局域网安全-生成树攻击-ARP攻击-MAC攻击-VTP攻击-动态VLAN的攻击
一、MAC layer attacks
1.CAM表的OVERLOAD 第三方设备不断发送变化的MAC地址,填满CAM表,对于后来合法的MAC地址不能学习到从而泛洪,这时攻击者将学习到合法者的数据包。
2.MAC地址的SPOOFING 攻击者模拟合法用户的MAC地址。
解决方案:
1、基于源MAC地址允许流量:端口安全
2、基于源MAC地址限制流量:static CAM
3、阻止未知的单/组播帧
4、802.1x基于端口的认证
二、VLAN attacks
有些报告称,某些交换机在高流量负载下会发生VLAN间数据泄露-不现实
可行的攻击方法:
1.DTP滥用(VLAN攻击的基础)
用主机发送on模式或者DES模式的的DTP报文,使得成为Trunk链路,这样其他用户的数据就可以发送过来了,也可以发送出去了
攻击软件:Yersinia,sniffer pro
2.DOT1Q攻击和ISL攻击(单向)
用主机发送双TAG,但里面的必须是Native VLAN的帧,也就是说网络里面的Native VLAN必须和攻击者相同
3.用PVLAN跳跃攻击
对ISL也有效,二层交换机不关心IP地址,路由器一般也不会做MAC的过滤
通过PVLAN隔离的主机仍然使用共同的网关,发送这样一种数据包,源MAC及IP地址有效,但目的MAC替换成网关路由器的MAC地址,那么交换机将转发此数据包到路由器上,而路由器查看其IP地址,将其定向到目标上,数据包的源MAC地址会被路由器的MAC地址替换掉,又一次单向攻击
4.VTP攻击
大多数网络管理员没有设置MD5认证,先用DTP攻击,然后设置高修订号的VTP消息即可
5.动态VLAN的攻击(使用VLAN查询协议VQP攻击)
6.绕过VLAN分段进行迂回攻击
使用CST时,所有VLAN的流量都会通过根桥
解决方案:1、switch mode access 但是依然接受带标记的帧
2、VACL
3、PVLAN
三、生成树攻击
1.插入恶意根网桥
让自己的主机成为根桥,使得局域网流量流向自己,又分为单宿主和多宿主两种方式
2.在无需成为根的条件下修改流量路径
通过更改链路的COST,导致STP重新收敛,使流量流向自己
3.重算STP及数据嗅探
发TCN报文,导致STP重新收敛,而且所有交换机的MAC地址老化时间变成15S,并且MAC地址清空,这样就可以收到所有流量,比如说此时进行MAC泛洪,这样每台交换机都成了HUB了,嘿嘿
4.STP DoS攻击
目的:主要是阻断网络,而不是使网络停止工作
比如说,使得去往IDS和IPS的流量减少,隐藏自己的踪迹
或者切分网络,就是有2个一模一样的根网桥
后果,没完没了的根网桥选举或根网桥失踪
做法:泛洪TC BPDU和TCN,并且可以将max-age设到最小值来使根网桥失踪
使用工具:STP-SPOOF,Yersinia
用Yersinia不断的发送TC和TCN的BPDU即可
解决方案:1.Portfast
2.BPDU保护
3.BPDU过滤
4.根保护
四、spoof attacks
1、DHCP spoof
流氓DHCP服务器,设置网关为自己,骗取客户的流量
解决方案:DHCP snooping
2、IP spoof
伪造别人使用的合法IP地址,来使用网络
解决方案:IP 源防护
3、ARP spoof
对路由器的ARP欺骗
对PC的ARP欺骗
欺骗方式:一种是欺骗主机作为“中间人”,定期发送无故ARP,被欺骗主机的数据都经过它中转一次,这样欺骗主机可以窃取到被它欺骗的主机之间的通讯数据;另一种让被欺骗主机直接断网。
解决方案:1、由网关等设备或者软件定期发送正确的ARP信息(没啥用)
2、静态绑定ARP条目,在网关和PC上双向绑定
3、DAI(彻底解决)
五、attacks on switch devices
1、关闭CDP
2、限制广播/组播流量
3、为交换机设置登录密码
4、使用SSH实现安全的登录