CISP-08-通信与网络安全基础(原版).ppt

通信与网络安全基础 议题 一 OSI模型和TCP IP协议簇 OSI七层模型 Physical Network Transport Session Presentation Application DataLink Application Upper Layers DataFlowLayers OSI七层模型 物理层 Layer1物理层定义物理链路的电气 机械 通信规程 功能要求等 电压 数据速率 最大传输距离 物理连接器 线缆 物理介质 将比特流转换成电压 物理层设备Repeater Hub Multiplexers NIC 物理层协议100BaseT OC 3 OC 12 DS1 DS3 E1 E3 Physical Network Transport Session Presentation Application DataLink OSI七层模型 数据链路层 Layer2数据链路层物理寻址 网络拓扑 线路规章等 错误检测和通告 但不纠错 将比特聚成帧进行传输 流量控制 可选 数据链路层设备网桥和交换机 数据链路层协议PPP HDLC F R Ethernet TokenRing FDDI ISDN ARP RARP L2TP PPTP Physical Network Transport Session Presentation Application DataLink OSI七层模型 数据链路层 两个子层MAC MediaAccessControl 物理地址 烧录到网卡ROM 48比特 唯一性 LLC LogicalLinkControl 为上层提供统一接口 使上层独立于下层物理介质 提供流控 排序等服务 Physical Network Transport Session Presentation Application DataLink OSI七层模型 网络层 Layer3网络层逻辑寻址 路径选择 网络问题管理 如拥塞 MTU 网络层设备路由器 三层交换机 网络层协议IP IPX RIP OSPF EIGRP IS IS ICMP Physical Network Transport Session Presentation Application DataLink OSI七层模型 传输层 Layer4传输层端到端数据传输服务 建立逻辑连接 传输层协议TCP TransmissionControlProtocol 状态协议 按序传输 纠错和重传机制 Socket UDP UserDatagramProtocol 无状态协议 SPX Physical Network Transport Session Presentation Application DataLink OSI七层模型 会话层 Layer5会话层不同应用的数据隔离 会话建立 维持 终止 同步服务 名称标识和识别 会话控制 单向或双向 会话层协议NFS SQL RPC SSL TLS SSH Physical Network Transport Session Presentation Application DataLink OSI七层模型 表示层 Layer6表示层数据格式表示 协议转换 字符转换 数据加密 解密 数据压缩等 表示层数据格式ASCII MPEG TIFF GIF JPEG Physical Network Transport Session Presentation Application DataLink OSI七层模型 应用层 Layer7应用层应用接口 网络访问流处理 流控 错误恢复 应用层协议FTP Telnet HTTP SNMP SMTP DNS Physical Network Transport Session Presentation Application DataLink 数据封装 Physical Network Transport Session Presentation Application DataLink UpperLayerData UpperLayerData TCPHeader Data IPHeader Data LLCHeader 0101110101001000010 Data MACHeader Segment Packet Bits Frame PDU 数据解封装 Physical Network Transport Session Presentation Application DataLink UpperLayerData LLCHdr IP TCP UpperLayerData MACHeader IP TCP UpperLayerData LLCHeader TCP UpperLayerData IPHeader UpperLayerData TCPHeader 0101110101001000010 OSI定义的安全服务 认证 访问控制 数据机密性 数据完整性 抗抵赖 OSI定义的安全机制 加密 数字签名 访问控制 数据完整性 认证 流量填充 路由控制 公证 notarization TCP IP协议簇模型 Physical Network Transport Session Presentation Application DataLink NetworkAccess Internet Host to host Application TCP IP协议簇主要协议 IP包头 IP包头版本号 IP包头协议字段值 字段值8比特 定义上层协议的类型1ICMP2IGMP国际胡连网组管理协议6TCP17UDP88IGRP国际胡连网网关路由协议 CISCO私有 89OSPF IP地址 A类 1 126 B类 128 191 C类 192 223 D类 224 239 E类 240 254 RFC1918 TCP和UDP报头 UDP报头 TCP报头 二 通信和网络技术 局域网 LAN 特点高数据传输率 短距离 低误码率 线缆光纤 FiberOptic 非屏蔽双绞线 UnshieldedTwistedPair UTP 屏蔽双绞线 ShieldedTwistedPair STP 同轴电缆 CoaxialCable 介质 以太网 令牌环 FDDI 拓扑 总线 星形 环形 网状 同轴电缆 CoaxialCable 构成Copperconductor Shieldinglayer Groundingwire Outerjacket 类型50ohm 以太网 75ohm 视频 规范10Base2 thinnet 10Mbs Baseband 185meters 10Base5 thicknet 500meters 双绞线 TwistedPair 构成多对铜线 Outerjacket 类型UTP UnshieldedTwistedPair STP ShieldedTwistedPair 主要的UTP类型 需要高速传输的网络部署 1000Mbps Cat7 需要高速传输的网络部署 155Mbps Cat6 100BaseTX FDDI 100Mbps Cat5 16MbpsTokenRing 16Mbps Cat4 10BaseT TokenRing 10Mbps 以太网 和4Mbps 令牌环 Cat3 IBM3270 AS 400 4Mbps Cat2 模拟话音 不适合数据传输 低于1Mhz Cat1 主要用途 传输速率 UTP类型 光纤 FiberOptics 构成Core Cladding Buffercoating Outerjacket 类型单模 9micron 多模 62 5micron 光源激光 Laser 发光二极管 LED 以太网 IEEE802 3 广播介质 一人说 众人听 载波监听多路访问 冲突检测CSMA CD CarrierSenseMultipleAccesswithCollisionDetect 冲突域封装EthernetIEEE802 3Ethernet FastEthernetandGigabitEthernet 主要的以太网类型 Physical DataLink MAClayer Ethernet 100baseTX 10BaseT 802 3 10Base5 10Base2 100baseFX 802 3Specificationsfor10MBEthernet 802 3uSpecificationsfor100MB Fast Ethernet 100baseT4 10BaseF DIXStandard 1000baseT 802 3abSpecificationsforGigabitEthernet 主要以太网类型比较 令牌环 IEEE802 5 广播介质令牌Onepersontalksatatime自愈和管理ActivemonitorUpstream downstreamnotificationBeaconingTokenRing FastTokenRing FDDI ANSIX3T9 5 广播介质令牌 Onepersontalksatatime 自愈和管理DualRingSMT 物理拓扑 总线 Bus Ethernet 星形 Star Ethernet 逻辑上是总线 TokenRing 逻辑上是环形 环形 Ring FDDI 网状 Mesh Internet 广域网连接特征 广域网连接类型 专用电路交换 按需电路交换 包交换 虚电路 宽带接入 专用电路交换连接 CSU DSU EIA TIA 232 EIA TIA 449 V 35 X 21 EIA 530 专线 CSU DSU CSU DS0toT1 E1throughT3 E3 TDM电路 CSU 各种串口连接器 Routerconnections NetworkconnectionsattheCSU DSU EIA TIA 232 EIA TIA 449 EIA 530 V 35 X 21 CSU DSU Enduserdevice DTE DCE Serviceprovider 按需电路交换连接 异步Modem拨号 ISDNBRI和ISDNPRI 电路的建立 持续和拆除机制 只有流量传输时才建立连接 PSTN ISDN连接 包交换 建立虚链路 统计复用带宽 宽带接入 广域网速率 广域网速率 40Gbps OC 768 13 271Gbps OC 256 4032E1s或64E4s 5376DS 1或192DS 3s STM 64 10Gbps OC 192 STS 192 1008E1s或16E4s 1344DS 1或48DS 3s STM 16 2 488Gbps OC 48 STS 48 252E1s或4E4s 336DS 1或12DS 3s STM 4 622 08Mbps OC 12 STS 12 63E1s或1E4 84DS 1或3DS 3s STM 1 155 52Mbps OC 3 STS 3 21E1s 28DS 1或1DS 3 STM 0 51 84Mbps OC 1 STS 1 SDH容量 SONET容量 SDH信号 比特率 SONET信号 SDLC HDLC PPP IBM发明SDLC IEEE制定HDLC标准 IETF制定PPP标准 非广播介质点到点 点到多点 SynchronousorAsynchronousPhysicalMedia LinkControlProtocol Authentication otheroptions NetworkControlProtocol PPP DataLinkLayer PhysicalLayer NetworkLayer IPCP IPXCP ManyOthers IP IPX Layer3Protocols PPP协议构件 PPP Adatalinkwithnetwork layerservices FrameRelay 非广播介质点到点 点到多点 拥塞避免FECN BECN DE FrameRelay流量整形 Time Seconds 1 MaxBe KilobytesSent Bc DE Domain CIR MIR LineRate ATM AsynchronousTransferMode 非广播介质点到点 点到多点 53字节信元 ATM信元 GFCGenericFlowControlUNICellsOnly VPI VCIIdentifiesVirtualPathsandChannelsPTIPayloadTypeIdentifier3Bits 1 User ControlData2 Congestion3 LastCellCLPCellLossPriorityBitHECHeaderErrorCheck8BitCRC ISDN 56 64kbps56 64kbps16kbps 144kbps 2BD BRI T11 544MbpsorE12 048Mbps includessync 23B T1 or30B E1 D 64kbpseach64kbps PRI ISDN协议层 Layer3 LAPD Q 921 DChannel BChannel I 430 I 431 ANSIT1 601 HDLC PPP FR LAPB Layer1 Layer2 DSS1 Q 931 IP IPX xDSL DSL服务 数据最大下行 上行速率 bps 是否支持模拟话音 最大距离 km Feet VDSL VeryHighBit RateDSL 25M 1 6Mor8M 8M Yes 0 9 3 000 ADSL AsymmetricDSL 7M 1M Yes 5 5 18 000 HDSL HighBitRateDSL 1 5M 2 0M 1 5M 2 0M No 4 6 15 000 SDSL SymmetricDSL 784K 784K No 6 9 22 000 IDSL ISDNDSL 144K 144K No 5 5 18 000 ISDN 128K 128K 铜缆对数 1 1 2 1 1 1 No 5 5 18 000 有关概念的区分 模拟信号Vs 数字信号 同步通信Vs 异步通信 基带传输Vs 宽带传输 单播 组播 广播 Server Router Unicast Server Router Multicast Unicastvs Multicast 二 互联网技术与服务 集线器 Hub A B C D 物理层设备 同一冲突域 同一广播域 数据链路层设备 每一端口单独的冲突域 同一广播域 网桥和交换机 OR 1 2 3 1 2 交换机 EachsegmenthasitsowncollisiondomainBroadcastsareforwardedtoallsegments Memory Switch 路由器 网络层设备 广播控制 最优路径选择 逻辑寻址 流量管理 广播域和冲突域 Hub Bridge Switch Router 冲突域 1444 广播域 1114 路由协议 内部网关协议 IGP RIP RIPv2 IGRP EIGRP OSPF IS IS 外部网关协议 EGP BGP 路由协议 距离向量协议 DV RIP RIPv2 IGRP EIGRP 链路状态协议 LS OSPF IS IS 路径向量协议 PV BGP 路由协议 有类路由协议 Classful RIP IGRP 无类路由协议 Classless RIPv2 EIGRP OSPF IS IS BGP 距离向量协议比较 特征RIPv1RIPv2IGRPEIGRPCounttoinfinityXXXSplithorizonXXXXHold downtimerXXXTriggeredupdateswithroutepoisoningXXXXLoadbalancing EqualpathsXXXXLoadbalancing UnequalpathsXXVLSMsupportXXRoutingalgorithmB FB FB FDUALMetricHopsHopsCompCompHopcountlimit1616100100ScalabilityMedMedLargeLarge 链路状态协议比较 特征OSPFIS ISEIGRPHierarchicaltopology RequiredXXRetainsknowledgeofallpossibleroutesXXXRoutesummarization ManualXXXRoutesummarization AutomaticXEvent triggeredannouncementsXXXLoadbalancing EqualpathsXXXLoadbalancing UnequalpathsXVLSMsupportXXXRoutingalgorithmDijkstraIS ISDUALMetricCostCostCompHopcountlimit2001024100ScalabilityLargeVryLgLarge 路由协议比较 特征RIPv1RIPv2IGRPEIGRPOSPFDistancevectorXXXXLink stateXClassful autoroutesumm XXXXClassless VLSMsupport XXXProprietaryXXScalabilitySmallSmallMed LargeLargeConvergencetimeSlowSlowSlowFastFast EIGRPisanadvanceddistancevectorprotocol IPv6 IPv4Header IPv6Header Field snamekeptfromIPv4toIPv6FieldsnotkeptinIPv6NameandpositionchangedinIPv6NewfieldinIPv6 Legend 无线技术 PAN PersonalAreaNetwork LAN LocalAreaNetwork WAN WideAreaNetwork MAN MetropolitanAreaNetwork IEEE802 11汇总 Authentication你是谁 Authorization你被允许做什么 Accounting你做了什么 认证发生在主体与认证服务器或主体与认证服务器代理之间 希望认证协议具有信任凭证易于管理 抵御窃听和中间人攻击 抗抵赖 认证可以单向或双向 认证 认证协议 PAPCHAPEAP802 1xKerberos AccessBootcamp 74 RemoteRouter SantaCruz Central SiteRouter HQ IOSConfiguration Hostname SantacruzPassword Boardwalk LocalDatabase UsernameSantacruzPasswordBoardwalk 2 WayHandshake SantaCruz Boardwalk PAP 口令以明文方式传输 由客户端发起 一次会话只进行一次认证 Accept Reject AccessBootcamp 75 ResponseW MD5Hash CHAP 口令从不在线路上传输 由Challenger发起 一次连接发生多次认证 ChallengeW key 3 WayHandshake RemoteRouter SantaCruz Central SiteRouter HQ IOSConfiguration Hostname SantacruzLocalDatabaseUsernameSantacruzPassword Boardwalk LocalDatabase UsernameSantacruzPasswordBoardwalk Accept Reject EAP ExtensibleAuthenticationProtocol本身并不是认证方法 而是一个较为灵活的用以承载认证信息的传输协议 支持challenge response one timepasswords certificates tickets 出发点是降低系统间的复杂关系 提供更加安全的认证方法 通常直接运行在数据链路层 如PPP或IEEE802介质 在终端和认证服务器之间代理认证 传统PPPCHAP认证 NAS翻译功能 拨号客户端和NAS之间运行PPPCHAP NAS将LCP认证消息翻译为RADIUSAccessRequest消息 ACS的AccessChallenge消息被翻译为CHAPchallenge 客户端的响应再一次被翻译为RADIUSAccessRequest消息 ACS向NAS发出认证通过或失败的应答消息 PPPEAP MD5认证 NAS代理功能EAP认证请求通过封装到RADIUS消息中转发给ACS ACSChallenge被转发给客户端 响应消息再一次被转发给ACS ACS向NAS发出认证通过或失败的应答消息 802 1xAuthentication IEEE标准 定义在共享介质中 如Ethernet WLAN 提供二层认证服务 类似于PPP中提供认证服务的LCP 802 1x在客户端和认证代理 如以太网交换机 无线AP 之间进行EAP认证信息的封装 RADIUS在认证代理和认证服务器之间进行EAP信息的封装 Authentication在客户端和认证服务器之间进行 EAP Authorizationandaccounting在认证代理和认证服务器之间进行 RADIUS 802 1x端口访问控制模型 RequestforService Connectivity BackendAuthenticationSupport IdentityStoreIntegration SupplicantDesktop laptopIPphoneWLANAPSwitch AuthenticatorSwitchRouterWLANAP AuthenticationServerIASACSAnyIETFRADIUSserver IdentityStore ManagementMSADLDAPNDSODBC Kerberos 认证协议 口令从不在网络中传输 SSO Singlesign on 三个实体 访问应用服务器上运行服务的客户端 认证服务器 即KDC KeyDistributionCenter认证服务 ticket granting服务 应用服务器 使用DES对所有消息 除初始化请求 进行加密 根据TGT Ticket grantingticket 向用户提供服务ServiceTicket Kerberos 初始化认证 Kerberos 获取ServiceTicket Kerberos 服务验证 认证代理协议 RADIUSTACACS RADIUS Remoteauthenticationdial inuserservice 主要用于拨号网络 IETF标准 使用UDP端口1812 1813 不足 口令传输一般为明文 可使用MD5进行加密 授权作为认证的一部分 属性值空间有限 最多支持255个并发请求 最多支持255个厂商定义属性值 单向 RADIUSServer PSTN ISDN CorporateNetwork DIAMETER 新的IETF标准提案 提供向后的兼容性 解决RADIUS的不足 双向最多可支持232个vendor specificattributes属性 基本上无限个并发请求 通过Acknowledgement和Keepalive机制提高弹性 提供加密保证消息的机密性和完整性 TACACS TerminalAccessControllerAccessControlSystem enhanced Cisco开发 基于TCP端口49 提供比RADIUS更多的授权选项 支持Auto command 支持多种协议 支持数据报文加密 不足 有限的厂商支持 有限的服务器选项 TACACS Server TACACS Client Alice PSTN ISDN CorporateNetwork RADIUSvs TACACS vs Kerberos 四 主要网络安全协议和机制 网络安全 Securityisonlyasstrongastheweakestlink PhysicalLinks MACAddresses IPAddresses Protocols Ports ApplicationStream Application Presentation Session Transport Network DataLink Physical Compromised POP3 IMAP IM SSL SSH 数据链路层安全 VLANHopping攻击 MAC IP欺骗攻击 DHCP服务器攻击 CAM表溢出攻击 SpanningTree攻击 ARP攻击 Trunk端口定义 缺省可以对所有VLAN进行访问 用于在同一个物理链路上对多个VLAN的流量进行传输 一般在交换机之间 封装方式可以为802 1qorISL TrunkPort DynamicTrunkProtocol DTP 何谓DTP 自动进行802 1x ISLTrunk的配置 在交换机之间生效 DTP在链路两个端点之间协商 并同步状态 802 1q ISLtrunk端口的DTP状态可以是 Auto On Off Desirable 或 Non Negotiate DynamicTrunkProtocol 基本VLANHopping攻击 TrunkPort TrunkPort 双重802 1q封装VLANHopping攻击 Send802 1qdoubleencapsulatedframesSwitchperformsonlyonelevelofdecapsulationUnidirectionaltrafficonlyWorkseveniftrunkportsaresettooff 802 1q 802 1q StripOffFirst andSendBackOut 802 1qFrame Frame Note OnlyWorksifTrunkHastheSameVLANastheAttacker VLAN和Trunk的最佳安全实践 为所有的trunk端口定义一个专用的VLANID 将不用的端口置于Disable状态 并把它们分配到未使用的VLAN中 不要使用VLAN1 对于连接客户端的端口 将其DTP自动协商trunk状态置为off ExplicitlyconfiguretrunkingoninfrastructureportsUsealltaggedmodefortheNativeVLANontrunks 数据链路层安全 VLANHopping攻击 MAC IP欺骗攻击 DHCP服务器攻击 CAM表溢出攻击 SpanningTree攻击 ARP攻击 欺骗Attacks MACspoofingIPspoofingPingofdeathICMPunreachablestormSYNfloodTrustedIPaddressescanbespoofed 欺骗MAC地址攻击 AttackersendspacketswiththeincorrectsourceMACaddressIfnetworkcontrolisbyMACaddress theattackernowlookslike10 1 1 2 10 1 1 1MACA 10 1 1 2MACB 10 1 1 3MACC ReceivedTrafficSourceAddress10 1 1 3MacB TrafficSentwithMACBSource 欺骗IP地址攻击 AttackersendspacketswiththeincorrectsourceIPAddressWhateverdevicethepacketissenttowillneverreplytotheattacker 10 1 1 1MACA 10 1 1 2MACB 10 1 1 3MACC ReceivedTrafficSourceIP10 1 1 2MacC TrafficSentwithIP10 1 1 2Source 欺骗IP MAC攻击 AttackersendspacketswiththeincorrectsourceIPandMACaddressNowlookslikeadevicethatisalreadyonthenetwork 10 1 1 1MACA 10 1 1 2MACB 10 1 1 3MACC ReceivedTrafficSourceIP10 1 1 2MacB TrafficSentwithIP10 1 1 2MACBSource 数据链路层安全 VLANHopping攻击 MAC IP欺骗攻击 DHCP服务器攻击 CAM表溢出攻击 SpanningTree攻击 ARP攻击 NonMatchingTrafficDropped Spoofing攻击对策IPSourceGuard UsestheDHCPSnoopingBindingTableInformationIPSourceGuardOperatesjustlikeDynamicARPInspection butlooksateverypacket notjustARPPacket 10 1 1 1MACA 10 1 1 2MACB 10 1 1 3MACC ReceivedTrafficSourceIP10 1 1 2MacB 10 1 1 3MACC TrafficSentwithIP10 1 1 3MacB TrafficSentwithIP10 1 1 2MacC DHCPSnoopingEnabledDynamicARPInspectionEnabledIPSourceGuardEnabled DHCP服务 ServerdynamicallyassignsIPaddressondemandAdministratorcreatespoolsofaddressesavailableforassignmentAddressisassignedwithleasetimeDHCPdeliversotherconfigurationinformationinoptions DHCPServer Client DHCP服务 通信过程 DHCPdefinedbyRFC2131 DHCPServer Client DHCP攻击类型DHCPStarvation攻击 GobblerlooksattheentireDHCPscopeandtriestoleasealloftheDHCPaddressesavailableintheDHCPscopeThisisaDenialofServiceDoSattackusingDHCPleases Client DHCPServer DHCPStarvation攻击对策PortSecurity GobblerusesanewMACaddresstorequestanewDHCPlease RestrictthenumberofMACaddressesonanport WillnotbeabletoleasemoreIPaddressthanMACaddressesallowedontheport IntheexampletheattackerwouldgetoneIPaddressfromtheDHCPserver Client DHCPServer DHCPAttack类型RogueDHCPServer攻击 Client DHCPServer RogueServer DHCPAttack类型RogueDHCPServer攻击 WhatcantheattackerdoifheistheDHCPserver Whatdoyouseeasapotentialproblemwithincorrectinformation WrongDefaultGateway AttackeristhegatewayWrongDNSserver AttackerisDNSserverWrongIPAddress AttackerdoesDOSwithincorrectIP RogueDHCPServer攻击对策DHCPSnooping BydefaultallportsintheVLANareuntrustedTableisbuiltby Snooping theDHCPreplytotheclientEntriesstayintableuntilDHCPleasetimeexpires Client DHCPServer RogueServer Trusted Untrusted Untrusted DHCPSnoopingEnabled BADDHCPResponses offer ack nak OKDHCPResponses offer ack nak 数据链路层安全 VLANHopping攻击 MAC IP欺骗攻击 DHCP服务器攻击 CAM表溢出攻击 SpanningTree攻击 ARP攻击 MAC地址 CAM表 CAMtablestandsforContentAddressableMemoryTheCAMtablestoresinformationsuchasMACaddressesavailableonphysicalportswiththeirassociatedVLANparametersCAMtableshaveafixedsize 48BitHexadecimalNumberCreatesUniqueLayerTwoAddress First24bits ManufactureCodeAssignedbyIEEE Second24bits SpecificInterface AssignedbyManufacture AllF s Broadcast CAM表正常通信 1 3 MACA MACB MACC Port1 Port2 Port3 MACPortA1C3 ARPforB BIsUnknown FloodtheFrame CAM表正常通信 2 3 MACA MACB MACC Port1 Port2 Port3 AIsonPort1Learn BIsonPort2 IAmMACB IAmMACB MACPortA1C3 B2 CAM表正常通信 3 3 MACA MACB MACC Port1 Port2 Port3 TrafficA B BIsonPort2 DoesNotSeeTraffictoB TrafficA B MACPortA1B2C3 CAM表溢出 1 3 Macoftoolsince1999About100linesofperlIncludedin dsniff AttacksuccessfulbyexploitingthesizelimitonCAMtables CAM表溢出 2 3 IAmMACY MACA MACB MACC Port1 Port2 Port3 MACPortA1B2C3 YIsonPort3 ZIsonPort3 Y3 Z3 TrafficA B ISeeTraffictoB AssumeCAMTableNowFull IAmMACZ Macof洪流 MacofsendsrandomsourceMACandIPaddressesMuchmoreaggressiveifyourunthecommand macof ieth12 dev null macof partofdsniff http monkey org dugsong dsniff macof ieth136 a1 48 63 81 7015 26 8d 4d 28 f80 0 0 0 26413 0 0 0 0 49492 S1094191437 1094191437 0 win51216 e8 8 0 4d 9cda 4d bc 7c ef be0 0 0 0 61376 0 0 0 0 47523 S446486755 446486755 0 win51218 2a de 56 38 7133 af 9b 5 a6 970 0 0 0 20086 0 0 0 0 6728 S105051945 105051945 0 win512e7 5c 97 42 ec 183 73 1a 32 20 930 0 0 0 45282 0 0 0 0 24898 S1838062028 1838062028 0 win51262 69 d3 1c 79 ef80 13 35 4 cb d00 0 0 0 11587 0 0 0 0 7723 S1792413296 1792413296 0 win512c5 a b7 3e 3c 7a3a ee c0 23 4a fe0 0 0 0 19784 0 0 0 0 57433 S1018924173 1018924173 0 win51288 43 ee 51 c7 68b4 8d ec 3e 14 bb0 0 0 0 283 0 0 0 0 11466 S727776406 727776406 0 win512b8 7a 7a 2d 2c aec2 fa 2d 7d e7 bf0 0 0 0 32650 0 0 0 0 11324 S605528173 605528173 0 win512e0 d8 1e 74 1 e57 98 b6 5a fa de0 0 0 0 36346 0 0 0 0 55700 S2128143986 2128143986 0 win512 CAM表满了 EachswitchhasalimitonCAMtables OncetheCAMtableontheswitchisfull trafficwithoutaCAMentryisfloodedouteveryportonthatVLANThiswillturnaVLANonaswitchbasicallyintoahub ThisattackwillalsofilltheCAMtablesofadjacentswitches MAC攻击对策 PortsecuritylimitsMACfloodingattackandlocksdownportandsendsanSNMPtrap 00 0e 00 aa aa aa00 0e 00 bb bb bb 132 000BogusMACs OnlyThreeMACAddressesAllowedonthePort Shutdown Solution PortSecurityLimitstheAmountofMAC sonanInterface 数据链路层安全 VLANHopping攻击 MAC IP欺骗攻击 DHCP服务器攻击 CAM表溢出攻击 SpanningTree攻击 ARP攻击 SpanningTree协议回顾 STPPurpose Tomaintainloop freetopologiesinaredundantLayer2infrastructure A Tree Like Loop FreeTopologyIsEstablishedfromthePerspectiveoftheRootBridge ASwitchIsElectedasRootRootSelectionIsBasedontheLowestConfiguredPriorityofAnySwitch0 65535 X Root STPisverysimple messagesaresentusingBridgeProtocolDataUnits BPDUs basicmessagesinclude configuration topologychangenotification acknowledgment TCN TCA mosthaveno payload Avoidingloopsensuresbroadcasttrafficdoesnotbecomestorms SpanningTree攻击举例 AccessSwitches Root Root X Blocked SendBPDUmessagestobecomerootbridge SpanningTree攻击举例 SendBPDUmessagestobecomerootbridgeTheattackerthenseesframesheshouldn tMITM DoS etc allpossibleAnyattackisverysensitivetotheoriginaltopology trunking PVST etc AlthoughSTPtakeslinkspeedintoconsideration itisalwaysdonefromtheperspectiveoftherootbridge takingaGbbackbonetohalf duplex10MbwasverifiedRequiresattackerisdualhomedtotwodifferentswitches withahub itcanbedonewithjustoneinterfaceontheattackinghost AccessSwitches Root Root Root STP攻击对策 Trytodesignloop freetopologieswhereeverpossible soyoudonotneedSTP Don tdisableSTP introducingaloopwouldbecomeanotherattack BPDUGuardShouldberunonalluserfacingportsandinfrastructurefacingportsDisablesportsusingportfastupondetectionofaBPDUmessageontheportGloballyenabledonallportsrunningportfastRootGuardDisablesportswhowouldbecometherootbridgeduetotheirBPDUadvertisementConfiguredonaperportbasis 数据链路层安全 VLANHopping攻击 MAC IP欺骗攻击 DHCP服务器攻击 CAM表溢出攻击 SpanningTree攻击 ARP攻击 ARP功能回顾 BeforeastationcantalktoanotherstationitmustdoanARPrequesttomaptheIPaddresstotheMACaddress ThisARPrequestisbroadcastusin