和连接可信任DHCP服务器的端口设为trusted接口. 2.实验拓扑 3.基础配置 IOU3配置 no ip routing ip dhcp pool pool3 network 3.3.3.0 255.

交换机防范典型的欺骗和二层攻击

1. MAC/CAM攻击的防范 1.1MAC/CAM攻击的原理和危害 1.2典型的病毒利用MAC/CAM攻击案例 1.3使用 Port Security feature 防范MAC/CAM攻击 1.4配置 1.5使用 其它技术 防范MAC/CAM攻击 2. DHCP攻击的防范     2.1采用DHCP管理的常见问题: 2.2DHCP Snooping技术概况 2.3基本防范 2.4高级防范 3. ARP欺骗/ MITM(Man-In-The-Middle)攻击原理和防范     3.1 MIT

协议欺骗攻击及其防范措施

许多应用程序认为若数据包可以使其自身沿着路由到达目的地,并且应答包也可回到源地,那么源IP地址一定是有效的,而这正是使源IP地址欺骗攻击成为可能的一个重要前提. 假设同一网段内有两台主机A和B,另一网段内有主机X.B 授予A某些特权.X 为获得与A相同的特权,所做欺骗攻击如下:首先,X冒充A,向主机 B发送一个带有随机序列号的SYN包.主机B响应,回送一个应答包给A,该应答号等于原序列号加1. 然而,此时主机A已被主机X利用拒绝服务攻击 "淹没"了,导致主机A服务失效.结果,主机A将B

协议欺骗攻击技术常见种类简析及防范

IP欺骗攻击 IP欺骗技术就是通过伪造某台主机的IP地址骗取特权从而进行攻击的技术.许多应用程序认为如果数据包能够使其自身沿着路由到达目的地,而且应答包也可以回到源地,那么源IP地址一定是有效的,而这正是使源IP地址欺骗攻击成为可能的前提. 假 设同一网段内有两台主机A.B,另一网段内有主机X.B 授予A某些特权.X 为获得与A相同的特权,所做欺骗攻击如下:首先,X冒充A,向主机 B发送一个带有随机序列号的SYN包.主机B响应,回送一个应答包给A,该应答号等于原序 列号加1.然而,此时主机A已被

DNS域欺骗攻击详细教程之Linux篇

.DNS域欺骗攻击原理 DNS欺骗即域名信息欺骗是最常见的DNS安全问题.当一 个DNS服务器掉入陷阱,使用了来自一个恶意DNS服务器的错误信息,那么该DNS服务器就被欺骗了.DNS欺骗会使那些易受攻击的DNS服务器产生许多 安全问题,例如:将用户引导到错误的互联网站点,或者发送一个电子邮件到一个未经授权的邮件服务器. 二.DNS域欺骗攻击实现步骤 1.配置实验环境: 2.假设攻击者已经侵入受害者机器实施攻击: 3.使用嗅探进行DNS ID欺骗: 4.DNS通配符攻击. 我们需要像图1那样设置实

XSS 防范XSS 攻击的措施

首先看看跨站脚本漏洞的成因,所谓跨站脚本漏洞其实就是Html的注入问题,恶意用户的输入没有经过严格的控制进入了数据库最终显示给来访的用户,导致可以在来访用户的浏览器里以浏览用户的身份执行HTml代码,数据流程如下: 恶意用户的Html输入————>web程序————>进入数据库————>web程序————>用户浏览器 这里给出一些防范XSS 攻击的措施.必须说明的是,对于XSS 攻击,并不像SQL Injection 那样可以有一劳永逸的解决方案——只需要grep 一下所有的sql

CC攻击原理及防范方法和如何防范CC攻击

一. CC攻击的原理: CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃.CC主要是用来消耗服务器资源的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止. 二.CC攻击的种类:  CC攻击的种类有三种,直接攻

Web 缓存欺骗攻击技术详解

你是否曾想过你只需要访问如:https://www.paypal.com/myaccount/home/stylesheet.css或https://www.paypal.com/myaccount/settings/notifications/logo.png这样的链接就可能会泄露你的敏感数据,甚至允许攻击者控制你的帐户? Web缓存欺骗是一种新的Web攻击向量,这种攻击技术的出现使得多种Web缓存技术和框架面临风险. Web缓存和服务器反应的一点介绍 很多网站通常都倾向于使用web缓存功能(

Spring3.x通过配置来防范csrf攻击

1. [代码]CsrfTokenManager 用于管理csrfToken相关 ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 packagecom.uncle5.pubrub.web.common; importjava.util.UUID; importjavax.servlet.http.HttpServletRequest;