• 首先，防火牆或者路由器一般都是放在核心機房，核心機房物理安全得到最大的保障(非管理人員一般無法進出核心機房)
• 其次，接入交換機一般零散分布，提供終端用戶的接入(非管理人員都能比較輕易接觸到接入層交換機)

交換機層面可能涉及的攻擊形式以及防禦措施：

針對這麼多的攻擊形式，我們大緻可以分為四類：

• MAC Layer Attacks
• VLAN Attacks
• Spoofing Attacks
• Switch Device Attacks

一、VLAN跳躍攻擊

利用Trunk或Double Tag(native)實現從對其他VLAN的信息嗅探或攻擊

應對措施：

• 将空閑端口置為access模式(trunk off)，甚至shutdown;
• 修改Native VLAN，避免與在用VLAN相同。

二、STP欺騙攻擊

通過僞造錯誤的BPDU消息影響生成樹拓撲

應對措施：

(1) 在接主機或路由器的接口(access)配置bpdu guard，這類接口不應收到BPDU，如果收到則将接口置為error disable狀态。

接口下spanning-tree bpduguard enable

(2) 或在上述接口配置Root Guard，這類接口可以收到BPDU，但若是更優的BPDU，則接口置為error disable 狀态，避免根本改變。

接口下spanning-tree guard root

三、MAC欺騙攻擊

盜用他人MAC地址僞造攻擊，或非法接入網絡竊取信息

應對措施：

• 端口安全，設置某物理端口可以允許的合法MAC地址，将非法MAC地址發送的流量丢棄，甚至将接口err-disable
• 靜态添加CAM表項(MAC和端口、VLAN的綁定關系)

四、CAM/MAC泛洪攻擊

通過不斷僞造MAC地址并發送報文，促使交換機CAM表短時間内被垃圾MAC地址充斥，真實MAC被擠出，已知單播變未知單播，被迫泛洪，導緻數據被嗅探。

應對措施：

端口安全，限制端口可允許學習的最大MAC地址個數

五、DHCP服務器欺騙攻擊

通過非法DHCP服務器搶先為客戶分配地址，通過下發僞造的gateway地址，将客戶流量引導到“中間人”從而實現信息嗅探。

應對措施：

在三層交換機上配置DHCP Snooping，監聽DHCP消息，攔截非法DHCP服務器的地址分配報文。

六、DHCP饑餓(地址池耗盡)

不斷變換MAC地址，僞造DHCP請求消息，短時間内将DHCP服務器地址池中的地址消耗殆盡，導緻合法用戶無法獲取IP地址。

應對措施：

• 同樣使用端口安全技術，限制端口可允許學習的最大MAC地址個數，阻止攻擊者通過變換MAC地址的方式僞造DHCP請求報文。
• 針對不變換MAC，僅變換CHADDR的情況下，在啟用了DHCP Snooping技術的交換機配置DHCP限速，設定滿足常規地址獲取需求頻率的閥值，超出的情況下阻塞、隔離試圖異常獲取地址的端口。

七、ARP欺騙

發布虛假的ARP reply消息，将客戶消息引導至“中間人”，從而實現數據嗅探。

應對措施：

• 結合DHCP Snooping技術所記錄的合法地址綁定表(正常通過DHCP獲取的地址都在表中)，利用Dynamic ARP inspection(DAI)技術，判斷ARP reply内容是否合法，檢驗并丢棄非法ARP reply報文。
• 靜态添加ARP與IP的關聯表項(無需ARP request)

八、IP地址欺騙

盜用IP地址，非法訪問網絡或冒充他人發送攻擊流量

應對措施：

• 結合DHCP Snooping記錄的合法地址綁定表，利用IP Source Guard技術，判斷IP地址是否合法，檢驗并丢棄非法IP流量。
• 使用基于接口的ACL，在相關接口隻僅允許合法IP地址流量(deny非法IP)

九、針對交換機設備本身的攻擊

截獲CDP(明文)報文，獲取交換機管理地址，後續進行密碼暴力破解;截獲Telnet報文(明文)，嗅探口令。獲取交換機管理權限後為所欲為。

應對措施：

• 在不必要的接口關閉CDP消息
• 重要設備盡可能不使用Telnet協議，轉而使用加密傳輸的SSH協議登陸管理設備。由于SSH v1有衆所周知的安全漏洞，建議采用v2。

關注學識電腦科技，了解更多~~~

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!