• 起首，连交流机健身操淮南防火墙或路由器一样深刻都是网管放在中心计心境房，中心计心境房物理安然取得最大年夜的交流机需击包管(非管理人员一样深刻没法进出中心计心境房)
• 其次，接入交流机一样深刻系统散布，设置供应终端用户的才干接入(非管理人员都能比拟随便接触到接入层交流机)

交流机层面能够触及的进击情势和进攻方法：

针对这么多的进击情势，我们大年夜致可以分为四类：

• MAC Layer Attacks
• VLAN Attacks
• Spoofing Attacks
• Switch Device Attacks

1、运用VLAN腾跃进击

运用Trunk或Double Tag(native)完成从对其他VLAN的连交流机信息嗅探或进击

应对方法：

• 将余暇端口置为access形式(trunk off)，甚至shutdown;
• 改削Native VLAN，网管幸免与在用VLAN相同。交流机需击

二、设置STP诈骗进击

经由进程假造缺陷的BPDU音讯影响生成树拓扑

应对方法：

(1) 在接主机或路由器的接口(access)设置bpdu guard，这类接口不该收到BPDU，假设收到则将接口置为error disable状况。

接口下spanning-tree bpduguard enable

(2) 或在上述接口设置Root Guard，这类接口可以收到BPDU，但假设更优的华西健身操BPDU，则接口置为error disable 状况，幸免基本改动。

接口下spanning-tree guard root

3、MAC诈骗进击

盗用他人MAC地址假造进击，或不法接入搜集窃守信息

应对方法：

• 端口安然，设置某物理端口可以准许的合法MAC地址，将不法MAC地址发送的流量丢弃，甚至将接口err-disable
• 静态添加CAM表项(MAC和端口、VLAN的绑定关系)

4、CAM/MAC泛洪进击

经由进程赓续假造MAC地址并发送报文，当红健身操促使交流机CAM表短时辰内被渣滓MAC地址充满，真实MAC被挤出，已知单播变未知单播，自愿泛洪，招致数据被嗅探。

应对方法：

端口安然，限制端口可准许进修的最大年夜MAC地址个数

5、DHCP办事器诈骗进击

经由进程不法DHCP办事器抢先为客户分派地址，经由进程下发假造的gateway地址，将客户流量引导到“中心人”从而完成信息嗅探。爱辉健身操

应对方法：

在三层交流机上设置DHCP Snooping，监听DHCP音讯，阻拦不法DHCP办事器的地址分派报文。

六、DHCP饥饿(地址池耗尽)

赓续变换MAC地址，假造DHCP乞求音讯，短时辰内将DHCP办事器地址池中的地址消耗殆尽，招致合法用户没法猎取IP地址。

应对方法：

• 一样运用端口安然技艺，限制端口可准许进修的确山健身操最大年夜MAC地址个数，截止进击者经由进程变换MAC地址的方法假造DHCP乞求报文。
• 针对不变换MAC，仅变换CHADDR的状况下，在启用了DHCP Snooping技艺的交流机设置DHCP限速，设定知足惯例地址猎取需求频率的阀值，超出的状况下壅塞、隔离试图异常猎取地址的端口。

7、ARP诈骗

宣布虚伪的ARP reply音讯，将客户音讯引导至“中心人”，从而完成数据嗅探。

应对方法：

• 结合DHCP Snooping技艺所记载的合法地址绑定表(正常经由进程DHCP猎取的地址都在表中)，运用Dynamic ARP inspection(DAI)技艺，剖断ARP reply内容是不是合法，考验并丢弃不法ARP reply报文。
• 静态添加ARP与IP的接洽关系表项(无需ARP request)

8、IP地址诈骗

盗用IP地址，不法访问搜集或伪装他人发送进击流量

应对方法：

• 结合DHCP Snooping记载的合法地址绑定表，运用IP Source Guard技艺，剖断IP地址是不是合法，考验并丢弃不法IP流量。
• 运用基于接口的ACL，在相关接口只仅准许合法IP地址流量(deny不法IP)

九、针对交流机设备自身的进击

截获CDP(明文)报文，猎取交流机管理地址，后续停止暗码暴力破解;截获Telnet报文(明文)，嗅探口令。猎取交流机管理权限后为所欲为。

应对方法：

• 在不需要的接口封锁CDP音讯
• 重要设备尽能够不该用Telnet协议，转而运用加密传输的SSH协议上岸管理设备。由于SSH v1有尽人皆知的安然马脚，建议采取v2。

存眷学问电脑科技，懂得更多~~~

免责声明：本文仅代表文章作者的小我不雅点，与本站有关。其原创性、真实性和文中陈说文字和内容未经本站证明，对本文和个中扫数或局部外容文字的真实性、完全性和原创性本站不作任何包管或承诺，请读者仅作参考，并自行核实相关内容。