1. MAC Flood
配置端口安全,对端口可学习到的MAC地址数量进行限制
2. STP中的抢根及DoS攻击
抢根可用root guard来解决,DoS可用BPDU guard来解决
3. VLAN跳跃攻击(Double Tagging,DTP协商)
——关闭所有不使用的接口
——将除trunk接口之外的接口明确设置为access模式
——将所有未使用的接口分到一个不使用的vlan中
——关闭CDP:no cdp
——关闭trunk协商:swithport nonegotiate
——设置trunk放行的VLAN,精确匹配:swithport trunk allowed vlan [add]
——将native vlan设置为一个不使用的vlan,即native vlan中不放任何接口
4. DHCP中的DoS攻击和中间人攻击
用DHCP Snooping技术,对交换机的端口进行信任与否的划分,将除DHCP服务器所在端口之外的端口设为非信任端口,以此防止攻击者架设虚假DHCP服务器,造成中间人攻击。再对各端口单位时间内可收到的DHCP申请数量进行控制,防止DHCP饥饿攻击。
5. ARP欺骗造成的DoS攻击和中间人攻击
用ARP审查技术,划分端口为信任端口或非信任端口,丢弃非信任端口连接的设备发送的ARP数据包,以此防止中间人攻击,限制各个端口在单位时间内向外发送的ARP数据包数量,以此防止DoS攻击。
6. 源地址欺骗攻击(IP、MAC)
用IP source guard技术,将接入端口进来的数据包的源IP地址和源MAC地址跟DHCP Snooping binding表进行比对,一致则转发,不一致则丢弃。
7. 控制平面中的DoS攻击
用CoPP技术对控制平面的流量进行限速,防止DoS攻击,并对各端口可接收到的不同控制流量进行细分,防止接收到意外的控制流量。
如果对局域网进行加固,应从以下几点考虑:
1.物理安全:对机房进行严格监管,网线排布注意被破坏
2.对接入用户进行控制,对每个用户的权限进行细分,同时做好审计(802.1x)
3.对以上交换机中可能存在的攻击进行加固